“Οι εταιρείες ξοδεύουν εκατομμύρια δολάρια σε τείχη προστασίας, κρυπτογράφηση και συσκευές ασφαλείας. Ωστόσο κανένα από αυτά τα μέτρα δεν μπορεί να καλύψει τον πιο αδύναμο κρίκο που μπορεί να έχει μία αλυσίδα ασφαλείας, τους ανθρώπους που χρησιμοποιούν, οργανώνουν και λειτουργούν τα υπολογιστικά συστήματα ”.
της Ευγενίας Καφφετζή*
Αυτή η φράση ανήκει στον Kenvin Mitnick, που θεωρείται διεθνώς ο πιο διάσημος hacker, καθώς παραβίασε τα συστήματα περισσοτέρων από 40 οργανισμών και ομίλων. Μάλιστα για 4 χρόνια υπήρξε ο νούμερο ένα καταζητούμενος του FBI για διαδικτυακά εγκλήματα.
Η αλήθεια είναι λοιπόν αυτή: πλέον η λειτουργία των επιχειρήσεων στηρίζεται σε δεδομένα και συστήματα ευπαθή σε ηλεκτρονικούς εγκληματίες. Όμως οι εταιρείες μπορούν και πρέπει να πάρουν μέτρα ασφάλειας αλλά και ασφάλισης για να μετριάσουν τον κίνδυνο και τις επιπτώσεις ενός διαδικτυακού χτυπήματος.
Η ασφάλιση είναι το τελευταίο οχυρό για τις επιχειρήσεις
Γιατί στην ουσία όπως λένε και οι ειδικοί στο Cyber security υπάρχουν δύο είδη εταιρειών αυτές που έχουν πέσει θύματα κυβερνοεγκληματιών και αυτές που θα πέσουν στο μέλλον.
Το ζήτημα λοιπόν εν όψει και της εφαρμογής του GDPR που έρχεται να θωρακίσει ακόμα περισσότερο τον καταναλωτή είναι το πώς οι εταιρείες θα υιοθετήσουν καλές πρακτικές. Πρακτικές που από τη μία θα διασφαλίσουν σε μεγαλύτερο βαθμό τα προσωπικά δεδομένα των πελατών και από την άλλη θα δημιουργήσουν ένα τείχος άμυνας σε διαδικτυακές επιθέσεις.
Γιατί ο GDPR μας οδηγεί στο να αλλάξουμε τον τρόπο που συλλέγουμε και διαχειριζόμαστε τα δεδομένα αλλά και γιατί η ασφάλιση είναι το τελευταίο οχυρό για τις επιχειρήσεις: Ο νέος κανονισμός λοιπόν που έχει σαν στόχο να ενισχυσει την εμπιστοσύνη των καταναλωτών και τον έλεγχο τους πάνω στα προσωπικά τους δεδομένα:
- Οδηγεί σε αλλαγές που πρέπει να ενσωματώσουμε στη λειτουργία των επιχειρήσεων μας και γίνεται κουλτούρα στην καθημερινότητά μας.
- Ορίζει ότι κάθε δημόσιος οργανισμός ή επιχείρηση οφείλει να λάβει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων
- Στέλνει το μήνυμα στις επιχειρήσεις ότι τα κενά ασφαλείας πληρώνονται με βαρύτατα πρόστιμα.
- Δεν είναι τυχαίο ότι προβλέπει σε περιπτώσεις παράβασης βασικών διατάξεων του Κανονισμού πρότιμα της τάξης των 20.000.000 ευρώ ή το 4% του παγκόσμιου τζίρου των επιχειρήσεων, ανάλογα με το ποιο από τα δύο είναι μεγαλύτερο
- Στην ουσία καθιστά αναγκαίο τον υπεύθυνο επεξεργασίας προσωπικών δεδομένων Αναγνωρίζεται το δικαίωμα του ανθρώπου στον οποίων ανήκουν τα δεδομένα στη “διόρθωση” και τη “λήθη”
- Σε περίπτωση παραβίασης ο εκτελών την επεξεργασία πρέπει να ενημερώσει αμελλητί μόλις αντιληφθεί το συμβάν τον υπεύθυνο επεξεργασίας, που οφείλει, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος να γνωστοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή.
- Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.
- Όταν η παραβίαση δεδομένων χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, πρέπει να ενημερώνεται και ο πελάτης
- Συνολικά υπολογίζεται ότι το στην ΕΕ το οικονομικό όφελος από τον νέο νόμο θα ανέλθει σε 2,3 δις ευρώ.
Η εκτίμηση των ειδικών αλλά και όσων από εμάς έχουν εμπλακεί στις διαδικασίες εναρμόνισης με τον Κανονισμό καταλήγει σε ένα κοινό συμπέρασμα ότι οι ΝΕΟΙ ΚΑΝΟΝΕΣ μπορούν να ενισχύσουν την εμπιστοσύνη των καταναλωτών άρα να ενισχύσουν τις επιχειρήσεις .
