TO ΤΡΙΜΗΝΙΑΙΟ ΔΕΛΤΙΟ ΤΟΥ ΣΕΜΑ, ΧΡΟΝΟΣ 15ος, 2ο ΤΡΊΜΗΝΟ 2017
Κ ΕΓ ΝΟ ΚΥΒΕΡ
ΠΡ ΟΣ ΤΑΣΙΑ;
49
Η
ΛΗ ' ΜΑ ΙΑ Ρ ΚΑΙ ΤΙΜΩ
ΓΙΑΝΝΗΣ ΠΑΠΑΓΕΩΡΓΙΟΥ Τι μας δίδαξε η υπόθεση ''WannaCry''
ΚΑΛΛΙΟΠΗ ΠΑΠΑΝΤΩΝΙΟΥ Οι κυρώσεις για όσους παρανομούν
ΝΙΚΟΣ ΓΕΩΡΓΟΠΟΥΛΟΣ Πώς εξασφαλίζεται η ασφαλισιμότητα των εταιρειών
ΜΑΡΓΑΡΙΤΑ ΑΝΤΩΝΑΚΗ Ένας κίνδυνος γεμάτος προκλήσεις ΕΛΙΝΑ ΠΑΠΑΣΠΥΡΟΠΟΥΛΟΥ Αυξημένη η ζήτηση για την ασφάλιση κυβερνοκινδύνων
ΧΡΗΣΤΟΣ ΒΙΔΑΚΗΣ Τα «κλειδιά» για την εφαρμογή του Γενικού Κανονισμού περί Προστασίας Δεδομένων ΚΩΣΤΑΣ ΒΟΥΛΓΑΡΗΣ Η ανατομία μιας ιδιαίτερα σύνθετης ζημιάς
I NΧ D Χ EΧ X
EDITORIAL
ΑΝΤΙΚΡΙΣΤΆ
Γιάννης Ξηρογιαννόπουλος 05 Cyber risk «Ασύμμετρη» απειλή
Γιάννης Παπαγεωργίου Τι μας δίδαξε η υπόθεση "Wannacry"
18
ΔΙΑΔΊΚΤΥΟ ΚΑΙ ΠΑΙΔΙΑ Γιώργος Τσαπρούνης Ευκαιρία για γνώση, αλλά και κίνδυνοι
Κώστας Βούλγαρης Cyber Claims Η ανατομία μιας ιδιαίτερα σύνθετης ζημιάς
19
ΑΡΘΡΟ
Εύη Πετρουτσοπούλου Πώς να προστατευθείτε από τις κυβερνοεπιθέσεις
20
Επιτροπή Διεθνών Σχέσεων ΣΕΜΑ Cyber Insurance Η αλλαγή του θεσμικού πλαισίου δημιουργεί προοπτικές ανάπτυξης
Ελίνα Παπασπυροπούλου Γιατί είναι αυξημένη η ζήτηση για την ασφάλιση κυβερνοκινδύνων
22
Καλλιόπη Παπαντωνίου Πώς τιμωρείται το κυβερνοέγκλημα
26
28
ΑΠΟΨΗ Μαργαρίτα Αντωνάκη Cyber Risk: Ένας κίνδυνος γεμάτος προκλήσεις
06
ΑΡΘΡΟ Νίκος Γεωργόπουλος 08 Πώς εξασφαλίζεται η ασφαλισιμότητα των εταιρειών έναντι κυβερνοεπιθέσεων Διαδικτυακοί κίνδυνοι 'Ενα συστημικό ρίσκο για τις επιχειρήσεις
12
Χρήστος Βιδάκης Ποια είναι τα «κλειδιά» για την εφαρμογή του Γενικού Κανονισμού περί Προστασίας Δεδομένων
14
ΑΡΘΡΟ
29
ΕΚΕ Παιδικά Χωριά SOS Εδώ και 42 χρόνια δημιουργούν οικογένειες για παιδιά σε ανάγκη
ΚΑΤΆΛΟΓΟΣ ΜΕΛΏΝ ΣΕΜΑ
30
31
ΕΔΡΑ: Παπαδιαμαντοπούλου 24Γ, Αθήνα, τηλ.: 210-77.92.171 / fax: 210-77.17.180 www.sema.gr / info@sema.gr
ΣΥΝΤΕΛΕΣΤEΣ ΙΔΙΟΚΤΗΤΗΣ: ΣΥΝΔΕΣΜΟΣ ΕΛΛΗΝΩΝ ΜΕΣΙΤΩΝ ΑΣΦΑΛΙΣΕΩΝ (Μη κερδοσκοπικό σωματείο Ιδρυθέν δυνάμει της υπ’ αριθμόν 6618/1997 απόφασης του Πολυμελούς Πρωτοδικείου Αθηνών) Εκδότης - Διευθυντής: Ιωάννης Ξηρογιαννόπουλος Μέλη Δ.Σ. του ΣΕΜΑ Πρόεδρος: Ιωάννης Ξηρογιαννόπουλος Αντιπρόεδρος: Ευγενία Καφφετζή Γ. Γραμματέας: Μαρία Τσιλιμπάρη Ταμίας: Κωνσταντίνος Αλφιέρης
BROKER'S TIME | 4
Υπεύθυνη Σύνταξης περιοδικού: Ευγενία Καφφετζή Σύμβουλος Επικοινωνίας Πλάτων Τσούλος
Επιμέλεια Έκδοσης & Παραγωγής: THEASIS EXPO ΕΠΕ Mοισιόδακος 19 Αθήνα T.K. 11524 info@theasisexpo.gr
Διοικητική Υποστήριξη: Άννα Βάιμπεργ
Μέλη: Βασιλική Δράκου Ζακ Καπουάνο Νίκος Κόκκινος Φίλιππος Μυτιληναίος Μιχάλης Τζωρτζωρής
Πρώην Πρόεδροι του ΣΕΜΑ: Θεοδώρα - Ιωάννα Οικονομοπούλου Γιώργος Καραβίας Λάμπρος Κόκκινος Σίμος Ξηρογιαννόπουλος Νικόλαος Α. Μακρόπουλος Ιωάννης Μακρυμίχαλος
E DΧ I TΧOΧRΧI A L
CYBER RISK «ΑΣΥΜΜΕΤΡΗ» ΑΠΕΙΛΗ ΓΙΑΝΝΗΣ ΞΗΡΟΓΙΑΝΝΟΠΟΥΛΟΣ Πρόεδρος του ΣΕΜΑ
Α
γαπητέ αναγνώστη,
Με την ανάληψη των καθηκόντων μου ως νέος πρόεδρος του ΣΕΜΑ θα ήθελα να επισημάνω την πρόθεση του διοικητικού συμβουλίου το Broker's Time να συνεχίσει να εκδίδεται επικεντρώνοντας την ύλη του σε επίκαιρα ζητήματα της ασφαλιστικής αγοράς και φυσικά σε θέματα τα οποία άπτονται του ενδιαφέροντος των μεσιτών ασφαλίσεων. Το Cyber Risk στο οποίο εστιάζει την αρθρογραφία του το τεύχος αυτό, θεωρώ ότι μετά και την τελευταία διαδικτυακή κρίση που πλήττει χιλιάδες επιχειρήσεις και οργανισμούς παγκοσμίως, βρίσκεται πλέον ψηλά στην ατζέντα τόσο του επιχειρείν συνολικά, όσο και της ασφαλιστικής αγοράς. Βιώνοντας τη λεγόμενη τέταρτη «τεχνολογική» επανάσταση, η ραγδαία εξέλιξη της τεχνολογίας και η ευρύτατη πλέον χρήση των ηλεκτρονικών συστημάτων και δικτύων από την πλειονότητα των επιχειρήσεων, παγκοσμίως, έχει δημιουργήσει έναν τεράστιο όγκο άυλων δεδομένων, αρχείων και πληροφόρησης, από τα οποία εξαρτάται άμεσα η εύρυθμη και αποτελεσματική λειτουργία όλου του επιχειρηματικού κόσμου. Η ανάπτυξη των μαζικών δεδομένων (big data) και της υπερπληροφόρησης που διαχέεται μέσα από το "Internet of
Things" και η δημιουργία ενός παγκοσμιοποιημένου ψηφιακού κόσμου μεταλλάσσουν συνεχώς τις δομές και τον τρόπο λειτουργίας των επιχειρήσεων, διογκώνοντας, παράλληλα, τις προκλήσεις για την αντιμετώπιση των κινδύνων που εγκυμονούν. Οι βασικοί κίνδυνοι που προκαλούνται για τις επιχειρήσεις αφορούν κυρίως στους παρακάτω τομείς: • Απώλεια εταιρικών δεδομένων (επιχειρηματικά μυστικά, πνευματικά δικαιώματα, αρχεία πελατών). • Απώλεια προσωπικών δεδομένων των πελατών τους (οικονομικά και προσωπικά στοιχεία πελατών, στοιχεία τραπεζικών λογαριασμών και πιστωτικών καρτών). • Παραβίαση/κλοπή (χακάρισμα) συστημάτων-Επίθεση άρνησης υπηρεσιών (Distributed Denial of Service-Ddos), που οδηγεί στην αδυναμία συνέχισης της λειτουργίας μιας επιχείρησης και, κατά συνέπεια, σε οικονομικές απώλειες και, ενδεχομένως, σε φθορά της εταιρικής φήμης. Οι ασφαλιστικές εταιρείες, σε παγκόσμιο επίπεδο, αντιλαμβανόμενες την ανάγκη παροχής υπηρεσιών ασφάλισης για την κάλυψη κινδύνων που απορρέουν από τη χρήση της τεχνολογίας, δημιούργησαν και προσέφεραν εγκαίρως στην αγορά εξειδικευμένα προγράμματα Cyber Risk Insurance.
Αντίθετα, όμως, η ανάπτυξη της αντίστοιχης ασφαλιστικής συνείδησης στον επιχειρηματικό κόσμο απέναντι στη νέα αυτή απειλή δεν ακολούθησε τους ίδιους ρυθμούς. Το αποτέλεσμα της χρονικής αυτής υστέρησης ήταν να αφήσει τις επιχειρήσεις εκτεθειμένες και ευάλωτες σε κυβερνοεπιθέσεις παγκόσμιας εμβέλειας, όπως η επίθεση "Wannacry" στις αρχές του 2017 και η πολύ πρόσφατη νέα επίθεση "Golden Eye" που λαμβάνει χώρα αυτές τις ημέρες. Ο επαγγελματίας μεσίτης ασφαλίσεων καλείται, για άλλη μια φορά, να λειτουργήσει πρωτίστως ως σύμβουλος του επιχειρηματία-πελάτη του. Οι επιχειρήσεις έχουν ανάγκη πρώτον να ενημερωθούν, να αντιληφθούν και να αξιολογήσουν την έκθεσή τους σε κινδύνους που προκύπτουν από την ευρύτατη χρήση της τεχνολογίας και την "εξάρτηση" που αυτή δημιουργεί, δεύτερον να λάβουν τα απαραίτητα μέτρα προστασίας για τον περιορισμό της έκθεσής τους σε αυτούς και, τέλος, να γνωρίσουν τις εναλλακτικές λύσεις που προσφέρονται στην ασφαλιστική αγορά, ώστε, αγοράζοντας το κατάλληλο ασφαλιστικό πρόγραμμα Cyber Risk Insurance, να καλύψουν αποτελεσματικά τη νέα αυτή ασφαλιστική ανάγκη που έχει ανακύψει μέσα από τη συνεχή ανάπτυξη της χρήσης της τεχνολογίας στο επιχειρηματικό γίγνεσθαι. Καλή ανάγνωση
BROKER'S TIME | 5
ΑΠΟΨΗ
CYBER RISK: ΕΝΑΣ ΚΙΝΔΥΝΟΣ ΓΕΜΑΤΟΣ ΠΡΟΚΛΗΣΕΙΣ της ΜΑΡΓΑΡΙΤΑΣ ΑΝΤΩΝΑΚΗ*
ΖΟΥΜΕ ΣΕ ΜΙΑ ΕΠΟΧΗ ΠΟΥ ΧΑΡΑΚΤΗΡΙΖΕΤΑΙ ΩΣ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ. ΤΙ ΣΗΜΑΙΝΕΙ ΑΥΤΟ; ΟΤΙ Η ΠΛΗΡΟΦΟΡΙΑ ΕΧΕΙ ΑΝΑΔΕΙΧΘΕΙ ΣΕ ΕΝΑ ΑΠΟ ΤΑ ΠΟΛΥΤΙΜΟΤΕΡΑ ΚΟΙΝΩΝΙΚΑ ΚΑΙ ΟΙΚΟΝΟΜΙΚΑ ΑΓΑΘΑ.
Η
| π αραγωγή, η διαχείριση και η διανομή της πληροφορίας αποτελούν σημαντικές οικονομικές και πολιτιστικές ανθρώπινες δραστηριότητες.
Σήμερα, όλοι εμείς έχουμε άμεση και εύκολη πρόσβαση σε πληροφορίες που δεν είχαμε στο παρελθόν, δηλαδή στην εποχή πριν τη διάδοση του Διαδικτύου. Οι πληροφορίες οδηγούν στη γνώση και, ως γνωστόν, η γνώση είναι δύναμη. Όμως, ο κόσμος των πληροφοριών δεν είναι ένας κόσμος χωρίς κινδύνους. Οι επιχειρήσεις συγκεντρώνουν, διατηρούν αρχεία και διακινούν πληροφορίες που μπορεί να περιλαμβάνουν ευαίσθητα προσωπικά δεδομένα, απόρρητες ή και άλλης φύσεως πληροφορίες, που αν χαθούν ή διαρρεύσουν, είτε από αμέλεια της ίδιας της εταιρείας είτε από κάποια επίθεση, η επιχείρηση θα αντιμετωπίσει μια σειρά από σοβαρότατα προβλήματα. Για παράδειγμα, μπορεί να δημιουργηθεί δυσκολία ή και διακοπή στη συνέχεια της λειτουργίας της εταιρείας, ζητήματα διαχείρισης της κρίσης και της φήμης της επιχείρησης και της διοίκησής της, αξι-
ώσεις αποζημιώσεων από τα άτομα που υπέστησαν βλάβη από την απώλεια των δεδομένων και πολλά άλλα. Φανταστείτε τι επιπτώσεις θα είχε μια επίθεση στα πληροφοριακά συστήματα ενός αεροδρομίου, νοσοκομείου κ.ά. Ως αποτέλεσμα, οι επιχειρήσεις άρχισαν σταδιακά να συνειδητοποιούν πως πρέπει να προστατευθούν από τον κίνδυνο της απώλειας δεδομένων, το λεγόμενο cyber risk. Και η προστασία έχει δύο όψεις: από τη μία πλευρά την πρόληψη, ώστε να μειωθούν όσο το δυνατόν περισσότερο οι πιθανότητες ο κίνδυνος να χτυπήσει την πόρτα της επιχείρησης. Αυτό σημαίνει τη χρήση ειδικών λογισμικών ασφαλείας και προστασίας των δεδομένων και των συστημάτων της επιχείρησης, εφαρμογή πρωτοκόλλων και διαδικασιών κ.ά. Η άλλη όψη είναι η αντιμετώπιση των επιπτώσεων, εφόσον η απειλή γίνει πραγματικότητα. Και εδώ ακριβώς έρχεται η ασφάλιση, ο ρόλος της οποίας είναι ακριβώς η αντιμετώπιση των οικονομικών επιπτώσεων ενός κινδύνου. Η κάλυψη του cyber risk είναι μια ασφάλιση που γνωρίζει μεγάλη άνθηση στην Αμερική, αλλά αποτελεί μια σχετικά νέα μορφή κάλυψης για την Ευρώπη, και ιδιαίτερα για την Ελλάδα, και αυτήν τη στιγμή προσφέρεται από μικρό αριθμό ασφαλιστικών εταιρειών. Όμως, λόγω του ιδιαίτερα αυξανόμενου
* Γενικής Διευθύντριας της Ένωσης Ασφαλιστικών Εταιριών Ελλάδος BROKER'S TIME | 6
ενδιαφέροντος για την ασφάλιση αυτή από τις επιχειρήσεις, η ασφάλιση του cyber risk αρχίζει να απασχολεί ολοένα και περισσότερο την αγορά μας, από την άποψη τόσο της προοπτικής ανάπτυξης όσο και των προκλήσεων και των ειδικών θεμάτων που αναδεικνύονται, όπως είναι ζητήματα προστασίας προσωπικών δεδομένων, underwriting, risk management κ.ά. Για αυτόν ακριβώς τον λόγο, αποφασίσαμε στη φετινή συνάντηση της Ύδρας, που θα πραγματοποιηθεί από 20 έως 22 Σεπτεμβρίου 2017, να αφιερώσουμε τη μία από τις δύο συνεδριακές ενότητες αποκλειστικά στο cyber risk. Έχοντας διασφαλίσει τη συμμετοχή διακεκριμένων και έμπειρων πάνω στο θέμα ξένων ομιλητών, ευελπιστούμε να συμβάλουμε στην ενίσχυση της ενημέρωσης των συμμετεχόντων πάνω στο πολύ ενδιαφέρον αυτό θέμα.
