Μελέτη: Η ασφάλιση περιστατικών παραβίασης ιδιωτικότητας και απώλειας ιατρικών δεδομένων. Νίκος Γεωργόπουλος MBA CyRM
Οι παραβιάσεις συστημάτων και η κυβερνοασφάλεια είναι μία πηγή ανησυχίας κάθε παρόχου υπηρεσιών υγείας δεδομένης της φύσης των πληροφοριών που διαχειρίζεται.
Η πρόσβαση στον κυβερνοχώρο και η χρήση αισθητήρων έχει δημιουργήσει νέες επιχειρηματικές ευκαιρίες για τους παρόχους υπηρεσιών υγείας γιατί προσφέρει δυνατότητα παροχής υπηρεσών υγείας από απόσταση (τηλειατρική), απλοποιεί τις διαδικασίες λειτουργίας τους και δίνει την δυνατότητα άμεσης βοήθειας και υπηρεσίες χαμηλότερου κόστους.
Αυτό άλλωστε είναι και το σημαντικότερο πλεονέκτημα από τη χρήση του κυβερνοχώρου. Όμως σε αυτόν δραστηριοποιούνται και κυβερνοεγκληματίες οι οποίοι έχουν στόχο να υποκλέψουν δεδομένα και εμπιστευτικές πληροφορίες που διατηρούν οι πάροχοι υπηρεσιών υγείας για τους πελάτες τους και να τα πουλήσουν στην μαύρη αγορά (dark market) μια και οι τιμές των ιατρικών δεδομένων σε αυτή είναι πολύ υψηλότερες από τα δεδομένα πστωτικών καρτών.
Οι αγοραστές αυτών των δεδομένων μπορούν να τα χρησιμοποιήσουν για την δημιουργία απαιτήσεων από ασφαλιστικές εταιρίες και ταμεία ασφάλισης, η μέση απαίτηση μέ βάση έρευνα της id experts ανέρχεται σε $20.000, ο αριθμός των θυμάτων είναι 1,6 εκ και το ποσό που χάνεται ανέρχεται σύμφωνα με εκτιμήσεις μεταξύ $70 και $234 εκ σε ετήσια βάση.
Επίσης μπορούν να δημιουργηθούν προβλήματα στην ομαλή λειτουργία των συστημάτων των παρόχων υγείας λόγω κυβερνοεπιθέσεων που μπορούν να οδηγούν σε άρνηση παροχής υπηρεσίας (DDos) των συστημάτων εξυπηρέτησης και υποστήριξης ασθενών ή και αλλοίωση της ποιότητας των δεδομένων.
Η χρήση του κυβερνοχώρου δημιουργεί σημαντικό λειτουργικό κίνδυνο στους παρόχους υπηρεσιών υγείας. Οι κίνδυνοι που συνδέονται με την χρήση του κυβερνοχώρου (Cyber Risks) πρέπει να αντιμετωπιστούν όπως όλοι οι κίνδυνοι και μετα την ανάλυσή τους να αποφασιστεί τι ποσοστό μπορεί να αναλάβει ο πάροχος και τι ποσοστό θα μεταφερθεί σε εξειδικευμένους ασφαλιστές.
Οι μηχανισμοί προστασίας των δεδομένων που εφαρμόζαμε μέχρι σήμερα μπορούν εύκολα να παρακαμφθούν ακόμη και από μια απροσεξία ενός εργαζόμενου που μπήκε σε μια μολυσμένη ιστοσελίδα ή απάντησε σε ένα e-mail phishing ή έχασε το κινητό του ή το tablet του.
Τα αποτελέσματα μιας μελέτης που διεξήχθη το 2014 από την εταιρία Corporate Board Member & FTI Consulting, Inc και έλαβαν μέρος, σχεδόν 500 διευθυντές εταιριών και μέλη διοικητικού συμβουλίου έδειξαν ότι οι κίνδυνοι του κυβερνοχώρου και η διαχείρισή τους αποτελεί μια από τις κορυφαίες ανησυχίες.
