Αριθμ. Πρωτ.: 214354/504 Αριθμ. Φακ.: 010 024-077 ΕΓΚΥΚΛΙΟΣ ΑΡΙΘΜ. : 23 135 Προς τις Ασφαλιστικές Εταιρίες Μέλη της Ένωσης Αθήνα, 13 Νοεμβρίου 2018 Υπόψη Διευθυνόντων Συμβούλων & Γενικών Διευθυντών και Υπευθύνων CYBER RISK Χρήσιμο υλικό για τους κινδύνους στον κυβερνοχώρο - Cyber risk Κυρίες Κύριοι, Όπως γνωρίζετε η ασφάλεια στον κυβερνοχώρο αποτελεί μία από τις μεγαλύτερες ανησυχίες για το μέλλον των επιχειρήσεων. To World Economic Forum στην έκθεση του 2018 για τους Global Risks αναγνώρισε την ασφάλεια στον κυβερνοχώρο ως έναν από τους πέντε μεγαλύτερους κινδύνους που αντιμετωπίζουν οι κυβερνήσεις, οι οργανισμοί και οι κοινωνίες των πολιτών σε όλο τον κόσμο. Ο ασφαλιστικός κλάδος μπορεί να παίξει σημαντικό ρόλο στην αντιμετώπιση των αυξανόμενων προκλήσεων που εμφανίζει το τοπίο των κινδύνων στο κυβερνοχώρο. Είναι ανάγκη όλοι οι εμπλεκόμενοι φορείς, κοινωνία, κράτος και ιδιωτικοί οργανισμοί να εξοικειωθούν καλύτερα με τους αναδυόμενους κινδύνους κυβερνοχώρου. Στο πλαίσιο αυτό η ΕΑΕΕ διοργάνωσε εκδήλωση με θέμα την ασφάλιση των κινδύνων του κυβερνοχώρου στις 30 Οκτωβρίου 2018, ύστερα από πρωτοβουλία των επιτροπών Αστικής Ευθύνης & Επαγγελματικών Ευθυνών και Περιουσίας, Αντασφαλίσεων, Μεταφορών και Σκαφών. Μετά την ομολογουμένως επιτυχημένη αυτή εκδήλωση και την αθρόα συμμετοχή που δείχνει το έντονο ενδιαφέρον της ασφαλιστικής αγοράς μας για τον νέο αυτό κίνδυνο σας παραθέτουμε τους ακόλουθους συνδέσμους με ενδιαφέρουσες σχετικές εκδόσεις για την πληρέστερη ενημέρωσή σας. 1. Δημοσίευση Πρακτικού Οδηγού της Insurance Europe με τίτλο «Preparing for cyber insurance» (έχει ήδη προωθηθεί στις εταιρίες μέλη με την εγκύκλιο 23115, 12 Οκτωβρίου 2018). Eπισυνάπτεται ανεπίσημη μετάφραση της σύνοψης του Πρακτικού Οδηγού (Συν. 1).
2. Έκθεση της EIOPA με τίτλο «Understanding Cyber Insurance- A structured Dialogue with Insurance Companies». Επισυνάπτεται ανεπίσημη μετάφραση της σύνοψης της έκθεσης (Συν. 2) 3. Έκθεση για το Cyber risk του Κλαμπ των Γάλλων Νομικών- Club des Jurists, Ιανουάριος 2018. Επισυνάπτεται ανεπίσημη μετάφραση στα ελληνικά της σύνοψης της έκθεσης (Συν.3). Με εκτίμηση, Μαργαρίτα Αντωνάκη Γενική Διευθύντρια Συν.: 3
Preparing for cyber insurance Έκθεση Ιnsurance Europe, Bipar,Ferma Marsh, AoN To World Economic Forum στην έκθεση του 2018 για τους Global Risks αναγνώρισε την κυβερνοασφάλεια ως ένα από τους πέντε μεγαλύτερους κινδύνους που αντιμετωπίζουν οι κυβερνήσεις, οργανισμοί και οι κοινωνίες των πολιτών σε όλο τον κόσμο. Το γεγονός αυτό είναι απόρροια της εντατικοποίησης των κυβερνοεπιθέσεων το 2017. Στην πράξη η αύξηση αυτή εκτός από την αρνητική πλευρά έχει και τη θετική της πλευρά καθώς όλο και περισσότεροι οργανισμοί ενημερώνονται για τους κινδύνους μέσω