Now Reading
Εκτίμηση ρίσκου κυβερνοεπιθέσεων: Μια δύσκολη άσκηση για τις ασφαλιστικές εταιρείες

Εκτίμηση ρίσκου κυβερνοεπιθέσεων: Μια δύσκολη άσκηση για τις ασφαλιστικές εταιρείες

  • Tα προϊόντα cyber insurance ελλοχεύουν κινδύνους για ασφαλιστές και ασφαλιζόμενους λόγω της δυσκολίας στην εκτίμηση ρίσκου
Young woman working with computer at table. Concept of cyber attack

Τα τελευταία χρόνια η αγορά cyber insurance αναπτύσσεται ταχύτατα, κυρίως στην Αμερική, προσφέροντας μια ευρεία γκάμα εξειδικευμένων προϊόντων. Η πανδημία του Covid-19 οδήγησε πολλές επιχειρήσεις σε βίαιη ψηφιοποίηση διεργασιών, καθιστώντας την προστασία από business interruption και cyber extortion πιο απαραίτητη από ποτέ. Τα προϊόντα cyber insurance όμως, ελλοχεύουν κινδύνους για ασφαλιστές και ασφαλιζόμενους λόγω της δυσκολίας στην εκτίμηση ρίσκου – κάτι για το οποίο η επιστημονική κοινότητα έχει αρχίσει να αναζητά λύσεις.

Οι σημερινές πρακτικές των ασφαλιστικών για την εκτίμηση ρίσκου cyber insurance συνήθως βασίζονται σε τρεις παραμέτρους: βασικά δεδομένα (π.χ. τζίρος εταιρείας, τομέας που ενεργοποιείται), περιορισμένο αριθμό ερωτήσεων για την ασφάλεια συστημάτων (π.χ. ύπαρξη back-up, επικαιροποίηση συστημάτων, προσωπικό που ασχολείται με κυβερνοασφάλεια, ύπαρξη σχεδίων για αντιμετώπιση κυβερνοεπιθέσεων) καθώς και στην καταγραφή ιστορικού κυβερνοεπιθέσεων. Κατά κύριο λόγο οι ασφαλιστικές δεν εμβαθύνουν στην εκτίμηση ασφάλειας συστημάτων και περιορίζονται στη καταγραφή πληροφοριών που σχετίζονται αποκλειστικά με το προϊόν cyber insurance που προσφέρουν. Με βάση κυρίως την εμπειρία των underwriters καταρτίζονται σχετικοί πίνακες πιθανοτήτων που λαμβάνουν υπ’ όψιν αυτές τις τρεις παραμέτρους για την εύρεση του premium.

Η στρατηγική ελαχιστοποίησης λάθους στην εκτίμηση ρίσκου που επαφίεται στη δημιουργία μεγάλης βάσης πελατών ίσως είναι αποτελεσματική στην αγορά cyber insurance για μικρομεσαίες επιχειρήσεις (SMEs), όμως ενδέχεται να είναι προβληματική όταν εφαρμόζεται σε μεγαλύτερες εταιρείες όπου η έκταση των ζημιών μπορεί να είναι απρόβλεπτη. Ακόμα και ίδιου τύπου κυβερνοεπιθέσεις σε εταιρείες με φαινομενικά παρόμοια χαρακτηριστικά μπορεί να προκαλέσουν δραματικά διαφορετικές συνέπειες, καθώς η διαχείρισή τους, οι διαφορετικές νομοθεσίες προστασίας δεδομένων, και το επίπεδο και τα κίνητρα των χάκερς μπορούν να αλλάξουν σημαντικά το τελικό κοστολόγιο.

