Greece

Πως θα διαχειριστείτε το κόστος μιας παραβίασης προσωπικών δεδομένων;


Η παραβίαση προσωπικών δεδομένων είναι ένα εξαιρετικά σύνθετο γεγονός αλλά έχει μια απλή κατάληξη και λέγεται κόστος.


Το μέγεθος του, μπορεί να είναι αβέβαιο και παράγωγο πολλών διαφορετικών συνθηκών. Παρά την αβεβαιότητα του, ένα τέτοιο κόστος μπορεί να ιχνηλατηθεί και να μας επιτρέψει να καταλάβουμε τις πηγές του, τα κρίσιμα στοιχεία που το διογκώνουν και στο τέλος έναν από τους πλέον αποδοτικούς τρόπους διαχείρισής του. Για να το κάνουμε αυτό είναι καλό να ξεδιπλώσουμε το πώς μπορεί να εκδηλωθεί ένα περιστατικό παραβίασης προσωπικών δεδομένων, μπαίνοντας στη θέση ενός συνετού χάκερ.

     

Πως εξελίσσεται

Η τέλεια παραβίαση στα προσωπικά δεδομένα μιας επιχείρησης σίγουρα προϋποθέτει δύο βασικά στοιχεία, ένα χάκερ και μια επιχείρηση-στόχο στην οποία υπάρχουν προσωπικά δεδομένα. Ένας συνετός χάκερ που χαίρει εκτίμησης στο χώρο του κυβερνοεγκλήματος δεν θα διαλέξει τα φυσικά αρχεία. Είναι ογκώδη έχουν «ακάρεα» (που ως γνωστόν προκαλούν άσθμα), είναι κλεισμένα σε υπόγεια και συχνά, όχι εύκολα προσβάσιμα.  Θα διαλέξει ένα ψηφιακό αποθετήριο (repository), δηλαδή μια ψηφιακή  βάση δεδομένων, στην οποία υπάρχουν όλα όσα ονειρεύεται. Μια ονειρική βάση δεδομένων είναι αυτή που περιέχει προσωπικά δεδομένα κάθε κατηγορίας, μερικά από τα οποία είναι οι αριθμοί ταυτότητας, οι ιατρικοί φάκελοι, οι διευθύνσεις, τα ψηφιακά προφίλ διαφόρων ανθρώπων, οι αριθμοί πιστωτικών καρτών και κάθε τι που ταυτοποιεί φυσικά πρόσωπα.

Θα το κάνει με την άνεση του και με τρόπο που η επιχείρηση δεν θα καταλάβει τίποτα και όταν το καταλάβει θα είναι πλέον αργά. Η εισβολή θα έχει γίνει απροειδοποίητα σε μια στιγμή που κανείς δε θα το περιμένει και θα συμβεί σε περίοδο ανοδικών τζίρων, επέκτασης σε νέες αγορές, σε μια πολύ hot εποχή, με την επιχείρηση να είναι απασχολημένη στη δραστηριότητά της. Το συμβάν θα γίνει αντιληπτό, είτε άμεσα από τις κλειδωμένες οθόνες των υπολογιστών της όπου θα φαίνεται το μήνυμα καταβολής λύτρων, είτε έμμεσα μέσα από υπόνοιες σχετικά με παραβίαση.
 

Συνδεόμενα κόστη


Εξέταση πληροφοριακών Συστημάτων

Από την στιγμή που η επίθεση θα ξεδιπλωθεί, θα χρειαστεί να κληθεί ειδικός που θα εξετάσει τα πληροφοριακά συστήματα της επιχείρησης με σκοπό να την τεκμηριώσει και μέχρι να πραγματοποιηθεί θα περάσει κρίσιμος χρόνος. Η κλήση του ειδικού σε θέματα διερεύνησης και τεκμηρίωσης προσωπικών δεδομένων έχει κόστος ενώ κάτω από συνθήκες πίεσης το κόστος αυτό αυξάνεται. Αφού μιλάμε για προσωπικά δεδομένα, ο χρόνος που έχει στη διάθεση της η επιχείρηση δεν είναι απεριόριστος, έχει ένα καταληκτικό σημείο και αυτό πλέον ορίζεται σε 72 ώρες βάσει GDPR.

Μέσα σε αυτό το χρόνο θα πρέπει, αν είναι δυνατό, να τεκμηριωθεί η παραβίαση και να δρομολογηθούν οι σχετικές ανακοινώσεις προς την Αρχή Προστασίας Δεδομένων και τα υποκείμενα των οποίων τα δεδομένα παραβιάστηκαν.


