Τι μπορεί να κοστίσει σε μια επιχείρηση μια παραβίαση δεδομένων;

Πολλές επιχειρήσεις ακούνε τη φράση «παραβίαση δεδομένων» και τη θεωρούν κάτι μακρινό, πολύ τεχνικό ή υπερβολικά νομικό.

Στην πράξη όμως, το θέμα είναι πολύ πιο κοντά στην καθημερινότητα.

Αν κάποιος αποκτήσει πρόσβαση χωρίς δικαίωμα σε στοιχεία πελατών, email, αρχεία, τιμολόγια, τηλέφωνα, ραντεβού ή άλλες πληροφορίες που κρατά η επιχείρησή σας, τότε μπορεί να μιλάμε για ένα σοβαρό περιστατικό παραβίασης δεδομένων.

Και το πρόβλημα δεν είναι μόνο ότι “κάποιος είδε κάτι που δεν έπρεπε”.

Το πραγματικό πρόβλημα είναι ότι από εκεί και μετά μπορεί να ξεκινήσει μια αλυσίδα από:

• αναστάτωση
• απώλεια εμπιστοσύνης
• διακοπή δουλειάς
• έξοδα
• και υποχρεώσεις που ο επιχειρηματίας δεν είχε υπολογίσει

Αν δεν έχετε δει ήδη τι είναι η ασφάλιση κυβερνοκινδύνων, αξίζει να ξεκινήσετε από εκεί. Και αν θέλετε τη γενική εικόνα των βασικών κατηγοριών κάλυψης, δείτε και το άρθρο Τι καλύπτει η ασφάλιση κυβερνοκινδύνων.

Τι είναι παραβίαση δεδομένων με απλά λόγια

Με πολύ απλά λόγια, παραβίαση δεδομένων σημαίνει ότι πληροφορίες που έπρεπε να είναι προστατευμένες:

• εκτέθηκαν
• χάθηκαν
• κλάπηκαν
• αλλοιώθηκαν
• ή έγιναν προσβάσιμες από λάθος ανθρώπους

Αυτό μπορεί να αφορά:

• ονόματα και τηλέφωνα πελατών
• email
• οικονομικά στοιχεία
• ιατρικά ή επαγγελματικά δεδομένα
• αρχεία παραγγελιών
• λογιστικά στοιχεία
• εσωτερικά έγγραφα της επιχείρησης

Δεν χρειάζεται πάντα να γίνει “κινηματογραφική επίθεση”.

Μπορεί να προκύψει από:

• ένα λάθος email
• έναν αδύναμο κωδικό
• μια παραβιασμένη συσκευή
• έναν λογαριασμό που έπεσε σε λάθος χέρια
• ένα phishing περιστατικό
• ή ένα ανθρώπινο λάθος μέσα στην ίδια την επιχείρηση

Ένα απλό καθημερινό παράδειγμα

Σκεφτείτε μια επιχείρηση που κρατά:

• στοιχεία πελατών
• παραγγελίες
• email επικοινωνίας
• ΑΦΜ
• διευθύνσεις
• ή αρχεία ραντεβού

Αν κάποια στιγμή αυτά τα δεδομένα:

• διαρρεύσουν
• αντιγραφούν
• σταλούν σε λάθος παραλήπτη
• ή γίνουν προσβάσιμα από τρίτους

τότε η ζημιά δεν είναι μόνο “υπολογιστική”.

Μπορεί να αρχίσουν αμέσως ερωτήματα όπως:

• Ποια στοιχεία εκτέθηκαν;
• Πόσοι πελάτες επηρεάζονται;
• Πρέπει να ενημερωθεί κάποιος;
• Υπάρχει νομικό θέμα;
• Πώς σταματάει το πρόβλημα;
• Πώς προστατεύεται η φήμη της επιχείρησης;

Και όλα αυτά συμβαίνουν συνήθως ενώ η επιχείρηση προσπαθεί ταυτόχρονα να συνεχίσει να δουλεύει.

Γιατί το πρόβλημα δεν είναι μόνο τεχνικό

Αυτό είναι ίσως το πιο σημαντικό σημείο.

Μια παραβίαση δεδομένων δεν είναι μόνο δουλειά του τεχνικού.

Είναι ταυτόχρονα θέμα:

• λειτουργίας
• εξυπηρέτησης πελατών
• εικόνας
• οργάνωσης
• ευθύνης
• και χρόνου αντίδρασης

Αν για παράδειγμα εκτεθούν στοιχεία πελατών, ο επιχειρηματίας μπορεί να χρειαστεί να ασχοληθεί με:

• έλεγχο του τι ακριβώς έγινε
• περιορισμό της ζημιάς
• επαναφορά πρόσβασης και ασφάλειας
• νομική καθοδήγηση
• ενημέρωση πελατών ή συνεργατών
• ερωτήσεις ή παράπονα
• πίεση χρόνου
• και αβεβαιότητα για το τι ακολουθεί

Γι’ αυτό τέτοια περιστατικά πιέζουν πολύ περισσότερο απ’ όσο νομίζουν πολλοί.

Πού μπορεί να κοστίσει στην πράξη

Το κόστος μιας παραβίασης δεδομένων δεν είναι μόνο ένα “πρόστιμο” ή ένα “κόστος τεχνικού”.

Μπορεί να εμφανιστεί σε πολλά σημεία μαζί.

Για παράδειγμα:

• έξοδα τεχνικής διερεύνησης
• έξοδα αποκατάστασης
• χρόνος που χάνεται
• διακοπή ή καθυστέρηση εργασιών
• απώλεια πελατών ή εμπιστοσύνης
• έξοδα νομικής υποστήριξης
• διαχείριση επικοινωνίας
• εσωτερική αναστάτωση στην ομάδα

Σε κάποιες περιπτώσεις, το μεγαλύτερο κόστος δεν είναι καν το άμεσο.

