Τα κενά ασφαλείας και ασφάλισης στον τουριστικό κλάδο -και ειδικά στο ξενοδοχειακό χώρο– καλούνται να αντιμετωπίσουν αποτελεσματικά οι επιχειρηματίες στην Ελλάδα εν όψει και του νέου κανονισμού περί προστασίας των προσωπικών δεδομένων, που προβλέπει από το Μαίο του 2018 βαρύτατα πρόστιμα και αλλάζει τις διαδικασίες στη συλλογή και τη διαχείριση ευαίσθητων δεδομένων.
Τις νέες ευθύνες που απορρέουν από το νέο πλαίσιο προστασίας Προσωπικών Δεδομένων ανέλυσε στο συνέδριο Hotel Tech 2017 ο Νίκος Γεωργόπουλος, Cyber Risks Advisor της Cromar , ο οποίος αναφέρθηκε σε πραγματικά περιστατικά παραβίασης σε ελληνικά ξενοδοχεία (δείτε εδώ περισσότερα στοιχεία), τον τρόπο που πρέπει να αντιμετωπίζονται, τις αναγκαίες δικλείδες ασφαλείας και το ρόλο της ανεξάρτητης αρμόδιας αρχής.
Όπως ανέφερε οι απαιτήσεις των πελατών εξελίσσονται τόσο γρήγορα όσο και η ίδια η τεχνολογία των κινητών μέσων και σε αυτό συνηγορούν και τα αποτελέσματα της έρευνας “Ξενοδοχεία 2020” της εταιρίας Grant Thornton. “Για να μπορέσουν τα ξενοδοχεία να διατηρήσουν και να αυξήσουν το πελατολόγιό τους θα πρέπει να επενδύσουν σε τεχνολογικές λύσεις και υπηρεσίες με τη βοήθεια των οποίων θα παρέχουν εξατομικευμένες υπηρεσίες φροντίζοντας παράλληλα την ασφάλεια των προσωπικών δεδομένων των πελατών τους”.
Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) ο οποίος θα ισχύσει στις 25.05.2018 απαιτεί από τις εταιρίες:
- να έχουν εκπαιδεύσει κατάλληλα το ανθρώπινο δυναμικό τους να έχουν τα κατάλληλα μέτρα ασφαλείας και τις αναγκαίες πολιτικές για την προστασία των πληροφοριών
- να κάνουν αναλύσεις των επιπτώσεων που μπορούν να προκύψουν λόγω παραβίασης ιδιωτικότητας
- να σχεδιάζουν προϊοντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας
- να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων και τους πελάτες των οποίων τα δεδομένα χάθηκαν να έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer)
- να έχουν πλάνο αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων (Incident Response Plan) να αποζημιώνουν τους πελάτες των οποίων χάθηκαν τα δεδομένα τους
Επίσης προβλέπει πρόστιμα σε περιπτώσεις περιστατικών απώλειας προσωπικών δεδομένων τα οποία μπορούν να φθάσουν έως 4% του τζίρου ή 20εκ€ όποιο από τα δύο είναι μεγαλύτερο ανάλογα με την σπουδαιότητα της παραβίασης.
Έχουμε όμως περιστατικά παραβίασης στην Ελλάδα;
Ναί, ας δούμε μερικές περιπτώσεις οι οποίες είδαν το φώς της δημοσιότητας:
Α) Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια των Δικτύων και Πληροφοριών (ENISA) ενημέρωσε την Αρχή Προστασίας Προσωπικών Δεδομένων σχετικά με περιστατικό διαρροής δεδομένων πιστωτικών καρτών τριών ατόμων τα οποία πραγματοποίησαν, από ξεχωριστές τοποθεσίες (διαφορετικά κράτη),ηλεκτρονική κράτηση σε ξενοδοχείο.
Κατά την εξέταση της υπόθεσης, προέκυψε ότι η ηλεκτρονική πλατφόρμα που χρησιμοποιείται για τις διαδικτυακές κρατήσεις τηρούσε το σύνολο των δεδομένων των πιστωτικών καρτών (αριθμό κάρτας, αριθμό ασφαλείας, ημερομηνία λήξης), ενώ παράλληλα δεν είχαν υιοθετηθεί τα πλέον ενδεδειγμένα μέτρα για την ασφάλεια της επεξεργασίας, όπως δηλ. να επιτρέπονται προσβάσεις που επιχειρούνται από συγκεκριμένες στατικές IP διευθύνσεις, να τηρούνται αρχεία καταγραφής ενεργειών χρηστών, και να χρησιμοποιούνται συνθηματικά (password) με επαρκή πολυπλοκότητα. Για το περιστατικό αυτό η αρχή προστασίας προσωπικών δεδομένων επέβαλε πρόστιμο €5.000 και ζήτησε την λήψη κατάλληλων μέτρων για την προστασία των προσωπικών δεδομένων.