Νομική Υποστήριξη

Αν δεν είναι δυνατό να τηρηθεί το χρονοδιάγραμμα αυτό (φανταστείτε τι γίνεται αν όλα συμβούν εν μέσω εορτών) τότε η επιχείρηση θα πρέπει να το αιτιολογήσει καταλλήλως. Εδώ λοιπόν είναι πολύ πιθανό να χρειαστεί και η αρωγή ενός Νομικού Συμβούλου, δηλαδή επιπρόσθετο κόστος.
Τώρα βέβαια θα διαρωτηθείτε γιατί να κάνουμε ανακοίνωση και στα υποκείμενα; Μα είναι απλό. O συνετός χάκερ θα έχει φροντίσει να κάνει μια παραβίαση με λεία πολύ ευαίσθητα δεδομένα μιας και αυτά είναι περιζήτητα σε αγορές όπως το σκοτεινό δίκτυο (dark web). Όσο πιο ευαίσθητα είναι τα δεδομένα τόσο περισσότερο είναι πιθανό να τεθούν σε υψηλό κίνδυνο  τα δικαιώματα και οι ελευθερίες των υποκειμένων. Κάτι τέτοιο επιβάλει ανακοίνωση της παραβίασης και στα ίδια τα υποκείμενα.
 

Διαχείριση Δημόσιων Σχέσεων και Κρίσεων

Σε μια περίπτωση όπως αυτή θα χρειαστεί μαζί με το Νομικό Σύμβουλο που αναφέραμε να κληθεί και ένας ειδικός σε θέματα διαχείρισης δημοσίων σχέσεων και κρίσης άρα επιπρόσθετα κόστη.
 

Διακοπή Εργασιών

Ο χάκερ θα φροντίσει ώστε το περιστατικό να προκαλέσει μια σοβαρή διακοπή εργασιών. Αν δεν υπάρχει σχέδιο επιχειρησιακής συνέχειας, τα πράγματα θα είναι πολύ πιο δύσκολα. Ακόμα και στην περίπτωση που έστω και υποτυπωδώς υπάρχει κάποιο σχέδιο, η επιχείρηση θα αντιμετωπίσει τις δαπάνες επαναφοράς στην κανονικότητα προ της ζημιάς.  Οι δαπάνες αυτές μπορεί να σχετίζονται με το κόστος επανεγγραφής των κατεστραμμένων δεδομένων στα πληροφοριακά συστήματα, την επανεγκατάσταση λογισμικού σε υπολογιστές που μολύνθηκαν, ρυθμίσεις και διάφορες  άλλες δράσεις που αθροιστικά θα αυξήσουν το λογαριασμό της ζημιάς.
 

Πρόστιμα

Όταν όλα αρχίσουν να επιστρέφουν στην κανονικότητα, είναι πολύ πιθανό η επιχείρηση να έχει υποστεί μια σοβαρή δυσφήμηση, τέτοια που να επηρεάσει τον κύκλο εργασιών της. Και στο τέλος επικρέμεται το πρόστιμο της διοικητικής αρχής, ένα κόστος που σίγουρα κανένας ισολογισμός δεν μπορεί να ανεχτεί. 
Εδώ όμως υπάρχουν και μερικά ακόμα έξοδα. Καθώς ο συνετός χάκερ υπέκλεψε αριθμούς πιστωτικών καρτών, η επιχείρηση θα κληθεί να καταβάλει δαπάνες για τη διερεύνηση της συμμόρφωσης της με τα πρότυπα PCI και DSS, καθώς και να πληρώσει το ανάλογο πρόστιμο αν διαπιστωθεί ότι δεν ήταν πλήρως συμμορφωμένη.
 

Καταγγελίες

Και δεν είναι μόνο το κόστος των προστίμων. Τα υποκείμενα δεδομένων μπορούν να στραφούν κατά της επιχείρησης επικαλούμενα ζημιές που προήλθαν από το γεγονός της παραβίασης, ειδικά δε αν έχουν κλαπεί στοιχεία από πιστωτικές κάρτες. Στην περίπτωση αυτή ο λογαριασμός της ζημιάς θα μεγαλώσει ακόμα περισσότερο. Μας ξέφυγε κάτι; Ναι! Είναι και οι δαπάνες παρακολούθησης των λογαριασμών των πελατών που έχουν υποστεί παραβίαση. Οι δαπάνες αυτές προστίθεται στον υφιστάμενο λογαριασμό.
Μπορεί η επιχείρηση να έχει λάβει πολύ αυστηρά μέτρα προστασίας και να επιδεικνύει υψηλή συμμόρφωση με τον GDPR, άλλα μην ξεχνάμε πως η κλοπή προηγείται της επιστήμης. Είτε αρέσει είτε όχι, ο συνετός χάκερ είναι ένας ασκητικός τύπος που φροντίζει να είναι πάντα “digitally fit” και με υψηλή κατάρτιση, ώστε να επιβιώνει στο σκληρό κόσμο του cybersecurity.
 