κυβερνοχώρου που αντιμετωπίζουν καθημερινά και κατανοούν όλο και περισσότερο την ανάγκη να τους διαχειριστούν αποτελεσματικά. Η ασφάλιση έναντι κινδύνων του κυβερνοχώρου (cyber insurance) αποτελεί τμήμα των εργαλείων που διατίθενται στους οργανισμούς για τη διαμόρφωση του cybersecurity. Οι λύσεις που προσφέρουν οι ασφαλιστές δεν περιλαμβάνουν μόνο την ασφαλιστική κάλυψη αλλά και συμβουλές πρόληψης και υποστήριξη μετριασμού στην περίπτωση ενός cyber incident. Oι συγγραφείς της έκθεσης αυτής φιλοδοξούν να βοηθήσουν τις επιχειρήσεις όλων των μεγεθών και διατομεακά να διαχειριστούν όσο μπορούν καλύτερα τους cyber risks. Η cyber insurance αποτελεί με αυξητική τάση πολύτιμο μέρος της διαχείρισης των κινδύνων (risk management). To πρώτο μέρος της έκθεσης αφορά την προετοιμασία της συζήτησης μεταξύ των διαμεσολαβητών και των ασφαλιστών. Οι ασφαλιστές συνήθως χρησιμοποιούν τα δικά τους ερωτηματολόγια για τη συγκέντρωση πληροφοριών. Παρόλ αυτά υπάρχει γενικά
μια κοινή γραμμή στον τύπο των πληροφοριών που θα ζητήσουν από κάποιο οργανισμό να παρέχει. Το τμήμα αυτό της διαδικασίας είναι πολύ σημαντικό και για τις δύο πλευρές. Ο ασφαλιστής θα βασιστεί σε αυτόν τον τύπο πληροφόρησης για λόγους underwriting αλλά και για να προσφέρει σχετικές υπηρεσίες. Ο δυνητικός αγοραστής ασφαλιστικής κάλυψης θα πρέπει να είναι σε θέση να εκτιμήσει τις ανάγκες του σε cybersecurity και να έχει εντοπίσει τα άτομα που εμπλέκονται στην περίπτωση ενός cyber-related incident. Ο διαμεσολαβητής θα παίξει καθοριστικό ρόλο στο διάλογο αυτό επιβεβαιώνοντας ότι ο δυνητικός αγοραστής έχει κατανοήσει αρκετά καλά τους cyber risks αλλά και τις επιλογές ασφαλιστικής κάλυψης. Το τμήμα 2 της έκθεσης αναφέρεται στα εργαλεία με τα οποία μπορούν να εφοδιαστούν οι οργανισμοί και τα οποία μπορούν να αξιολογήσουν τις προσφορές για ασφάλιση παρέχοντας μια γενική επισκόπηση των διαφορετικών καλύψεων που είναι διαθέσιμες. Περιγράφει επίσης πιθανά σενάρια τα οποία μπορούν να βοηθήσουν ένα οργανισμό για το πως η συγκεκριμένη κάλυψη θα μπορούσε να είναι χρήσιμη. Από το παραπάνω κείμενο συνάγεται ότι πολλοί cyber κίνδυνοι μπορούν να ασφαλιστούν. Τα αυτοτελή συμβόλαια cyber insurance παρέχουν πακέτο υπηρεσιών και καλύψεων τα οποία μπορούν να υποστηρίξουν τη στρατηγική διαχείρισης κινδύνων μιας εταιρίας αλλά και να παρέχουν βοήθεια και οικονομική στήριξη στην περίπτωση cyber incident. Εν κατακλείδι, το τοπίο του cyber insurance είναι πιθανό να εξελιχθεί καθώς οι ασφαλιστές συνεχίζουν να βρίσκουν και να διαμορφώνουν λύσεις και έτσι οι cyber risks να ποσοτικοποιούνται ευκολότερα. Στην πράξη αυτό σημαίνει ότι δεν υπάρχει μία μοναδική cyber coverage. Οι cyber risks θα συνεχίσουν να αυξάνονται και να παραμένουν αναπόσπαστο τμήμα του τοπίου των κινδύνων. Οργανισμοί και άτομα θα πρέπει να προετοιμάζουν τους εαυτούς τους όσο το δυνατόν περισσότερο τόσο σε επίπεδο προληπτικών δράσεων όσο και μετρίαση αυτών. Η καλή κατανόηση μεταξύ των δυνητικών αγοραστών, διαμεσολαβητών και ασφαλιστών θα αποτελέσει το κλειδί στην αγορά cyber insurance. Αθήνα, Οκτώβρης 2018 2