Β) Αλλη μια πρόσφατη υπόθεση την οποία διερεύνησε η Δίωξη Ηλεκτρονικού εγκλήματος αφορούσε Ρεσεψιονίστ στη Σαντορίνη ο οποίος υπέκλεψε στοιχεία καρτών 1.500 πελατών του ξενοδοχείου που εργαζόταν Συγκεκριμένα, ο δράστης, εκμεταλλευόμενος τη θέση εργασίας υπέκλεψε το σύνολο του πελατολογίου, (1.500 άτομα) με τα στοιχεία των πιστωτικών καρτών τους, για το διάστημα από τον Μάρτιο έως τον Νοέμβριο του 2016. Για το περιστατικό αυτό δεν έχει εκδοθεί ακόμα απόφαση της αρχής προστασίας προσωπικών δεδομένων.
Άλλες απειλές που μπορούν να επηρεάσουν την λειτουργία των ξενοδοχείων
Εκτός από τα περιστατικά παραβίασης τα ξενοδοχεία και η βιομηχανία της φιλοξενίας απειλούνται από κυβερνοεπιθέσεις και προγράμματα ransomware τα οποία κρυπτογραφούν τα αρχεία και ζητούν πληρωμή λύτρων για την επανάκτησή τους. Μία κυβερνοεπίθεση μπορεί να επηρεάσει τα συστήματα πληροφορικής που χρησιμοποιούν τα ξενοδοχεία να δημιουργήσει προβλήματα στην διαχείριση των κρατήσεων, την εξυπηρέτηση των πελατών τους και να οδηγήσει σε απώλεια εσόδων λόγω μη δυνατότητας λειτουργίας. Περιστατικό προγράμματος ransomware είχαμε πρόσφατα σε ξενοδοχειακή μονάδα της Αυστρίας όπου τέθηκε εκτός λειτουργίας το σύστημα κλειδώματος των δωματίων της και ζητήθηκαν λύτρα για την επαναλειτουργία του. Παραβιάσεις συστημάτων και απώλειας δεδομένων πιστωτικών καρτών έχουν διαπιστωθεί σε πελάτες αλυσίδων φιλοξενίας όπως το Marriott, το Holiday Inn, το Sheraton και άλλες.
Τα παραδοσιακά ασφαλιστήρια που χρησιμοποιούνται για την ασφαλιστική κάλυψη των ξενοδοχειακών μονάδων δεν είναι πλέον αρκετά γιατι περιέχουν καλύψεις οι οποίες δεν μπορούν να ανταποκριθούν σε τέτοιο κίνδυνο, γιατί δεν σχεδιάστηκαν για αυτόν τον σκοπό.
Η ασφάλιση Cyber Insurance αποτελεί ένα εργαλείο διαχείρισης κινδύνου και αποτελεσματικής διαχείρισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων πελατών. Η ασφάλιση Cyber Insurance προσφέρει εκτός από την κάλυψη των χρηματοοικονομικών επιπτώσεων της εταιρίας και πρόσβαση σε ομάδες ειδικών οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών. Η πρόσβαση σε ομάδες ειδικών μπορεί να βοηθήσει και να ελαχιστοποιήσει την οικονομική καταστροφή και τη βλάβη της φήμης που μπορεί να συντελεστεί σε σύντομο χρονικό διάστημα.
Λαμβάνοντας υπόψη τις ανάγκες των ξενοδοχειακών επιχειρήσεων η Cromar (www.cromar.gr) προσφέρει σε συνεργασία με τους Beazley (www.beazley.com) το Cyber Secure Solution το οποίο αποτελεί μια συνολική λύση αποτελεσματικής διαχείρισης των κινδύνων παραβίασης συστημάτων και απώλειας δεδομένων και επιτρέπει στις επιχειρήσεις να μετριάσουν τον κίνδυνο να θιγεί η εταιρική φήμη από πιθανή παραβίαση της ασφάλειας των δεδομένων αυτών. Δείτε την απόφαση 85/2015 της Αρχής Προστασίας Προσωπικών Δεδομένων για το περιστατικό παραβίασης προσωπικών δεδομένων.
Πηγή: http://www.cyberinsurancegreece.com/news/toyrismos-asfalisi-cyber-insurance/