Του Ιωάννη Ν. Γουσγούνη, ιδρυτή και ιδιοκτήτη της SUCCESSKeys.GR
Τα τελευταία χρόνια παρατηρείται μια ανησυχητική αύξηση του κυβερνοεγκλήματος, το οποίο εκδηλώνεται με διάφορα μέσα και ποικίλους τρόπους (social engineering, ηλεκτρονικό ψάρεμα μέσω E-Mail, υποκλοπή στοιχείων επιχειρήσεων και αποστολή πλαστών E-Mails, hacking κ.λπ.).
Πέρα όμως από την ασφάλεια επιχειρήσεων κάθε μεγέθους και κλάδου δραστηριότητας, απειλείται και η ασφάλεια (ή τα δικαιώματα και οι ελευθερίες) φυσικών προσώπων αν π.χ. τα προσωπικά τους δεδομένα καταλήξουν σε χέρια εγκληματιών ή οποιουδήποτε άλλου μεμονωμένου ατόμου ή επιχείρησης με μη εξουσιοδοτημένη πρόσβαση σε αυτά.
Η ασφάλεια των πληροφοριών έχει βασικό σκοπό της τη διαφύλαξη της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών.
Η παραβίαση της ασφάλειας μπορεί να έχει έως και πολύ σοβαρές επιπτώσεις για έναν οργανισμό (π.χ. απώλεια περιουσιακών στοιχείων, δυσφήμιση, διατάραξη της επιχειρησιακής συνέχειας κ.λπ.).
Η διαρροή ή μη εξουσιοδοτημένη αποκάλυψη προσωπικών δεδομένων φυσικών προσώπων έχει ως συνέπεια την επιβολή πολύ αυστηρών, κατά περίπτωση, προστίμων στις επιχειρήσεις.
Πραγματικά περιστατικά
Ακολουθούν δύο περιπτώσεις, που αναφέρονται στο πιο πρόσφατο Newsletter της βρετανικής αρχής προστασίας δεδομένων προσωπικού χαρακτήρα (ICO). Τα αποσπάσματα των κειμένων έχουν διατηρηθεί στην αγγλική γλώσσα για τη διατήρηση της αυθεντικότητας αυτών.
Τα ονόματα των επιχειρήσεων δεν αναφέρονται, διότι δεν είναι απαραίτητα για το σκοπό του παρόντος άρθρου.
Περίπτωση 1: An ICO investigation found XYZ was processing a significant amount of personal data without adequate security measures in place. This failure broke data protection law and, subsequently, XYZ was the subject of a cyber-attack during 2018, which it did not detect for more than two months.
ICO investigators found XYZ ought to have identified weaknesses in its security and resolved them with security measures that were available at the time.
Addressing these security issues would have prevented the 2018 cyber-attack being carried out in this way, investigators concluded.
Περίπτωση 2: ZYX estimates that 339 million guest records worldwide were affected following a cyber-attack in 2014 on YXZ. The attack, from an unknown source, remained undetected until September 2018, by which time the company had been acquired by ZYX.
The personal data involved differed between individuals but may have included names, email addresses, phone numbers, unencrypted passport numbers, arrival/departure information, guests’ VIP status and loyalty programme membership number.
The precise number of people affected is unclear as there may have been multiple records for an individual guest. Seven million guest records related to people in the UK.
The ICO’s investigation found that there were failures by ZYX to put appropriate technical or organisational measures in place to protect the personal data being processed on its systems, as required by the General Data Protection Regulation (GDPR).
Πηγή: ICO’s e-Newsletter (Νοέμβριος 2020).
Όπως τα ανωτέρω περιστατικά που σχετίζονται με την ασφάλεια των πληροφοριών, έτσι και πολλά άλλα συνήθως οφείλονται είτε στην έλλειψη σημαντικών τεχνικών και οργανωτικών μέτρων είτε στη μη σωστή-πλήρη αξιολόγηση των κινδύνων για την ασφάλεια των πληροφοριών και την προστασία των προσωπικών δεδομένων.
Για παράδειγμα, στον Κανονισμό (ΕΕ) 2016/679 (γνωστό και ως GDPR), αναφέρεται (Άρθρο 35) η απαίτηση διενέργειας εκτίμησης αντικτύπου (impact assessment) για δραστηριότητες επεξεργασίας που ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
Σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISO/IEC 27001)
Για επιχειρήσεις που επιθυμούν να οργανώσουν την ασφάλεια των πληροφοριών που διαχειρίζονται και των προσωπικών δεδομένων που επεξεργάζονται, το διεθνές πρότυπο ISO/IEC 27001 (και η σχετική με αυτό οικογένεια προτύπων) παρέχει όλη τη γνώση, την οποία χρειάζεται ένας οργανισμός προκειμένου να διαφυλάξει την ασφάλεια των πληροφοριών και την προστασία των δεδομένων προσωπικού χαρακτήρα (που και αυτά αποτελούν πληροφορίες).
Επιπλέον, μια επιχείρηση αφού αναπτύξει σύστημα για τη διαχείριση της ασφάλειας των πληροφοριών με βάση τις απαιτήσεις του εν λόγω διεθνούς προτύπου, μπορεί να πιστοποιηθεί για τη συμμόρφωση της με αυτές τις απαιτήσεις, αποκτώντας μέσω της πιστοποίησης επιπλέον ανταγωνιστικά πλεονεκτήματα.
Για περισσότερες πληροφορίες επικοινωνήστε με την επιχείρηση μας.
Comments