ΑΡΘΡΟ
ΠΩΣ ΕΞΑΣΦΑΛΙΖΕΤΑΙ Η ΑΣΦΑΛΙΣΙΜΟΤΗΤΑ ΤΩΝ ΕΤΑΙΡΕΙΩΝ ΕΝΑΝΤΙ ΚΥΒΕΡΝΟΕΠΙΘΕΣΕΩΝ του ΝΙΚΟΥ ΓΕΩΡΓΟΠΟΥΛΟΥ*
Η ΕΝΤΑΞΗ ΣΤΟ ΔΥΝΑΜΙΚΟ ΜΙΑΣ ΕΠΙΧΕΙΡΗΣΗΣ ΤΟΥ DATA PROTECTION OFFICER ΚΑΙ Η ΕΦΑΡΜΟΓΗ ΤΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΔΗΜΙΟΥΡΓΟΥΝ ΕΝΑ ΠΡΩΤΟ ΔΙΧΤΥ ΠΡΟΣΤΑΣΙΑΣ ΚΑΘΕ ΕΤΑΙΡΕΙΑΣ ΣΕ ΠΕΡΙΣΤΑΤΙΚΑ ΠΑΡΑΒΊΑΣΗΣ ΣΥΣΤΗΜΑΤΩΝ ΚΑΙ ΑΠΩΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ. Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) Το νέο περιβάλλον στο οποίο καλούνται να δραστηριοποιηθούν οι επιχειρήσεις απαιτεί τη συμμόρφωσή τους με τον νέο Γενικό Κανονισμό για την Προστασία των Προσωπικών Δεδομένων (GDPR), ο οποίος απαιτεί από τις εταιρείες: να έχουν εκπαιδεύσει κατάλληλα το • ανθρώπινο δυναμικό τους, • να έχουν τα κατάλληλα μέτρα ασφαλείας και τις αναγκαίες πολιτικές για την προστασία των πληροφοριών, να κάνουν αναλύσεις των επιπτώσε• ων που μπορούν να προκύψουν λόγω παραβίασης ιδιωτικότητας, • να σχεδιάζουν προϊόντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας, • να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων, • να έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer), • να έχουν πλάνο αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων (Incident Response Plan), Επίσης, ο νέος κανονισμός προβλέπει πρόστιμα τα οποία μπορούν να φθάσουν έως το 4% του τζίρου της επιχείρησης ή 20 εκατ. ευρώ -όποιο από τα δύο είναι μεγαλύτερο. BROKER'S TIME | 8
Ο νέος κανονισμός θα αναγκάσει τις εταιρείες να συμμορφωθούν στα νέα δεδομένα και να προετοιμαστούν κατάλληλα επιλέγοντας προϊόντα και υπηρεσίες προστασίας των πληροφοριών που διαχειρίζονται, που θα τις βοηθήσουν να αντιμετωπίσουν αποτελεσματικά μελλοντικά περιστατικά, δημιουργώντας τις κατάλληλες συνθήκες που θα εξασφαλίσουν την ασφαλισιμότητα των εταιρειών και την ανάπτυξη της αγοράς του cyber insurance.
O ρόλος του Data Protection Officer Ο Data Protection Officer αναλαμβάνει: • να εκπροσωπήσει την επιχείρηση έναντι των αρχών, εθνικών και ευρωπαϊκών, • να διασφαλίσει την εναρμόνιση της λειτουργίας της επιχείρησης σε ό,τι αφορά τις πολιτικές πρακτικές και τη μεθοδολογία επεξεργασίας, αποθήκευσης και μεταφοράς δεδομένων προσωπικού χαρακτήρα με το νέο αυστηρό νομοθετικό πλαίσιο, αλλά και να δημιουργήσει την κατάλληλη κουλτούρα στο ανθρώπινο δυναμικό της εταιρείας, • να προστατέψει την επιχείρηση από τους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμων που προβλέπει ο κανονισμός, τα οποία εκκινούν από 10 εκατ. ευρώ ή το 2% του παγκόσμιου τζίρου, αν πρόκειται για διεθνή όμιλο, και φτάνουν σε περίπτωση παρά-
βασης βασικών διατάξεων του κανονισμού σε 20 εκατ. ευρώ ή στο 4% του παγκόσμιου τζίρου. Ο Data Protection Officer θα πρέπει να έχει τις κατάλληλες γνώσεις και δεξιότητες για να ανταποκριθεί στον ρόλο του, με αποδεδειγμένη (πιστοποιημένη από ανεξάρτητο φορέα) γνώση και εμπειρία στη νομοθεσία και πρακτική εφαρμογή των διαδικασιών διαχείρισης προσωπικών δεδομένων. Επίσης, θα πρέπει να διαθέτει εχέγγυα ανεξαρτησίας και να αναφέρεται απευθείας στον CEO ή σε μέλος του ΔΣ της εταιρείας.
Η ασφάλιση cyber insurance Η ασφάλιση cyber insurance αποτελεί ένα κρίσιμο κομμάτι της στρατηγικής για τη διαχείριση των κινδύνων, που πρέπει να χρησιμοποιεί κάθε εταιρεία για να αντιμετωπίσει τον υπολειπόμενο κίνδυνο (residual risk), που δεν μπορεί να μειώσει με τη χρήση διαδικασιών και πολιτικών διαχείρισης. Λαμβάνοντας υπόψη ότι 100% ασφάλεια δεν υπάρχει, οι εταιρείες θα πρέπει να εξετάσουν τη δυνατότητα μεταφοράς του κινδύνου που απομένει, και δεν μπορούν να μειώσουν περαιτέρω, σε προϊόντα cyber insurance. Ενώ η ασφάλιση δεν έχει τη δυνατότητα να εμποδίσει ένα περιστατικό παραβίασης ασφάλειας, μπορεί, εκτός από την κάλυψη των οικονομικών επιπτώσεων, να βοηθήσει στην καλύτερη υλοποίηση
ΑΡΘΡΟ του πλάνου αντιμετώπισης περιστατικών (Incident Response Plan) παραβίασης συστημάτων και απώλειας προσωπικών δεδομένων, παρέχοντας εξειδικευμένες ομάδες ειδικών με εμπειρία στη διαχείριση, καθώς και τις απαραίτητες υποδομές. Ας δούμε ένα παράδειγμα λειτουργίας ενός ασφαλιστηρίου συμβολαίου σε περίπτωση ενός περιστατικού Ransomware. Το Ransomware είναι κακόβουλο λογισμικό που «κλειδώνει» τις λειτουργίες υπολογιστών και συστημάτων, ενώ, παράλληλα, μπορεί να κρυπτογραφήσει δεδομένα και αρχεία, ζητώντας «λύτρα» σε κάποιο κρυπτονόμισμα (π.χ. Bitcoins), για να ανακτηθεί ο έλεγχος του υπολογιστή ή των συστημάτων και να χρησιμοποιηθούν ξανά τα μολυσμένα αρχεία.
Παράδειγμα Ένας εργαζόμενος σε μια μεσιτική εταιρεία ασφαλειών στο Ηνωμένο Βασίλειο έκανε κλικ σε ένα μολυσμένο link που περιείχε ένα email που έλαβε, και ένα malware κατέβηκε στον εταιρικό server. To malware κρυπτογράφησε όλα τα αρχεία που περιείχε ο server. Ένα μήνυμα εμφανίστηκε στον υπολογιστή του εργαζομένου ζητώντας την πληρωμή 7 Bitcoin (10.900 ευρώ) στις επόμενες 24 ώρες, για να παραλάβει το κλειδί αποκρυπτογράφησης των αρχείων. Το συμβάν αυτό αποτελεί ένα Περιστατικό Παραβίασης Ασφάλειας Εταιρικού Δικτύου.
Πιθανές οικονομικές επιπτώσεις - Καλύψεις ασφαλιστηρίου που ενεργοποιούνται Cyber Extortion-Κυβερνοεκβιασμός Κόστη τα οποία σχετίζονται με την αντιμετώπιση του κακόβουλου λογισμικού και την επαναφορά των αρχείων σε περίπτωση μη καταβολής του ποσού των λύτρων: • Αμοιβή συμβούλου πληροφορικής, ο οποίος θα διερευνήσει τη δυνατότητα επαναφοράς των μολυσμένων από το κακόβουλο λογισμικό αρχείων από το back up που διατηρεί ο ασφαλισμένος. 5.000 ευρώ Incident Response Expenses-Έξοδα Ανταπόκρισης Περιστατικού Παραβίασης • Αμοιβές ειδικών διερεύνησης εγκλημάτων που σχετίζονται με την παραβίαση πληροφοριακών συστημάτων (Forensic Investigators), για τον εντοπισμό του κακόβουλου λογισμικού, την ανάλυση των επιπτώσεων του συμβάντος, τον περιορισμό τους και την εκτίμηση του κόστους του συμβάντος. 21.000 ευρώ • Αμοιβή εξειδικευμένου νομικού συμβούλου 8.500 ευρώ • Αμοιβή Incident Response Manager
Η εταιρεία επικοινώνησε με την ασφαλιστική της, για να την ενημερώσει για το συμβάν και να ζητήσει βοήθεια για τη διαχείρισή του. Ο Incident Response Manager της ασφαλιστικής εταιρείας που ανέλαβε τη διαχείριση του συμβάντος επικοινώνησε με τους ειδικούς διερεύνησης περιστατικών παραβίασης συστημάτων (Forensic Investigators) της ασφαλιστικής εταιρείας, για να διερευνήσουν τις συνθήκες του περιστατικού και να γνωμοδοτήσουν για το αν η εταιρεία μπορεί να αποφύγει την πληρωμή λύτρων.
BROKER'S TIME | 10
7.200 ευρώ Data Asset Loss Κόστη επαναφοράς/αντικατάστασης κατεστραμμένων αρχείων από το κακόβουλο λογισμικό. 18.000 ευρώ
Πρέπει να ενημερώνεται η Αρχή Προστασίας Προσωπικών Δεδομένων για αυτά τα συμβάντα; Σε περίπτωση περιστατικών κυβερνοεκβιασμού, πρέπει να ενημερώνονται οι αρμόδιες αρχές, σύμφωνα με τον νέο Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR), γιατί το περιστατικό αυτό αφορά παραβίαση ασφάλειας του εταιρικού δικτύου και δείχνει ότι η εταιρεία δεν είχε λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα. Τι πρέπει να θυμόμαστε: Αν και το κόστος της πληρωμής λύτρων σε Bitcoin είναι μικρότερο από το κόστος που θα πληρώσει η ασφαλιστική εταιρεία σύμφωνα με τους όρους του ασφαλιστηρίου, οι αστυνομικές αρχές (FBI, Europol) συνιστούν να μην πληρώνονται τα λύτρα σε περιπτώσεις κυβερνοεκβιασμού. Η καταβολή των λύτρων αυξάνει την εγκληματικότητα και δείχνει την ανεπάρκεια διαδικασιών και πολιτικών της εταιρείας και τη μη ύπαρξη back up. Επίσης, δεν διασφαλίζει ότι μπορεί να γίνει η επαναφορά των αρχείων που έχουν κρυπτογραφηθεί, ούτε ότι η εταιρεία δεν θα ξαναγίνει στόχος σε σύντομο χρονικό διάστημα. Τα αντίγραφα των δεδομένων θα πρέπει να φυλάσσονται σε ασφαλές μέρος. Η ασφαλιστική εταιρεία, αν χρειαστεί, θα πληρώσει το ποσό των λύτρων σε Bitcoin, θα είναι όμως η τελευταία επιλογή για την επίλυση του προβλήματος. Το παραπάνω παράδειγμα αφορά εταιρεία που δραστηριοποιείται στο Ηνωμένο Βασίλειο, όμως τέτοια παραδείγματα συμβαίνουν καθημερινά και στην Ελλάδα, σε διάφορες επαγγελματικές ομάδες. Αν θέλετε να μάθετε περισσότερα για τον Γενικό Κανονισμό και την ασφάλιση cyber insurance, χρησιμοποιήστε τη βραβευμένη από την αγορά των Lloyd's εκπαιδευτική μηχανή www.cyberinsurancequote.gr.
Συνολικό Κόστος Διαχείρισης Συμβάντος 59.700 ευρώ
* Cyber Privacy Risks Insurance Advisor, Cromar Coverholder at Lloyd's, www.cyberinsurancequote.gr
“To μέλλον ανήκει σε αυτούς που το προετοιμάζουν” H ευθύνη να κατανοείς βαθύτερες ανάγκες, να
κερδίζεις την εμπιστοσύνη, να ενώνεις με τη δύναμή σου τους πολλούς, να προτάσσεις τη δύναμη της συνεργασίας, να δημιουργείς αξία, να
γίνεσαι αυτός που πρέπει να κάνει πρώτος το βήμα
εμπρός. Εμείς στην ERGO, τον κορυφαίο Ασφαλιστικό Όμιλο Ζημιών στην Ελλάδα, οραματιζόμαστε και σχεδιάζουμε την επόμενη ημέρα μας, με τις καλύτερες προοπτικές για τους ανθρώπους μας.
ΑΡΘΡΟ
ΔΙΑΔΙΚΤΥΑΚΟΙ ΚΙΝΔΥΝΟΙ ΣΥΣΤΗΜΙΚΟ ΡΙΣΚΟ ΓΙΑ ΤΙΣ ΕΠΙΧΕΙΡΗΣΕΙΣ;
Ο ΑΠΟΗΧΟΣ ΤΗΣ ΕΠΙΘΕΣΗΣ ''WANNACRY'' ΔΕΝ ΕΧΕΙ ΚΟΠΑΣΕΙ ΑΚΟΜΗ: ΥΠΟΛΟΓΙΖΕΤΑΙ ΟΤΙ ΠΕΡΙΣΣΟΤΕΡΟΙ ΑΠΟ 250.000 ΥΠΟΛΟΓΙΣΤΕΣ ΣΕ ΠΕΡΙΣΣΟΤΕΡΕΣ ΑΠΟ 150 ΧΩΡΕΣ ΕΠΕΣΑΝ ΘΥΜΑΤΑ ΤΗΣ ΕΠΙΘΕΣΗΣ. ΜΕΤΑΞΥ ΑΥΤΩΝ ΗΤΑΝ ΤΟ ΕΘΝΙΚΟ ΣΥΣΤΗΜΑ ΥΓΕΙΑΣ ΤΗΣ Μ. ΒΡΕΤΑΝΙΑΣ, Η DEUTSCHE BAHN, Η FEDEX ΑΛΛΑ ΚΑΙ ΜΙΑ ΠΛΗΘΩΡΑ ΑΛΛΩΝ ΔΗΜΟΣΙΩΝ ΚΑΙ ΙΔΙΩΤΙΚΩΝ ΕΠΙΧΕΙΡΗΣΕΩΝ ΚΑΘΕ ΜΕΓΕΘΟΥΣ.
Τ
ο εύρος της επίθεσης κάνει ακόμη πιο επίκαιρη τη συζήτηση για το αν οι διαδικτυακοί κίνδυνοι πρέπει να αντιμετωπίζονται ως συστημικοί -αν επηρεάζουν ταυτόχρονα πολλές επιχειρήσεις, σε διαφορετικά γεωγραφικά μήκη και πλάτη. Μέχρι πρότινος, υπήρχε η γενική, αλλά όχι στοιχειοθετημένη, αντίληψη ότι οι κίνδυνοι αυτοί μπορεί να εξελιχθούν σε συστημικούς, κάτι που δικαιολογείται από τον όγκο και τη φύση των δεδομένων αλλά και από τη διασύνδεση των συστημάτων των εταιρειών. Από την άλλη πλευρά, η ανάλυση των δεδομένων των αποζημιώσεων που είχαν στα χέρια τους οι ασφαλιστικές εταιρείες συχνά υποδείκνυε το αντίθετο, πως τα περιστατικά δηλαδή είναι μεμονωμένα, επηρεάζοντας μόνο την εταιρεία που θα πέσει θύμα μιας επίθεσης. Απάντηση σε αυτό προσπάθησε να δώσει η AIG με την έρευνα που διεξήγαγε μεταξύ συμβούλων διαχείρισης κινδύνων και ειδικών σε θέματα ηλεκτρονικής και διαδικτυακής ασφάλειας στη Μεγάλη Βρετανία, τις ΗΠΑ και την η-
BROKER'S TIME | 12
πειρωτική Ευρώπη. Τα αποτελέσματα έδειξαν πως, σχεδόν ομόφωνα, οι ερωτηθέντες θεωρούν τις ηλεκτρονικές και διαδικτυακές απειλές συστημικές, με το ποσοστό των θετικών απαντήσεων να ξεπερνά το 90%. Το δεύτερο βασικό ερώτημα της έρευνας αφορούσε την πιθανότητα εμφάνισης αλλά και το μέγεθος μιας επίθεσης. Σε αυτό, η έρευνα έδειξε πως οι επιθέσεις που επηρεάζουν πέντε έως δέκα επιχειρήσεις είναι και οι πιο πιθανές να συμβούν, χωρίς αυτό ωστόσο να αποκλείει το ενδεχόμενο εμφάνισης μεγάλων σε κλίμακα επιθέσεων, όπως άλλωστε έγινε και πρόσφατα. Το τρίτο καίριο ερώτημα αφορά στη φύση των επιχειρήσεων-στόχων. Το 85% των ερωτηθέντων πιστεύουν πως ορισμένοι κλάδοι είναι πιο ευπαθείς σε σχέση με άλλους, με την πεντάδα να αποτελείται από εταιρείες που δραστηριοποιούνται σε χρηματοοικονομικές επιχειρήσεις, στην ενέργεια, τις τηλεπικοινωνίες, την υγεία και την τεχνολογία, και να ακολουθούν το εμπόριο, οι μεταφορές, ο τουρισμός, οι κατασκευές και η εκπαίδευση. Ποια φαίνεται να είναι λοιπόν η μεγαλύτερη απειλή σύμφωνα με την έρευνα; Η
επίθεση άρνησης υπηρεσιών (Distributed Denial of Service-DdoS) σε μεγάλο πάροχο υπηρεσιών cloud είναι στην πρώτη θέση των περιστατικών που μπορεί να συμβούν, λαμβάνοντας μεγάλες διαστάσεις, με την κλοπή δεδομένων να ακολουθεί. Το ερώτημα βέβαια είναι πώς αξιοποιούνται τα στοιχεία αυτά, δεδομένης μάλιστα της νέας διάστασης που προσθέτουν επιθέσεις όπως η WannaCry. Φαίνεται ήρθε η ώρα ο κίνδυνος των διαδικτυακών και ηλεκτρονικών επιθέσεων να ανεβεί πιο υψηλά στις προτεραιότητές μας. Οι δημόσιοι και ιδιωτικοί οργανισμοί, αλλά και οι επαγγελματίες, πρέπει να αρχίσουν να εξετάζουν με μεγαλύτερη ακρίβεια την έκθεσή τους σε αυτούς τους κινδύνους, την επιλογή των συνεργατών και προμηθευτών τους, τη συνεχή εκπαίδευση του προσωπικού τους αλλά και την ασφαλιστική κάλυψή τους για αυτήν την κατηγορία κινδύνων. Γιατί το μόνο σίγουρο είναι πως στους επόμενους μήνες και τα ερχόμενα χρόνια οι επιθέσεις θα γίνονται ολοένα και πιο συχνές, αλλά και πιο σύνθετες. Μένει λοιπόν να δούμε αν τα μέτρα που λαμβάνουμε είναι επαρκή για τη θωράκισή μας.