Τα μέλη του διοικητικού συμβουλίου και τα ανώτερα στελέχη πρέπει να δίνουν ύψιστη προτεραιότητα στην ασφάλεια στον κυβερνοχώρο και στην προστασία των δεδομένων της επιχείρησης.
Ο λόγος για αυτή την ανησυχία είναι ότι υπάρχουν πολλές επιχειρηματικές άμεσες και έμμεσες ζημιές που σχετίζονται με το έγκλημα στον κυβερνοχώρο και την απώλεια δεδομένων.
Άμεσες ζημιές οι οποίες περιλαμβάνουν επαγγελματικές αμοιβές εξειδικευμένων συμβούλων διαχείρισης περιστατικών παραβάσης συστημάτων, πρόστιμα και έξοδα όπως:
- αμοιβές εξειδικευμένου δικηγόρου
- υπηρεσίες ειδικών ψηφιακής εγκληματολογίας (forensics)
- υπηρεσίες δημοσίων σχέσεων και επικοινωνίας
- υπηρεσίες τηλεφωνικού κέντρου
- υπηρεσίες ελεγκτών
- έκτακτα έξοδα οπως:
- αναγκαία έξοδα ταξιδίου και διαμονής για ομάδες ειδικών διαχείρισης περιστατικών,
- τα έξοδα αποστολής, ενημερωτικών επιστολών σε πελάτες, κ.λπ.,
- Πρόστιμα για μη τήρηση της νομοθεσίας περί προσωπικών δεδομένων
- έξοδα για την επίτευξη επιχειρησιακής συνέχειας
- έξοδα εγκατάστασης νέων συστημάτων ασφάλειας
Οι Έμμεσες απώλειες μπορεί να είναι ακόμα πιο σημαντικές, συμπεριλαμβανομένων:
- μείωσης της φήμης της
- πτώσης των εσόδων
- χαμένων επιχειρηματικών ευκαιριών
- απώλεια πελατών
- απώλεια συνεργατών
- καθυστερήσεις έργων και λανσαρίσματος νέων προϊόντων
- αύξηση των αμοιβών των υπηρεσιών τρίτων παρόχων
- κόστη εκπαίδευσης και ευαισθητοποίησης σε θέματα ασφάλειας πληροφοριών του ανθρώπινου δυναμικού της εταιρίας
- επαναλαμβανόμενα έξοδα για τακτικούς ελέγχους ασφάλειας.
Δυστυχώς, πολλές από αυτές τις άμεσες και έμμεσες δαπάνες είναι απρογραμμάτιστες και δεν υπάρχουν προβλέψεις στον προϋπολογισμό. Τα περιστατικά παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών μπορεί να έχουν αρνητική επίπτωση στην ρευστότητα και τις ταμειακές ροές του παρόχου υπηρεσιών υγείας.
Το κόστος απώλειας δεδομένων υγείας ανά record είναι το μεγαλύτερο σε σχέση με την απώλεια δεδομένων από άλλες δραστηριότητες και ανέρχεται σε $359 σύμφωνα με τα στοιχεία της έρευνας του Ponemon institute.
Για την αντιμετώπιση των χρηματοικονομικών επιπτώσεων, αποτελεσματικό εργαλείο διαχείρισης των περιστατικών παραβίασης αποτελεί η ασφάλιση Cyber Insurance, δίνοντας εκτός από τις χρηματικές αποζημιώσεις και πρόσβαση σε ομάδες ειδικών οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών.
Ενώ η ασφάλιση δεν μπορεί να αποτρέψει ένα περιστατικό παραβίασης, μπορεί να βοηθήσει ελαχιστοποιώντας την οικονομική καταστροφή και τη βλάβη της φήμης που μπορεί να συντελεστεί σε σύντομο χρονικό διάστημα.
