Οι σοβαρές παραβιάσεις δεδομένων μπορεί να είναι εξαιρετικά δαπανηρές για τους οργανισμούς όταν αυτές συμβαίνουν και είναι μεγάλη η ανάγκη της πρόληψης για την αποτροπή τους.

Ωστόσο, διαπιστώνουμε ότι πολλές επιχειρήσεις είναι εντελώς απροετοίμαστες στο να αντιμετωπίσουν τις Παραβιάσεις των Δεδομένων τους. Δηλαδή, έχουν παραμελήσει να επενδύσουν σε κατάλληλα μέτρα για την αποτροπή τους. Μπορεί να θεωρηθεί ως νοοτροπία του «Δεν θα συμβεί ποτέ σε εμάς». Σε τελική ανάλυση, μπορεί να είναι εύκολο να αναβάλουμε την επένδυση κεφαλαίων σε κάτι που δεν φανταζόμαστε ποτέ να μας συμβεί. Ειδικότερα δε, όταν αυτό έχει να κάνει με την υποχώρηση της στέγης μας είτε με μια παραβίαση δεδομένων στον χώρο εργασίας μας. Ιδιαίτερα, όταν υπάρχουν άλλες ανταγωνιστικές προτεραιότητες για να χρησιμοποιήσουμε τους προϋπολογισμούς και τους πόρους μας.

Ωστόσο, μια μη εφαρμογή των κατάλληλων μέτρων για την πρόληψη των παραβιάσεων και την αντιμετώπισή τους από τη στιγμή που θα συμβούν μπορεί να φέρει τους οργανισμούς σε δυσμενή θέση. Είτε με τη Ρυθμιστική Αρχή, ή και με τους πελάτες και τα ευρύτερα ενδιαφερόμενα μέρη.

Τι ορίζουμε Παραβίαση Δεδομένων (Data Breach);

Η «παραβίαση δεδομένων» έχει έναν πολύ ευρύ ορισμό. Ουσιαστικά περιλαμβάνει οτιδήποτε μπορεί να θέσει σε κίνδυνο την εμπιστευτικότητα, τη διαθεσιμότητα ή την ακεραιότητα των προσωπικών δεδομένων. Συγκεκριμένα πρόκειται για πληροφορίες που σχετίζονται με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.

Οι παραβιάσεις εκείνες έρχονται σε όλα τα σχήματα και μεγέθη.

Συγκεκριμένα, μπορεί να ξεκινά από την απλή κοινοποίηση αντί για την κρυφή κοινοποίηση ενός παραλήπτη email. Επίσης μπορεί να έχει να κάνει με την εγκατάλειψη ενός μη κρυπτογραφημένου φορητού υπολογιστή. Τέλος, μπορεί να καταλήξει μέχρι και σε μια τεράστια κυβερνοεπίθεση που διεισδύει και/ή κρυπτογραφεί δεδομένα που είναι αποθηκευμένα σε ένα ολόκληρο δίκτυο διακομιστών. Προφανώς, αυτές οι διαφορετικές παραβιάσεις παρουσιάζουν διαφορετικά επίπεδα κινδύνου. Αυτές οι παραβιάσεις επηρεάζουν τόσο για τα υποκείμενα των δεδομένων όσο και για τους οργανισμούς που τις υφίστανται. Ως εκ τούτου δικαιολογούν διαφορετικά επίπεδα επένδυσης για την προστασία από αυτές τις παραβιάσεις.

Ειδικότερα για τις πιο σοβαρές παραβιάσεις, που οδηγούν σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που θίγονται, υπάρχει η απαίτηση να αναφέρετε αυτά τα περιστατικά στην εγχώρια Εποπτική Αρχή. Μια Αρχή που έχει συσταθεί από το κράτος μέλος του για την εποπτεία της συμμόρφωσης με τον κανονισμό προστασίας δεδομένων (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα).

Η αναφορά τέτοιου είδους παραβιάσεων πρέπει να γίνει, εντός 72 ωρών, όπως απαιτείται από τον κανονισμό του GDPR. Παράλληλα αυτό μπορεί να φέρει μαζί του τη πιθανότητα για πιο σοβαρές συνέπειες. Ωστόσο, αυτό δεν προκαλεί έκπληξη, δεδομένου ότι είστε υποχρεωμένοι να αναφέρετε τις δικές σας αδυναμίες στην Ρυθμιστική Αρχή σας.

Περαιτέρω και ανάλογα της αλυσίδας σοβαρότητας, μπορεί να χρειαστεί επίσης να ενημερώσετε και τα θιγόμενα υποκείμενα των δεδομένων. Αναντίρρητα μπορείτε να αντιληφθείτε πως όλα τα παραπάνω, μπορεί να προκαλέσουν με αρνητικό τρόπο την υστεροφημία του οργανισμού σας. Ειδικότερα δε, όσο θα εξακολουθείτε να παραμένετε αδρανείς στο ζήτημα της προφύλαξης των προσωπικών δεδομένων.

