Καλύπτει η Ασφάλιση Κυβερνοκινδύνων ζημιές από phishing;

Το phishing είναι σήμερα μία από τις πιο συχνές αιτίες κυβερνοπεριστατικών σε επιχειρήσεις κάθε μεγέθους. Ένα email που φαίνεται αληθινό, ένα SMS με επείγον ύφος ή μια ψεύτικη σελίδα σύνδεσης μπορεί να οδηγήσουν σε απώλεια χρημάτων, παραβίαση λογαριασμών, διαρροή δεδομένων ή ακόμα και σε διακοπή λειτουργίας.

Έτσι προκύπτει εύλογα η ερώτηση:

καλύπτει η ασφάλιση κυβερνοκινδύνων ζημιές από phishing;

Η σύντομη απάντηση είναι ότι μπορεί να καλύπτει συγκεκριμένες συνέπειες ενός phishing περιστατικού, ανάλογα πάντα με τους όρους του ασφαλιστηρίου, τις καλύψεις που έχουν επιλεγεί, τα όρια και τις προϋποθέσεις που πρέπει να τηρεί η επιχείρηση.

Αν δεν έχετε δει ήδη τι είναι η ασφάλιση κυβερνοκινδύνων, αξίζει να ξεκινήσετε από εκεί. Και αν θέλετε μια πιο γενική εικόνα για τις βασικές κατηγορίες καλύψεων, δείτε και το άρθρο Τι καλύπτει η ασφάλιση κυβερνοκινδύνων.

Η σύντομη απάντηση σε έναν πίνακα

Η ουσία είναι ότι η ασφάλιση κυβερνοκινδύνων δεν ασφαλίζει αόριστα τη λέξη “phishing”. Εξετάζει τις πραγματικές συνέπειες που μπορεί να προκύψουν από ένα ασφαλισμένο περιστατικό.

Ειδικά στα περιστατικά phishing, οι προϋποθέσεις πρόληψης έχουν μεγάλη σημασία. Γι’ αυτό αξίζει να δείτε ποιες είναι οι βασικές προϋποθέσεις ασφάλισης κυβερνοχώρου πριν θεωρήσετε ότι μια επιχείρηση μπορεί να εξεταστεί ασφαλιστικά.

Τι είναι το phishing στην πράξη

Το phishing είναι μια μορφή εξαπάτησης όπου κάποιος προσπαθεί να εμφανιστεί ως αξιόπιστος αποστολέας ή συνεργάτης για να αποσπάσει πρόσβαση, στοιχεία ή ενέργεια από τον παραλήπτη.

Στην πράξη μπορεί να εμφανιστεί ως:

• email που μοιάζει να προέρχεται από τράπεζα, προμηθευτή ή συνεργάτη
• μήνυμα με δήθεν τιμολόγιο ή παραγγελία
• ψεύτικη σελίδα σύνδεσης
• αίτημα για άμεση πληρωμή ή αλλαγή στοιχείων
• SMS ή τηλεφωνική προσέγγιση που δημιουργεί πίεση

Αν θέλετε πιο αναλυτικά το awareness σκέλος του θέματος, υπάρχει και το άρθρο Τι είναι το phishing και πώς να προστατευτείτε αποτελεσματικά.

Τι μπορεί να προκαλέσει ένα phishing περιστατικό σε μια επιχείρηση

Πολλοί όταν ακούν phishing σκέφτονται μόνο την κλοπή ενός κωδικού. Στην πράξη όμως, οι επιπτώσεις μπορεί να είναι πολύ μεγαλύτερες.

Ένα phishing περιστατικό μπορεί να οδηγήσει σε:

• παραβίαση εταιρικού email
• υποκλοπή κωδικών πρόσβασης
• μη εξουσιοδοτημένη πρόσβαση σε συστήματα
• αποστολή ψεύτικων εντολών πληρωμής
• απώλεια χρημάτων
• διαρροή προσωπικών δεδομένων πελατών ή συνεργατών
• εγκατάσταση κακόβουλου λογισμικού
• διακοπή λειτουργίας
• έξοδα αποκατάστασης και τεχνικής διερεύνησης
• ζημιά στη φήμη της επιχείρησης

Σε αρκετές περιπτώσεις, το phishing δεν είναι το τελικό πρόβλημα. Είναι η αρχή μιας αλυσίδας γεγονότων που δημιουργεί πολύ μεγαλύτερη ζημιά.

Παραδείγματα phishing και πιθανή ασφαλιστική διάσταση

Αυτός ο πίνακας δείχνει γιατί το phishing δεν είναι μία μόνο περίπτωση. Μπορεί να ξεκινήσει με ένα email, αλλά να οδηγήσει σε διαφορετικές μορφές ζημιάς.