ΑΡΘΡΟ
ΠΟΙΑ ΕΙΝΑΙ ΤΑ «ΚΛΕΙΔΙΑ» ΓΙΑ ΤΗΝ ΕΦΑΡΜΟΓΗ ΤΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΠΕΡΙ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ του ΧΡΗΣΤΟΥ ΒΙΔΑΚΗ*
Ο ΚΥΒΕΡΝΟΧΩΡΟΣ ΑΠΟΤΕΛΕΙ ΔΙΑΧΡΟΝΙΚΑ ΣΗΜΑΝΤΙΚΟ ΠΕΔΙΟ ΚΙΝΔΥΝΟΥ ΓΙΑ ΤΗΝ ΑΣΦΑΛΕΙΑ ΤΩΝ ΟΡΓΑΝΙΣΜΩΝ
Α
υτό που θα διαφοροποιηθεί στο προσεχές μέλλον είναι: α) ο βαθμός της ψηφιακής έκθεσης των οργανισμών στον κυβερνοχώρο, με συνέπεια την αύξηση του πεδίου δράσης των επιτιθέμενων, και β) οι δράσεις ασφάλειας θα επηρεάζονται σε μεγάλο βαθμό από τις κανονιστικές απαιτήσεις για την ασφάλεια των πληροφοριών. Οι απαιτήσεις είναι σε μεγάλο βαθμό γνωστές στην κοινότητα της τεχνολογίας και της κυβερνοασφάλειας, αυτό όμως που θα συμβάλει δραστικά στην εφαρμογή τους είναι τα επαπειλούμενα υψηλά διοικητικά πρόστιμα. Η πλειοψηφία των οργανισμών δεν κατανοούν πλήρως το προφίλ κινδύνου τους και δεν είναι σε θέση να εφαρμόσουν ολιστικά και αποτελεσματικά οργανωτικά και τεχνολογικά μέτρα ασφάλειας. Επιπροσθέτως, η στρατηγική ασφάλειας πληροφοριών και οι επιμέρους δράσεις της περιορίζονται στην τεχνολογική διάσταση για την αντιμετώπιση μεμονωμένων περιστατικών ασφάλειας και δεν αποβλέπουν στη συνολική αντιμετώπιση των ζητημάτων ασφάλειας πληροφοριών. O Γενικός Κανονισμός (EE) 2016/679 για την προστασία των δεδομένων (εφεξής «Κανονισμός»), αυξάνει ουσιωδώς τις υποχρεώσεις συμμόρφωσης για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των
BROKER'S TIME | 14
δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Τα νέα ζητήματα που επιτακτικά θέτει ο Κανονισμός, περιλαμβανομένων και των υψηλών προστίμων, έχουν δημιουργήσει έντονους προβληματισμούς σε επιχειρήσεις και οργανισμούς. Το πανευρωπαϊκό δίκτυο διασφάλι-
σης της ιδιωτικότητας των δεδομένων ''Data Protection PowerHouse'' της Deloitte, αξιοποιώντας τη συσσωρευμένη και εις βάθος εμπειρία του σε έργα προετοιμασίας και συμμόρφωσης με τον Κανονισμό, έχει αναγνωρίσει τις παρακάτω υποχρεώσεις του Κανονισμού, που, κατά κανόνα, θα επιφέρουν σημαντικές αλλαγές στο πλαίσιο διακυ-
ΑΡΘΡΟ βέρνησης, καθώς και στα οργανωτικά και τεχνολογικά μέτρα ασφάλειας των οργανισμών: 1) Κανονιστική συμμόρφωση και νομικές υποχρεώσεις: Στο πεδίο αυτό εντάσσονται: α) η λογοδοσία, που έχει την έννοια ότι οι επιχειρήσεις και οι οργανισμοί θα πρέπει να είναι σε θέση να τεκμηριώνουν το επίπεδο συμμόρφωσής τους, β) ο -υπό προϋποθέσεις- υποχρεωτικός ορισμός υπεύθυνου προστασίας δεδομένων, ο οποίος, με βάση τις ειδικές γνώσεις και την εμπειρία του στο δίκαιο και στις πρακτικές προστασίας των προσωπικών δεδομένων, παρέχει συνδρομή στον υπεύθυνο επεξεργασίας ή τον εκτελούντα κατά την παρακολούθηση της εσωτερικής συμμόρφωσής του προς τις διατάξεις του Κανονισμού, και γ) η αναθεώρηση των γνωστοποιήσεων και των συγκαταθέσεων. 2) Τεχνολογία: Στο πεδίο αυτό εντάσσονται: α) η προστασία προσωπικών δεδομένων από τον σχεδιασμό -η τεχνολογία θα πρέπει να σχεδιάζεται εξ αρχής, κατά τέτοιο τρόπο ώστε να πληροί τις απαιτήσεις του Κανονισμού, β) η προστασία προσωπικών δεδομένων εξ ορισμού, που έχει την έννοια ότι θα πρέπει εξ ορισμού να υιοθετούνται κατάλληλοι μηχανισμοί για να διασφαλίζεται ότι μόνο τα δεδομένα που απαιτούνται για συγκεκριμένους σκοπούς θα συλλέγονται και θα χρησιμοποιούνται, καθώς και ότι τα δεδομένα θα αποθηκεύονται μόνο για το χρονικό διάστημα που απαιτείται για την ικανοποίηση του σκοπού τους, και γ) η εφαρμογή προγράμματος για την έγκαιρη διαχείριση των περιστατικών διαρροής δεδομένων. 3) «Διακυβέρνηση Δεδομένων»: Στο πεδίο αυτό εντάσσονται: α) η χαρτογράφηση του περιβάλλοντος επεξεργασίας προσωπικών δεδομένων με σκοπό την καταγραφή του αρχείου δραστηριοτήτων και β) η υλοποίηση ειδικών τεχνολογικών μέτρων, προκειμένου να διασφαλιστεί η άσκηση των δικαιωμάτων των υπο-
κείμενων των δεδομένων, όπως τα δικαιώματα διαγραφής, φορητότητας, πρόσβασης και διαφάνειας. Το πλαίσιο προστασίας δεδομένων της Deloitte υιοθετεί την εκτέλεση των παρακάτω διακριτών δράσεων για την εφαρμογή του Κανονισμού:
την ενίσχυση της ασφάλειας των δεδομένων. 9. Ανάπτυξη διαρκούς ελεγκτικού προγράμματος, με σκοπό τη συνεχή αξιολόγηση του επιπέδου συμμόρφωσης με τις απαιτήσεις του Κανονισμού.
1. Α νάπτυξη σχεδίου σε σχέση με τη στελέχωση και τις αρμοδιότητες του υπευθύνου προστασίας δεδομένων, εφόσον απαιτείται. 2. Ανάπτυξη προγράμματος ενημέρωσης των στελεχών του οργανισμού για την ασφαλή συλλογή, χρήση, επεξεργασία, αποθήκευση και καταστροφή των προσωπικών δεδομένων. 3. Χαρτογράφηση του περιβάλλοντος επεξεργασίας προσωπικών δεδομέ-
Από τα παραπάνω προκύπτει εμφανώς ότι η συμμόρφωση με τις απαιτήσεις του Κανονισμού δεν είναι αποκλειστικά ζήτημα κανονιστικής συμμόρφωσης. Αντιθέτως, οι απαιτήσεις που αφορούν τη διαχείριση των δεδομένων μπορεί να επηρεάσουν, από τη φύση τους, το σύνολο του προγράμματος διακυβέρνησης των δεδομένων μιας επιχείρησης ή ενός οργανισμού. Για αυτόν τον λόγο, επιχειρήσεις και οργανισμοί θα πρέπει να εφαρμόσουν ένα εταιρικό πλαίσιο προστασίας δεδομένων υιοθετώντας ολιστική προσέγγιση, συνενώνοντας όλα τα επιμέρους συστατικά του οργανισμού, που συμπράττουν στον καθορισμό του σκοπού και των μέσων επεξεργασίας προσωπικών δεδομένων, στον σχεδιασμό, στην υλοποίηση, στην παρακολούθηση και στον έλεγχο των οργανωτικών και τεχνολογικών μέτρων.
νων και καταγραφή των καταλόγων δραστηριοτήτων και πόρων επεξεργασίας, σύμφωνα με το άρθρο 30 του Κανονισμού. 4. Εκτέλεση μελέτης αποκλίσεων και κατάρτισης σχεδίων δράσεων για την αντιμετώπιση των πιθανών αποκλίσεων. 5. Εκτέλεση μελέτης επιπτώσεων για τις υψηλού κινδύνου περιοχές επεξεργασίας δεδομένων, σύμφωνα με το άρθρο 35 του Κανονισμού. 6. Ανάπτυξη διαδικασιών για την έγκαιρη ικανοποίηση των δικαιωμάτων των φυσικών προσώπων. 7. Ανάπτυξη διαδικασίας για την έγκαιρη διαχείριση των περιστατικών διαρροής δεδομένων. 8. Υλοποίηση τεχνολογικών λύσεων (privacy enhancing technologies) για
Ο Κανονισμός παρουσιάζει μια σημαντική ευκαιρία ανάπτυξης για τους οργανισμούς, καθώς απαιτεί την υλοποίηση στρατηγικής και ολιστικής προσέγγισης αναφορικά με τα δεδομένα των πελατών. Οι οργανισμοί, ως εκ τούτου, μπορούν να αξιοποιήσουν τον Κανονισμό για να αποκτήσουν ανταγωνιστικό πλεονέκτημα στη διαχείριση προσωπικών δεδομένων, και να χρησιμοποιήσουν τις πρακτικές προστασίας της ασφάλειας των πληροφοριών, ως μοναδικό σημείο υπεροχής. Ειδικότερα, για τους ασφαλιστικούς οργανισμούς, ο Κανονισμός θα συμβάλει στην περαιτέρω διείσδυση των προϊόντων κυβερνοασφάλισης και μπορεί να αξιοποιηθεί ως σημείο αναφοράς κατά τη διαδικασία ανάληψης κινδύνου και της αξιολόγησης του επιπέδου ωρίμανσης του πλαισίου διακυβέρνησης ασφάλειας των πελατών τους.
*Principal, Risk Advisory, Deloitte Certified Public Accountants SA BROKER'S TIME | 16
σίγουρα, γρήγορα ... απλά!
Η Interasco εξ-ασφάλιση...εγγυάται. ...γιατί είμαστε στον ασφαλιστικό χώρο από το 1890. ...γιατί πάνω από 125 χρόνια εξ-ασφαλίζουμε με συνέπεια, εντιμότητα και σιγουριά χιλιάδες πελάτες μας. ...γιατί σήμερα σαν μέλος του ομίλου Harel που έχει 3 εκ. πελάτες, 2,3€ δις κύκλο εργασιών, 1€ δις ίδια κεφάλαια και 38€ δις επενδυμένα κεφάλαια είμαστε δυνατοί περισσότερο από ποτέ. Βασ. Γεωργίου 44 & Κάλβου, 152 33 Χαλάδρι Τηλ.:+302106793100, Fax:+302106776035 www.interasco.gr, e-mail: info@interasco.gr
Πάνω από όλα όμως λογαριάζουμε εσάς που μας εμπιστεύεστε την υγεία σας, την περιουσία σας, το μέλλον και την ευτυχία σας. Αυτή την εμπιστοσύνη μετατρέπουμε σε σίγουρη δύναμη για να δημιουργείτε απερίσπαστοι και να προοδεύετε. Έτσι, γιατί ασφάλεια σημαίνει σίγουρα, γρήγορα ... απλά Interasco!
ΑΝΤΙΚΡΙΣΤΆ
ΤΙ ΜΑΣ ΔΙΔΑΞΕ Η ΥΠΟΘΕΣΗ "WANNACRY"
του ΓΙΑΝΝΗ ΠΑΠΑΓΕΩΡΓΙΟΥ, Senior Risk Consultant, Aon Risk Solutions
ΚΑΘΩΣ ΒΡΙΣΚΟΜΑΣΤΕ ΣΤΟΝ ΑΠΟΗΧΟ ΜΙΑΣ ΑΠΟ ΤΙΣ ΠΙΟ ΕΚΤΕΤΑΜΕΝΕΣ ΚΥΒΕΡΝΟΕΠΙΘΕΣΕΙΣ ΠΟΥ ΣΥΝΕΒΗΣΑΝ ΕΩΣ ΣΗΜΕΡΑ, ΟΙ ΕΚΤΙΜΗΣΕΙΣ ΓΙΑ ΤΟ ΠΡΑΓΜΑΤΙΚΟ ΕΥΡΟΣ ΤΩΝ ΖΗΜΙΩΝ ΠΟΥ ΥΠΕΣΤΗΣΑΝ ΔΙΑΦΟΡΕΣ ΕΠΙΧΕΙΡΗΣΕΙΣ ΣΕ ΟΛΟ ΤΟΝ ΚΟΣΜΟ ΠΟΙΚΙΛΛΟΥΝ, ΕΝΩ ΟΙ ΕΙΔΙΚΟΙ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ ΕΚΦΡΑΖΟΥΝ ΑΝΗΣΥΧΙΕΣ ΓΙΑ ΕΠΙΚΕΙΜΕΝΕΣ ΝΕΕΣ ΕΠΙΘΕΣΕΙΣ.
Στην Ελλάδα, υπάρχουν ήδη καταγεγραμμένα κρούσματα ζημιών, στοιχείο το οποίο καταδεικνύει πως το κυβερνοέγκλημα είναι ήδη μεταξύ των απειλών του τοπικού επιχειρείν. Παρ' όλα αυτά, η ευαισθητοποίηση των επιχειρήσεων σε θέματα ασφάλισης ηλεκτρονικών και διαδικτυακών κινδύνων δεν είναι εμφανής, συγκριτικά με την κατάσταση στις υπόλοιπες χώρες της Ευρωπαϊκής Ένωσης. Η πρόσφατη κυβερνοεπίθεση μάς διδάσκει τέσσερα πράγματα, που αναδεικνύουν τόσο τη σπουδαιότητα της ασφάλισης ηλεκτρονικών και διαδικτυακών κινδύνων όσο και την ανάγκη αυτή να επιλεγεί με ορθολογικό τρόπο και όχι ως μια μεμονωμένη λύση που θα κληθεί να λειτουργήσει ως «μαγικό ραβδί» σε περίπτωση ζημιάς. Προσδιορισμός του κινδύνου-Η αρχή της σωστής ασφάλισης Το πρώτο δίδαγμα αφορά στην κατανόηση του κινδύνου που διατρέχει μια επιχείρηση, ώστε να προσδιοριστεί το είδος των καλύψεων που θα επιλεγούν. Τα διαθέσιμα συμβόλαια στην ελληνική ασφαλιστική αγορά προσφέρουν τις ακόλουθες βασικές καλύψεις: • Αστικής ευθύνης έναντι τρίτων, συνεπεία κυβερνοεπίθεσης • Δαπανών διοικητικών υποχρεώσεων (νομική προστασία και διοικητικά πρόστιμα) • Δαπανών διαχείρισης γεγονότων Προαιρετικά παρέχονται καλύψεις όπως: • Απώλειας καθαρού κέρδους, συνεπεία διακοπής λειτουργίας του δικτύου • Δαπανών εκβιασμού • Παραβίασης πνευματικής ιδιοκτησίας Στις διεθνείς αγορές, υπάρχει και η δυνατότητα κάλυψης φυσικής ζημιάς στα πάγια περιουσιακά στοιχεία μιας επιχείρησης, συνεπεία μιας κυβερνοεπίθεσης. Νομοθετικές αλλαγές και νέες ανάγκες Το δεύτερο δίδαγμα αφορά στην κατανόηση των απαιτήσεων που φέρνει η Ευρω-
BROKER'S TIME | 18
παϊκή Νομοθεσία περί Προστασίας Προσωπικών Δεδομένων (GDPR). Χαρακτηριστικά στοιχεία της νέας νομοθεσίας, η οποία ενσωματώνεται στο τοπικό δίκαιο μέχρι 28/05/2018, είναι τα υψηλά πρόστιμα, τα οποία μπορεί να φθάσουν τα 20.000.000 ευρώ ή το 4% του συνολικού παγκόσμιου κύκλου εργασιών μιας επιχείρησης. Πέραν των προστίμων, ο προσδιορισμός των κινδύνων ασφαλείας πληροφοριών και η λήψη προληπτικών μέτρων αποκτούν πλέον ισχυρή κανονιστική διάσταση. Ποσοτικοποίηση του κινδύνου και ασφάλιση Το τρίτο δίδαγμα αναδεικνύει τη χρησιμότητα εκτίμησης του δυνητικού οικονομικού κόστους, του σχετικού κινδύνου. Πολλές φορές, επικρατεί η εσφαλμένη αντίληψη πως το κόστος του αφορά μόνο τα πρόστιμα ή πως είναι εξ ολοκλήρου ασφαλίσιμο. Η πραγματικότητα, ωστόσο, μπορεί να είναι πολύ διαφορετική, καθώς μέσα από την ποσοτικοποίηση του κινδύνου εκτιμώνται τόσο οι ασφαλίσιμες όσο και οι μη ασφαλίσιμες συνιστώσες του, σε περίπτωση ζημιάς. Η ποσοτικοποίηση του κινδύνου επιτρέπει την ορθολογική επιλογή του εύρους των ορίων και των υπο-ορίων κάλυψης. Προληπτικός σχεδιασμός αντίδρασης Το τέταρτο δίδαγμα είναι η ανάγκη προληπτικού σχεδιασμού μέτρων αντίδρασης, σε περίπτωση περιστατικού ζημιάς. Το στοιχείο αυτό μαζί με τον προσδιορισμό του κινδύνου που αναφέρθηκε είναι μερικές από τις ανάγκες που ισχυροποιεί περαιτέρω η νέα νομοθεσία. Σε γενικές γραμμές, οι επικείμενες νομοθετικές αλλαγές, σε συνδυασμό με την ανάπτυξη των τεχνολογιών διασύνδεσης και της ψηφιοποίησης πολλών εταιρικών δραστηριοτήτων, έστω και με αργούς για τα ελληνικά δεδομένα ρυθμούς, εκτιμάται πως θα αναδείξουν την πολλαπλή σημασία της ασφάλισης έναντι των κυβερνοαπειλών και του ορθολογικού σχεδιασμού της.