Επιχείρηση που ολοκλήρωσε σωστά την εναρμόνιση με GDPR με ολοκληρωμένο τρόπο δηλαδή σε Νομικό , IT και Process Διαδικασία. Σημαίνει ότι η Επιχείρηση είναι στο Απυροβλητο;
Δεν πρόκειται για το ΑΝ μια επιχείρηση θα είναι ΄΄θυμα΄΄μιας κυβερνοεπιθεσης αλλά το ΠΟΤΕ
Καμία επιχείρηση δεν μπορεί να είναι τόσο καλά προστατευμένη ώστε να μην πληγεί από hackers. Θυμηθείτε τον διαδικτυακό κολοσσό του Facebook και το σκάνδαλο διαρροής προσωπικών δεδομένων Cambridge Analytica που αφορά 87 εκατ. χρήστες. Ή τα δεδομένα 145 εκατ. χρηστών που έκλεψαν hackers από το ebay. Η το θέμα με την ασφαλιστική εταιρία ANΤΗΕΜ ΗΕALTH INSURANCE με στοιχεία 78,8 εκατομ πελατών.
Ακόμα και η UBER με απώλεια στοιχείων εκατομμύριων πελατών και 600 000 οδηγών Πάρα πολλά περιστατικά καταγράφονται σε όλους τους κλάδους σε αλυσίδες καταστημάτων υπεραγορών, σε ξενοδοχεία, ιδιωτικά θεραπευτήρια κλπ.
Σίγουρα ο νέος Κανονισμός για τα προσωπικά δεδομένα οδηγεί τις επιχειρήσεις που έχουν δεδομένα στο να αλλάξουν την πολιτική τους και να δημιουργήσουν συστήματα πιο ασφαλή. Δεν πρόκειται για το ΑΝ μια επιχείρηση θα είναι ΄΄θυμα΄΄μιας κυβερνοεπιθεσης αλλά το ΠΟΤΕ.
Επομένως μονο μέσω μιας σοβαρης ασφαλιστικής κάλυψης CYBER RISK οι εταιρείες θα πρέπει να είναι ασφαλισμένες ώστε να μπορούν:
- αν χακαριστούν και διαρρεύσουν προσωπικά δεδομένα των πελατών τους να έχουν καλύψει μέσα από το ασφαλιστήριο συμβόλαιο τους ενδεχόμενες αξιώσεις από τρίτους με δεδομένο ότι ο ρόλος των εξειδικευμένων ανθρώπων των μεσιτικών γραφείων είναι και συμβουλευτικός να μπορέσουν μέσα από τη συνεργασία να θωρακίσουν ακόμα περισσότερο τα συστήματά τους
- να έχουν ένα σχέδιο επαναλειτουργίας μετά από ένα χτύπημα να μπορούν να καλύψουν μέσα από την ασφάλισή τους τα πρόστιμα που επιβάλλει η Αρχή Προστασίας Προσωπικών Δεδομένων
- να αντιμετωπίσει άμεσα το πρόβλημα για να περιορίσει τη ζημιά
- να μπορέσει να καλύψει μέσα από το συμβόλαιο την απώλεια εσόδων από τη διακοπή της λειτουργίας της εταιρείας ή από μέτρα που ενδεχομένως να λάβει η ανεξάρτητη αρχή
- να συμβάλλει καθοριστικά στην περίπτωση που η απαίτηση αφορά την απαίτηση λύτρων. Υπάρχουν τον τελευταίο χρόνο πολλά τέτοια περιστατικά στην Ελλάδα και μάλιστα σημειώνονται σε μικρές επιχειρήσεις. Κατά τους ειδικούς στην προκειμένη περίπτωση τα χτυπήματα είναι τυφλά όσον αφορά το είδος της επιχείρησης καθώς οι hackers στοχεύουν γεωγραφικά.
Καταλήγοντας: Οι επιχειρήσεις στην Ελλάδα αλλά και στην Ευρώπη βρίσκονται μπροστά σε μία πρόκληση την οποία δεν μπορούν να αποφύγουν. Κι αυτή είναι να υιοθετήσουν καλές πρακτικές μέσα από τις οποίες θα προστατεύσουν περισσότερο τον πελάτη και τα δικαιώματά του.
Ταυτόχρονα όμως πρέπει και να ασφαλιστούν για να διασφαλίσουν το ότι θα μπορέσουν να λειτουργήσουν την επόμενη μέρα.
*Ομιλία της κας Ε. Καφφετζή, αντιπροέδρου του ΣΕΜΑ στο «GDPR & Cyber Risk! Are you secure?» που έγινε στις 27 Απριλίου στη Θεσσαλονίκη
Διαβάστε επίσης: Η ασφάλιση Αστικής Ευθύνης «σανίδα σωτηρίας» για τις επιχειρήσεις