Σ Η Μ Ε Ι Ω Μ Α Έκθεση EIOPA με τίτλο: «Κατανοώντας την Ασφάλιση κινδύνων Κυβερνοχώρου (Cyber Insurance) Διάλογος με Ασφαλιστικές Εταιρείες» H έκθεση δημοσιεύτηκε στις 2 Αυγούστου 2018 Περίληψη Έκθεσης Ο κίνδυνος στον κυβερνοχώρο αποτελεί αυξανόμενη ανησυχία για τις επιχειρήσεις, τα άτομα και τις χρηματοπιστωτικές αγορές. Σε λιγότερο από πέντε χρόνια, έχει αναρριχηθεί στις κορυφαίες θέσεις στη λίστα των παγκόσμιων κινδύνων για τις επιχειρήσεις. Επιπλέον, οι ευρείας κλίμακας επιθέσεις στον κυβερνοχώρο κατατάσσονται στην έκτη θέση στον κατάλογο των πιθανότερων κινδύνων που ενδέχεται να προκύψουν κατά την επόμενη δεκαετία. Ο αυξανόμενος αριθμός περιστατικών επίθεσης στον κυβερνοχώρο, ο συνεχιζόμενος ψηφιακός μετασχηματισμός και οι νέες ρυθμιστικές πρωτοβουλίες της Ευρωπαϊκής Ένωσης αναμένεται να αυξήσουν την ευαισθητοποίηση της κοινωνίας και των επιχειρήσεων και να αυξήσουν τη ζήτηση για την ασφάλιση κινδύνων του κυβερνοχώρου. Εκτιμάται ότι περίπου το 90% των stand alone προϊόντων ασφάλισης κινδύνων του κυβερνοχώρου εντοπίζεται στις Ηνωμένες Πολιτείες (PwC, 2016, Marsh 2016) και μόνο περίπου 5% έως 9% είναι στην Ευρώπη. Δεδομένης αυτής της ασυμμετρίας, η πλειοψηφία των εκθέσεων και οι έρευνες επικεντρώνονται στην παγκόσμια ασφαλιστική αγορά ή την ασφαλιστική αγορά των ΗΠΑ. Συνεπώς, πολύ λίγη προσοχή έχει δοθεί μέχρι στιγμής αποκλειστικά στην ευρωπαϊκή αγορά. Αυτό το γεγονός είναι σχετικό με ένα από τα βασικά ευρήματα της έκθεσης της EIOPA: Η ανάγκη για βαθύτερη κατανόηση των κινδύνων του κυβερνοχώρου είναι η βασική πρόκληση για την ευρωπαϊκή ασφαλιστική βιομηχανία. Η έρευνα της ΕΙΟΠΑ είναι η πρώτη απόπειρα για την κάλυψη του κενού αυτού. Σε αρμονία με την ευρύτερη πολιτική της ΕΙΟΠΑ για τη διασφάλιση της χρηματοπιστωτικής σταθερότητας και τον εντοπισμό σε πρώιμο στάδιο των τάσεων, των πιθανών κινδύνων και των αδυναμιών του ευρωπαϊκού συστήματος, η έρευνα αυτή της ΕΙΟΠΑ στοχεύει στην καλύτερη κατανόηση των τελευταίων εξελίξεων στην ευρωπαϊκή ασφαλιστική αγορά σε σχέση με την ασφάλιση του κυβερνοχώρου. Στην έρευνα συμμετείχαν 13 ασφαλιστικές εταιρίες. Συνολικά, ο διάλογος αυτός με την ασφαλιστική βιομηχανία παρέχει χρήσιμα στοιχεία σχετικά με τη λειτουργία, την ανάπτυξη, τις προκλήσεις και τους κινδύνους της ασφάλισης του κυβερνοχώρου στην Ευρώπη. 1