Πρέπει να τονιστεί ότι αύξηση των χρηματοοικονομικών επιπτώσεων θα έχουμε με την εφαρμογή της νέας ευρωπαικής νομοθεσίας για την προστασία των προσωπικών δεδομένων της οποίας αναμένεται η εφαρμογή.
Σύμφωνα με τη νέα νομοθεσία, οι εταιρίες που δε θα καταφέρουν να διατηρήσουν την ασφάλεια των δεδομένων τους κινδυνεύουν με διοικητικά πρόστιμα για παραβίαση των κανόνων που φθάνουν μέχρι €100εκ ή έως 2 % του ετήσιου παγκόσμιου κύκλου εργασιών της εταιρείας, όποιο από τα δύο είναι μεγαλύτερο.
Εκτός από τις χρηματοοικονομικές επιπτώσεις ενα ακόμα μεγάλο πρόβλημα που έχει να αντιμετωπίσει ο πάροχος υπηρεσιών υγείας είναι η βλάβη που μπορεί να υποστεί η φήμη του.
Σε μελέτη του Ponemon Institute το 2014 διαπιστώθηκε ότι οι παραβιάσεις συστημάτων και η διαρροή εμπιστευτικών πληροφοριών είναι ένα από τα τρία κορυφαία περιστατικά που μπορούν να επηρεάσουν την φήμη της εταιρίας και σε συνδυασμό με την κακή εξυπηρέτηση πελάτων και την πολιτική προστασίας του περιβάλλοντος που ακολουθεί να οδηγήσουν σε απώλεια πελατών.
Παράγοντες που επηρεάζουν την εταιρική φήμη
Πηγή: The Aftermath of a data breach Consumer Sentiment. Ponemon Institute Report
Δυστυχώς, υπάρχουν αρκετά παραδείγματα παραβιάσεων συστημάτων επιχειρήσεων που δεν ήταν επαρκώς προετοιμασμένες και δεν κατάφεραν να διαχειριστούν αποτελεσματικά τα εκδηλωθέντα περιστατικά.
Το μεγαλύτερο λάθος που κάνουν οι πάροχοι υπηρεσιών υγείας στην αντιμετώπιση αυτών των περιστατικών είναι ότι δεν έχουν προετοιμάσει την επικοινωνιακή στρατηγική τους. Θεωρούν δεδομένο ότι μπορούν να αντιμετωπίσουν μια κρίση που μπορεί να προέλθει από περιστατικά παραβίασης συστημάτων γιατί έχουν την καλύτερη ομάδα ΙΤ. Ακόμα χειρότερα γιατί θεωρούν οτι μπορούν να χειριστούν την κρίση την στιγμή που συμβαίνει χωρίς προηγούμενη προετοιμασία.
Οι πάροχοι υπηρεσιών υγείας θα πρέπει να είναι προετοιμασμένοι για κάθε πιθανή κατάσταση. Δεν έχει σημασία πόσο μακρινό φαίνεται αυτό το ενδεχόμενο. Ο σχεδιασμός της αντιμετώπισης της κρίσης μετά την εκδηλωσή της και χωρίς καμμία αρχική πρετοιμασία οδηγεί σε σφάλματα που οφείλονται σε ανακριβείς πληροφορίες, πανικό, και μη σωστό καθορισμό προτεραιοτήτων.
Οι Δημόσιες σχέσεις μπορούν να μετριάσουν σημαντικά την ζημιά σε μια κατάσταση κρίσης. Η μη άμεση ανταπόκριση μπορεί να ενισχύσει την κατάσταση και να προκαλέσει πρόσθετη ζημία σε μια εταιρεία σε μια κατάσταση κρίσης. Πάντοτε πρέπει να έχουμε ένα σχέδιο αντιμετώπισης τέτοιων περιστατικών.