Οι συνέπειες της παραβίασης των δεδομένων σε ατομικό επίπεδο.

Οι συνέπειες που μπορεί να έχει μια παραβίαση δεδομένων στα άτομα που επηρεάζονται, είναι σε τρία επίπεδα. Συγκεκριμένα μπορεί να κυμαίνονται από την αμελητέα συνέπεια, έως μια ελαφριά ταλαιπωρία (π.χ. να πρέπει να δώσουμε ξανά διαγραμμένες πληροφορίες), μέχρι και καταστροφικές επιπτώσεις.

Ειδικότερα, αυτές οι καταστροφικές επιπτώσεις θα μπορούσαν να περιλαμβάνουν:

  • Οικονομικές απώλειες (σε περίπτωση κλοπής τραπεζικών στοιχείων).
  • Αμηχανία (αν διαρρεύσουν ευαίσθητες προσωπικές πληροφορίες).
  • Διάκριση (εάν παραβιαστούν δεδομένα ειδικής κατηγορίας προσωπικών δεδομένων που απαιτούν περισσότερη προστασία επειδή είναι ευαίσθητα στη φύση τους). Ο GDPR ορίζει δεδομένα ειδικής κατηγορίας ως δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικάτα, γενετικά δεδομένα, βιομετρικά δεδομένα και δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή ενός ατόμου ή τον σεξουαλικό προσανατολισμό.
  • Δυσφορία
  • Κλοπή ταυτότητας ή απάτη.
  • Ζημιά στην υστεροφημία.
  • Απώλεια της εμπιστευτικότητας.

Όλα τα παραπάνω είναι ζητήματα που πρέπει να ληφθούν υπόψη κατά την αξιολόγηση της παραβίασης. Ακολούθως πρέπει να εξετάσουν οι οργανισμοί και το κατά πόσον η Εποπτική Αρχή, και πιθανώς τα ίδια τα υποκείμενα των δεδομένων θα πρέπει να ενημερωθούν για την παραβίαση.

Οι συνέπειες της παραβίασης των δεδομένων σε επίπεδο οργανισμών.

Οι παραβιάσεις δεδομένων μπορούν επίσης να βλάψουν σημαντικά και τον οργανισμό σας. Από τις πιο σοβαρές από αυτές είναι:

Οικονομικές Ζημιές.

Όταν σκεφτόμαστε για πρώτη φορά την οικονομική ζημία που προκαλεί μια παραβίαση δεδομένων, σκεφτόμαστε αμέσως τα πιθανά πρόστιμα στα οποία επιβάλλονται στους οργανισμούς. Σύμφωνα με τον GDPR αυτά τα πρόστιμα φτάνουν έως και 20 εκατομμύρια ή στο 4% του παγκόσμιου ετήσιου τζίρου.

Χαρακτηριστικό παράδειγμα, αποτέλεσε το μεγάλο πρόστιμο που είχε επιβάλει η Βρετανική Αρχή (ICO) στην British Airways για την παραβίαση των προσωπικών δεδομένων των πελατών της, πριν από 4 χρόνια.

Ζημιά στην υστεροφημία των οργανισμών.

Εκτός από τη χρηματική αξία μιας παραβίασης δεδομένων, ακόμη και οι σχετικά «φθηνές» παραβιάσεις μπορούν να προκαλέσουν ανεπανόρθωτη βλάβη στη φήμη ενός οργανισμού. Ιδιαίτερα δε, εάν ένας οργανισμός ισχυρίζεται ότι εκτιμά την ασφάλεια και το απόρρητο.

Τα υποκείμενα των δεδομένων είναι πλέον πολύ πιο επικριτικά ως προς τις επιχειρήσεις και τις πρακτικές προστασίας των δεδομένων τους. Αυτό συμβαίνει και χάρη στην τεράστια αύξηση της ευαισθητοποίησης σχετικά με την προστασία των δεδομένων και τα δικαιώματα της ιδιωτικής ζωής που έχει σημειωθεί από τότε που δημιουργήθηκε για πρώτη φορά ο GDPR της ΕΕ. Πλέον ένα μεγάλο μέρος των παραβιάσεων μπορεί να αποδοθεί στη δημοσιότητα, καθώς έτσι επιβάλλουν πλέον οι μεγάλες παραβιάσεις δεδομένων. Τα υποκείμενα των δεδομένων δεν έχουν ανοχή στην κατάχρηση των προσωπικών τους δεδομένων. Συνεπώς οι οργανισμοί λογοδοτούν πολύ περισσότερο.

Επίσης όπως έχουμε δει επανελημένως, τα υποκείμενα είναι πρόθυμα να αλλάξουν τον πάροχο μια υπηρεσίας που θέλουν, εάν οι οργανισμοί αποδειχθούν ανάξιοι θεματοφύλακες των προσωπικών τους δεδομένων.