Η αναμενόμενη ενίσχυση της σημασίας της ασφάλισης του κυβερνοχώρου για τα χαρτοφυλάκια των (αντ-) ασφαλιστικών επιχειρήσεων, απαιτεί περαιτέρω εργασία από την ΕΙΟΠΑ στον τομέα αυτό. Στο πλαίσιο αυτό, η ΕΙΟΠΑ συμπεριέλαβε ένα συνδυασμό ποιοτικών και ποσοτικών ερωτήσεων σχετικά με τους κινδύνους του κυβερνοχώρου στα Stress Test της Ασφαλιστικής Αγοράς για το 2018. Σημαντικότερα ευρήματα της έρευνας της ΕΙΟΠΑ Υπάρχει σαφής ανάγκη για βαθύτερη κατανόηση των κινδύνων του κυβερνοχώρου, τόσο από την πλευρά της προσφοράς όσο και της ζήτησης προκειμένου η ευρωπαϊκή ασφαλιστική βιομηχανία ασφάλισης των κινδύνων του κυβερνοχώρου να αναπτυχθεί περαιτέρω. Αυτό δεν σχετίζεται μόνο με την αξιολόγηση και την αντιμετώπιση των κινδύνων του κυβερνοχώρου, αλλά αφορά και την κατανόηση των αναγκών των πελατών από τις ασφαλιστικές επιχειρήσεις. Όσον αφορά στα προϊόντα και τις υπηρεσίες, η ασφαλιστική κάλυψη είναι επικεντρωμένη κυρίως στις εμπορικές επιχειρήσεις. Ωστόσο, το ενδιαφέρον για την παροχή ασφάλισης κινδύνων του κυβερνοχώρου σε άτομα αυξάνεται, καθώς τεχνολογίες, όπως το Internet of Things (IoT), αναπτύσσεται συνεχώς και οι καταναλωτές εκτίθενται πλέον όλο και περισσότερο στους κινδύνους του κυβερνοχώρου. Η ασφαλιστική βιομηχανία ασφάλισης των κινδύνων του κυβερνοχώρου αναμένει σταδιακή αύξηση της ζήτησης για ασφάλιση του κυβερνοχώρου, κυρίως λόγω των νέων Κανονισμών (GDPR), και της αύξησης της ευαισθητοποίησης σχετικά με τους κινδύνους αυτούς λόγω της μεγαλύτερης συχνότητα των περιστατικών παραβίασης του κυβερνοχώρου. Η σημασία της ασφάλισης των κινδύνων του κυβερνοχώρου για την εύρυθμη λειτουργία της οικονομίας γενικότερα αναμένεται να αυξηθεί σημαντικά. Τα ποιοτικά μοντέλα χρησιμοποιούνται συχνότερα από τα ποσοτικά μοντέλα για την τιμολόγηση, την εκτίμηση των κινδύνων και την συσσώρευση των κινδύνων. Η έλλειψη δεδομένων είναι ένα σημαντικό εμπόδιο για τα περισσότερα μοντέλα αξιολόγησης του κινδύνου. Τέτοιοι περιορισμοί μπορεί να μην επιτρέπουν την ορθή εκτίμηση και τιμολόγηση των κινδύνων. Η έλλειψη εξειδικευμένων underwriters, δεδομένων και ποσοτικών στοιχείων και εργαλείων αποτελούν τα βασικά εμπόδια στην ανάπτυξη του κλάδου και την παροχή της κατάλληλης ασφαλιστικής κάλυψης για την οικονομία. 2
Σύνοψη της έκθεσης του Club des juristes (Κλαμπ Γάλλων Νομικών) «Ασφάλιση Cyber Risk»-01/2018 ΑΣΦΑΛΙΣΗ CYBER RISK: ΠΟΙΕΣ ΕΙΝΑΙ ΟΙ ΠΡΟΚΛΗΣΕΙΣ; Το ερώτημα για μια εταιρεία δεν είναι πλέον αν θα βρεθεί αντιμέτωπη με το Cyber Risk. Αυτό είναι ήδη δεδομένο. Και οι συνέπειες του κινδύνου αυτού έχουν γίνει τόσο μεγάλες ώστε η διαχείρισή του δεν αποτελεί πλέον τεχνικό θέμα που ανήκει στην αποκλειστική ευθύνη των τμημάτων πληροφορικής. Αποτελεί πρόκληση διακυβέρνησης. Πολλά πρόσφατα παραδείγματα απεικονίζουν τη γενίκευση της απειλής και την ανάγκη κινητοποίησης όλων των τομέων της οικονομίας. Οι ασφαλιστές