ΑΝΤΙΚΡΙΣΤΆ
CYBER CLAIMS H ΑΝΑΤΟΜΙΑ ΜΙΑΣ ΙΔΙΑΙΤΕΡΑ ΣΥΝΘΕΤΗΣ ΖΗΜΙΑΣ
Το κόστος μιας επίθεσης διαρροής δεδομένων υπολογίζεται παγκοσμίως πως ανέρχεται πλέον στα 3,5 εκατ. ευρώ, ποσό που έχει αυξηθεί κατά 29% από το 2003, σύμφωνα με στοιχεία της IBM και του Ινστιτούτου Ponemon. Η AIG έχει χειριστεί μια πληθώρα αιτιάσεων που αφορούν ηλεκτρονικούς και διαδικτυακούς κινδύνους, σε παγκόσμιο, ευρωπαϊκό και τοπικό επίπεδο, και η εμπειρία μάς έχει δείξει πως πρόκειται για ζημιές ιδιαίτερα σύνθετες στη διαχείρισή τους. Θα φέρω εδώ ως παράδειγμα μια ασφαλισμένη σε εμάς εταιρεία στον τομέα των κατασκευών, με 300 εργαζομένους και κύκλο εργασιών μεταξύ 50 και 70 εκατ. ευρώ τον χρόνο. Την 1η Δεκεμβρίου 2016, έπεσε θύμα επίθεσης ransomware, με αποτέλεσμα να μην έχει πρόσβαση στο 85% περίπου των αρχείων και φακέλων της. Η AIG επενέβη άμεσα μετά την ειδοποίησή της, παρέχοντας υπηρεσίες ΙΤ Forensics. Αποφασίστηκε να γίνει ανάκτηση αρχείων από back up, εργασία για την οποία χρειάστηκαν δύο ημέρες. Σε αυτό το διάστημα, οι εργαζόμενοι δεν μπορούσαν να δουλέψουν, γεγονός που είχε ως αποτέλεσμα απώλεια εισοδημάτων, δεδομένου του ότι η συγκεκριμένη εταιρεία χρεώνει τους πελάτες της με βάση τις εργατοώρες που επενδύει σε κάθε έργο. Το κόστος για αυτές τις δύο ημέρες ανήλθε σε 73.500 ευρώ, χωρίς τις αμοιβές των ειδικών. Σε αυτήν την περίπτωση, έπρεπε να κινηθούμε παράλληλα σε διάφορες κατευθύνσεις, τόσο για να επαναφέρουμε την ομαλή λειτουργία της εταιρείας όσο και για να υπολογίσουμε το κόστος της ζημιάς, λόγω της απώλειας των εργασιών. Εάν θέλουμε να δούμε τι σημαίνει μια επίθεση μεγάλης κλίμακας, έχουμε το παράδειγμα ενός νοσοκομείου που έπεσε θύμα
hackers, οι οποίοι απέκτησαν πρόσβαση στα ιατρικά αρχεία 40.000 ασθενών. Σε αυτήν την περίπτωση, συνεργαστήκαμε με εταιρείες IT Forensics, για τη διαχείριση του περιστατικού, την ενημέρωση των ασθενών αλλά και των αρμόδιων αρχών, και δημιουργήσαμε ένα τηλεφωνικό κέντρο για την απάντηση ερωτημάτων. Η AIG αποζημίωσε τον πελάτη με 400.000 ευρώ για αποζημιώσεις και έξοδα για κακόβουλη χρήση των στοιχείων που κλάπηκαν, 156.000 ευρώ για τα έξοδα του τηλεφωνικού κέντρου και την ειδοποίηση των ασθενών, 22.000 ευρώ για έξοδα IT Forensics, 80.000 ευρώ για νομικά έξοδα και 445.000 ευρώ για πρόστιμα διοικητικών αρχών. Από τα παραπάνω παραδείγματα αξίζει να κρατήσουμε τα εξής: κατά πρώτον, οι ζημιές πράγματι μπορεί να λάβουν πολύ μεγάλες διαστάσεις, αυτό όμως δεν σημαίνει ότι οι μικρότερες σε μέγεθος επιθέσεις είναι αμελητέες. Κατά δεύτερον, έχουμε να αντιμετωπίσουμε μια σύνθετη κατηγορία ζημιών, που περιλαμβάνει πρόστιμα, απώλεια κερδών, διακοπή εργασιών, προβλήματα στην τεχνική υποδομή της εταιρείας, έξοδα τεχνικών, νομικών συμβούλων και ειδικών διαχείρισης κρίσεων, αλλά και μια σοβαρή κρίση στο πρόσωπο και την αξιοπιστία της εταιρείας. Τέλος, υπάρχει μια λανθασμένη αντίληψη ότι οι επιθέσεις αφορούν συγκεκριμένες κατηγορίες επιχειρήσεων. Η εμπειρία μάς έχει αποδείξει το αντίθετο: από τους χρηματοοικονομικούς οργανισμούς και τις τηλεπικοινωνίες, μέχρι την υγεία, τον τουρισμό, τις κατασκευές, το εμπόριο, ακόμη και τις μη κυβερνητικές οργανώσεις, έχουμε παραδείγματα ζημιών. Το ερώτημα λοιπόν παραμένει στο εάν και σε ποιον βαθμό επαρκούν τα μέτρα ασφαλείας που λαμβάνουν οι ασφαλισμένοι.
του ΚΩΣΤΑ ΒΟΥΛΓΑΡΗ Financial Lines and Casualty Manager, AIG Greece
ΔΙΑΝΥΟΥΜΕ ΜΙΑ ΠΕΡΙΟΔΟ ΣΥΝΕΧΟΥΣ ΑΥΞΗΣΗΣ ΤΩΝ ΚΡΟΥΣΜΑΤΩΝ ΗΛΕΚΤΡΟΝΙΚΩΝ ΚΑΙ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΠΙΘΕΣΕΩΝ. ΜΟΝΟ ΣΤΗΝ AIG, ΣΤΗΝ ΠΕΡΙΟΧΗ ΤΗΣ ΕΥΡΩΠΗΣ, ΤΗΣ ΜΕΣΗΣ ΑΝΑΤΟΛΗΣ ΚΑΙ ΤΗΣ ΑΦΡΙΚΗΣ, ΤΟ 2016 ΧΕΙΡΙΣΤΗΚΑΜΕ 60 ΦΟΡΕΣ ΠΕΡΙΣΣΟΤΕΡΑ ΠΕΡΙΣΤΑΤΙΚΑ ΣΕ ΣΧΕΣΗ ΜΕ ΤΟ 2013.
BROKER'S TIME | 19
ΑΡΘΡΟ
ΠΩΣ ΝΑ ΠΡΟΣΤΑΤΕΥΘΕΙΤΕ ΑΠΟ ΤΙΣ ΚΥΒΕΡΝΟΕΠΙΘΕΣΕΙΣ ΤΙ ΜΑΣ «ΔΙΔΑΣΚΟΥΝ» 4 CASE STUDIES Η ΑΝΑΠΤΥΞΗ ΤΩΝ ΗΛΕΚΤΡΟΝΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΑΠΟΤΕΛΕΙ ΕΝΑ ΣΗΜΑΝΤΙΚΟ ΕΡΓΑΛΕΙΟ ΓΙΑ ΤΗ ΛΕΙΤΟΥΡΓΙΑ ΚΑΙ ΤΗΝ ΕΞΕΛΙΞΗ ΤΩΝ ΕΠΙΧΕΙΡΗΣΕΩΝ. ΩΣΤΟΣΟ, Η ΕΞΑΡΤΗΣΗ ΤΟΥ ΣΥΓΧΡΟΝΟΥ ΕΠΙΧΕΙΡΕΙΝ ΑΠΟ ΤΑ ΗΛΕΚΤΡΟΝΙΚΑ ΣΥΣΤΗΜΑΤΑ ΚΑΙ Η ΕΥΡΕΙΑ ΔΙΑΔΟΣΗ ΤΟΥ ΔΙΑΔΙΚΤΥΟΥ ΕΧΟΥΝ ΔΗΜΙΟΥΡΓΗΣΕΙ ΝΕΕΣ ΑΠΕΙΛΕΣ, ΜΕ ΣΗΜΑΝΤΙΚΕΣ ΟΙΚΟΝΟΜΙΚΕΣ ΕΠΙΠΤΩΣΕΙΣ ΣΤΗΝ ΕΠΙΧΕΙΡΗΣΗ. της ΕΥΗΣ ΠΕΤΡΟΥΤΣΟΠΟΥΛΟΥ
Γ
ια πολλούς οργανισμούς, οι τελευταίες εβδομάδες έφεραν στην επιφάνεια μια νέα πραγματικότητα. Αναφερόμαστε, ασφαλώς, στην πρόσφατη επίθεση στον κυβερνοχώρο με το ''Wannacry''. Ένα σαφές μήνυμα που πήραμε με το ''Wannacry'', καθώς κοιτάζουμε πλέον να αποτρέψουμε μια επόμενη «πανδημία» στον κυβερνοχώρο, είναι το πόσο ευάλωτες μπορεί να είναι οι επιχειρήσεις σε σχέση με αυτό που νομίζαμε στο παρελθόν. Μεγαλύτερη διασύνδεση και πολυπλοκότητα ανάμεσα στα δίκτυα πληροφορικής αυξάνει τον κίνδυνο δυσλειτουργίας, αλλά και γρήγορης διάδοσης. Η ασφάλεια της πληροφορίας -Εμπιστευτικότητα (Confidentiality), Ακεραιότητα (Integrity), Διαθεσιμότητα (Availability)- είναι πιο ευάλωτη από ποτέ, τόσο από μια κακόβουλη επίθεση όσο και από ένα τυχαίο γεγονός.
BROKER'S TIME | 20
Είναι αντιληπτό ότι η επίτευξη των στόχων μιας επιχείρησης σε μεγάλο βαθμό εξαρτάται από τη διασφάλιση της λειτουργίας των υποδομών τεχνολογίας. Ενώ όλες οι επιχειρήσεις είναι εκτεθειμένες στις νέες μορφές κινδύνων που πηγάζουν από τη χρήση των τεχνολογιών πληροφορικής, ελάχιστες έχουν προσπαθήσει να αποτιμήσουν τον κίνδυνο και τις οικονομικές επιπτώσεις μιας απειλής από τον κυβερνοχώρο. Η επίτευξη της ασφάλειας των πληροφοριακών συστημάτων και η ορθή και έγκαιρη αντιμετώπιση των ηλεκτρονικών και διαδικτυακών κινδύνων απαιτεί τη συνεργασία όλων των στελεχών της επιχείρησης. Δεν αρκεί μόνο να εντοπίσει κανείς τα τεχνικά θέματα, οι επιχειρήσεις θα πρέπει να εξετάσουν με βάση τα πρόσφατα «μαθήματα» του ''Wannacry''. Το ΠΡΏΤΟ ΒΉΜΑ για την κάθε επιχείρηση είναι η καταγραφή των βασικότερων απειλών, κακόβουλων ή μη, εσωτερικών -όπως όταν προέρχονται από το ίδιο το προσωπικό της επιχείρησης, από κλοπή ή απώλεια εγγράφων και εταιρικών ηλεκτρονικών συσκευών- ή εξωτερικών, από κακόβουλο λογισμικό μέσω Phishing, προμήθεια αναλωσίμων που έχουν μολυνθεί από ιούς, αστοχία συστημάτων ασφαλείας προμηθευτών κ.λπ. Στη συνέχεια, είναι απαραίτητος ο καθορισμός των κινδύνων που χρειάζεται να τεθούν σε προτεραιότητα. Το ΕΠΌΜΕΝΟ ΒΉΜΑ αφορά στον υπολογισμό της πιθανότητας και συχνότητας να συμβούν οι κίνδυνοι που έχουν εντοπιστεί, αλλά και των οικονομικών επιπτώσεων στην επιχείρηση, σε απώλεια πωλήσεων, πρόσθετα νομικά έξοδα και έξοδα ειδικών ΙΤ συμβούλων για την αντιμετώπιση του γεγονότος, πρόστιμα λόγω του νέου Ευρωπαϊκού Κανονισμού Προστασίας Δεδομένων (GDPR, πτώση της μετοχής). Όταν ολοκληρωθεί η ανάλυση του κινδύνου και εντοπιστούν τα σημεία στις εταιρικές διαδικασίες ή στα συστήματα που μπορεί να επιτρέψουν να συμβεί μια παραβίαση, και υπολογιστούν οι οικονομικές συνέπειες, τότε η κάθε επιχείρηση με τη βοήθεια ειδικών συμβούλων θα είναι σε θέση: - Να υλοποιήσει διαδικασίες ελέγχου και πλάνα επιχειρηματικής συνέχισης, με σκοπό να περιορίσει τις επιπτώσεις ενός γεγονότος παραβίασης.
- Να σχεδιάσει και να εφαρμόσει τα απαραίτητα μέτρα που θα τη βοηθήσουν στον πιο άμεσο και γρήγορο εντοπισμό μια κακόβουλης επίθεσης. - Να θέσει σε εφαρμογή τους πλέον κατάλληλους τρόπους αποκατάστασης των χαμένων δεδομένων και περιορισμού της δυσλειτουργίας των συστημάτων της. - Να αποφασίσει να μεταφέρει μέρος των κινδύνων της σε τρίτους, συνάπτοντας ασφαλιστικές συμβάσεις προσαρμοσμένες στις ανάγκες της. Είναι γεγονός ότι τα στελέχη των επιχειρήσεων πρέπει να συνειδητοποιήσουν ότι μπορεί πολύ γρήγορα να βρεθούν αντιμέτωπα με ένα γεγονός παραβίασης. Επομένως, είναι σημαντικό να έχουν μεριμνήσει ώστε να έχουν τον κατάλληλο συνεργάτη δίπλα τους, ο οποίος θα τους βοηθήσει τη δεδομένη στιγμή. Ο κίνδυνος πλέον υπάρχει και οι επιπτώσεις του είναι εξαιρετικά σημαντικές. Χαρακτηριστικά παραδείγματα των προαναφερόμενων είναι οι παρακάτω περιπτώσεις.
Περίπτωση 1η: Εταιρεία e-shop ανακάλυψε ασυνήθιστη κίνηση στον server της και μετά από έρευνα προέκυψε ότι είχαν κλαπεί οι κωδικοί υπαλλήλου, με αποτέλεσμα hackers να κλέψουν προσωπικά δεδομένα άνω των 50.000 πελατών της. Άμεσα ενεργοποιήθηκε το ασφαλιστήριο συμβόλαιο και το πλάνο αντιμετώπισης κρίσεων της επιχείρησης, προκειμένου να περιοριστεί το γεγονός και να προστατευτούν τα δεδομένα των πελατών της. Τα έξοδα ελέγχου των συστημάτων, ενημέρωσης των πελατών της και forensic accounting services άγγιξαν το 1 εκατ. ευρώ. Πρόκειται για ποσό που αποζημιώθηκε πλήρως.
Περίπτωση 2η:
νες των αρχών αλλά και την κρίση στην εταιρική της φήμη. Η συγκεκριμένη εταιρεία διέθετε ασφαλιστήριο συμβόλαιο με όριο 60.000.000 ευρώ, το οποίο ενεργοποιήθηκε για την κάλυψη των πρόσθετων εξόδων των ειδικών συμβούλων για την αντιμετώπιση της κρίσης, της απώλειας κερδών από την παρατεταμένη διακοπή λειτουργίας του συστήματος, αλλά και των ευθυνών από τη διαρροή των δεδομένων.
