Του Νίκου Γεωργόπουλου, ΜΒΑ, cyRM Cyber Risks Advisor, Cromar
Πολλές εταιρείες ανεξαρτήτως μεγέθους έχουν πέσει θύματα περιστατικών παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών, για το λόγο αυτό θα πρέπει να έχουν ένα σχέδιο αντιμετώπισης περιστατικών.
Ας δούμε τι πρέπει να περιλαμβάνει ένα τέτοιο σχέδιο:
Βήμα 1 – DataMapping, κατηγοριοποίηση των δεδομένων που διατηρεί η εταιρεία
Είναι πολύ σημαντικό να γνωρίζουμε τι είδους πληροφορίες διατηρεί η εταιρεία, ποιοι τις διαχειρίζονται και πού είναι αποθηκευμένες.
Πιο συγκεκριμένα θα πρέπει να γνωρίζουμε και να απαντήσουμε στα ακόλουθα ερωτήματα:
- Τι είδους πληροφορίες διατηρεί η εταιρεία για το ανθρώπινο δυναμικό της, τους πελάτες της, τους συνεργάτες της, τους προμηθευτές της, κ.λπ.;
- Πού είναι αποθηκευμένες αυτές οι πληροφορίες;
- Ποια συστήματα χρησιμοποιούμε για τη διαχείρισή τους, αν εφαρμόζουμε πολιτικές ασφάλειας πληροφοριών για αυτά και αν είναι ενημερωμένες;
- Ποια στελέχη της εταιρείας είναι υπεύθυνα για τα συστήματα αυτά;
- Έχουμε συνεργασίες με τρίτους οι οποίοι διαχειρίζονται δεδομένα και εμπιστευτικές πληροφορίες της εταιρείας;
- Ποια δεδομένα της εταιρείας βρίσκονται σε τρίτους οι οποίοι υποστηρίζουν υπηρεσίες outsourcing;
- Ποιος είναι ο χρόνος διατήρησης από την εταιρεία κάθε κατηγορίας δεδομένων;
- Ποιες οι διαδικασίες καταστροφής των δεδομένων που ακολουθεί η εταιρεία;
Βήμα 2– Γνώση των ευθυνών της εταιρείας λόγω της κατηγορίας των δεδομένων που διατηρεί
Πρέπει να γνωρίζουμε τη νομοθεσία που διέπει κάθε κατηγορία δεδομένων που διατηρούμε και τις υποχρεώσεις που έχουμε σε περίπτωση περιστατικών απώλειας δεδομένων. Ποια αρχή πρέπει να ενημερώσουμε και πόσο γρήγορα πρέπει να γίνει αυτό; Χρειάζεται να ενημερώσουμε τους πελάτες των οποίων χάθηκαν τα δεδομένα;
Ο Νέος Κανονισμός για την προστασία των προσωπικών δεδομένων (GDPR) ορίζει αναλυτικά τις γενικές υποχρεώσεις που έχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία των δεδομένων προσωπικού χαρακτήρα για λογαριασμό αυτών. Και οι δύο έχουν την υποχρέωση τήρησης κατάλληλων μέτρων ασφαλείας ανάλογα με τον κίνδυνο τον οποίον ενέχουν οι πράξεις επεξεργασίας δεδομένων τις οποίες εκτελούν.
Οι υπεύθυνοι επεξεργασίας σε ορισμένες περιπτώσεις, πρέπει να κοινοποιούν τα περιστατικά παραβίασης δεδομένων προσωπικού χαρακτήρα εντός 72 ωρών από την ανακάλυψη του περιστατικού παραβίασης και απώλειας προσωπικών δεδομένων στις αρμόδιες αρχές και στα υποκείμενα των δεδομένων αν η φύση των δεδομένων που χάθηκαν το απαιτεί.
Επίσης για τις εταιρείες και τις δημόσιες αρχές που εκτελούν πράξεις επεξεργασίας δεδομένων που ενέχουν κινδύνους θα πρέπει να έχουν ορίσει υπεύθυνο προστασίας δεδομένων.