Η εφαρμογή παραδοσιακών μεθοδολογιών στον τομέα του cyber insurance καθίσταται περαιτέρω προβληματική από τις δυσκολίες στην εκτίμηση συστημικού ρίσκου. Στον κυβερνοχώρο, μεταβλητές που θα μπορούσαν να βοηθήσουν στη διαφοροποίηση των assets των ασφαλιστικών (όπως παραδοσιακά ο γεωγραφικός προσδιορισμός στις φυσικές καταστροφές) είναι δύσκολο να βρεθούν και να εκτιμηθούν. Θα μπορούσε για παράδειγμα η διαφοροποίηση να βασιστεί σε μεταβλητές τύπου cloud services, όπου όμως υπάρχουν ελάχιστοι providers με υψηλά επίπεδα ασφάλειας. Επιπλέον, ο κίνδυνος του silent/non-affirmative cyber αφήνει υπό προϋποθέσεις ευάλωτες τις ασφαλιστικές σε γεγονότα που ξεκίνησαν από κυβερνοεπίθεση αλλά έλαβαν ανεξέλεγκτη τροπή (καταστροφή περιουσίας για παράδειγμα), ενεργοποιώντας άλλου είδους ασφαλιστικές πολιτικές που δεν σχετίζονται με τον κυβερνοχώρο.

Η επιστημονική κοινότητα έχει κάνει βήματα προόδου προσπαθώντας να δημιουργήσει μαθηματικά μοντέλα για ασφαλέστερη εκτίμηση ρίσκου, λαμβάνοντας υπ’ όψιν χαρακτηριστικά όπως το είδος των κυβερνοεπιθέσεων

Τέτοιου είδους εμπόδια στην εκτίμηση ρίσκου επηρεάζουν την αγορά cyber insurance και οδηγούν σε προϊόντα που ενδεχομένως δεν καλύπτουν πλήρως τις ανάγκες των ασφαλισμένων. Πρόσφατη έρευνα έδειξε ότι σε ένα υποθετικά καταστροφικό σενάριο, οι ασφαλισμένες ζημιές αποτελούν το 8% των συνολικών ζημιών λόγω κυβερνοεπίθεσης αναδεικνύοντας ότι υπάρχει περιθώριο για βελτίωση προϊόντων και κέρδους.

Η επιστημονική κοινότητα έχει κάνει βήματα προόδου προσπαθώντας να δημιουργήσει μαθηματικά μοντέλα για ασφαλέστερη εκτίμηση ρίσκου, λαμβάνοντας υπ’ όψιν χαρακτηριστικά όπως το είδος των κυβερνοεπιθέσεων και η αποτελεσματικότητα των μέτρων ασφαλείας. Οι έρευνες συγκλίνουν ότι ασφαλέστερη εκτίμηση ρίσκου ίσως επιτευχθεί επικεντρώνοντας σε τέσσερα κύρια χαρακτηριστικά:

  1. τα assets των ασφαλιζόμενων,
  2. το είδος και τη συχνότητα των κυβερνοεπιθέσεων, καθώς και το κίνητρο των χάκερς,
  3. το είδος και την αλυσίδα των γεγονότων που συμβάλει στο τελικό κόστος μιας κυβερνοεπίθεσης,
  4. τους μηχανισμούς που έχει μια εταιρεία για την αποτροπή επιθέσεων και την άμβλυνση των ζημιών.

Σε αυτήν τη δύσκολή άσκηση, κάθε θεωρητικό μοντέλο χρειάζεται δεδομένα για τη διεξαγωγή συμπερασμάτων. Για τα assets υπάρχουν επαρκή στοιχεία που συλλέγονται κατά τη διάρκεια του underwriting, ενώ για τις κυβερνοεπιθέσεις έχουμε χρήσιμες πηγές (π.χ. Advisen και Veris datasets). Επίσης, νεοφυείς εταιρείες (όπως BitSight, CyberCube, Cyence) προσφέρουν πληροφορίες και εκτιμήσεις του επιπέδου ασφάλειας των ασφαλιζόμενων με βάση περιφερειακά τεστ που διεξάγουν χωρίς να έχουν πρόσβαση στα δίκτυα εκ των έσω. Λανθασμένα συμπεράσματα όμως μπορεί να προκύψουν σε περίπτωση τοποθέτησης honey pots (ευπαθή συστήματα που υπάρχουν επίτηδες για να αποσπούν την προσοχή των χάκερς από πραγματικά συστήματα). Άλλες εταιρείες (όπως RMS, FICO) συνδυάζουν πληροφορίες από επιχειρήσεις που έχουν πέσει θύματα κυβερνοεπιθέσεων και τα συγκρίνουν με μαθηματικό τρόπο με εταιρείες που έχουν αποτρέψει αποτελεσματικά τέτοιες επιθέσεις. Δυστυχώς όμως υπάρχει έλλειψη στοιχείων για την ασφαλή εκτίμηση της αποτελεσματικότητας των μηχανισμών αποτροπής και άμβλυνσης ζημιών, καθώς και μη καταγραφή της αλληλουχίας των γεγονότων που ακολουθούν μια κυβερνοεπίθεση.

