Οι ασφαλιστικές εταιρείες έχουν πολλά να χάσουν στις κυβερνοεπιθέσεις

Οι ασφαλιστικές εταιρείες έχουν έναν τεράστιο στόχο στην παροιμιώδη πλάτη τους, καθώς οι επιτιθέμενοι στον κυβερνοχώρο αυξάνουν την εστίασή τους σε έναν κλάδο γεμάτο με προσωπικά, ιατρικά, εταιρικά και άλλα εμπιστευτικά δεδομένα που μπορούν να κερδίζουν χρήματα μετά από παραβίαση δεδομένων.

Μόνο το 2023, έχουν στοχοποιηθεί πολλές ασφαλιστικές εταιρείες, συμπεριλαμβανομένης της Sun Life τον Ιούνιο μέσω επίθεσης στον πωλητή της Pension Benefits Information LLC. Prudential Insurance τον Μάιο, στην οποία επηρεάστηκαν περισσότεροι από 320,000 λογαριασμοί πελατών. New York Life Insurance Company, η οποία είχε επηρεαστεί 25,700 λογαριασμούς κατά τη διάρκεια των ίδιων ημερών με την επίθεση Prudential. και Genworth Financial, η οποία είχε επηρεάσει έως και 2.7 εκατομμύρια άτομα. Όλες αυτές οι ασφαλιστικές εταιρείες ήταν θύματα του Κυβερνοεπίθεση μεταφοράς αρχείων MOVEit.

Εκτός από το MOVEit, άλλες κοινές επιθέσεις ransomware στόχευαν επίσης τον ασφαλιστικό κλάδο. Η Point32Health, η μητρική εταιρεία του Harvard Pilgrim Health Care and Tufts Health Plan, επλήγη από επίθεση ransomware τον Απρίλιο, ενώ το NationsBenefits ανέφερε ότι ήταν θύμα της συμμορίας ransomware Cl0p. ο μεγαλύτερη επίθεση των ΗΠΑ σε ασφαλιστική εταιρεία σε κίνδυνο 9 εκατομμύρια ασθενείς του Managed Care of North America (MCNA) Dental, θύμα της Επίθεση LockBit.

Συμβουλευτική εταιρία Σημείωσε η Deloitte, «Οι κυβερνοεπιθέσεις στον ασφαλιστικό τομέα αυξάνονται εκθετικά καθώς οι ασφαλιστικές εταιρείες μεταναστεύουν προς τα ψηφιακά κανάλια σε μια προσπάθεια να δημιουργήσουν στενότερες σχέσεις με τους πελάτες, να προσφέρουν νέα προϊόντα και να επεκτείνουν το μερίδιό τους στα χρηματοοικονομικά χαρτοφυλάκια των πελατών. Αυτή η αλλαγή οδηγεί σε αυξημένες επενδύσεις σε παραδοσιακά βασικά συστήματα πληροφορικής (π.χ. συστήματα πολιτικής και αξιώσεων) καθώς και σε πλατφόρμες υψηλής ενσωμάτωσης, όπως πύλες πρακτορείων, διαδικτυακές εφαρμογές πολιτικής και εφαρμογές που βασίζονται στον ιστό και σε κινητές συσκευές για την υποβολή αξιώσεων».

Η εταιρεία πρόσθεσε: «Καθώς οι ασφαλιστές βρίσκουν νέους και καινοτόμους τρόπους ανάλυσης δεδομένων, πρέπει επίσης να βρουν τρόπους να προστατεύουν τα δεδομένα από επιθέσεις στον κυβερνοχώρο».

Οι εφαρμογές αποκαλύπτουν πολλά

Οι λόγοι για τους οποίους οι ασφαλιστικοί μεσίτες και οι μεταφορείς βρίσκονται τώρα στο hotseat είναι ποικίλοι, όπως σημείωσε η Deloitte, αλλά αρκετοί ξεχωρίζουν ως βασικά κίνητρα. Ενώ το πιο εγκόσμιο είναι η κερδοφορία της απόκτησης προσωπικών στοιχείων ταυτοποίησης και προσωπικών πληροφοριών υγείας για μεταπώληση, υπάρχουν πιο άθλια κίνητρα για επίθεση σε ασφαλιστές. Για παράδειγμα, αιτήσεις ασφάλισης.

Ο όγκος των ιδιωτικών, εταιρικών δεδομένων που εμφανίζονται σε μια ασφαλιστική εφαρμογή θα μπορούσε να αποτελέσει μπόνους για τους επιτιθέμενους στον κυβερνοχώρο, λέει ο Marc Schein, εθνικός συμπρόεδρος του Cyber ​​Risk Practice και σύμβουλος διαχείρισης κινδύνων στο Marsh McLennan Agency, ασφαλιστικό μεσίτη. Ο Schein σημειώνει ότι οι εφαρμογές περιλαμβάνουν μια τεράστια γκάμα δυνητικά χρήσιμων πληροφοριών, συμπεριλαμβανομένου του ποσού της ασφάλισης που αγοράζει μια εταιρεία (οι εισβολείς ransomware δεν θέλουν να αφήσουν χρήματα στο τραπέζι όταν ζητούν λύτρα) καθώς και ορισμένες από τις ελλείψεις που μπορεί να έχει μια εταιρεία έχει στην ασφάλεια του δικτύου του.