Η επένδυση στην πρόληψη είναι η πιο ιδανική λύση.

Ενώ είναι αδύνατη η εξάλειψη του κίνδυνου παραβίασης δεδομένων, η επένδυση σε προληπτικά μέτρα για την προστασία από παραβιάσεις δεδομένων είναι απαραίτητη για όλους τους οργανισμούς, καθώς και για τη συμμετοχή τους σύμφωνα με το Άρθρο 32 του GDPR. Το μέγεθος των μέτρων θα εξαρτηθούν από τον προϋπολογισμό, το μέγεθος του οργανισμού και τους τύπους των προσωπικών δεδομένων που επεξεργάζεστε.

Μια σειρά ενεργειών ή βημάτων που γίνονται για την επίτευξη αυτού του σκοπού, μπορεί να περιλαμβάνουν:

  • Την εφαρμογή μιας σειράς πολιτικών προσωπικού για τον κατάλληλο χειρισμό προσωπικών δεδομένων και ασφάλειας πληροφοριών.
  • Παροχή τακτικής εκπαίδευσης Κοινωνικής Μηχανικής του προσωπικού σχετικά με τον τρόπο πρόληψης και αντιμετώπισης παραβιάσεων δεδομένων (π.χ. πώς να εντοπίζετε μηνύματα τύπου phishing).
  • Έχοντας μια ισχυρή Πολιτική Διαχείρισης σε περίπτωση παραβίασης. Την κατοχή ενός εγκεκριμένου και καθιερωμένου τρόπου ολοκλήρωσης μιας συγκεκριμένης εργασίας, για την αντιμετώπισή τους όταν συμβούν.
  • Σύστηματα Διαχείρισης Ασφάλειας Πληροφοριών. Ειδικότερα, όπως αυτή περιγράφεται σύμφωνα με το Διεθνές Πρότυπο του ISO 27001:2013.

Το διεθνές πρότυπο ISO 27001:2013 παρέχει την κατάλληλη βοήθεια σε οποιοδήποτε Οργανισμό.

Η παροχή αυτή της βοήθειας, δίνεται ανεξάρτητα του μεγέθους και του τομέα που δραστηριοποιείται, στο να διαχειρίζεται και να προστατεύει επαρκώς τις πληροφορίες και τα δεδομένα όλων των ενδιαφερόμενων μερών του.

Οι οργανισμοί καθημερινά λαμβάνουν, διαχειρίζονται και αποστέλλουν μεγάλο όγκο πληροφοριών. Η μεταφορά των πληροφοριών λαμβάνει χώρα σε έναν κόσμο που γίνεται όλο και περισσότερο ευάλωτος σε κακόβουλες δραστηριότητες. Αυτό συμβαίνει λόγω της αύξησης της διασυνδεσιμότητας, των συσκευών και των κατανεμημένων εφαρμογών. Αυτό έχει ως αποτέλεσμα την αύξηση των απαιτήσεων ασφαλείας για την προστασία των κρίσιμων πληροφοριών των Οργανισμών από διαρροή, σκόπιμη αλλοίωση ή και διακοπή διαθεσιμότητας.

  • Εφαρμογή Ελέγχου Πρόσβασης.

Συγκεκριμένα την τήρηση μιας σειράς μέτρων (τεχνικών ή φυσικών) που θα επιτρέπουν την πρόσβαση στα προσωπικά δεδομένα βάσει της ανάγκης γνώσης. Μέσα σε αυτά μπορούν να είναι και τα συστήματα της παρακολούθησης πρόσβασης (Συστήματα τύπου SIEM).

  • Χρήση τειχών προστασίας (firewall), λογισμικών προστασίας από ιούς και φίλτρα ανεπιθύμητης αλληλογραφίας.
  • Δημιουργία αντιγράφων ασφαλείας των δεδομένων και εφαρμογή σχεδίου αποκατάστασης καταστροφών.
  • Άλλα μέτρα προστασίας για την Κυβερνοασφάλεια.

Η πρόληψη είναι το Παν.

Το ζήτημα της πρόληψης είναι κάτι που πρέπει να επισημαίνουμε σε κάθε ευκαιρία. Και θα εξακολουθούμε να την αναφέρουμε, παρόλο που η επένδυση της στην αρχή μπορεί να μοιάζει σαν μια μεγάλη δέσμευση. Τα οφέλη της σε μελλοντικό χρόνο μπορούν κάλλιστα να σας ευχαριστήσουν. Καθώς, όταν πρόκειται για παραβιάσεις δεδομένων, ισχύει το ακόλουθο παραδοσιακό ρητό:

«Η πρόληψη είναι πραγματικά καλύτερη από τη θεραπεία.»

 

Πηγή: DPO Center