Τι σημαίνει στην πράξη «κάλυψη» σε ένα περιστατικό phishing

Όταν λέμε ότι μια ασφάλιση κυβερνοκινδύνων μπορεί να καλύπτει ζημιές από phishing, δεν εννοούμε ότι καλύπτει αόριστα “οτιδήποτε συμβεί”.

Συνήθως η κάλυψη αφορά συγκεκριμένες κατηγορίες εξόδων ή απωλειών που συνδέονται με το περιστατικό.

Ανάλογα με το πρόγραμμα, μπορεί να εξετάζονται καλύψεις όπως:

• έξοδα διερεύνησης του περιστατικού
• αμοιβές εξειδικευμένων συμβούλων και τεχνικών
• υπηρεσίες αποκατάστασης συστημάτων
• έξοδα διαχείρισης περιστατικού παραβίασης δεδομένων
• νομική υποστήριξη
• έξοδα ειδοποίησης πελατών ή συνεργατών όπου απαιτείται
• διαχείριση κρίσης και προστασία φήμης
• απώλεια εισοδήματος από διακοπή λειτουργίας, όπου προβλέπεται
• αξιώσεις τρίτων, όπου προβλέπεται από τους όρους

Το κρίσιμο σημείο είναι ότι η κάλυψη αφορά τις συνέπειες του περιστατικού και όχι απλώς το γεγονός ότι “ήρθε ένα phishing email”.

Από το phishing στη ζημιά: πώς εξελίσσεται ένα περιστατικό

Αυτός είναι ο λόγος που το phishing δεν πρέπει να αντιμετωπίζεται ως “απλό email”. Σε αρκετές περιπτώσεις είναι η αρχή ενός μεγαλύτερου περιστατικού.

Μπορεί να καλυφθεί και η οικονομική απώλεια;

Αυτό είναι ένα από τα πιο σημαντικά ερωτήματα για κάθε επιχείρηση.

Η σωστή απάντηση είναι:

εξαρτάται από το περιστατικό και από τους όρους του ασφαλιστηρίου.

Υπάρχουν περιπτώσεις όπου η οικονομική απώλεια μπορεί να σχετίζεται με:

• δόλια μεταφορά χρημάτων
• παραπλανητική εντολή πληρωμής
• παραβίαση λογαριασμού email
• μη εξουσιοδοτημένη χρήση πρόσβασης
• περιστατικό που εξελίχθηκε από phishing σε ευρύτερη παραβίαση

Όμως εδώ χρειάζεται πολύ προσεκτική ανάγνωση των όρων. Δεν καλύπτονται όλα τα σενάρια με τον ίδιο τρόπο και συχνά υπάρχουν:

• συγκεκριμένα όρια
• υποόρια
• εξαιρέσεις
• προϋποθέσεις ασφαλισιμότητας
• απαιτήσεις για βασικά μέτρα πρόληψης

Γι’ αυτό δεν αρκεί να ρωτά κάποιος μόνο “έχει cyber insurance;”. Πρέπει να δει τι ακριβώς καλύπτεται, σε ποια έκταση, σε ποιες περιπτώσεις και με ποιες προϋποθέσεις.

Τι πρέπει να ελεγχθεί ειδικά για οικονομική απώλεια

Αυτό είναι ένα από τα πιο κρίσιμα σημεία, γιατί η ερώτηση “μου έκλεψαν χρήματα, καλύπτεται;” δεν έχει μία απλή απάντηση χωρίς έλεγχο ασφαλιστηρίου.

Γιατί οι ασφαλιστικές ζητούν μέτρα πρόληψης

Η ασφάλιση κυβερνοκινδύνων συνδέεται στενά με την πραγματική ετοιμότητα της επιχείρησης.

Για αυτό και οι ασφαλιστικές συνήθως δίνουν μεγάλη βαρύτητα σε ζητήματα όπως:

• εκπαίδευση προσωπικού
• πολιτική κωδικών πρόσβασης
• πολυπαραγοντικός έλεγχος ταυτότητας
• προστασία email
• προστασία τερματικών συσκευών
• αντίγραφα ασφαλείας
• σωστές διαδικασίες επιβεβαίωσης πληρωμών
• ενημέρωση λογισμικού και συστημάτων

Ο λόγος είναι απλός. Αν μια επιχείρηση δεν εφαρμόζει ούτε τα βασικά μέτρα, ο κίνδυνος είναι πολύ μεγαλύτερος.

Αν θέλετε να καταλάβετε γιατί αυτό δεν είναι το ίδιο πράγμα με την τεχνική προστασία, δείτε και το άρθρο Κυβερνοασφάλεια και Ασφάλιση Κυβερνοκινδύνων: ποια είναι η διαφορά;.

Παράδειγμα καθημερινής επιχειρηματικής ζημιάς από phishing

Ας δούμε ένα απλό σενάριο.