Η προληπτική αντιμετώπιση

Σε γενικές γραμμές η παραβίαση προσωπικών δεδομένων μπορεί να φέρει μια οικονομική δυστοπία στη ζωή μιας επιχείρησης, η οποία ωστόσο μπορεί να αντιμετωπιστεί με ένα ασφαλιστήριο συμβόλαιο ηλεκτρονικών και διαδικτυακών κινδύνων (cyber insurance policy), το οποίο αποτελεί ένα πολύ-εργαλείο για την αντιμετώπιση κάθε κατάστασης που έπεται μιας κυβερνοεπίθεσης.

Eιδικότερα για επιχειρήσεις με κύκλο εργασιών μέχρι €250.000.000, υπάρχει μια αποτελεσματική λύση έναντι των ηλεκτρονικών και διαδικτυακών κινδύνων που παρέχει διευρυμένα όρια κάλυψης και ανταγωνιστικό κόστος ασφάλισης.

Δίνοντας έμφαση στην προληπτική αντιμετώπιση των ηλεκτρονικών και διαδικτυακών κινδύνων, η επιχείρηση επωφελείται από ένα ασφαλιστήριο συμβόλαιο με τα σημαντικότερα οφέλη να συνοψίζονται παρακάτω:
 
  • Αποτελεί ένα εργαλείο πρώτης ανάγκης σε περίπτωση που υπάρξει είτε πραγματική είτε υποτιθέμενη παραβίαση προσωπικών δεδομένων. Αυτό γιατί παρέχει κάλυψη για τις δαπάνες των εδικών που θα κληθούν να τεκμηριώσουν τη ζημιά. Και τις καλύπτει είτε υπάρχει είτε δεν υπάρχει παραβίαση.
  • Παρέχει κάλυψη για τις δαπάνες διαχείρισης της κρίσης την οποία επιφέρει το περιστατικό. Τέτοιες δαπάνες είναι όσες αφορούν τους εδικούς σε θέματα επικοινωνίας, τη λειτουργία τηλεφωνικού κέντρου καθώς και τις δαπάνες νομικών συμβούλων ειδικών σε θέματα παραβίασης δεδομένων.
  • Παρέχει κάλυψη για τα έξοδα των γνωστοποιήσεων που πρέπει να γίνουν είτε πρόκειται στις αρμόδιες αρχές ή στα ίδια τα υποκείμενα δεδομένων. 
  • Παρέχει κάλυψη για τις δαπάνες που προκαλούνται λόγω διακοπής εργασιών. Οι δαπάνες αυτές περιλαμβάνουν ότι θα κάνει η επιχείρηση για να επαναφέρει τις λειτουργίες τις καθώς και ότι θα κάνει με σκοπό να περιορίσει τη ζημιά. 
  • Παρέχει κάλυψη για τις δαπάνες που αφορούν την επαναφορά των δεδομένων που επλήγησαν από την παραβίαση. Η επανεγγραφή των δεδομένων από τα back ups ή ακόμα και από τα φυσικά αρχεία είναι κάτι που απαιτεί χρόνο και κατ επέκταση χρήμα.
  • Καλύπτει τις δαπάνες διερεύνησης συμμόρφωσης και τα πρόστιμα που επιβάλλονται σε περίπτωση παραβίασης δεομένων πιστωτικών καρτών. Οι δαπάνες αυτές είναι επιβεβλημένες και το κόστος τους το επωμίζεται η πληγείσα επιχείρηση. 
  • Καλύπτει τα έξοδα παρακολούθησης πίστωσης και ταυτότητας των υποκειμένων των οποίων τα δεδομένα παραβιάστηκαν. Η παρακολούθηση των χρηματοπιστωτικών συναλλαγών και η αντίστοιχη της μη εξουσιοδοτημένης ανακοίνωσης των προσωπικών δεδομένων είναι μια ενέργεια που θα γίνει μετά τη ζημιά και συνεπάγεται κόστος    
  • Καλύπτει τα λύτρα που μπορεί να ζητήσουν οι χάκερς αν η επίθεση έχει γίνει μέσω λυτρισμικού (ransomware). Το ασφαλιστήριο συμβόλαιο cyber θα καλύψει τόσο τη δαπάνη διερεύνησης και τεκμηρίωσης του εκβιασμού όσο και το ποσό που θα καταβάλει η επιχείρηση στον εκβιαστή  
  • Καλύπτει το περιστατικό κυβερνοτρομοκρατίας δηλαδή την περίπτωση που επιτιθέμενοι δρουν με πολιτικά κίνητρα και με στόχο τον εκφοβισμό. Μερικές φορές ο συνετός χάκερ μπορεί να μην ενδιαφέρεται για το οικονομικό όφελος της λείας του αλλά για τη μεγιστοποίηση της ζημιάς. Σε αυτή την περίπτωση που η επίθεση έχει διαστάσεις τρομοκρατίας η συμβολή του ασφαλιστηρίου συμβολαίου cyber είναι καθοριστική.


Γιάννης Παπαγεωργίου
Senior Risk Consultant  |  Risk Consulting, Cyber Solutions
+30 213 017 7100 (Αθήνα)
john.papageorgiou@aon.gr