Για το λόγο αυτό θα πρέπει σε κάθε πάροχο υπηρεσών υγείας να έχει δημιουργηθεί μια Ομάδα Διαχείρισης Περιστατικών Παραβίασης Συστημάτων η οποία αποτελείται από ανώτατα στελέχη από τα τμήματα:
- Information Security
- IT
- Νομικής υπηρεσία
- Κανονιστικής Συμμόρφωσης
- Δημοσίων Σχέσεων & Επικοινωνίας
- Εξυπηρέτησης Πελατών
- Οικονομικής Διεύθυνση
- Business Continuity
- Risk Management
- HR
- Marketing
και εξειδικευμένους εξωτερικούς συμβούλους όπως: δικηγόρους, επικοινωνιολόγους, ερευνητές ψηφιακής εγκληματολογίας.
Η ομάδα πρέπει να συνεδριάζει σε τακτικά χρονικά διαστήματα και να εκπονεί ασκήσεις προσομοίωσης διάφορων σεναρίων ώστε τα μέλη της να είναι σε ετοιμότητα για την αντιμετώπιση περιστατικών.
Η ομάδα αυτή πρέπει να συντονίζεται από τον Cyber Breach Coach ο οποίος θα φροντίζει για την συνεχή ετοιμότητά της και θα δίνει την κατάλληλη πληροφόρηση στον Διευθύνοντα Σύμβουλο κατά την εξέλιξη ενός περιστατικού παραβίασης. Όταν συμβεί παραβίαση συστημάτων και διαρροή δεδομένων, θα πρέπει να παρθούν γρήγορα αποφάσεις και πολλές φορές χωρίς δυνατότητα αναίρεσης ακόμα. Σε πολλές περιπτώσεις οι αποφάσεις αυτές πρέπει να παρθούν χωρίς τα στελέχη της εταιρίας να έχουν στην διαθεσή τους όλη την σχετική πληροφόρηση.
Η ασφάλιση Cyber Insurance, δίνει εκτός από τις χρηματικές αποζημιώσεις, πρόσβαση σε ομάδες ειδικών (δικηγόροι, επικοινωνιολόγοι, forensics investigators κλπ) οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών και μπορούν σε συνεργασία με την Ομαδα Διαχείρισης Περιστατικών Παραβίασης της εταιρίας να διαχειριστούν αποτελεσματικά τα περιστατικά παραβίασης να περιορίσουν τις χρηματοοινομικές επιπτώσεις τους και να προστατεύσουν την εταιρική φήμη. Η ασφάλιση Cyber Insurance αποτελεί ένα αποτελεσματικό εργαλείο αντιστάθμισης κινδύνου.
Σε κάθε περίπτωση, ο Διευθύνων Σύμβουλος για την αντιμετώπιση αυτών των περιστατικών θα πρέπει να έχει στην διάθεσή του μέγιστη δυνατή και ακριβή πληροφόρηση για το περιστατικό. Είναι αναγκαίο ο Διευθύνων Σύμβουλος να έχει πλήρη εικόνα: για τις πληροφορίες που συλλέγει και επεξεργάζεται η εταιρία του, για τις ευθύνες που έχει σε περίπτωση περιστατικού παραβίασης συστημάτων, για τα συστήματα και τις υποδομές της και μια Εκπαιδευμένη Ομάδα Αντιμετώπισης & Διαχείρισης Περιστατικών Παραβίασης Συστημάτων στην διαθεσή του.
Σύμφωνα με μελέτη της NetDiligence σε εταιρίες που είχαν ασφάλιση cyber insurance στην Αμερική οι πάροχοι υπηρεσιών υγείας ήταν στην πρώτη θέση σε περιστατικά παραβίασης ιδιωτικότητας και απώλειας ιατρικών δεδομένων με ποσοστό 21%.
Πηγή: NetDiligence Cyber Claims Study 2015
Η ασφάλιση παραβίασης ιδιωτικότητας και απώλειας ιατρικών δεδομένων ήταν το θέμα της παρουσίασης που επισυνάπτεται και έγινε στο συνέδριο ehealthforum2015 το οποίο διεξήχθει στις 3-4 Δεκεμβρίου στην Αθήνα.
Παρουσίαση στο ehealthforum2015