Ένας εργαζόμενος λαμβάνει email που φαίνεται να προέρχεται από γνωστό συνεργάτη. Το μήνυμα ζητά άμεση επιβεβαίωση στοιχείων ή περιλαμβάνει δήθεν τιμολόγιο. Ο εργαζόμενος πατά τον σύνδεσμο, καταχωρεί στοιχεία σύνδεσης ή ανοίγει αρχείο.

Από εκεί και πέρα μπορεί να συμβούν πολλά:

• παραβιάζεται ο εταιρικός λογαριασμός email
• αποστέλλονται νέα παραπλανητικά μηνύματα σε πελάτες ή προμηθευτές
• αποκτάται πρόσβαση σε έγγραφα ή προσωπικά δεδομένα
• διακόπτεται η ομαλή λειτουργία
• η επιχείρηση επιβαρύνεται με τεχνικά, νομικά και λειτουργικά κόστη

Σε αυτό το σημείο η ζημιά δεν είναι μόνο τεχνική. Είναι και οικονομική, οργανωτική και επικοινωνιακή.

Ποιες επιχειρήσεις πρέπει να το βλέπουν σοβαρά

Πρακτικά όλες οι επιχειρήσεις που λειτουργούν με email, δεδομένα, συνεργάτες και καθημερινή πίεση.

Όμως υπάρχουν κλάδοι που είναι ιδιαίτερα εκτεθειμένοι, όπως:

• ιατρεία και μονάδες υγείας
• λογιστικά και φοροτεχνικά γραφεία
• ξενοδοχεία και τουριστικές επιχειρήσεις
• εμπορικές επιχειρήσεις
• δικηγορικά γραφεία
• επιχειρήσεις με συχνές πληρωμές και ηλεκτρονική αλληλογραφία
• οργανισμοί που διαχειρίζονται προσωπικά δεδομένα

Αν θέλετε να δείτε πιο αναλυτικά ποιες μικρομεσαίες επιχειρήσεις χρειάζονται ασφάλιση κυβερνοκινδύνων, υπάρχει σχετικός οδηγός.

Τι πρέπει να προσέξετε πριν επιλέξετε κάλυψη

Πριν εξεταστεί ένα πρόγραμμα, έχει σημασία να απαντηθούν πρακτικά ερωτήματα όπως:

1. Ποιες ζημιές καλύπτονται πραγματικά;

Δεν αρκεί μια γενική περιγραφή. Χρειάζεται σαφής εικόνα για το ποιες κατηγορίες περιστατικών ενεργοποιούν κάλυψη.

2. Ποια είναι τα όρια και οι εξαιρέσεις;

Κάθε πρόγραμμα έχει όρια ευθύνης, όρους, απαλλαγές και εξαιρέσεις που πρέπει να είναι ξεκάθαρα.

3. Τι προϋποθέσεις πρέπει να τηρεί η επιχείρηση;

Αν απαιτούνται συγκεκριμένα μέτρα ασφαλείας ή ελάχιστο επίπεδο οργάνωσης, αυτό πρέπει να είναι σαφές από πριν.

4. Πώς λειτουργεί στην πράξη η επιχείρηση;

Άλλες ανάγκες έχει ένα λογιστικό γραφείο, άλλες ένα ιατρείο και άλλες ένα ξενοδοχείο ή μια εμπορική επιχείρηση.

Τι να προσέξετε πριν μιλήσετε για κάλυψη

Συμπέρασμα

Ναι, η ασφάλιση κυβερνοκινδύνων μπορεί να καλύπτει συγκεκριμένες ζημιές από phishing. Όμως δεν το κάνει αόριστα και δεν το κάνει με τον ίδιο τρόπο σε κάθε περίπτωση.

Η σωστή προσέγγιση είναι να καταλάβει μια επιχείρηση ότι:

• το phishing μπορεί να προκαλέσει πολύ μεγαλύτερη ζημιά από ένα “περίεργο email”
• η ασφαλιστική κάλυψη αφορά τις συνέπειες του περιστατικού
• και η πραγματική αξία του προγράμματος κρίνεται από τους όρους, τα όρια και την ετοιμότητα της επιχείρησης

Η σωστή ερώτηση λοιπόν δεν είναι μόνο:

«καλύπτει;»

Αλλά:

«τι ακριβώς καλύπτει, σε ποιες συνθήκες και μέχρι ποιο σημείο;»

Θέλετε να δείτε αν η ασφάλιση κυβερνοκινδύνων έχει πρακτικό νόημα για τη δική σας επιχείρηση;

Αν θέλετε, μπορούμε να εξετάσουμε μαζί:

• ποια είναι τα βασικά σημεία έκθεσης της επιχείρησής σας
• ποιες προϋποθέσεις χρειάζεται να πληροί
• και αν μια ασφαλιστική λύση κυβερνοκινδύνων έχει πρακτικό νόημα για τη δική σας περίπτωση

Ζητήστε μια πρώτη ενημέρωση χωρίς δέσμευση.