See Also
Euler Hermes

Δυσκολίες στην περισυλλογή τέτοιων δεδομένων προκύπτουν από την συγκάλυψη κυβερνοεπιθέσεων και το στίγμα που θεωρείται (κακώς) ότι αφήνουν σε επιχειρήσεις. Επιπλέον, το είδος των δεδομένων που χρειάζεται, κυρίως όσον αφορά τα μέτρα (τεχνικά και δομικά) που έχουν λάβει οι εταιρείες για την ασφάλεια των συστημάτων τους καταγράφονται μόλις τα τελευταία 20 χρόνια και όχι ενδελεχώς, ενώ και η φύση τέτοιων δεδομένων έχει μικρή διάρκεια ζωής καθώς οι τεχνολογικές εξελίξεις και οι καινούργιου τύπου κυβερνοεπιθέσεις τα καθιστούν γρήγορα μη επικαιροποιημένα.

Τα επόμενα βήματα στα οποία μπορούν να επικεντρωθούν οι ασφαλιστικές με την στήριξη και της επιστημονικής κοινότητας για ασφαλέστερη εκτίμηση ρίσκου είναι πολλαπλά. Η δημιουργία ενός ενιαία αποδεκτού λεξιλογίου (taxonomy) θα επιτρέψει τη συστηματική καταγραφή των συνεπειών των κυβερνοεπιθέσεων, και την εύρεση του είδους και της αλληλουχίας των γεγονότων που λαμβάνουν χώρα πριν και μετά την επίθεση. Επίσης θα βελτιώσει τα ποιοτικά δεδομένα που έχουν στη διάθεσή τους οι ασφαλιστικές από τα claims περιλαμβάνοντας περισσότερες τεχνικές πληροφορίες. Αξίζει επίσης να συλλεχθούν δεδομένα από τις ασφαλιστικές που θα επιτρέψουν την εκτίμηση της αποτελεσματικότητας standard ασφαλείας (π.χ. ISO 27001, NIST Cybersecurity Framework) ή και συγκεκριμένων μέτρων και συστημάτων (SIEM tools, CIS SANS 20).

Με αυτό τον τρόπο οι ασφαλιστικές θα μπορούν να δίνουν κίνητρα σε εταιρείες για να βελτιώσουν τη συνολική ασφάλεια των συστημάτων τους μειώνοντας το ρίσκο και για τις δύο πλευρές. Τέλος ο ασφαλιστικός κόσμος θα μπορούσε να δημιουργήσει εξειδικευμένες υπηρεσίες διαχείρισης κρίσεων μέσω της συσσωρευμένης εμπειρίας ετών στην καταπολέμηση κυβερνοεπιθέσεων και να προχωρήσει ένα βήμα παραπέρα με την δημιουργία μιας κοινής μη ανταγωνιστικής βάσης δεδομένων (pre-competitive dataset) που θα αποτελέσει φάρο για τη δημιουργία προσαρμοσμένων standard ασφαλείας κυρίως για SMEs και εταιρείες που δεν έχουν την τεχνογνωσία ή τους πόρους να επενδύσουν στην ασφάλεια συστημάτων.

View Comments (0)

Leave a Reply

Your email address will not be published.

© 2020 ΑΣΦΑΛΙΣΤΙΚΟ ΜΑΡΚΕΤΙΝΓΚ. ALL RIGHTS RESERVED.
Scroll To Top