Περίπτωση 3η: Μεσαίου μεγέθους δικηγορική εταιρεία ανακάλυψε την Παραμονή των Χριστουγέννων ότι έπεσε θύμα κακόβουλου λογισμικού. Οι hackers ζήτησαν λύτρα σε bitcoins ύψους 25.000. Άμεσα κλήθηκαν τεχνικοί σύμβουλοι και εταιρεία παροχής υπηρεσιών forensic. Με δεδομένο το ότι δεν υπήρχε η δυνατότητα αντιμετώπισης του κακόβουλου λογισμικού και αποκρυπτογράφησής του, καθώς και ότι για την πλήρη επανάκτηση των αρχείων από το back up της εταιρείας χρειάζονταν πάνω από πέντε μέρες, αποφασίστηκε η πληρωμή των λύτρων. Παράλληλα, συνεχίστηκε η προσπάθεια εντοπισμού του ευάλωτου σημείου στο σύστημα της εταιρείας από το οποίο οι hackers εισχώρησαν σε αυτό, ενώ διερευνήθηκε και το ενδεχόμενο να υπήρξε διαρροή δεδομένων. Το εκτιμώμενο κόστος της ζημιάς ξεπέρασε τα 150.000 ευρώ.
Περίπτωση 4η: Κέντρο Πρωτοβάθμιας Φροντίδας βρέθηκε αντιμέτωπο με αγωγή για αμέλεια και παραβίαση της ιδιωτικής ζωής όταν κατηγορήθηκε ότι υπάλληλός του με πρόσβαση στο ιατρικό ιστορικό της ενάγουσας το κοινοποίησε σε τρίτους. Η υπόθεση είναι ακόμη ανοικτή και αναμένεται να κλείσει στο ποσό των 250.000 ευρώ εξωδικαστικά, ενώ δεν αποκλείεται το Κέντρο να κληθεί να καταβάλει πρόστιμα στην Αρχή Προστασίας Προσωπικών Δεδομένων, εφόσον ήδη ξεκίνησαν οι σχετικές έρευνες για τις συνθήκες του συμβάντος.
Εταιρεία μέσων ενημέρωσης έπεσε θύμα επίθεσης στον κυβερνοχώρο από hackers από χώρα εκτός των συνόρων δραστηριότητάς της, η οποία προκάλεσε εκτεταμέ- Συμπερασματικά, είναι κρίσιμο όσο ποτέ νη διακοπή λειτουργίας. Η εταιρεία έπρε- άλλοτε να διασφαλίσουν οι επιχειρήσεις πε άμεσα να εξασφαλίσει την ασφάλεια την ψηφιακή προστασία τους με κατάλλητου δικτύου της και να ενημερώσει τους λες τεχνικές αποτίμησης και επιλεγμένους πελάτες της για το γεγονός παραβίασης. συνεργάτες. Παράλληλα, όφειλε να συνεργαστεί με τις αρμόδιες αρχές προστασίας προσωπικών δεδομένων και να αντιμετωπίσει τις έρευ- *Specialty and Sales Executive, Marsh LTD
BROKER'S TIME | 21
ΑΡΘΡΟ
ΓΙΑΤΙ ΕΙΝΑΙ ΑΥΞΗΜΕΝΗ Η ΖΗΤΗΣΗ ΓΙΑ ΤΗΝ ΑΣΦΑΛΙΣΗ ΚΥΒΕΡΝΟΚΙΝΔΥΝΩΝ της ΕΛΙΝΑΣ ΠΑΠΑΣΠΥΡΟΠΟΥΛΟΥ*
Ο ΠΑΓΚΟΣΜΙΟΣ ΣΥΝΑΓΕΡΜΟΣ ΜΕΤΑ ΤΟ «ΧΤΥΠΗΜΑ» ΣΤΙΣ 12-15 ΜΑΪΟΥ 2017 ΤΟΥ RANSOMWARE ΚΑΚΟΒΟΥΛΟΥ ΙΟΥ ΜΕ ΤΟ ΟΝΟΜΑ ''WANNACRY'', ΠΟΥ ΥΠΟΛΟΓΙΖΕΤΑΙ ΟΤΙ ΚΡΥΠΤΟΓΡΑΦΗΣΕ ΤΑ ΑΡΧΕΙΑ 300.000 ΥΠΟΛΟΓΙΣΤΩΝ (ΚΑΘΙΣΤΩΝΤΑΣ ΤΑ ΑΠΡΟΣΠΕΛΑΣΤΑ), ΗΤΑΝ ΑΛΛΗ ΜΙΑ ΑΦΟΡΜΗ ΠΟΥ ΑΦΥΠΝΙΣΕ ΤΙΣ ΕΠΙΧΕΙΡΗΣΕΙΣ ΣΧΕΤΙΚΑ ΜΕ ΤΑ ΘΕΜΑΤΑ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ.
Π
αράλληλα, τόνωσε άμεσα το ενδιαφέρον τόσο για τεχνικά προληπτικά μέτρα όσο και για την ασφάλιση των σχετικών κινδύνων, που, από ό,τι φαίνεται, δεν μπορούν πάντα να αποφευχθούν. Καθώς οι επιθέσεις αυξάνονται και τα κρούσματα γίνονται αντιληπτά σε μεγαλύτερο βαθμό από ό,τι στο παρελθόν, οι επιχειρήσεις δεν μπορούν πια να αγνοούν τον κίνδυνο ή να πιστεύουν ότι δεν τις αφορά.
BROKER'S TIME | 22
Προκύπτει, πλέον, η αναγκαιότητα ενός ολοκληρωμένου στρατηγικού σχεδίου για την κυβερνοασφάλεια και την αντιμετώπιση των επιπτώσεων των επιθέσεων, ξεκινώντας από τον σχεδιασμό για την ασφαλή διαχείριση και την προστασία των ψηφιακών δεδομένων, τη θωράκιση των συστημάτων και των δικτύων της επιχείρησης, την ασφάλεια των εφαρμογών, την προστασία των πληροφοριών, τη διαχείριση της πρόσβασης κ.λπ.
ΑΡΘΡΟ Η επιχείρηση οφείλει να υιοθετεί μέτρα για την προστασία τόσο από υπάρχοντες όσο και από αναδυόμενους κινδύνους και να συμμορφώνεται με το νομοθετικό και κανονιστικό πλαίσιο, που συνεχώς ενισχύεται και διευρύνεται σε παγκόσμιο επίπεδο. Σημαντικό ρόλο έχει ο εντοπισμός των συμβάντων, η χαρτογράφηση αλλά και η συνεχής ενημέρωση σχετικά με τις απειλές, μέσω αναλύσεων τρωτότητας, επικαιροποιήσεων πολιτικών και διαδικασιών ασφαλείας κ.λπ. Οι διοικήσεις των επιχειρήσεων -σε επίπεδο διοικητικού συμβουλίου και όχι απλά τμημάτων πληροφορικής- πλέον κατανοούν ότι όσο προηγμένα κι αν είναι τα τεχνικής φύσεως μέτρα τους, δεν μπορούν να εκμηδενίσουν τον κίνδυνο. Το θέμα δεν είναι πλέον «δεν θα μου συμβεί», αλλά το «πότε θα μου συμβεί και σε τι έκταση». Έτσι, στα πλάνα προστασίας των επιχειρήσεων εντάσσεται και η ετοιμότητα, η προετοιμασία για το ενδεχόμενο επίθεσης, μέσω εκπόνησης σχεδίων διαχείρισης κρίσεων και επιχειρησιακής συνέχειας. Για τον ίδιο ακριβώς λόγο, οι επιχειρήσεις αναγνωρίζουν την ανάγκη να μεταφέρουν μέρος του κινδύνου εκτός του ισολογισμού τους, σε μια ασφαλιστική εταιρεία. Και είναι όλο και πιο πρόθυμες, πλέον, να συνεργαστούν με τον ασφαλιστικό τους σύμβουλο και την ασφαλιστική εταιρεία, ώστε να συζητήσουν τους κινδύνους και τις πιθανές επιπτώσεις τους και να διαμορφώσουν, σε συνεργασία, την κατάλληλη ασφαλιστική κάλυψη, να προετοιμαστούν δηλαδή για την επόμενη μέρα. Ο διάλογος αυτός ευνοεί την πληρέστερη αξιολόγηση του κινδύνου. Η ασφάλιση cyber risks έχει σημειώσει σημαντική ανάπτυξη τα τελευταία χρόνια, με αυξημένο capacity από τις ασφαλιστικές εταιρείες αλλά και ευρύ φάσμα καλύψεων. Το παρεχόμενο προϊόν εστιάζεται και στους τρεις πυλώνες των πιθανών περιοχών έκθεσης στο ρίσκο: α) Ευθύνη προς τρίτους (Cyber Liability), β) Ίδιες οικονομικές απώλειες, απώλεια κερδών και γ) Πρόσθετες έξτρα δαπάνες και υπηρεσίες πρόληψης ή και αντιμετώπισης/διαχείρισης της κρίσης. BROKER'S TIME | 24
Καθώς πρόκειται για ένα συνεχώς μεταβαλλόμενο τοπίο, η εξέλιξη των αποζημιώσεων τα επόμενα χρόνια θα δημιουργήσει την ιστορικότητα που απαιτείται ώστε να τιμολογηθεί ο κίνδυνος με μεγαλύτερη ακρίβεια. Όπως όλα τα πρωτοεμφανιζόμενα ασφαλιστικά προϊόντα, η κάλυψη προσαρμόζεται συνεχώς, ώστε να ανταποκρίνεται στον κίνδυνο και στις ανάγκες των πελατών, καθώς αυτές διαμορφώνονται με την πάροδο του χρόνου. Αυτήν τη στιγμή, στην ασφαλιστική αγορά, ένα τυπικό ασφαλιστήριο cyber risks θα πρέπει να καλύπτει κατ' ελάχιστον την ευθύνη προς τρίτους και τις ζημίες από διακοπή εργασιών (δηλαδή
την απώλεια κερδών), αλλά και να δίνει τη δυνατότητα διεύρυνσης των καλύψεων με επεκτάσεις όπως για βιομηχανική κατασκοπία (παραβίαση εμπορικών μυστικών), απιστία υπαλλήλων, νομική προστασία, κάλυψη εκβιασμού και λύτρων κ.ά. Επιπλέον, θα πρέπει να προβλέπει κάλυψη για ένα ευρύ φάσμα υποστηρικτικών υπηρεσιών, όπως διερεύνηση από ειδικούς (forensics), τεχνική υποστήριξη για την ανάκτηση και επαναφορά των δεδομένων/υπηρεσιών, υπηρεσίες διαχείρισης κρίσεων και επικοινωνιακής διαχείρισης συμβάντος κ.λπ. Εδώ σημειώνεται ότι, μέσω της ασφάλισης, η επιχείρηση επωφελείται από άμεση πρόσβαση σε υψηλού κύρους εταιρείες εξειδικευμένων υπηρεσιών τέτοιου είδους και καλύπτεται για τα σχετικά έξοδα (τα οποία θα μεταφράζονταν σε σημαντική επιπρόσθετη ε-
πιβάρυνση σε διαφορετική περίπτωση). Όπως προκύπτει και από τις πιο πρόσφατες επιθέσεις, επιχειρήσεις και οργανισμοί κάθε κλάδου (συμπεριλαμβανομένου του δημόσιου τομέα) αντιμετωπίζουν cyber risks. Οι τράπεζες και ο χρηματοοικονομικός κλάδος εν γένει έχουν ήδη στραφεί στην ασφαλιστική κάλυψη και φαίνεται να πρωτοπορούν σε ό,τι αφορά τη συνολική διαχείριση της κυβερνοασφάλειάς τους σε σχέση με τον εμπορικό-βιομηχανικό κλάδο. Όμως, η έκθεση του τελευταίου σε κυβερνοκινδύνους είναι εξίσου υψηλή, αν όχι και υψηλότερη. Σύμφωνα με τις πιο πρόσφατες σχετικές μελέτες, η παραγωγική βιομηχανία εμφανίζεται συστηματικά μεταξύ της πρώτης και της δεύτερης θέσης σε επιθέσεις. Καθώς η βιομηχανική παραγωγή έχει εξελιχθεί σε ένα περιβάλλον ηλεκτρονικά/διαδικτυακά διασυνδεδεμένων και αυτοματοποιημένων συστημάτων βιομηχανικού ελέγχου, με αλληλεξαρτώμενες εφοδιαστικές αλυσίδες, ανακύπτουν πολλαπλοί κίνδυνοι από κυβερνοεπιθέσεις στο λειτουργικό περιβάλλον των επιχειρήσεων. Ως κατεξοχήν ασφαλιστής βιομηχανικών και μεγάλων εμπορικών κινδύνων, η HDI διαθέτει συνεχώς επεκτεινόμενο χαρτοφυλάκιο cyber σε ευρωπαϊκές και διεθνείς αγορές, με το εξειδικευμένο ασφαλιστικό προϊόν HDI Cyber+, το οποίο ήδη διατίθεται και στην Ελλάδα. Μέσω της θυγατρικής HDI Risk Consulting (HRC), η εταιρεία αξιοποιεί τη συσσωρευμένη εμπειρία και τεχνογνωσία από πληθώρα ειδικών σε θέματα ασφαλείας συστημάτων και διακοπής εργασιών και παρέχει ουσιαστικές και αντικειμενικές συμβουλευτικές υπηρεσίες για τον περιορισμό του κινδύνου των επιχειρήσεων. Με τo ασφαλιστήριο Cyber + η HDI βοηθά τις επιχειρήσεις να ελέγξουν και να μεταφέρουν τον κίνδυνο, παρέχοντας την απαραίτητη σταθερότητα και χρηματοδότηση για τη συνέχιση της λειτουργίας τους σε περιπτώσεις επιθέσεων.