και οι αντασφαλιστές συμμετέχουν στη δημιουργία ενός γαλλικού και ευρωπαϊκού φορέα προστασίας έναντι του cyber risk, ενώ εργάζονται παράλληλα για τη δημιουργία προϊόντων ασφάλισης cyber σε ένα συνεχώς μεταβαλλόμενο περιβάλλον. Ο νομοθέτης έχει ήδη κατανοήσει το θέμα. Έτσι, ο Γαλλικός νόμος για την πληροφορική και την ελευθερία του 1978 και ο νόμος για τον στρατιωτικό προγραμματισμό της περιόδου 2014-2019 είχαν ήδη εισαγάγει υποχρεώσεις, τόσο ως προς την ασφάλεια όσο και προς την προστασία των προσωπικών δεδομένων. Η θέση σε ισχύ, τον Μάιο του 2018, του καθεστώτος ευθύνης που απορρέει από τον ευρωπαϊκό κανονισμό για την προστασία των προσωπικών δεδομένων (GDPR) και την οδηγία για την ασφάλεια των δικτύων και των συστημάτων πληροφοριών (NIS - Ασφάλεια δικτύων και πληροφοριών) θα συμπληρώσουν και θα ενισχύσουν το υπάρχον νομοθετικό πλαίσιο. Οι ισχυρές κυρώσεις που μπορούν πλέον να επιβάλλουν οι ρυθμιστικές αρχές (έως 20 εκατ. Ευρώ ή 4% του παγκόσμιου κύκλου εργασιών) σε περίπτωση μη κοινοποίησης από τους υπευθύνους επεξεργασίας δεδομένων των παραβιάσεων των προσωπικών δεδομένων, θα ενθαρρύνει τις εταιρείες να επενδύσουν στην πρόληψη και στην προστασία των συστημάτων πληροφοριών τους. Είναι επίσης πιθανό να επιταχύνουν τη μεταφορά του κινδύνου προς την ασφάλιση. Η "μη λήψη δράσεων" αποτελεί πλέον σφάλμα διαχείρισης που μπορεί να επιφέρει ευθύνη σε έναν διευθυντή, σε περίπτωση επέλευσης ενός συμβάντος cyber risk που θα επηρεάσει σημαντικά στα αποτελέσματα της επιχείρησής του. Οι γαλλικές εταιρείες εξακολουθούν να μην καλύπτονται επαρκώς έναντι του cyber risk. ασφάλιση αυτή, ωστόσο, έχει διπλά οφέλη. Η Αφενός, επιβάλλει στην εταιρεία τη χαρτογράφηση των κινδύνων της, την ανάλυση των τρωτών της σημείων και την αξιολόγηση των προκλήσεων. Το έργο αυτό συμβάλλει στην ευαισθητοποίηση της εταιρίας ως προς την έκθεσή της έναντι των κινδύνων του κυβερνοχώρου (cyber) και της δίδει τη δυνατότητα να εκτιμήσει ορθά τόσο τις δαπάνες πρόληψης και προστασίας όσο και τις δαπάνες μεταφοράς του κινδύνου στην ασφάλιση. Από την άλλη πλευρά, μόνο η ασφάλιση μπορεί να προστατεύσει την επιχείρηση από τις απώλειες που μπορεί να προκαλέσει είτε μια κυβερνο-επίθεση ή ένας ακούσιος λάθος χειρισμός. Αυτές οι απώλειες μπορεί να είναι σημαντικές και να θέσουν σε κίνδυνο την επιβίωση της εταιρείας. Η ασφάλιση έρχεται εδώ για να καλύψει έναν κίνδυνο τον οποίο η πρόληψη δεν μπόρεσε να απομακρύνει. 1