Για τους υπεύθυνους επεξεργασίας ή τους εκτελούντες την επεξεργασία δεδομένων οι οποίοι παραβιάζουν τους κανόνες για την προστασία των δεδομένων προβλέπονται πολύ αυστηρές κυρώσεις.
Στους υπευθύνους επεξεργασίας δεδομένων μπορεί να επιβληθεί πρόστιμο που μπορεί να ανέλθει σε 20 εκατ. € ή στο 4% του συνολικού ετήσιου κύκλου εργασιών τους, όποιο από τα δύο είναι μεγαλύτερο.
Ο Νέος Γενικός Κανονισμός θα ισχύσει τοn Μάιο του 2018, μέχρι τότε οι εταιρείες θα πρέπει να φτιάξουν τις κατάλληλες υποδομές και διαδικασίες για την αντιμετώπιση αυτών των περιστατικών.
Για την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται υπόψη ενδεικτικά τα ακόλουθα:
- η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν,
- ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,
- οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,
- ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν,
- τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,
- ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,
- οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,
- ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,
- σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,
- η τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα και
- κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.
Ο κανονισμός αναγνωρίζει το δικαίωμα των υποκειμένων των δεδομένων να υποβάλλουν καταγγελία σε εποπτική αρχή καθώς και το δικαίωμά τους για δικαστική προσφυγή και αποζημίωση έτσι οι εταιρείες είναι εκτεθειμένες σε αγωγές από τρίτους των οποίων χάθηκαν τα προσωπικά τους δεδομένα.
Βήμα 3 – Δημιουργία Ομάδας Αντιμετώπισης Περιστατικών
Η ομάδα αυτή περιλαμβάνει στελέχη από τα τμήματα της εταιρείας που πρέπει να συμμετέχουν στην αντιμετώπιση ενός τέτοιου περιστατικού και ένα συντονιστή ο οποίος σε συνεργασία με τον CEO θα μπορεί να πάρει και να υλοποιεί αποφάσεις. Η ομάδα αποτελείται από ανώτατα στελέχη της εταιρείας από τα τμήματα:
- Information Security
- IT
- Νομικής υπηρεσίας
- Κανονιστικής Συμμόρφωσης
- Δημοσίων Σχέσεων & Επικοινωνίας
- Εξυπηρέτησης Πελατών
- Οικονομικής Διεύθυνσης
- Business Continuity
- Risk Management
- HR
- Marketing& Επικοινωνίας
και εξειδικευμένους εξωτερικούς συμβούλους όπως: δικηγόρους, επικοινωνιολόγους, ερευνητές ψηφιακής εγκληματολογίας.
Η ομάδα πρέπει να συνεδριάζει σε τακτικά χρονικά διαστήματα και να εκπονεί ασκήσεις προσομοίωσης διάφορων σεναρίων ώστε τα μέλη της να είναι σε ετοιμότητα για την αντιμετώπιση περιστατικών.
Βήμα 4 – Δημιουργία λίστας επαφών με τους εμπλεκόμενους στη διαχείριση περιστατικών παραβίασης
Οι εμπλεκόμενοι στη διαχείριση περιστατικών παραβίασης και οι οποίοι θα πρέπει να ειδοποιηθούν άμεσα είναι:
- Τα μέλη της ομάδας που ανήκουν στην εταιρεία.
- Νομικοί Σύμβουλοι οι οποίοι θα μπορούν να γνωρίζουν και να διαχειριστούν τις υποχρεώσεις της εταιρείας.
- Εξωτερικοί συνεργάτες (Forensics Investigators, επικοινωνιολόγοι) οι οποίοι μπορούν να προσφέρουν εξειδικευμένη γνώση.
Βήμα 5 – Δημιουργία Πλάνου αντιμετώπισης του περιστατικού
Λαμβάνοντας υπόψη τα προηγούμενα βήματα μπορούμε να δημιουργήσουμε ένα πλάνο αντιμετώπισης περιστατικών το οποίο θα πρέπει να ενεργοποιείται άμεσα όταν έχουμε ένα τέτοιο περιστατικό.
Με την εκδήλωση του περιστατικού θα πρέπει:
- Να ειδοποιήσουμε τα μέλη της Ομάδας Αντιμετώπισης Περιστατικών.