*Director, Insurance Technical Division, HDI Global SE, Hellas
ΑΡΘΡΟ
ΠΩΣ ΤΙΜΩΡΕΙΤΑΙ ΤΟ ΚΥΒΕΡΝΟΕΓΚΛΗΜΑ ΣΤΙΣ 3 ΑΥΓΟΥΣΤΟΥ 2016, ΤΕΘΗΚΕ ΣΕ ΙΣΧΥ Ο ΝΕΟΣ ΝΟΜΟΣ ΓΙΑ ΤΟ ΚΥΒΕΡΝΟΕΓΚΛΗΜΑ ΥΠ' ΑΡ. 4416/2016, Ο ΟΠΟΙΟΣ ΚΥΡΩΣΕ ΤΗ ΣΥΜΒΑΣΗ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ ΤΗΣ ΕΥΡΩΠΗΣ (ΣΥΜΒΑΣΗ ΤΗΣ ΒΟΥΔΑΠΕΣΤΗΣ) ΚΑΙ ΤΟ ΠΡΟΣΘΕΤΟ ΠΡΩΤΟΚΟΛΛΟ ΑΥΤΗΣ, ΕΝΣΩΜΑΤΩΣΕ ΣΤΟ ΕΛΛΗΝΙΚΟ ΔΙΚΑΙΟ ΤΗΝ ΕΥΡΩΠΑΪΚΗ ΟΔΗΓΙΑ 2013/40/ΕΕ ΚΑΙ ΑΝΤΙΚΑΤΕΣΤΗΣΕ ΤΗΝ ΑΠΟΦΑΣΗ-ΠΛΑΙΣΙΟ 2005/22/ΔΕΥ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ (ΕΦΕΞΗΣ Ο «ΝΟΜΟΣ»). της ΚΑΛΛΙΟΠΗΣ ΠΑΠΑΝΤΩΝΙΟΥ*
Μ
έχρι την ψήφιση του Νόμου, τα κυβερνοεγκλήματα στην Ελλάδα τιμωρούνταν βάσει των άρθρων 370Β, 370Γ και 386 Α του Ποινικού Κώδικα (εφεξής ο «ΠΚ»), που ρύθμιζαν την τιμωρία των εγκλημάτων που διαπράττονταν μέσω των ηλεκτρονικών υπολογιστών. Όμως το νομοθετικό αυτό καθεστώς παρουσίαζε σημαντικά κενά, επειδή δεν κάλυπτε την παρακώλυση λειτουργίας συστήματος υπολογιστή και δεν ρύθμιζε ξεχωριστά την αλλοίωση ή τη φθορά των ηλεκτρονικών δεδομένων, λόγω αθέμιτων προσβάσεων. Σε ορισμένες περιπτώσεις, μέρος της θεωρίας δεχόταν ότι για την αλλοίωση ή φθορά των ηλεκτρονικών δεδομένων μπορούσαν κατ' αναλογία να εφαρμοστούν οι διατάξεις για τη φθορά ξένης ιδιοκτησίας του άρθρου 381 ΠΚ. Όμως, βάσει αυτού του άρθρου, μπορούσε να τιμωρηθεί μόνο η φθορά στον υλικό τομέα των δεδομένων, δηλαδή η φθορά του υπολογιστή ή του server και όχι η καθεαυτή φθορά των δεδομένων, επειδή τα ηλεκτρονικά δεδομένα δεν αποτελούν πράγμα. Η καθεαυτή φθορά/αλλοίωση των ηλεκτρονικών δεδομένων μπορούσε να τιμωρηθεί μόνο εάν τα δεδομένα αυτά ήταν προσωπικά δεδομένα και μπορούσαν έτσι να εφαρμοστούν οι διατάξεις της νομοθεσίας περί προσωπικών δεδομένων ή βάσει των διατάξεων του άρθρου 13 περ. γ ΠΚ περί ηλεκτρονικού εγγράφου σε συνδυασμό με το άρθρο 222ΠΚ περί υπεξαγωγής εγγράφου. Με τις νέες διατάξεις του Νόμου εισάγο-
BROKER'S TIME | 26
νται πλέον τα κάτωθι τρία βασικά αδικήματα: α) η παράνομη πρόσβαση σε πληροφοριακό σύστημα, β) η παράνομη παρέμβαση σε πληροφοριακό σύστημα και γ) η παράνομη παρέμβαση σε πληροφορικά δεδομένα συμπεριλαμβανομένης της υποκλοπής και διάδοσης εργαλείων για τον σκοπό της διαδικτυακής πειρατείας. Με το άρθρο δε 13 του ΠΚ εισάγονται πλέον και ερμηνεύονται οι όροι «πληροφοριακό σύστημα» και «ψηφιακά δεδομένα». Επιπλέον, εισάγονται στον ΠΚ τα κάτωθι νέα άρθρα και τροποποιούνται υφιστάμενα άρθρα αυτού ως εξής: - Άρθρο 292 Β, με το οποίο ποινικοποιούνται οι επιθέσεις άρνησης εξυπηρέτησης τύπου DoS, οι κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης (DDoS) έναντι πληροφοριακών συστημάτων και οι πράξεις παράνομης πρόσβασης (hacking/cracking) και προβλέπονται κατά περίπτωση ποινικές κυρώσεις. - Άρθρο 292 Γ, το οποίο προβλέπει ποινικές κυρώσεις για τις προπαρασκευαστικές ενέργειες τέλεσης του αδικήματος του άρθρου 292 Β (π.χ. διάθεση κακόβουλου λογισμικού και εργαλείων που μπορούν να δημιουργούν ''botnet'', το οποίο χρησιμοποιείται για τη διάπραξη επιθέσεων στον κυβερνοχώρο). - Τροποποιείται το άρθρο 370 Γ, με το οποίο πλέον προβλέπεται ρητά ως ποινικό αδίκημα η παράνομη πρόσβαση σε πληροφοριακό σύστημα με οποιονδήποτε τρόπο, και συνεπώς καλύπτονται οι ενέργειες hacking και cracking. - Άρθρο 370 Δ, με το οποίο τιμωρείται πλέον αυτοτελώς η παραβίαση του απορρήτου των επικοινωνιών μέσω πληροφορι-
ακών συστημάτων. - Άρθρο 370 Ε, με το οποίο τιμωρείται πλέον ως ποινικό αδίκημα η με οποιονδήποτε τρόπο εκ προθέσεως διάθεση προγραμμάτων, συσκευών ή τεχνικών μέσων με τα οποία είναι δυνατή η πρόσβαση σε πληροφοριακό σύστημα, προκειμένου να διαπραχθούν τα αδικήματα που αναφέρονται στα άρθρα 370Α370 Δ του ΠΚ. -
Άρθρο 381 Α, το οποίο προστατεύει πλέον αυτοτελώς τα ψηφιακά δεδομένα από πράξεις καταστροφής, διαγραφής, αλλοίωσης κ.λπ. - Άρθρο 381 Β, με το οποίο προβλέπεται ποινική δίωξη των επιθέσεων που διαπράττονται με διάδοση κακόβουλου λογισμικού ή ιών. - Τροποποιείται το άρθρο 386 Α σχετικά με την απάτη με υπολογιστή, όπου πλέον περιλαμβάνεται και η χρήση ορθών δεδομένων που γίνεται χωρίς δικαίωμα (π.χ. παράνομη απόκτηση ονόματος και κωδικού χρήστη). Επιπλέον, σύμφωνα με το άρθρο 4 του Νόμου, προβλέπεται ειδική ποινική ευθύνη νομικών προσώπων, εφόσον αποδειχθεί ότι κάποιες από τις προαναφερόμενες ποινικά κολάσιμες πράξεις τελέστηκαν προς όφελος ή για λογαριασμό του νομικού προσώπου. Επιπροσθέτως, θα πρέπει να αναφέρουμε ότι, σύμφωνα με το ανωτέρω άρθρο, προβλέπεται και η δυνατότητα της άρσης του απορρήτου, προκειμένου να εξιχνιαστούν τα αδικήματα των άρθρων 292 Α-Γ ΠΚ, 370Γ ΠΚ, 370 Ε ΠΚ και 381 Α-Β ΠΚ. Ο ανωτέρω Νόμος αποτελεί θεσμικό εργαλείο για τη δίωξη του ηλεκτρονικού εγκλήματος, όμως αποφασιστικό παράγοντα για την καταπολέμηση του αποτελεί η πρόληψη, η οποία είναι προτιμότερη της καταστολής και η οποία μπορεί να επιτευχθεί μόνο με συνεχή ενημέρωση και ευαισθητοποίηση των πολιτών. Στο σημείο αυτό θα πρέπει να αναφερθεί ότι, ενώ η Ελλάδα κύρωσε τη Σύμβαση της Βουδαπέστης για την αντιμετώπιση του κυβερνοεγκλήματος με καθυστέρηση 15 ετών, η ευρωπαϊκή νομοθεσία εκσυγχρονίζεται με αλματώδη ρυθμό, τον οποίο θα πρέπει να ακολουθήσει η Ελλάδα εάν θέλει να έχει αισθητά αποτελέσματα στον τομέα αυτό. Ήδη, έχει εκδοθεί η νέα Ευρωπαϊκή Οδηγία 2016/1148 (η αποκαλούμενη ως Οδηγία NIS), η οποία στοχεύει στην υιοθέτηση μέτρων από όλα τα κράτη για ένα υψηλό κοινό επίπεδο ασφαλείας των συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ευρωπαϊκή Ένωση, με προθεσμία ενσωμάτωσης την 9-5-2018 και εφαρμογής των μέτρων την 10-5-2018. Σύμφωνα με την Οδηγία αυτή, θα πρέπει τα κράτη-μέλη, βάσει κριτηρίων, να ορίσουν ποιες υπηρεσίες παρέχουν ζωτικής σημασίας υπηρεσίες στους τομείς της ενέργειας, υγείας, τραπεζών, μεταφορών, παροχής νερού και ψηφιακών υπηρεσιών, έτσι ώ-
στε αυτές να αυξήσουν τα μέτρα ασφαλείας στον κυβερνοχώρο και να αναφέρουν περιστατικά παραβίασης ασφαλείας στις εθνικές τους. Επιπλέον, θα πρέπει να γίνει ειδική μνεία και στις νομοθετικές προβλέψεις οι οποίες ενισχύουν την προστασία του ατόμου από αθέμιτη επεξεργασία προσωπικών δεδομένων και λειτουργούν ως αντιστάθμισμα όλων των ανωτέρω προβλέψεων για την ενίσχυση της ασφάλειας στον κυβερνοχώρο. Ειδικότερα, από τις 25 Μαΐου 2018 θα εφαρμοστεί σε όλα τα κράτη-μέλη της Ευρωπαϊκής Ένωσης ο υπ' αρ. 679/2016 Γενικός Ευρωπαϊκός Κανονισμός για την προστασία των προσωπικών δεδομένων (GDPR), ο οποίος θα έχει άμεση ισχύ από την ως άνω ημερομηνία εφαρμογής του. Ο ανωτέρω Κανονισμός αντικαθιστά την Ευρωπαϊκή Οδηγία 95/46/EU και τον νόμο 2472/1997, ο οποίος ενσωμάτωσε την ανωτέρω οδηγία. Ο ανωτέρω Κανονισμός προβλέπει, μεταξύ άλλων, αυστηρότερες διατάξεις αναφορικά με την επιβολή προστίμων (μπορεί να επιβληθεί πρόστιμο που μπορεί να ανέλθει σε 20 εκατ. ευρώ ή στο 4% του συνολικού ετήσιου κύκλου εργασιών), έχει ευρεία εφαρμογή, εφαρμόζεται δηλαδή τόσο στους υπευθύνους επεξεργασίας όσο και στους εκτελούντες την επεξεργασία, οι υπεύθυνοι επεξεργασίας σε ορισμένες περιπτώσεις πρέπει να κοινοποιούν τα περιστατικά παραβίασης δεδομένων προσωπικού χαρακτήρα εντός 72 ωρών από την ανακάλυψη του περιστατικού παραβίασης και απώλειας προσωπικών δεδομένων στις αρμόδιες αρχές και στα υποκείμενα των δεδομένων αν η φύση των δεδομένων που χάθηκαν το απαιτεί. Επιπλέον, προβλέπεται ότι για τις εταιρείες και τις δημόσιες αρχές που εκτελούν πράξεις επεξεργασίας δεδομένων που ενέχουν κινδύνους θα πρέπει να έχουν ορίσει υπεύθυνο προστασίας δεδομένων (DPO). Στο πλαίσιο αυτό, εντάσσεται και η ψήφιση της Ευρωπαϊκής Οδηγίας 2016/680/274-2016, η οποία θα πρέπει να έχει ενσωματωθεί στα κράτη-μέλη έως και τις 6 Μαΐου 2018. Αυτή η οδηγία προβλέπει ειδικούς κανόνες για τη νόμιμη διασυνοριακή ή εγχώρια επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και της ελεύθερης κυκλοφορίας των δεδομένων αυτών.
*Senior Associate, Μπαχάς, Γραμματίδης και Συνεταίροι Δικηγορική Εταιρεία BROKER'S TIME | 27
ΔΙΑΔΙΚΤΥΟ ΚΑΙ ΠΑΙΔΙΑ
ΕΥΚΑΙΡΙΑ ΓΙΑ ΓΝΩΣΗ, ΑΛΛΑ ΚΑΙ ΚΙΝΔΥΝΟΙ του ΓΙΩΡΓΟΥ ΤΣΑΠΡΟΥΝΗ*
ΟΙ ΝΕΕΣ ΓΕΝΙΕΣ ΑΝΑΠΤΥΣΣΟΥΝ ΤΑΧΥΤΑΤΑ ΨΗΦΙΑΚΗ ΝΟΗΜΟΣΥΝΗ ΚΑΙ ΚΟΥΛΤΟΥΡΑ, ΚΑΘΩΣ ΜΕΓΑΛΩΝΟΥΝ ΠΛΕΟΝ ΜΕΣΑ ΣΤΗΝ ΤΕΧΝΟΛΟΓΙΑ.
Α
ναγνωρίζοντας την ανάγκη για συνεχή και ορθή ενημέρωση των γονέων και των παιδιών πάνω στις νέες τεχνολογίες, η WIND υλοποιεί από το 2011, στο πλαίσιο της στρατηγικής Εταιρικής Υπευθυνότητας, την ενημερωτική εκστρατεία ''Kids@safety: internet, κινητό και παιδί''. Η εκστρατεία επικεντρώνεται στην ουσιαστική ευαισθητοποίηση και πληροφόρηση για θέματα ασφαλούς χρήσης του Διαδικτύου, εξοικείωσης με τις νέες τεχνολογίες και τους κινδύνους που κρύβει το Διαδίκτυο, αλλά και τους τρόπους αντιμετώπισης των προκλήσεων του ψηφιακού κόσμου, χωρίς να τον δαιμονοποιεί. Κεντρικό πυλώνα της εκστρατείας αποτελεί η διαδικτυακή πλατφόρμα www. kidsatsafety.gr, η οποία φιλοξενεί χρήσιμες πληροφορίες, ειδήσεις και οπτικοακουστικό υλικό με συμβουλές προς τους γονείς και τα παιδιά, αλλά και έρευνες σχετικά με τη συμπεριφορά των παιδιών στο Διαδίκτυο και τη χρήση του, συνεντεύξεις ειδικών και επιστημόνων, θέτει προβληματισμούς, ενώ παραπέμπει και σε ιστοσελίδες ελ-
ληνικών οργανισμών που ασχολούνται με την προστασία των παιδιών. Σημαντικός άξονας της εκστρατείας Kids@ safety είναι η στρατηγική συνεργασία της WIND με τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας, κυρίως όσον αφορά στη δράση Cyberkid, η οποία ξεδιπλώνεται μέσω του ιστοχώρου www.cyberkid.gr, της ειδικής εφαρμογής Cyberkid app για κινητά και της τηλεφωνικής γραμμής Cyberalert 11188.
Στη χώρα μας, το σερφάρισμα στο Internet έχει γίνει εθνική ασχολία, καθώς η πλειονότητα των Ελλήνων είναι κάθε μέρα online. Αυτό δεν αφορά μόνο τους ενήλικες αλλά και τα παιδιά, για τα οποία το Internet, εκτός από γνώση και ψυχαγωγία, εγκυμονεί και κινδύνους. Ιδιαίτερο ενδιαφέρον παρουσιάζουν οι έρευνες που υλοποιούνται στο πλαίσιο της εκστρατείας, όπως η έρευνα που έγινε μέσα από τη σελίδα της εκστρατείας στο Facebook (www. facebook.com/KidsAtSafety), η οποία έθετε το ερώτημα σε ποιο σημείο του σπιτιού βρίσκεται ο υπολογιστής. Τη σωστή απάντηση -που είναι στο σαλόνι/καθιστικό- έδωσε μόνο το 57% των συμμετεχόντων. Ποσοστό αρκετά ανησυχητικό, καθώς, σύμφωνα με ειδικούς επιστήμονες, ψυχολόγους, καθηγητές πληροφορικής κ.τ.λ., ο υπολογιστής πρέπει να βρίσκεται σε κοινό χώρο μέσα στο σπίτι. Χρειάζεται να είμαστε ενήμεροι για τη δράση των παιδιών μας στο onilne περιβάλλον. Όπως μαθαίνουμε στα παιδιά μας τους κινδύνους που διατρέχουν στον πραγματικό κόσμο, έτσι πρέπει να τα καθοδηγήσουμε ώστε να προστατεύονται και από τους κινδύνους του Διαδικτύου. *Διευθυντή Εταιρικών Σχέσεων Wind Ελλάς
BROKER'S TIME | 28
ΑΡΘΡΟ
CYBER INSURANCE ΠΩΣ ΕΠΙΔΡΆ ΣΤΗΝ ΑΓΟΡΑ Η ΑΛΛΑΓΗ ΤΗΣ ΝΟΜΟΘΕΣΙΑΣ EΠΙΤΡΟΠΗ ΔΙΕΘΝΩΝ ΣΧΕΣΕΩΝ ΣΕΜΑ
ΣΤΙΣ 16 ΑΠΡΙΛΙΟΥ 2016, ΨΗΦΙΣΤΗΚΕ ΑΠΟ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ Ο ΝΕΟΣ ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (GDPR). Ο ΚΑΝΟΝΙΣΜΟΣ ΑΠΟΤΕΛΕΙ ΝΟΜΟΘΕΤΗΜΑ ΑΜΕΣΗΣ ΕΦΑΡΜΟΓΗΣ ΣΕ ΟΛΑ ΤΑ ΚΡΑΤΗ-ΜΕΛΗ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ ΚΑΙ ΘΑ ΤΕΘΕΙ ΣΕ ΙΣΧΥ ΜΕΤΑ ΤΗΝ ΠΑΡΕΛΕΥΣΗ ΤΗΣ ΜΕΤΑΒΑΤΙΚΗΣ ΠΕΡΙΟΔΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΑΡΜΟΓΗ ΤΩΝ ΚΡΑΤΩΝ, ΔΗΛΑΔΗ ΣΤΙΣ 25 ΜΑΪΟΥ 2018.
Η
νέα νομοθεσία, εκτός των τεχνικών και οργανωτικών μέτρων που πρέπει να λαμβάνει κάθε εταιρεία για την προστασία των δεδομένων που διαχειρίζεται, απαιτεί τη γνωστοποίηση των περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων εντός 72 ωρών στην αρμόδια αρχή. Για τα περιστατικά αυτά προβλέπει πρόστιμα για τις εταιρείες που δεν κατάφεραν να διατηρήσουν την ασφάλεια των πληροφοριών που διαχειρίζονται, τα οποία μπορούν να φθάσουν έως το 4% του τζίρου τους ή 20 εκατ. ευρώ, όποιο α-
πό τα δύο είναι μεγαλύτερο. Ο Κανονισμός επίσης προβλέπει την τοποθέτηση Data Protection Officer, ο οποίος θα πρέπει να έχει τις κατάλληλες γνώσεις και δεξιότητες για να ανταποκριθεί στον ρόλο του, με αποδεδειγμένη γνώση και εμπειρία στη νομοθεσία και πρακτική εφαρμογή των διαδικασιών διαχείρισης προσωπικών δεδομένων, ο οποίος θα έχει ανεξαρτησία και θα αναφέρεται απευθείας στον CEO ή σε μέλος του ΔΣ μιας εταιρείας. Η ασφάλιση Cyber Insurance αποτελεί ένα κρίσιμο κομμάτι της στρατηγικής για τη διαχείριση των κινδύνων, που πρέπει να χρησιμοποιεί κάθε εταιρεία για να διαχειριστεί τον υπολειπόμενο
κίνδυνο (residual risk), που δεν μπορεί να μειώσει με τη χρήση διαδικασιών και πολιτικών διαχείρισης. Η εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων και ο ορισμός Data Protection Officer θα εξασφαλίσει την ασφαλισιμότητα των εταιρειών και θα βοηθήσει στην ανάπτυξη της αγοράς ασφάλισης Cyber Insurance. Ας δούμε λίγο τι συνέβη στο Ηνωμένο Βασίλειο, στο οποίο το 2014 εφαρμόστηκαν τα Cyber Essentials, ένας αντίστοιχος κανονισμός προστασίας των εταιρειών από κυβερνοεπιθέσεις, o οποίος ανάγκασε τις εταιρείες να συμμορφωθούν με αυτόν. Σύμφωνα με στοιχεία του report UK Cyber Insurance 2017 της εταιρείας Global Data*, το ποσοστό ασφαλισμένων μικρομεσαίων εταιρειών (SMEs) με ασφάλιση cyber insurance του Ηνωμένου Βασιλείου από 2,1% το 2014 ανήλθε σε 13,7% το 2016. Για τις εταιρείες του Ηνωμένου Βασιλείου που βρίσκονται στην κατηγορία μεσαίες προς μεγάλες**, οι οποίες συνεργάζονται με μεσίτες ασφαλειών, το ποσοστό ασφάλισης φτάνει το 20 με 25%. Η ανάπτυξη της συγκεκριμένης αγοράς αποτελεί μια μοναδική ευκαιρία για τους μεσίτες οι οποίοι θέλουν να διαθέσουν χρόνο, να εκπαιδευτούν κατάλληλα και να επενδύσουν στην αγορά αυτή.
