Ποιοι τομείς της Οικονομίας επηρεάζονται από τον Νέο Κανονισμό για τα Προσωπικά Δεδομένα

19/04/2016 11:21

O Nέος Ευρωπαϊκός Κανονισμός επιβάλλει την δημιουργία πολιτικών, διαδικασιών και κατάλληλης τεχνολογικής υποδομής για την προστασία των προσωπικών δεδομένων στις εταιρίες, ορισμό Υπευθύνου Ασφαλείας Δεδομένων σε περίπτωση που η εταιρία απασχολεί άνω των 250 ατόμων, ενημέρωση των αρμόδιων αρχών εντός 72 ωρών από τον εντοπισμό του συμβάντος και πρόστιμα που μπορούν να φθάσουν έως €20εκ ή 4% του ετήσιου κύκλου εργασιών του προηγούμενου έτους.

 

Οι τομείς που επηρεάζονται περισσότερο είναι: 

 

Τηλεπικοινωνίες 

Οι εταιρείες τηλεπικοινωνιών είναι υπεύθυνες για την ασφάλεια τεράστιων όγκων διαβιβαζόμενων προσωπικών πληροφοριών. 

Η σχετική Οδηγία που έχει εκδοθεί από την ΕΕ έχει ως αποτέλεσμα πολλές χώρες να απαιτούν να γίνεται κοινοποίηση των παραβιάσεων στους πελάτες. Αυτό συνεπάγεται σημαντικές δαπάνες, αυξημένη πιθανότητα προστίμων, ποινών, δυσφημίσεων και απαιτήσεων τρίτων. Οι συναλλαγές με κάρτες πληρωμών απαιτούν τη συμμόρφωση με τα πρότυπα PCI DSS, ενώ παράλληλα οι επιχειρήσεις τηλεπικοινωνιών καλούνται να αντιμετωπίσουν εξελιγμένους ιούς που τις απειλούν με διακοπή λειτουργίας και απώλεια εσόδων.

 

Επιχειρήσεις Λιανικής Πώλησης

Οι επιχειρήσεις λιανικής πώλησης διαθέτουν πολλές πληροφορίες πελατών, συμπεριλαμβανομένων των στοιχείων πιστωτικών και χρεωστικών καρτών, ενώ οι online λιανικές πωλήσεις βρίσκονται σε άνοδο σε παγκόσμιο επίπεδο.

Αυτό επιφέρει υποχρεώσεις συμμόρφωσης με τη νομοθεσία της εκάστοτε χώρας και με τα Πρότυπα Ασφαλείας Δεδομένων Καρτών Πληρωμής (PCI DSS) που εκθέτουν την επιχείρηση σε πιθανά πρόστιμα και κυρώσεις. Οι ιστοσελίδες λιανικής πώλησης είναι ευάλωτες σε «πάγωμα» από τους χάκερ, με αντίκτυπο στα έσοδα από τις online πωλήσεις. Παράλληλα, τα αυξανόμενα περιστατικά υποκλοπής πιστωτικών καρτών έχει αντίκτυπο στις επιχειρήσεις που χρησιμοποιούν τερματικά για συναλλαγές με κάρτες (POS).

 

Υποδομές - Κυβερνοτρομοκρατία

Πολλοί υποσταθμοί ενέργειας, φράγματα και αγωγοί έχουν μειώσει το κόστος μέσω τηλεχειρισμού και συστημάτων παρακολούθησης, ωστόσο, αυτό έχει αυξήσει την έκθεση στον κυβερνοχώρο - η οποία μερικές φορές επιδεινώνεται από τις κακές πρακτικές ασφάλειας.

Ο κίνδυνος από την έκθεση ενισχύεται από τις επιθέσεις στα εθνικά δίκτυα υποδομών. Στη Μελέτη Ασφαλείας της KMPG, οι εταιρείες κοινής ωφέλειας αποτελούν τον πλέον τρωτό τομέα που επηρεάζεται από θέματα έκδοσης του λογισμικού των διακομιστών ιστού τους.

Παράλληλα, οι εταιρείες κοινής ωφέλειας συλλέγουν μεγάλο όγκο προσωπικών δεδομένων για συναλλαγές με πιστωτικές κάρτες και υπόκεινται σε συμμόρφωση με τα PCI DSS.

 

Πανεπιστήμια

Τα πανεπιστήμια και τα κολέγια συγκεντρώνουν πολλά εμπιστευτικά δεδομένα (αριθμούς πιστωτικών καρτών των αιτούντων, ακαδημαϊκά αντίγραφα, ερευνητικά δεδομένα και μητρώα υγείας). Πολλά από αυτά αποθηκεύονται σε φορητές συσκευές που ανήκουν στο προσωπικό και τους σπουδαστές, οι οποίες μπορεί να χαθούν ή να παραμείνουν αφύλακτες. Η απομακρυσμένη πρόσβαση στα εταιρικά δίκτυα, τα μέσα κοινωνικής δικτύωσης και το λογισμικό διαχείρισης ακαδημαϊκών συναλλαγών επιβαρύνουν την έκθεση στον κίνδυνο, ενώ κάποια από τα εκπαιδευτικά αυτά ιδρύματα ενδέχεται να μην έχουν τα υψηλότερα επίπεδα ασφάλειας.

