Η εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων και ο ορισμός DPO θα εξασφαλίσει την ασφαλισιμότητα των εταιριών και θα βοηθήσει στην ανάπτυξη της αγοράς ασφάλισης Cyber Insurance.

12/07/2017 09:15

Η εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων και ο ορισμός DPO θα εξασφαλίσει την ασφαλισιμότητα των εταιριών και θα βοηθήσει στην ανάπτυξη της  αγοράς ασφάλισης Cyber Insurance.

 

1. Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR)

Το νέο περιβάλλον στο οποίο καλούνται να δραστηριοποιηθούν οι επιχειρήσεις απαιτεί την συμμόρφωσή τους με το νέο Γενικό Κανονισμό για την Προστασία των Προσωπικών Δεδομένων (GDPR) ο οποίος απαιτεί από τις εταιρίες

  • να έχουν εκπαιδεύσει κατάλληλα το ανθρώπινο δυναμικό τους
  • να έχουν τα κατάλληλα μέτρα ασφαλείας και τις αναγκαίες πολιτικές για την προστασία των πληροφοριών
  • να κάνουν αναλύσεις των επιπτώσεων που μπορούν να προκύψουν λόγω παραβίασης ιδιωτικότητας
  • να σχεδιάζουν προϊοντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας
  • να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδεομένων
  • να έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer)
  • να έχουν πλάνο αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων (Incident Response Plan)

Επίσης, ο νέος κανονισμός  προβλέπει πρόστιμα τα οποία μπορούν να φθάσουν έως 4% του τζίρου της επιχείρησης ή €20εκ όποιο από τα δύο είναι μεγαλύτερο.

Ο νέος Κανονισμός αναμένεται να αναγκάσει τις εταιρίες να συμμορφωθούν στα νέα δεδομένα, να προετοιμαστούν κατάλληλα επιλέγοντας προϊόντα και υπηρεσίες προστασίας των πληροφοριών που διαχειρίζονται, που θα τις βοηθήσουν να αντιμετωπίσουν αποτελεσματικά μελλοντικά περισταστικά, δημιουργώντας τις κατάλληλες συνθήκες που θα εξασφαλίσουν την ασφαλισιμότητα των εταιριών και την ανάπτυξη της αγοράς του cyber insurance.

 

2. O Ρόλος του Data Protection Officer

Ο Data Protection Officer αναλαμβάνει να:

  • εκπροσωπήσει την Επιχείρηση έναντι των Αρχών, Εθνικών και Ευρωπαϊκών
  • να διασφαλίσει την εναρμόνιση της λειτουργίας της επιχείρησης σε ότι αφορά τις πολιτικές πρακτικές και μεθοδολογία επεξεργασίας, αποθήκευσης και μεταφοράς Δεδομένων Προσωπικού Χαρακτήρα με το νέο αυστηρό νομοθετικό πλαίσιο και να δημιουργήσει την κατάλληλη κουλτούρα στο ανθρώπινο δυναμικό της εταιρίας.
  • να προστατέψει την επιχείρηση από τους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμων που προβλέπει ο Κανονισμός τα οποία εκκινούν από 10.000.000 Ευρώ ή το 2% του παγκόσμιου τζίρου εαν πρόκειται για διεθνή όμιλο και φτάνουν σε περίπτωση παράβασης βασικών διατάξεων του κανονισμού σε 20.000.000 ή στο 4% του παγκόσμιου τζίρου. 

Ο Data Protection Officer θα πρέπει να έχει τις κατάλληλες γνώσεις και δεξιότητες για να ανταποκριθεί στον ρόλο του με αποδεδειγμένη (πιστοποιημένη από ανεξάρτητο φορέα) γνώση και εμπειρία στη νομοθεσία και πρακτική εφαρμογή των διαδικασιών διαχείρισης προσωπικών δεδομένων, ο οποίος θα έχει εχέγγυα ανεξαρτησίας και θα αναφέρεται απευθείας στον CEO ή σε μέλος του Δ.Σ μιας εταιρίας.

 

3. Η ασφάλιση Cyber Insurance

Η ασφάλιση Cyber Insurance αποτελεί ένα κρίσιμο κομμάτι της στρατηγικής για τη διαχείριση των κινδύνων που πρέπει να χρησιμοποιεί κάθε εταιρία για να διαχειριστεί τον υπολοιπόμενο κίνδυνο (residual risk) που δεν μπορεί να μειώσει με την χρήση διαδικασιών και πολιτικών διαχείρισης.

Λαμβάνοντας υπόψη ότι  100% ασφάλεια δεν υπάρχει οι εταιρίες θα πρέπει να εξετάσουν την δυνατότητα μεταφοράς του κινδύνου που απομένει και δεν μπορούν να μειώσουν περαιτέρω σε ασφαλιστικά προϊόντα cyber insurance.

 

Ενώ η ασφάλιση δεν μπορεί να εμποδίσει ένα περιστατικό παραβίασης ασφάλειας, μπορεί εκτός από την κάλυψη των οικονομικών επιπτώσεων, να βοηθήσει στην καλύτερη υλοποίηση του πλάνου αντιμετώπισης περιστατικών (Incident Response Plan) παραβίασης συστημάτων και απώλειας προσωπικών δεδομένων παρέχοντας εξειδικευμένες ομάδες ειδικών με εμπειρία στην διαχείριση και τις απαραίτητες υποδομές όταν εμφανίζεται συμβάν μειώνοντας τις επιπτώσεις της παραβίασης στους πελάτες και τη φήμη της εταιρείας.