*https://www.globaldata.com/store/report/gdf0002ia--uk-cyber-insurance-2017/?utm_source=mediacenter&utm_ medium=pr&utm_campaign=170323b_gd_fn_pr_cyber_insurance&utm_nooveride=1 * OECD Report: Supporting an effective Cyber Insurance Market BROKER'S TIME | 29
ΕΚΕ
ΠΑΙΔΙΚΆ ΧΩΡΙΆ SOS ΕΔΏ ΚΑΙ 42 ΧΡΌΝΙΑ ΔΗΜΙΟΥΡΓΟΥΝ ΟΙΚΟΓΈΝΕΙΕΣ ΓΙΑ ΠΑΙΔΙΆ ΣΕ ΑΝΆΓΚΗ
Τ
α Παιδικά Χωριά SOS είναι μια μεγάλη οικογένεια, που αγκαλιάζει με αγάπη και φροντίδα τα παιδιά που είναι μόνα στον κόσμο. Κάθε Παιδικό Χωριό SOS δίνει σε κάθε παιδί ξεχωριστά τη ζεστασιά ενός δικού του σπιτικού, τη συντροφιά των φίλων και των αδελφών του, το ενδιαφέρον για τη μόρφωσή του, την ξενοιασιά του παιχνιδιού. Κάθε Παιδικό Χωριό SOS χαρίζει στα παιδιά το μητρικό χάδι και την αγάπη μιας Μητέρας SOS, που έχουν ανάγκη και χρειάζονται περισσότερο απ' όλα. Κάθε Παιδικό Χωριό SOS είναι μια μεγάλη αγκαλιά, όπου τα παιδιά μεγαλώνουν με αγάπη, σεβασμό και ασφάλεια.
Παρουσία σε όλη την Ελλάδα, από την Κρήτη μέχρι τη Θράκη Τα Παιδικά Χωριά SOS έχουν συμπληρώσει 42 χρόνια παρουσίας στην Ελλάδα, ως μέλος του SOS Children's
BROKER'S TIME | 30
Villages International, που δραστηριοποιείται σε 134 χώρες. Στην Ελλάδα, τα Παιδικά Χωριά SOS λειτουργούν τα εξής προγράμματα:
Ο ΣΕΜΑ στηρίζει έμπρακτα τα Παιδικά Χωριά SOS
• Παιδικά Χωριά SOS Στη Βάρη, στο Πλαγιάρι Θεσσαλονίκης, στην Αλεξανδρούπολη, στο Ηράκλειο
Από το 2016 ο ΣΕΜΑ στηρίζει έμπρακτα το έργο των Παιδικών Χωριών SOS, έχοντας αναλάβει την υιοθεσία μίας οικογένειας 5 παιδιών στο Παιδικό Χωριό SOS στη Βάρη: του Χρήστου, 9 ετών, του Νικόλα, 11 ετών, της Ιωάννας, 12 ετών, του Νίκου, 13 ετών, και της Ρέννης, 14 ετών. Σε αυτό το πλαίσιο, ο ΣΕΜΑ έχει αναλάβει να καλύπτει το ετήσιο κόστος για τις ανάγκες διαβίωσης-τροφής των παιδιών, ένδυσης, εκπαίδευσης-επαγγελματικού προσανατολισμού, ψυχολογικής-ψυχοκοινωνικής στήριξης, τον μισθό της Μητέρας SOS, καθώς και γενικά έξοδα του σπιτιού.
• Στέγες Νέων Στην Αθήνα και στη Θεσσαλονίκη • Ξενώνας Βρεφών SOS, για κακοποιημένα και παραμελημένα βρέφη και νήπια Στην Αθήνα • Κέντρα Στήριξης Παιδιού και Οικογένειας για οικογένειες σε κρίση Στην Αθήνα, στην Αλεξανδρούπολη, στο Ηράκλειο, στη Θεσσαλονίκη, στα Ιωάννινα, στην Καλαμάτα, στην Κομοτηνή, στην Πάτρα, στον Πειραιά και στο Περιστέρι Το έργο των Παιδικών Χωριών SOS στηρίζεται αποκλειστικά στις δωρεές που προσφέρουν ιδιώτες, εταιρείες και Οργανισμοί, καθώς επίσης στα κληροδοτήματα και στα έσοδα από διάφορες εκδηλώσεις.
Επιπροσθέτως, με κάθε ευκαιρία, ο ΣΕΜΑ και τα μέλη του Διοικητικού Συμβουλίου του βρίσκονται κοντά στα παιδιά που ζουν και μεγαλώνουν στα Παιδικά Χωριά SOS, αξιοποιώντας το δίκτυο των συνεργατών τους και διοργανώνοντας δράσεις εκπαιδευτικού και ψυχαγωγικού χαρακτήρα.
Χ ΧΜ ΧΕ ΧΛ Ω Ν Σ Ε Μ Α ΚΑΤΑΛΟΓΟΣ ΑΟΝ GREECE ΑΕ ΔΑΛΙΑΝΗΣ ΓΕΩΡΓΙΟΣ Tζαβέλα 1-3 & Εθν. Αντιστάσεως, Βusiness Plaza (κτήριο 1), 152 31, Χαλάνδρι T: 213 0177100 F: 213 0177171 aonhellas@aon.gr
CROMAR LTD ΚΛΑΙΡΗ ΠΕΤΟΥΝΗ Αγίου Κωνσταντίνου 17 & Αγίων Αναργύρων 42, Μαρούσι T: 210 8028946 F: 210 8029055 www.cromar.gr info@cromar.gr
EUROPROTECTION ΑΕ ΠΑΠΑΓΙΑΝΝΟΠΟΥΛΟΣ ΓΕΩΡΓIΟΣ Λ. Μεσογείων 364, 153 41, Αγία Παρασκευή T: 211 1036503-587 F: 211 1036508 www.europrotection.gr info@europrotection.gr
EXECUTIVE AE ΑΝΩΓΙΑΤΗΣ ΠΑΝΑΓΙΩΤΗΣ Σιδηροκάστρου 5-7 & Πύδνας, 118 55, Αθήνα T: 210 3469549 F: 210 3461378 www.executive.gr insbrk@executive.gr BRITANNIA INS. BROKERS SA ΠΑΠΑΝΙΚΗΤΑΣ ΘΕΟΦΑΝΗΣ EXPERT ΜΕΣΙΤΕΣ Χασιώτη 13, 151 23, DAES LONDON MARKET ΑΣΦΑΛΙΣΕΩΝ ΕΠΕ Ν. Φιλοθέη, Μαρούσι INSURANCE BROKERS IKE ΚΑΠΑΝΤΑΗΣ ΠΑΝΑΓΙΩΤΗΣ T: 210 6857686-7 ΚΑΧΡΙΜΑΝΗΣ ΣΤΑΥΡΟΣ, Μεσογείων 280, 155 62, Χολαργός F: 210 6858577 Βησσαρίωνος 3-5, 106 72, T: 210 6837060 www.britannia.gr Αθήνα, 215 2609900, F: 210 6814092 info@britannia.gr www.daes.gr, info@daes.gr www.expertinsurance.gr expert@expertinsurance.gr BRITISH PROVIDENCE AE DYNAMIC INSURANCE ΑΝΑΣΤΑΣΙΑΔΟΥ ΑΝΑΣΤΑΣΙΑ NETWORK "DIN" GLOBALIS ΑΕ Εθν. Αντιστάσεως 48, 152 31, ΘΕΟΔΩΡΟΣ ΑΝΤΩΝΟΓΕΩΡΓΟΣ, ΓΑΒΡΙΛΗΣ ΝΙΚΟΣ Χαλάνδρι T: 210 2808650 Γράμμου 73 & Λεωφ. Κηφισίας, Παπαναστασίου 4, 185 34, Πειραιάς F: 210 2851688 15124 Μαρούσι, T: 210 2525017, T: 210 4122093 www.britishprovidence.gr www.din.com.gr, sales@din.com.gr F: 210 4117038 mail@britishprovidence.gr www.gavrilis.com ERB ΑΣΦΑΛΙΣΤΙΚΕΣ info@gavrilis.com BROKINS ΜΕΣΙΤΙΚΗ ΑΣΦΑΛΙΣΕΩΝ ΕΠΕ ΥΠΗΡΕΣΙΕΣ ΑEMA IΑΤΡΟΠΟΥΛΟΥ ΒΙΡΓΙΝΙΑ ΤΡΥΦΩΝ ΑΝΝΥ GLOBALNET INSURANCE Λ. Βουλιαγμένης 99 & Ιλίου 1, Σίνα 2-4, 106 72, Αθήνα BROKERS LTD 166 74, Γλυφάδα T: 210 9303850 ΚΑΦΦΕΤΖΗ ΕΥΓΕΝΙΑ T: 210 8931600 F: 210 9303971-3 Αρτέμιδος 7, 151 24, Μαρούσι F: 210 9621297 www.erbbrokers.gr T: 210 6100990 www.brokins.gr info@erbbrokers.gr F: 210 6109241 customer@brokins.gr www.globalnet.gr EUROBROKERS AΕ info@globalnet.gr COMERGON SA ABDO WALID ΖΑΦΕΙΡΙΟΥ ΓΕΩΡΓΙΟΣ Κηφισίας 100 & INFOTRUST AE Μπραχαμίου 9, Μαραθωνοδρόμων 83, ΚΟΠΤΣΗΣ ΓΕΩΡΓΙΟΣ 151 24, Μαρούσι 151 25, Μαρούσι 9ο χλμ. Θεσ/κης-Μουδανιών, T: 210 6196525 T: 210 8123920-3 Τ.Θ. 60832, Τ.Κ. 57 001 F: 210 6198479 F: 210 6140201 T: 2310 492492 www.comergon.gr www.eurobrokers.gr F: 2310 474792 info@comergon.gr info@eurobrokers.gr www.infotrust.gr broker@infotrust.gr CONSENSUS INSURANCE SERVICES ΕΕ EUROMARE AE ΜΥΤΙΛΗΝΑΙΟΣ ΦΙΛΙΠΠΟΣ ΜΠΕΛΛΕΣ ΑΛΕΞΑΝΔΡΟΣ KARAVIAS UNDERWRITING AGENCY Ηρώδου Αττικού 7, Λ. Ποσειδώνος 93, 166 74, ΚΑΡΑΒΙΑΣ ΓΕΩΡΓΙΟΣ 145 61, Κηφισιά Γλυφάδα Ευριπίδου 12, 105 59, Αθήνα T: 210 6253724 T: 210 3314030 T: 210 3640618 F: 210 6253876 F: 210 3314034 F: 210 3643503 www.consensus-ins.gr www.euromare.gr www.gkaravias.gr info@consensus-ins.gr info@euromare.gr info@gkaravias.gr ΒΝΤ INSURANCE BROKERS ΤΡΙΑΝΤΑΦΥΛΛΟΥ ΒΑΣΙΛΗΣ Αμερικής 19 & Βαλαωρίτου 106 71, Αθήνα T: 210 3609000 F: 210 3605050 www.bnt.gr info@bnt.gr
BROKER'S TIME | 31
DAEDALUS LIFE EE ΦΩΤΟΠΟΥΛΟΣ ΚΩΝΣΤΑΝΤΙΝΟΣ Κηφισίας 16 & Χαλεπά 1, 15125, Παράδεισος Αμαρουσίου T: 210 6843888 F: 210 6801288 www.daedaluslife.gr info@daedaluslife.gr
BROKER'S TIME | 31
Κ Α Τ Α Λ Ο Γ Ο ΣΧ Χ ΜΧΕ Λ Ω Ν Σ Ε Μ Α MARSH EΠΕ OIKONOMOΠΟΥΛΟΥ ΘΕΟΔΩΡΑ-ΙΩΑΝΝΑ Κηφισίας 16 & Χαλεπά 1, 151 25, Μαρούσι T: 210 8176000 F: 210 8176030 marsh.greece@marsh.com
Ομήρου 22, 106 72, Αθήνα T: 210 3734413 F: 210 3734440 www.postinsurance.eu info@postinsurance.eu
WILLIS TOWERS WATSON NET TRUST ΕΛΛΑΣ AE MAΥΡΟΠΟΥΛΟΣ ΚΩΝΣΤΑΝΤΙΝΟΣ Ευριπίδου 2Α, 176 74, Καλλιθέα T: 210 9465501 F: 210 9430054 info@willis.grassavoye.gr
PREMIUM BROKERS AΕ ΜΕΣΙΤΕΣ ΑΣΦΑΛΙΣΕΩΝ ΑΛΕΞΑΝΔΡΑ ΛΑΜΠΡΟΥΚΟΥ ΧΑΡΗΣ ΚΩΣΤΟΥΛΑΣ ΜΕGA INSURANCE BROKERS AE Ηρώων Πολυτεχνείου 2-4, Βασιλίσσης Σοφίας 69, XATZHΘΕΟΔΟΣΙΟΥ ΙΩΑΝΝΗΣ 146 71 Ν. Ερυθραία, 115 21, Αθήνα Λ. Συγγρού 122, T: 210 6250920, T: 216 6004200 117 45, Αθήνα lamprouk@otenet.gr F: 2166004274 T: 210 9225824-5 www.b-sa.gr F: 210 9225823 ΑMIΛΛΗΣ ΝΙΚΟΛΑΟΣ info@premiumbrokers.gr www.megabroker.gr 9ο χλμ. Θεσ/κης-Θέρμης, info@megabroker.gr 57 001, Θεσσαλονίκη PRIMARY LINK SA T: 2310 474247 ΒΑΚΑΛΗΣ ΑΛΕΞΗΣ MONEY MARKET AE F: 2310 474246 Γεωργίου Σισίνη 15Α, ΠΑΠΑΝΤΩΝΟΠΟΥΛΟΣ ΣΩΤΗΡΙΟΣ www.ami-agency.gr 115 28 Αθήνα Αγ. Δημητρίου 4, 105 54, Αθήνα info@ami-brokers.com T: 210 9224451 T: 210 3245000 F: 210 9224046 F: 211 8007242 AMT ΜΕΣΙΤΕΣ ΑΣΦΑΛΙΣΕΩΝ ΕΕ www.primarylink.gr www.insurancemarket.gr ΤΖΩΡΤΖΩΡΗΣ ΜΙΧΑΗΛ info@primarylink.gr info@insurancemarket.gr Τζαβέλλα 15-17, 185 33, Πειραιάς REAL ΑΕ MY NET T: 210 4133644 ΤΖΩΡΤΖΗΣ ΙΩΑΝΝΗΣ ΤΡΙΑΝΤΆΦΥΛΛΟΣ ΤΡΙΑΝΤΑΦΥΛΛΊΔΗΣ F: 211 7704444 Πανεπιστημίου 13, Μονοπρόσωπη ΕΠΕ, www.amt.gr 105 64, Αθήνα Εθνικής Αντίστασης 21, 56430 info@amt.gr T: 210 3232490 Θεσσαλονίκη, Τ: 2310 548484 F: 210 3223669 www.mynet-epe.gr ΑΜΥΝΑ ΕΠΕ ΜΕΣΙΤΕΣ ΑΣΦΑΛΙΣΕΩΝ www.real-ib.gr info@mynet-epe.gr ΝΤΟΒΑΣ ΒΑΣΙΛΕΙΟΣ info@real-ib.gr Κηφισίας 74, 151 25, NAK INSURANCE BROKERS ΕΠΕ Μαρούσι THREE SIXTY ΑΣΦΑΛΙΣΤΙΚΕΣ ΚΑΤΣΙΜΠΕΡΗΣ ΝΙΚΟΛΑΟΣ T: 210 6140591 & ΤΡΑΠΕΖΙΚΕΣ ΥΠΗΡΕΣΙΕΣ Δεκελείας 9, 143 43, F: 210 6142062 ΧΡΗΣΤΟΣ ΓΕΩΡΓΙΟΠΟΥΛΟΣ Ν. Χαλκηδόνα www.amyna.gr Αγίου Γεωργίου 51, Χαλάνδρι, T: 210 2517840 info@amyna.gr 152 34, T: 210 6830360, F: 210 2527569 www.360-insurance.gr, www.nakinsurance.gr info@360-insurance.gr info@nakinsurance.gr ΑΠΟΛΛΩΝ ΑΕ ΜΕΣΙΤΕΙΑΣ ΑΣΦΑΛΙΣΕΩΝ ΒΑΡΟΠΟΥΛΟΣ ΓΕΩΡΓΙΟΣ UIS AE NBG ΜΕΣΙΤΕΣ ΑΣΦΑΛΙΣΕΩΝ ΑΕ Λ. Αθηνών 71, 101 73, Αθήνα ΛΑΜΠΟΣ ΧΡΗΣΤΟΣ ΧΑΤΖΟΠΟΥΛΟΣ ΑΝΑΣΤΑΣΙΟΣ T: 210 3483431-4 Εγνατίας 53, 546 31, Σόλωνος 75, 106 79, Αθήνα F: 210 3465329 Θεσ/νίκη T: 210 3388793-799 info@saracakis.gr T: 2310 232066 F: 210 3388790 F: 2310 237708 insurancebrokers@nbg.gr ΑΣΦΑΛΙΣΤΙΚΗ ΕΓΓΥΗΣΗ ΕΠΕ www.uis.gr ΣΟΥΡΙΚΑ ΜΑΡΙΛΕΝΑ uisins@otenet.gr NOBILIS ΕΠΕ Καποδιστρίου 5, ΤΣΙΛΙΜΠΑΡΗ ΜΑΡΙΑ 144 52, Μεταμόρφωση VESTER ΑΕ Αρχαίου Θεάτρου 8, 174 56, Άλιμος T: 210 2801105 ΚΑΤΣΙΚΑΣ ΕΥΑΓΓΕΛΟΣ T: 210 9912260 F: 210 2801104 Βαλαωρίτου 17 & Αμερικής, F: 210 9713340 www.insurg.gr 106 71, Αθήνα www.nobilisbrokers.gr info@insurg.gr T: 210 3259811 info@nobilisbrokers.gr F: 210 3210684 ΔΡΆΚΟΥ ΜΕΣΊΤΕΣ ΑΣΦΑΛΊΣΕΩΝ www.vester.gr POST INSURANCE BROKERAGE ΒΑΣΙΛΙΚΗ ΔΡΑΚΟΥ info@vester.gr ΜΕΣΙΤΕΣ ΑΣΦΑΛ. ΑΕ Λεωφ. Βασιλέως Κωνσταντίνου ΔΑΜΔΗΜΟΠΟΥΛΟΣ ΑΝΑΣΤΑΣΙΟΣ 44, 116 35, Αθήνα BROKER'S TIME | 32
