“ Υπάρχουν μόνο δυο κατηγορίες εταιρειών, αυτές που έχουν “χακαριστεί” και αυτές που πρόκειται να χακαριστούν”
Robert Mueller, FBI Director 2012.
Η παρατήρηση του Robert Mueller, αναδεικνύει το ποσοστό επικινδυνότητας και πιθανοτήτων που έχει μια επιχείρηση να γίνει στόχος εγκληματιών διαδικτύου, τους γνωστούς hackers.
Το φαινόμενο έχει πάρει διαστάσεις λαίλαπας και βεβαίως δεν αφορά μόνο τις επιχειρήσεις. Μεγάλες και γνωστές επιθέσεις έχουν υποστεί ανά τον κόσμο κυβερνητικές και στρατιωτικές υπηρεσίες, επιχειρήσεις όλων των δραστηριοτήτων και μεγέθους, νοσοκομεία ( υπόθεση wanna cry), ενεργειακές δομές.
Οι συνηθέστεροι λόγοι κυβερνο επιθέσεων είναι α) η καταβολή λύτρων για να απελευθερωθούν τα συστήματα του θύματος β) η πώληση προσωπικών και εταιρικών δεδομένων στο λεγόμενο dark market.
Γιατί οι γιατροί και οι υποδομές υγείας αποτελούν στόχο
Οι παραβιάσεις συστημάτων και η κυβερνοασφάλεια είναι μία πηγή ανησυχίας κάθε παρόχου υπηρεσιών υγείας, δεδομένης της φύσης των πληροφοριών που διαχειρίζεται.
Οι κυβερνοεγκληματίες έχουν στόχο να υποκλέψουν δεδομένα και εμπιστευτικές πληροφορίες που διατηρούν οι πάροχοι υπηρεσιών υγείας για τους πελάτες τους και να τα πουλήσουν στην μαύρη αγορά (dark market), μια και οι τιμές των ιατρικών δεδομένων σε αυτή είναι πολύ υψηλότερες από τα δεδομένα πιστωτικών καρτών.
Σε εξειδικευμένη ιστοσελίδα ασχολούμενη με την κυβερνοασφάλεια, αναφέρεται πως ένα αρχείο πιστωτικής κάρτας πωλείται στο dark market για 1,5 $, ενώ ένα αρχείο με δεδομένα υγείας προς 50$.
Επίσης , μια κυβερνοεπίθεση μπορεί να προκαλέσει προβλήματα στην λειτουργία των συστημάτων των γιατρών και παρόχων, που μπορούν να οδηγούν σε άρνηση παροχής υπηρεσίας των συστημάτων εξυπηρέτησης και υποστήριξης ασθενών ή και αλλοίωση της ποιότητας των δεδομένων.
Οι μηχανισμοί προστασίας των δεδομένων που εφαρμόζαμε μέχρι σήμερα μπορούν εύκολα να παρακαμφθούν ακόμη και από μια απροσεξία, αν πχ μπούμε σε μια μολυσμένη ιστοσελίδα ή απαντήσουμε σε ένα e-mail phishing ή χάσουμε το κινητό του ή το tablet μας .
Τα κόστη που δημιουργούνται σε περίπτωση κυβερνοεπίθεσης και καλύπτονται από τα προγράμματα Cyber Insurance.
- Διοικητικά πρόστιμα.
Αξίζει να σημειωθεί πως ο Ευρωπαϊκός Kανονισμός 2016/679 (General Data Protection Regulation, GDPR) προβλέπει πρόστιμα, που ανάλογα με το είδος και το μέγεθος της επιχείρησης φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του συνολικού ετήσιου κύκλου εργασιών!
- Αποζημιώσεις φυσικών και νομικών προσώπων, των οποίων τα δεδομένα υπεκλάπησαν, δημοσιοποιήθηκαν, αλλοιώθηκαν ή χάθηκαν.
- Διακοπή εργασιών, καθώς συνήθης τακτική των δικτυακών εγκληματιών είναι το ransom ware, δηλαδή “κλειδώνουν” τα συστήματα της επιχείρησης, με αποτέλεσμα την διακοπή της λειτουργίας της και την συνεπακόλουθη απώλεια κερδών, για όσο χρονικό διάστημα διαρκεί η διαπραγμάτευση για την απόδοση λύτρων, τα οποία ζητούνται για να απελευθερωθούν τα συστήματα.
- Λύτρα που ζητούνται για την απελευθέρωση των συστημάτων της του γιατρού ή του παρόχου υγείας.
- Έξοδα αποκατάστασης των συστημάτων του γιατρού η του παρόχου υγείας.
- Νομικά έξοδα που θα χρειαστούν για την αντιμετώπιση τυχόν αγωγών και μηνύσεων που υποβληθούν από ζημιωθέντες τρίτους.
- Έξοδα ενημέρωσης πελατών για το συμβάν, σε συνεργασία με εξειδικευμένους στο αντικείμενο και κατάλληλα εκπαιδευμένους παρόχους υπηρεσιών , με στόχο την άμεση ενημέρωση των πελατών και την μείωση των οικονομικών συνεπειών λόγω της υφιστάμενης παραβίασης
- Έξοδα ειδικών συμβούλων, όπως ειδικοί διαπραγματευτές σε περίπτωση που ζητούνται λύτρα και σε περίπτωση εκβιασμού για αποκάλυψη δεδομένων
- Έξοδα αποκατάστασης φήμης εταιρείας, σύμβουλοι δημοσίων σχέσεων και ειδικοί διαχείρισης κρίσεων για να εκπονήσουν το σχέδιο αντιμετώπισης και να επιλέξουν την κατάλληλη επικοινωνιακή στρατηγική.
Γίνεται εύκολα αντιληπτό πως τα προγράμματα Cyber Insurance αποτελούν μια μονόδρομο της αποτελεσματικής διαχείρισης των κινδύνων παραβίασης συστημάτων και απώλειας δεδομένων, αλλά και απορρόφησης της μεγάλης οικονομικής ζημίας που επιφέρει πιθανή κυβερνοεπίθεση.