 

Με την βοήθεια της ασφάλισης cyber insurance οι επιχειρήσεις θα προστατεύσουν τους Ισολογισμούς τους και θα διαχειριστούν αποτελεσματικά τις συνέπειες των περιστατικών αυτών.

 

Ας δούμε ένα παράδειγμα λειτουργίας ενός ασφαλιστηρίου συμβολαίου σε περίπτωση ενός περιστατικού Ransomware.

To Ransomware είναι κακόβουλο λογισμικό που “κλειδώνει” τις  λειτουργίες  υπολογιστών και συστημάτων  ενώ παράλληλα μπορεί να κρυπτογραφήσει δεδομένα και αρχεία, ζητώντας  “λύτρα”, σε κάποιο κρυπτονόμισμα (πχ Bitcoins) , για να ανακτηθεί ο έλεγχος του υπολογιστή ή των συστημάτων και να  χρησιμοποιηθούν ξανά τα  μολυσμένα αρχεία

 

Παράδειγμα
Ένας εργαζόμενος σε μια μεσιτική εταιρία ασφαλειών στο Ηνωμένο Βασίλειο έκανε κλικ σε ένα μολυσμένο Link που περιείχε ένα email που έλαβε και ένα malware κατέβηκε στον εταιρικό server. To Malware κρυπτογράφησε όλα τα αρχεία που περιείχε ο server.

 

Ενα μήνυμα εμφανίστηκε στον υπολογιστή του εργαζομένου ζητώντας την πληρωμή 7 Bitcoin (€10.900) στις επόμενες 24 ώρες για να παραλάβει το κλειδί αποκρυπτογράφησης των αρχείων.

 

Το συμβάν αυτό αποτελεί ένα Περιστατικό Παραβίασης Ασφάλειας Εταιρικού Δικτύου.

 

Η εταιρία επικοινώνησε με την ασφαλιστική της εταιρία για να την ενημερώσει για το συμβάν και να ζητήσει βοήθεια για την διαχείρισή του. Ο Incident Response Manager της ασφαλιστικής εταιρίας  που ανέλαβε την διαχείριση του συμβάντος επικοινώνησε με τους ειδικούς διερεύνησης περιστατικών παραβίασης συστημάτων (Forensic Investigators) της ασφαλιστικής εταιρίας για να διερευνήσουν τις συνθήκες του περιστατικού και να γνωμοδοτήσουν αν η εταιρία μπορεί να αποφύγει την πληρωμή  λύτρων.

 

Πιθανές Οικονομικές Επιπτώσεις - Καλύψεις Ασφαλιστηρίου που ενεργοποιούνται

 

 

Πρέπει να ενημερώνεται η Αρχή Προστασίας Προσωπικών Δεδομένων για αυτά τα συμβάντα;

Σε περίπτωση περιστατικών κυβερνοεκβιασμού πρέπει να ενημερώνονται οι αρμόδιες αρχές σύμφωνα με το νέο Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR), γιατί το περιστατικό αυτό αφορά παραβίαση ασφάλειας του εταιρικού δικτύου και δείχνει ότι η εταιρία δεν είχε λάβει τα κατάληλα τεχνικά και οργανωτικά μέτρα.

 

Τι πρέπει να θυμόμαστε: Αν και το κόστος της πληρωμής λύτρων σε Bitcoin είναι μικρότερο από το κόστος που θα πληρώσει η ασφαλιστική εταιρία σύμφωνα με τους όρους του ασφαλιστηρίου, οι αστυνομικές αρχές (FBI , Europol) συνιστούν να μην πληρώνονται τα λύτρα σε περιπτώσεις κυβερνοεκβιασμού.

 

Η καταβολή των λύτρων αυξάνει την εγκληματικότητα και δείχνει την ανεπάρκεια διαδικασιών και πολιτικών της εταιρίας και την μη ύπαρξη back up. Επίσης δεν διασφαλίζει ότι μπορεί να γίνει η επαναφορά των  αρχείων που έχουν κρυπτογραφηθεί ούτε ότι η εταιρία δεν θα ξαναγίνει στόχος σε σύντομο χρονικό διάστημα. Τα αντίγραφα των δεδομένων θα πρέπει να φυλάσσονται σε ασφάλες μέρος.

 

Η ασφαλιστική εταιρία αν χρειασθεί θα πληρώσει το ποσό των λύτρων σε Bitcoin θα είναι όμως η τελευταία επιλογή της     

To παραπάνω παράδειγμα αφορά εταιρία που δραστηριοποιείται στο Ηνωμένο Βασίλειο, όμως τέτοια παραδείγματα συμβαίνουν καθημερινά και στην Ελλάδα σε διάφορες επαγγελματικές ομάδες. 

 

Αν θέλετε να μάθετε περισσότερα για τον Γενικό Κανονισμό και την ασφάλιση cyber insurance  χρησιμοποιείστε την βραβευμένη από την αγορά των Lloyd’s εκπαιδευτική μηχανή www.cyberinsurancequote.gr.

 

Νίκος Γεωργόπουλος
Cyber Privacy Risks Insurance Advisor
Cromar coverholder at Lloyds
www.cyberinsurancequote.gr