 

Ξενοδοχειακές, Ταξιδιωτικές & Επιχειρήσεις Αναψυχής

Οι εταιρείες που δραστηριοποιούνται σε αυτούς τους τομείς είναι εκτεθειμένες μεταξύ άλλων με υψηλούς κινδύνους σχετικά με τα προσωπικά δεδομένα καθώς αποτελούν μέρος μιας παγκόσμιας βάσης δεδομένων με online συναλλαγές, Dos επιθέσεις και απάτες πιστωτικών καρτών. Ο τομέας αυτός έχει κτυπηθεί από πολλές ζημιές «υψηλού προφίλ» μετά από hacking σε συστήματα πληρωμών, εταιρείες που δουλεύουν με δικαιοπάροχους (franchisees) πρέπει να εξασφαλίζουν ότι οι τελευταίοι τηρούν τα προβλεπόμενα πρότυπα ασφαλείας δεδομένων για την προστασία της επωνυμίας από οποιαδήποτε δυσφήμιση σχετίζεται με την παραβίαση της ασφάλειας των δεδομένων ή της ιδιωτικής ζωής.

 

Χρηματοπιστωτικά ιδρύματα

Τα χρηματοπιστωτικά ιδρύματα αποτελούν μία από τις πιο στοχευμένες βιομηχανίες από τους χάκερ και η πλειονότητα των παραβιασμένων αρχείων προέρχεται από τον συγκεκριμένο τομέα. Τα χρηματοπιστωτικά ιδρύματα κατέχουν σημαντικές προσωπικές πληροφορίες όπως οι εξής: πλήρη ονόματα, αριθμοί τηλεφώνου, διευθύνσεις, στοιχεία πιστωτικών καρτών, ιστορικά πιστώσεων. Οι τραπεζικές συναλλαγές μέσω διαδικτύου ή κινητού τηλεφώνου έχουν υποβάλει τον κλάδο σε νέες απειλές εισβολής. Ο ακτιβισμός των χάκερ έχει επίσης ως αποτέλεσμα την αύξηση των επιθέσεων άρνησης υπηρεσίας κατά των υπηρεσιών επεξεργασίας πληρωμών και άλλων χρηματοοικονομικών υπηρεσιών.

 

Υγεία

Οι πάροχοι υπηρεσιών υγείας διατηρούν και επεξεργάζονται ευαίσθητα προσωπικά δεδομένα για τους πελάτες τους τα οποία αποτελούν στόχο κυβερνοεγληματιών οι οποίοι μπορούν να τα πουλήσουν στην μαύρη αγορά (dark market)  μια και οι τιμές των ιατρικών δεδομένων σε αυτή είναι πολύ υψηλότερες από τα δεδομένα πστωτικών καρτών.  

Οι αγοραστές αυτών των δεδομένων μπορούν να τα χρησιμοποιήσουν για την δημιουργία απαιτήσεων από ασφαλιστικές εταιρίες και ταμεία ασφάλισης, η μέση απαίτηση μέ βάση έρευνα της id experts ανέρχεται σε  $20.000, ο αριθμός των θυμάτων είναι 1,6 εκ και το ποσό που χάνεται ανέρχεται σύμφωνα με εκτιμήσεις μεταξύ  $70 και $234 εκ σε ετήσια βάση.

 

 

 

Νέος Κανονισμός και Cyber Insurance:

 

Καθοριστικός παράγοντας ανάπτυξης της Αμερικανικής αγοράς ήταν η υιοθέτηση του νομοθετικού πλαισίου για την προστασία της ιδιωτικότητας, το οποίο προέβλεπε ενημέρωση των εποπτικών αρχών σε περιστατικά παραβίασης προσωπικών δεδομένων, πρόστιμα και διοικητικές κυρώσεις στις εταιρίες που δεν κατάφερναν να προστατεύσουν τα δεδομένα των πελατών τους, κάτι αντίστοιχο συμβαίνει τώρα στην Ευρώπη με την υιοθέτηση του Ευρωπαϊκού Γενικού Κανονισμού για την Προστασία των Προσωπικών Δεδομένων.

Εκτός από το νομοθετικό πλαίσιο σημαντικoί παράγοντες είναι η  αύξηση των περιστατικών παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών, οι συνέπειες στην εταιρική φήμη και η απώλεια εσόδων λόγω διακοπής εργασιών και απώλειας πελατολογίου.