- Να προσδιορίσουμε το είδος των δεδομένων και τα συστήματα που έχουμε πρόβλημα και να φροντίσουμε να σταματήσουμε την διαρροή με την βοήθεια ειδικών.
- Να ενημερώσουμε τους εξειδικευμένους νομικούς συμβούλους μας.
- Να ενημερώσουμε την Αρχή Προστασίας Προσωπικών δεδομένων και να ζητήσουμε την συνεργασία της.
- Να ενημερώσουμε την ασφαλιστική μας εταιρεία αν έχουμε ασφάλιση Cyber Insurance.
- Να ενημερώσουμε τρίτους που επηρεάζονται από το περιστατικό.
- Να ακολουθήσουμε το επικοινωνιακό πλάνο που έχουμε δημιουργήσει.
Αντιμετώπιση Περιστατικών και ασφάλιση Cyber Insurance
Η ασφάλιση Cyber Insurance είναι ένα κρίσιμο κομμάτι της συνολικής στρατηγικής για τη διαχείριση των κινδύνων. Ενώ η ασφάλιση δεν μπορεί να εμποδίσει ένα περιστατικό ασφαλείας, μπορεί να βοηθήσει στην υλοποίηση του Σχεδίου Αντιμετώπισης Περιστατικών παραβίασης ασφάλειας των συστημάτων της εταιρείας με την παροχή βοήθειας μέσω εξειδικευμένων παρόχων που παρέχουν τις κατάλληλες υποδομές και το κατάλληλο ανθρώπινο δυναμικό, όταν εμφανίζεται συμβάν ασφάλειας μειώνοντας τις επιπτώσεις στη φήμη της εταιρείας.
Οι βασικές παροχές των προϊόντων ασφάλισης cyber insurance είναι:
- Αστική Ευθύνη έναντι τρίτων οι οποίοι υπέστησαν ζημιά λόγω απώλειας των προσωπικών τους δεδομένων από την εταιρεία στην οποία τα είχαν δώσει.
- Ανταπόκριση σε Περιστατικά Παραβίασης: Έξοδα και Υπηρεσίες διαχείρισης περιστατικών παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών.
- Διακοπή Εργασιών – Κάλυψη για απώλεια εσόδων λόγω διακοπής της επιχειρηματικής δραστηριότητας από περιστατικά παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών.
- Κυβερνοεκβιασμό – Κάλυψη για διαχείριση περιστατικών εκβιασμού από απειλές που μπορεί να βλάψουν ένα δίκτυο ή να οδηγήσουν σε διαρροή εμπιστευτικών πληροφοριών.
Λαμβάνοντας υπόψη τις συνθήκες της αγοράς η Cromar σχεδίασε την λύση Cyber Secure Solution η οποία υποστηρίζεται από την αγορά των Lloyds.
Πιο συγκεκριμένα μέσω της λύσης Cyber Secure Solution διαθέτει στην ελληνική αγορά σε συνεργασία με τους Beazley μία από τις καλύτερες ασφαλιστικές λύσεις διαχείρισης περιστατικών απώλειας εμπιστευτικών πληροφοριών και προσωπικών δεδομένων παγκοσμίως το “Beazley Global Breach Solution”.
Tο “Beazley Global Breach Solution” προσφέρει εκτός από τις χρηματικές αποζημιώσεις πρόσβαση στην Ομάδα Διαχείρισης Περιστατικών του η οποία έχει αντιμετωπίσει άνω των 3.000 περιστατικών παγκοσμίως.
Risk Management Tools
Για την περισσότερη πληροφόρηση σχετικά με την αντιμετώπιση και διαχείριση περιστατικών μπορείτε να χρησιμοποιήσετε τα εργαλεία που υπάρχουν στην υπηρεσία CyberRisksToolkit
Με την βοήθεια τους μπορείτε:
- να βρείτε Οδηγούς αντιμετώπισης περιστατικών
- να υπολογίσετε το ενδεικτικό κόστος τους
- να βρείτε αναλύσεις ζημιών ασφαλισμένων εταιρειών
- να δείτε το νομικό πλαίσιο που ισχύει διεθνώς