BROKER'S TIME | 32
Χ ΧΜ ΧΕ ΧΛ Ω Ν Σ Ε Μ Α ΚΑΤΑΛΟΓΟΣ
F: 210 6140448 T: 210 6857686-7 Τ: 210 7209589 www.koumbas.gr F: 210 6858577 www.drakouinsurance.com koumbas@koumbas.gr www.britannia.gr vdrakou@drakouinsurance.com info@britannia.gr ΚΩΝΣΤΑΝΤΙΝΟΠΟΥΛΟΣ ΚΩΣΤΗΣ ΓΚΡΙΝΓΟΥΝΤΣ ΕΠΕ Ξάνθου 2, 106 73, Αθήνα Ι. ΣΑΜΟΛΑΔΑΣ-Μ.ΓΕΩΡΓΑΡΟΥΔΗ ΟΕ ΚΑΛΟΓΕΡΑΚΟΣ ΚΩΝΣΤΑΝΤΙΝΟΣ T: 210 7225915 ΜΕΣΙΤΕΣ ΑΣΦΑΛΕΙΩΝ-ΑΣΦ. Δασκαρόλη 67, 166 75, F: 211 8002465 ΣΥΜΒ.- ΣΥΝΤ. ΑΣΦ. ΣΥΜΒΟΥΛΩΝ Γλυφάδα costispc@gmail.com ΣΑΜΟΛΑΔΑΣ ΙΩΑΝΝΗΣ T: 210 9690700 Λ. Ειρήνης 151, F: 210 9690708 ΛΑΖΑΡΟΣ ΠΑΠΑΔΟΠΟΥΛΟΣ 1 88 63, Πέραμα www.greenwoods.org ΠΑΠΑΔΟΠΟΥΛΟΣ ΛΑΖΑΡΟΣ T: 210 4416888 kostas@greenwoods.org Ι. Κωλέττη 22, www.anyinsurance.gr 546 27, Θεσσαλονίκη samoladas@truckinsurance.gr ΔΕΚΑΘΛΟΝ ΑΕ T: 2310 567520 ΣΤΑΜΟΓΙΩΡΓΟΣ ΔΗΜΗΤΡΙΟΣ F: 2310 567520 ΙΩΑΝΝΟΥ & ΣΥΝΕΡΓΑΤΕΣ Μεσογείων 71, lazpap1972@gmail.com ΜΕΣΙΤΕΣ ΑΣΦΑΛΙΣΕΩΝ ΕΠΕ 115 26, Αθήνα ΙΩΑΝΝΟΥ ΑΝΔΡΕΑΣ T: 210 7454000 Αγ. Ιωάννου 6, 152 33, F: 210 7794446 ΛΑΜΠΡΟΣ ΚΟΚΚΙΝΟΣ INSURANCE Χαλάνδρι dekathlon@atlantiki.gr BROKERS ΑΕ T: 210 6899199 ΚΟΚΚΙΝΟΣ ΝΙΚΟΛΑΟΣ F: 210 6899299 ΔΙΟΝ ΟΕ Ερμού 44, www.ip-insurance.gr ΣΎΜΒΟΥΛΟΙ ΑΣΦΑΛΙΣΤΙΚΏΝ 105 63, Αθήνα info@ip-insurance.gr ΥΠΗΡΕΣΙΏΝ T: 210 3253825 ΠΌΠΗ ΓΙΑΜΠΊΛΗ, F: 210 3253951 KAΠΟΥΑΝΟ ΑΕ Σώρου 1, 144 51 www.kokkinos-insurance.gr ΚΑΠΟΥΑΝΟ ZAK Μεταμόρφωση Αττικής, kokinsur@otenet.gr Αγ. Βαρβάρας 37, T: 210 2893709 152 31, Χαλάνδρι ΜΑΡΤΕΝ ΒΑΣ. ΔΗΜΟΣΘΕΝΗΣ T: 210 6777200 EΛΕΝΗ ΛΑΜΠΡΟΥΚΟΥ ΜΕΣΙΤΗΣ ΑΣΦΑΛΕΙΩΝ F: 210 6777744 Ηρώων Πολυτεχνείου 2-4, ΜΑΡΤΕΝ ΔΗΜΟΣΘΕΝΗΣ www.mjcapuano.gr 146 71, Ν. Ερυθραία Ελ. Βενιζέλου 155-157, capuano@mjcapuano.gr T: 210 6250920 176 72, Καλλιθέα F: 210 6250792 T: 210 9570333 ΚΑΡΠΕΝΤΕΡ ΤΕΡΝΕΡ ΑΕ ΜΕΣΙΤΕΙΑΣ lamprouk@otenet.gr F: 210 9578235 ΑΣΦΑΛ., ΑΝΤΑΣΦ. & ΑΣΦ. ΣΥΜΒΟΥΛΟΣ www.marten.gr ΤΕΡΝΕΡ ΑΛΕΞΑΝΔΡΟΣ-ΓΕΩΡΓΙΟΣ ΕΛΠΑ ΜΕΣ. ΑΣΦΑΛΙΣΕΩΝ ΑΕ info@marten.gr Γρανικού 7, ΚΑΠΑΝΤΑΗΣ ΠΑΝΑΓΙΩΤΗΣ 151 25, Μαρούσι Λ. Μεσογείων 280, 155 62, Χολαργός ΜΕΡΚΙΟΥΡΙ ΑΕ T: 213 0119000 T: 210 6898710 F: 210 6898712 ΚΑΤΣΙΩΤΗΣ ΓΕΩΡΓΙΟΣ F: 213 0119090 sales@elpaasfalies.gr Μομφεράτου 148, www.carpenterturner.com 114 75, Αθήνα welcome@carpenterturner.com ΕΥΘΥΜΙΑ ΚΟΥΤΣΟΒΑΣΙΛΗ T: 210 6466641 Μαραθωνοδρόμου 83, Μαρούσι F: 210 6466759 ΚΟΥΪΔΟΥΡΜΑΖΗ ΙΩΑΝΝΑ ΜΕΣΙΤΕΣ 151 25, Τ: 210 8123800, www.mercury-insbrokers.gr ΑΣΦΑΛΙΣΕΩΝ ΑΕ koutsovasili@eurobrokers.gr info@mercury-insbrokers.gr ΚΟΥΪΔΟΥΡΜΑΖΗ ΙΩΑΝΝΑ Α. Αρτέμιδος 4 & Κηφισίας, ΕΛΥΖΕ ΑΕ ΜΟΥΤΟΥΑΛ ΑΕ 151 24, Μαρούσι ΜΩΡΑΪΤΗΣ ΧΑΡΑΛΑΜΠΟΣ ΝΙΚΟΛΙΝΑΚΟΣ ΔΗΜΗΤΡΙΟΣ T: 210 6109921 Λ. Κηφισίας 240-242, Κοραή 7, 153 41, Αγ. Παρασκευή F: 210 6109922 152 31, Χαλάνδρι T: 210 6549515 www.credit.com.gr T: 210 6700600 F: 210 6549517 info@credit.com.gr F: 210 6700700 www.mutualnet.gr www.elysee.gr customercare@mutualnet.gr ΚΟΥΜΠΑΣ ΓΕΩΡΓΙΟΣ info@elysee.gr ΚΟΥΜΠΑΣ ΓΕΩΡΓΙΟΣ ΜΕΣΙΤΕΣ ΑΣΦΑΛΙΣΕΩΝ ΑΘΗΝΑΣ ΑΕ Κηφισίας 100 & ΘΕΟΦΑΝΗΣ ΠΑΠΑΝΙΚΗΤΑΣ & ΣΙΑ ΕΕ ΑΛΦΙΕΡΗΣ ΚΩΝΣΤΑΝΤΙΝΟΣ Μαραθωνοδρόμων 83, ΠΑΠΑΝΙΚΗΤΑΣ ΘΕΟΦΑΝΗΣ Ελ. Βενιζέλου 99, 171 23, 151 25, Mαρούσι Χασιώτη 13, 151 23, Ν. Σμύρνη T: 210 8123700 Ν. Φιλοθέη, Μαρούσι T: 210 9323700 BROKER'S TIME | 33
BROKER'S TIME | 33
Κ Α Τ Α Λ Ο Γ Ο ΣΧ Χ ΜΧΕ Λ Ω Ν Σ Ε Μ Α F: 210 9323566-576 www.aib.gr info@aib.gr
www.papadakis.com.gr info@papadakis.com.gr
ΥΔΡΑ ΜΕΣΙΤΕΣ ΑΣΦΑΛΙΣΕΩΝ ΑΕ ΚΑΤΣΙΜΠΕΡΗΣ ΝΙΚΟΛΑΟΣ Αγ. Φιλοθέης & Ναυ. Νικοδήμου 30, 105 56, Αθήνα T: 210 3724900 F: 210 2517840 nkatsib@nakinsurance.gr
ΠΕΙΡΑΙΩΣ ΜΕΣΙΤΕΣ ΑΣΦΑΛΙΣΤΙΚΩΝ & ΑΝΤΑΣΦΑΛΙΣΤΙΚΩΝ ΕΡΓΑΣΙΩΝ ΑΕ ΚΑΡΑΚΟΛΗ ΜΑΡΙΑ Λεωφ. Α. Συγγρού 163, ΦΙΛΗΣ ΜΕΣΙΤΕΣ ΑΣΦΑΛΙΣΕΩΝ ΕΠΕ 171 21, Αθήνα ΦΙΛΗΣ ΝΙΚΟΛΑΟΣ T: 210 3288015 Παρασκευοπούλου 4, F: 210 3288570 121 32, Περιστέρι GotsisJ@Piraeusbank.gr ΝΝ ΕΑΕ ΜΕΣΙΤΕΣ ΑΣΦΑΛΙΣΕΩΝ T: 210 5766100 ΜΠΑΜΠΟΥΡΗ ΑΘΗΝΑ F: 211 7704343 ΠΕΝΚΟ ΑΕ Λ. Συγγρού 198, filis@filis.gr ΚΡΟΚΙΔΑΣ ΚΩΣΤΑΣ 176 71, Καλλιθέα Κονίτσης 5, 151 25, T: 210 9506816 ΦΟΥΤΑΔΑΚΗ ΑΝΑΣΤΑΣΙΑ Μαρούσι F: 210 9506805 Χ. Τρικούπη 146 & Στροφυλίου, T: 210 6140292 www.nnhellas.gr info@nnhellas.gr 146 71, F: 210 6140297 Νέα Ερυθραία Αττικής www.penco.gr ΝΤΑΛΙΑΝΗ ΕΠΕ T: 210 6206380 info@penco.gr ΑΘΥΡΙΔΗΣ ΙΩΑΝΝΗΣ F: 211 8009999 Πολυτεχνείου 45, foutadaki@gmail.com ΠΟΛΑΡΙΣ ΕΠΕ 546 25, Θεσ/νίκη ΚΑΚΟΥΡΗΣ ΠΕΤΡΟΣ T: 2310 542202 - 2310 542280 Λεωφ. Συγγρού 229, 171 21, F: 2310 526091 ΩΜΕΓΑ ΜΕΣ. ΑΣΦΑ. & ΑΝΤΑΣΦΑΛ. ΑΕ Ν. Σμύρνη T: 210 9522777 www.daliani-insurance.com ΣΙΑΧΟΣ ΚΩΝΣΤΑΝΤΙΝΟΣ F: 210 9522737 info@daliani-insurance.com Βαλαωρίτου 17 & Αμερικής, www.polarisbrokers.gr 106 71, Αθήνα info@polarisbrokers.gr ΞΗΡΟΓΙΑΝΝΟΠΟΥΛΟΣ ΙΚΕ T: 210 6829720 ΞΗΡΟΓΙΑΝΝΟΠΟΥΛΟΣ ΙΩΑΝΝΗΣ F: 210 6457115 ΠΡΑΞΙΣ ΕΠΕ Αμερικής 20, www.omegabrokers.gr ΠΑΠΠΑ ΙΩΑΝΝΑ 106 71, Αθήνα info@omegabrokers.gr Σελευκείας & Πρεβέζης 1, T: 210 3602226-9 143 42, Ν. Φιλαδέλφεια F: 210 3611110 T: 210 2580451-458 www.xirogiannopoulos.gr F: 210 2586979 info@xirogiannopoulos.gr www.praxis-insurance.gr info@praxis-insurance.gr OMIKΡΟΝ ΑΕ ΘΩΜΑΔΑΚΗ ΕΛΙΣΑΒΕΤ ΣΙΓΜΑ ΑΕ Λ. Κηφισίας 34, 115 26, Αθήνα ΣΕΡAΦΕΙΜΙΔΗΣ ΓΕΩΡΓΙΟΣ T: 210 7705622 - 210 7778442 Σανταρόζα 1 & Σταδίου, F: 210 7753065 Αθήνα 10564 www.omikroninsurance.gr T: 210 9346635 info@omikroninsurance.gr F: 210 9318867 ΣΥΝΔΕΣΜΟΣ ΕΛΛΗΝΩΝ www.sigmaib.gr ΠΑΝΑΓΙΩΤΟΠΟΥΛΟΣ ΓΙΑΓΚΟΣ ΜΕΣΙΤΩΝ ΑΣΦΑΛΙΣΕΩΝ info@sigmaib.gr Ομήρου 32, 10672 Αθήνα, Τ.Θ. 17064, TE-TΡAΣΤ ΑΕ Αθήνα 10024, ΠΟΥΛΑΝΤΖΑΣ ΧΑΡΑΛΑΜΠΟΣ Τ: 2103622862, 2103642341, Αιγαίου 4, 171 21, Ν. Σμύρνη F: 2103642314, T: 210 9355886 info@fisecoeurope.gr, F: 210 9318011 yagospan@otenet.gr www.te-trust.gr info@te-trust.gr ΠΑΠΑΔΑΚΗΣ ΑΕ ΑΝΔΡΈΑΣ ΠΑΠΑΔΆΚΗΣ Τσιμισκή 17, 546 24, Θεσ/νίκη www.sema.gr T: 2310 236126 - 2310 241159 F: 2310 223180 ΝΙΜΑ ΑΕ ΑΝΤΩΝΟΓΕΩΡΓΟΣ ΘΕΟΔΩΡΟΣ Φιλελλήνων 25, 105 57, Αθήνα T: 210 3236917 - 210 3248501 F: 210 3253664 nima1@otenet.gr
BROKER'S TIME | 34
BROKER'S TIME | 34
Σιγουριά στις επιχειρηµατικές αποφάσεις
Ασφαλιστικές λύσεις Ευθύνης Στελεχών ∆ιοίκησης απο την AIG Σήµερα, περισσότερο από ποτέ, διευθυντικά και διοικητικά στελέχη αντιµετωπίζουν µεγαλύτερους κινδύνους λόγω της αυξηµένης πολυπλοκότητας και της διαρκώς αυστηρότερης εφαρµογής του κανονιστικού πλαισίου στο οποίο δραστηριοποιούνται και παίρνουν αποφάσεις. Η επαρκής ασφαλιστική κάλυψη καθίσταται απαραίτητη. Στην AIG προσφέρουµε πρωτοποριακές ασφαλιστικές λύσεις ειδικά προσαρµοσµένες στις προκλήσεις της ευθύνης των στελεχών διοίκησης του σήµερα και συνεχίζουµε να καινοτοµούµε για να ανταποκριθούµε στις προκλήσεις του αύριο. Μάθετε περισσότερα στο www.aig.com.gr/BusinessGuard ή επικοινωνήστε µε τον ασφαλιστικό σας σύµβουλο.
H ασφαλιστική κάλυψη παρέχεται απο την ασφαλιστική εταιρία AIG Europe Limited µε νόµιµο αντιπρόσωπο στην Ελλάδα την AIG ΕΛΛΑΣ ΑΕ. Η παρούσα καταχώρηση ειναι ενηµερωτική και δεν παρέχει καµία απολύτως ασφαλιστική κάλυψη.