Στη Γαλλία, και γενικότερα στην Ευρώπη, η αγορά ασφάλισης του cyber risk μεγαλώνει, αλλά παραμένει ακόμη σε εμβρυακό στάδιο: η Ευρώπη αντιπροσωπεύει λιγότερο από το 10% της παγκόσμιας αγοράς ασφάλισης cyber risk. Η ανάπτυξη αυτής της αγοράς θα εξαρτηθεί όχι μόνο από την αυξημένη ζήτηση αλλά και από τη βελτίωση της προσφοράς. Πολλές είναι οι προκλήσεις που αντιμετωπίζουν οι ασφαλιστικές εταιρείες με αυτόν τον νέο κίνδυνο. Πρώτη πρόκληση είναι η εκτίμηση του βαθμού τρωτότητας μιας επιχείρησης. Αυτή η τρωτότητα δεν εξαρτάται μόνο από τη δική της δράση, αλλά και από το περιβάλλον της (υπεργολάβοι, αλυσίδες εφοδιασμού, πελάτες κ.λπ.) το οποίο μπορεί να αποτελέσει απειλή. Σε αυτήν τη δυσκολία προστίθεται και η απροθυμία πολλών εταιριών να μοιραστούν με τον ασφαλιστή τους όλες τις στρατηγικές και εμπιστευτικές πληροφορίες ή εκείνες που σχετίζονται με το επίπεδο ανθεκτικότητας των πληροφοριακών τους συστημάτων. Ωστόσο, οι πληροφορίες αυτές είναι απαραίτητες για την εκτίμηση του κινδύνου κατά την ανάληψή του, αλλά και για την ορθότερη αποζημίωση μετά την επέλευσή του. Επιπλέον, ο κλάδος του cyber risk αλλάζει διαρκώς. Εξελίσσεται τόσο με το ρυθμό της τεχνολογίας των πληροφοριακών και ηλεκτρονικών συστημάτων, όσο και με τις τεχνικές δυνατότητες ατόμων και οργανισμών που ασχολούνται με κακόβουλες κυβερνοεπιθέσεις. Όλοι αυτοί οι παράγοντες περιορίζουν την πρόβλεψη με βάση τα ήδη υπάρχοντα περιστατικά και επιβάλλουν τη διαμόρφωση πιθανών καταστροφικών σεναρίων. Σε αυτό το πλαίσιο κινδύνων και κανονιστικών περιορισμών, οι ασφαλιστές οδηγούνται στην ανάληψη ενός διευρυμένου συμβουλευτικού ρόλου προς τις εταιρίες. Με στόχο μια ορθή και σοφή στροφή του cyber risk προς την ασφάλιση, η Επιτροπή Cyber Risk του Club des Juristes έχει συντάξει δέκα συστάσεις για την καλύτερη διασφάλιση του κυβερνοχώρου: - Προς τους ασφαλιστές και τους διαχειριστές κινδύνου, ώστε να επιταχυνθεί η ανάπτυξη της κουλτούρας του cyber risk, να εξηγηθεί το περιεχόμενο της κάλυψης, να ενισχυθεί ο διάλογος και η εμπιστοσύνη με τους ασφαλισμένους. - Προς τους ασφαλιστές και αντασφαλιστές, το ANSSI και το CNIL* ώστε να αναπτυχθεί ένα ομοιογενές πλαίσιο για την ψηφιακή ασφάλεια, να συγκεντρωθούν οι γνώσεις για συμβάντα cyber risk και για την καλύτερη κατανόηση της έκθεσης στους κινδύνους και της συσσώρευσης αυτών. - Προς τις ευρωπαϊκές αρχές, ώστε να καθοριστεί ένα σύνολο τεχνικών προτύπων που θα διευκολύνουν την αξιολόγηση του επιπέδου ασφάλειας cyber των εταιρειών και που θα καθορίσουν τους όρους υγειούς ανταγωνισμού μεταξύ των ασφαλιστών του κλάδου. - Προς τις δημόσιες αρχές και τους επενδυτές, ώστε να στραφούν οι δημόσιες και ιδιωτικές επενδύσεις προς την ανάδειξη ενός τομέα αριστείας στην τεχνολογία του κυβερνοχώρου. * ANSSI (Agence Nationale de la Sécurité des Systèmes d Information) Εθνική Υπηρεσία για την Ασφάλεια των Πληροφοριακών Συστημάτων CNIL (Commission Nationale de l Informatique et des Libertés) Εθνική Επιτροπή Πληροφορικής και Ελευθεριών- η αντίστοιχη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 2