Yahoo: $196εκ θα ήταν το μέγιστο πρόστιμο της για κάθε περιστατικό απώλειας δεδομένων αν ίσχυε ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (GDPR).
Ακόμα ένα περιστατικό απώλειας δεδομένων αποκαλύφθηκε πρόσφατα για την Yahoo η οποία συνέδεσε το ονομά της με κακές πρακτικές διαχείρισης προσωπικών δεδομένων των συνδρομητών της.
Σε δύο περιστατικά που έλαβαν χώρα το 2013 και το 2014 χάθηκαν δεδομένα 1δις και 500εκ λογαριασμών συνδρομητών της αντίστοιχα. Μετα την κοινοποίηση των περιστατικών η Yahoo ήρθε αντιμέτωπη με συλλογικές αγωγές δυσαρεστημένων συνδρομητών της γιατί μη σωστή διαχείριση των περιστατικών παραβίασης και την μη έγκαιρη ενημέρωσή τους. Ενδεικτικά για την Target το κόστος των αγωγών που αντιμετώπισε λόγω απώλειας δεδομένων πελατών της διακανονίστηκε για $ 39 εκατ πέρυσι.
Τα ποσά αυτά είναι ελάχιστα σε σχέση με τα προβλεπόμενα πρόστιμα που προβλέπει ο Νέος Κανονισμός για την Προστασία των Δεδομένων (G.D.P.R.) για τις εταιρίες που δραστηριοποιούνται στην Ευρωπαϊκή Ένωση και θα ισχύσει το Μαϊο του 2018.
Σύμφωνα με το νέο κανονισμό το πρόστιμο που θα μπορούσε να επιβληθεί στην Yahoo για παραβίαση προσωπικών δεδομένων συνδρομητών της Ευρωπαϊκής Ένωσης, αν η εταιρία παραλείψει να ενημερώσει της αρμόδιες αρχές και τους συνδρομητές των οποίων χάθηκαν τα δεδομένα μέσα σε 72 ώρες, είναι της τάξεως του 4% τοις εκατό των παγκόσμιων εσόδων της ή € 20, όποιο από τα δύο είναι μεγαλύτερο.
Ας δούμε λίγο πόσο θα κόστιζε στην Yahoo η μη έγκαιρη γνωστοποίηση λαμβάνοντας υπόψη ότι τα εσοδά της το 2015 ήταν $ 4,9 δισεκατομμύρια, τότε το μέγιστο πρόστιμο που θα μπορούσε να της επιβληθεί για κάθε παράβαση θα ήταν $ 196m.
Εκτός από τα πρόστιμα και τις αγωγές η εταιρία αντιμετώπισε πρόβλημα με την φήμη της και ενώ βρισκόταν σε διαδικασία εξαγοράς από την Verizon η αγοράστρα εταιρία ζήτησε μείωση του τιμήματος εξαγοράς κατά $1δις.
Τι προβλέπει ο νέος Κανονισμός για την Προστασία Δεδομένων
Ο Νέος Γενικός Κανονισμός για την Προστασία των Δεδομένων (GDPR) ο οποίος θα ισχύσει τον Μάϊο του 2018 θα αναγκάσει τις εταιρείες να δώσουν έμφαση στην εκπαίδευση του ανθρώπινου δυναμικού τους και στην κατανόηση των κινδύνων που πρέπει να διαχειριστούν και θα καλύψει το κενό που παρατηρείται σήμερα τόσο σε θέματα κατανόησης των κινδύνων όσο και στη χρήση της ασφάλισης ως εργαλείο διαχείρισής του.
Το νέο περιβάλλον στο οποίο καλούνται να δραστηριοποιηθούν οι επιχειρήσεις απαιτεί:
- να έχουν εκπαιδεύσει κατάλληλα το ανθρώπινο δυναμικό τους
- να έχουν τα κατάλληλα μέτρα ασφαλείας και τις αναγκαίες πολιτικές για την προστασία των πληροφοριών που διαχειρίζονται
- να κάνουν αναλύσεις των επιπτώσεων που μπορούν να προκύψουν λόγω παραβίασης ιδιωτικότητας
- να σχεδιάζουν προϊόντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας
- να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων
- να έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer)
- να έχουν πλάνο αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων (Incident Response Plan)
Επιπλέον, προβλέπει πρόστιμα τα οποία μπορούν να φθάσουν έως το 4% ή €20εκ του παγκόσμιου τζίρου της επιχείρησης όποιο από τα δύο είναι μεγαλύτερο.
Λαμβάνοντας υπόψη ότι 100% ασφάλεια δεν υπάρχει θα πρέπει να εξετάσουν τη δυνατότητα μεταφοράς του κινδύνου που απομένει και δεν μπορούν να μειώσουν περαιτέρω χρησιμοποιώντας τεχνολογικές λύσεις και διαδικασίες, σε ασφαλιστικά προϊόντα Cyber Insurance.
Η ασφάλιση Cyber Insurance καλύπτει:
- Αστική Ευθύνη έναντι τρίτων οι οποίοι υπέστησαν ζημιά λόγω απώλειας των προσωπικών τους δεδομένων από την εταιρεία στην οποία τα είχαν δώσει.
- Έξοδα και Υπηρεσίες διαχείρισης περιστατικών παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών.
- Διακοπή Εργασιών: απώλεια εσόδων λόγω διακοπής της επιχειρηματικής δραστηριότητας από περιστατικά παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών.
- Κυβερνοεκβιασμό, δηλαδή κάλυψη για διαχείριση περιστατικών εκβιασμού από απειλές που μπορεί να βλάψουν ένα δίκτυο ή να οδηγήσουν σε διαρροή εμπιστευτικών πληροφοριών.
- Διοικητικά Πρόστιμα που τυχόν επιβληθούν από αρμόδιες αρχές για περιστατικά απώλειας δεδομένων.
Με τη βοήθεια της ασφάλισης Cyber Insurance οι επιχειρήσεις θα προστατεύσουν τους ισολογισμούς τους και θα διαχειριστούν αποτελεσματικά τις συνέπειες των περιστατικών αυτών.
Νίκος Γεωργόπουλος , cyRM, MBA
Cyber Risks Insurance Advisor
Cromar coverholder at Lloyd’s