Ο Schein επισημαίνει ότι άλλα ασφαλιστικά προϊόντα, όπως συμβόλαια σφαλμάτων και παραλείψεων ή συμβόλαια διευθυντών και αξιωματικών, θα μπορούσαν να παρέχουν πολύτιμες πληροφορίες σχετικά με εμπορικά μυστικά, ιδιωτικές πληροφορίες βασικών στελεχών εταιρειών και δεδομένα για πιθανές επιχειρηματικές συναλλαγές.

Η Patricia Titus είναι υπεύθυνη προστασίας απορρήτου και ασφάλειας πληροφοριών στην Markel Insurance, μια εταιρεία που αναλαμβάνει τις δικές της ασφαλιστικές, ειδικότητες και διεθνείς πολιτικές. Συμφωνεί ότι οι εφαρμογές μπορούν να παρέχουν μια βαθιά κατανόηση του τεχνολογικού προφίλ μιας εταιρείας.

Οι ασφαλιστικές εφαρμογές μπορούν να προσδιορίσουν το χρέος τεχνολογίας, λέει ο Titus — μη επιδιορθωμένο λογισμικό, απαρχαιωμένο υλικό που μπορεί να έχει ξεπεράσει τις ενημερώσεις κώδικα ασφαλείας ή λογισμικού του κατασκευαστή, παλαιού τύπου συστήματα που θα μπορούσαν να αντιπροσωπεύουν πιθανές ευπάθειες ασφαλείας και άλλες ελλείψεις που μπορεί να έχει μια εταιρεία στην ασφάλεια του δικτύου της. Αυτά τα τρωτά σημεία θα μπορούσαν να χρησιμοποιηθούν από εισβολείς.

Όλες οι πλευρές των ασφαλιστικών συναλλαγών είναι ευάλωτες

Δεν είναι μόνο οι ασφαλιστικοί πελάτες που πρέπει να αξιολογήσουν την υποδομή τους στον κυβερνοχώρο, επισημαίνει ο Titus. Η Markel εξετάζει τρόπους με τους οποίους μπορεί να προστατεύσει καλύτερα τα δικά της δεδομένα, καθώς και τα δεδομένα των πελατών της.

Στην περίπτωση του Markel, λέει ο Titus, η εταιρεία εξετάζει τεχνολογίες που θα μπορούσαν να κάνουν καλύτερη δουλειά μικροτμηματοποίηση των δικτύων του, περιορίζοντας την ικανότητα των επιτιθέμενων να κινούνται πλευρικά μέσω του δικτύου εάν παραβιάσουν με επιτυχία τις εταιρικές άμυνες. Η πλευρική μετακίνηση, σημειώνει, είναι το μεγαλύτερο πλεονέκτημα που μπορεί να έχει μια επίθεση εάν βρει μια τρύπα σε ένα δίκτυο.

Τα ανθρώπινα δεδομένα είναι πάντα ενδιαφέροντα για τους επιτιθέμενους στον κυβερνοχώρο, προσθέτει ο Titus. Εάν ο εισβολέας μπορεί να έχει πρόσβαση σε εφαρμογές ασφάλισης ή εγκεκριμένα συμβόλαια, μπορεί να μάθει πολλά για τους πιθανούς στόχους. Τα άτομα και οι εταιρείες πρέπει να ασφαλίζουν αντικείμενα πολυτελείας υψηλής αξίας, όπως αντίκες. Ωστόσο, οι επιχειρήσεις ασφαλίζουν επίσης εμπορικά μυστικά (σκεφτείτε τη συνταγή της Coca-Cola, για παράδειγμα) που δεν μπορούν να δημοσιοποιηθούν μέσω διπλωμάτων ευρεσιτεχνίας, ιδιωτικών δεδομένων για στελέχη και αξιωματούχους και λάθη και παραλείψεις που μπορεί να προκύψουν κατά τις επιχειρηματικές συναλλαγές. Τελικά, υπάρχει μια τεράστια γκάμα εταιρειών δεδομένων που προστατεύουν τα οποία μπορούν να εντοπιστούν και να τεθούν σε κίνδυνο σε περίπτωση παραβίασης των ασφαλιστικών συμβάσεων ή των εφαρμογών τους.

Ο Schein συνιστά στις εταιρείες που υποβάλλουν αίτηση ασφάλισης να στέλνουν κρυπτογραφημένα αρχεία μόνο έτσι ώστε οτιδήποτε υποκλαπεί κατά τη μετάδοση να μην μπορεί να διαβαστεί από τον εισβολέα.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/edge/insurance-companies-have-a-lot-to-lose-in-cyberattacks