Είναι αυτό που αφήνει πίσω του το περιστατικό τις επόμενες ημέρες ή εβδομάδες.

Γιατί αφορά και μικρές επιχειρήσεις

Πολλές μικρές επιχειρήσεις πιστεύουν:

«Δεν έχουμε τόσα δεδομένα ώστε να μας προσέξει κάποιος.»

Αυτό όμως δεν είναι ασφαλής σκέψη.

Μια μικρή επιχείρηση μπορεί να έχει:

• δεδομένα πελατών
• email
• ιστορικό επικοινωνίας
• στοιχεία πληρωμών ή τιμολογίων
• ραντεβού
• παραγγελίες
• στοιχεία εργαζομένων

Αυτό αρκεί για να υπάρξει πραγματικό πρόβλημα.

Και πολλές φορές οι μικρότερες επιχειρήσεις είναι πιο εκτεθειμένες γιατί:

• έχουν λιγότερα τεχνικά μέτρα
• δεν έχουν εσωτερική υποστήριξη
• βασίζονται σε λίγους ανθρώπους
• και ένα λάθος αρκεί για να ανοίξει ο δρόμος

Αν θέλετε να δείτε πιο συγκεκριμένα ποιες μικρομεσαίες επιχειρήσεις χρειάζονται ασφάλιση κυβερνοκινδύνων, υπάρχει σχετικός οδηγός.

Τι σχέση έχει εδώ ο GDPR;

Πολλοί έχουν ακούσει τη λέξη GDPR, αλλά δεν είναι πάντα ξεκάθαρο τι σημαίνει πρακτικά.

Χωρίς να μπούμε σε νομικές λεπτομέρειες, το βασικό που πρέπει να κρατήσει ένας επιχειρηματίας είναι αυτό:

αν η επιχείρησή σας διαχειρίζεται προσωπικά δεδομένα, τότε έχει και ευθύνη να τα προστατεύει όσο καλύτερα μπορεί.

Άρα όταν συμβεί ένα περιστατικό, δεν κοιτάμε μόνο:

• τι χάθηκε
• τι εκτέθηκε
• ή τι σταμάτησε να λειτουργεί

Κοιτάμε και:

• ποιους αφορά
• τι υποχρεώσεις μπορεί να προκύψουν
• πόσο οργανωμένα θα αντιδράσει η επιχείρηση
• και πόσο γρήγορα θα περιορίσει τη ζημιά

Μπορεί να βοηθήσει ασφαλιστικά ένα τέτοιο περιστατικό;

Σε ορισμένες περιπτώσεις, ναι.

Η ασφάλιση κυβερνοκινδύνων μπορεί να εξετάζεται για συνέπειες που σχετίζονται με:

• έξοδα διερεύνησης
• έξοδα αποκατάστασης
• διαχείριση περιστατικού παραβίασης δεδομένων
• νομική καθοδήγηση
• έξοδα υπεράσπισης
• αξιώσεις τρίτων
• ζητήματα απορρήτου και ευθύνης
• κανονιστικά θέματα, όπου προβλέπονται από τους όρους

Αυτό δεν σημαίνει ότι καλύπτεται “οτιδήποτε”. Σημαίνει ότι η ασφαλιστική διάσταση πρέπει να εξετάζεται με βάση:

• τη φύση του περιστατικού
• τους όρους του συμβολαίου
• τα όρια
• τις εξαιρέσεις
• και τις προϋποθέσεις ασφαλισιμότητας

Η σωστή ερώτηση δεν είναι μόνο «αν θα γίνει»

Για πολλές επιχειρήσεις, η σωστή ερώτηση δεν είναι μόνο:

«θα μας συμβεί;»

Η πιο σωστή ερώτηση είναι:

«αν συμβεί, πόσο θα μας κοστίσει σε χρόνο, χρήμα, λειτουργία και αξιοπιστία;»

Εκεί αρχίζει η ουσιαστική προσέγγιση του κινδύνου.

Και εκεί αποκτά πρακτικό νόημα η συζήτηση για προστασία, πρόληψη και ασφαλιστική κάλυψη.

Πώς συνδέεται με άλλα κυβερνοπεριστατικά

Μια παραβίαση δεδομένων δεν έρχεται πάντα μόνη της.

Μπορεί να είναι αποτέλεσμα ή συνέχεια άλλων περιστατικών, όπως:

• phishing
• παραβίαση email
• αδύναμοι κωδικοί
• κακόβουλο λογισμικό
• ransomware
• ανθρώπινο λάθος

Αν θέλετε να δείτε τη σύνδεση με το phishing, μπορείτε να διαβάσετε και το άρθρο Καλύπτει η ασφάλιση κυβερνοκινδύνων ζημιές από phishing;

Τι πρέπει να προσέξει μια επιχείρηση από εδώ και πέρα

Αν μια επιχείρηση θέλει να το δει σοβαρά, χρειάζεται να εξετάσει:

1. Τι δεδομένα κρατά

Όσο περισσότερα και όσο πιο ευαίσθητα τα δεδομένα, τόσο μεγαλύτερη η έκθεση.

2. Πόσο εξαρτάται από τα συστήματα και το email

Αν η καθημερινή λειτουργία περνά από εκεί, ένα περιστατικό μπορεί να έχει άμεση επιχειρηματική συνέπεια.

3. Πόσο έτοιμη είναι οργανωτικά

Η πρόληψη, τα backups, η εκπαίδευση και οι βασικές διαδικασίες μετράνε.

4. Πόσο θα την επηρέαζε οικονομικά ένα σοβαρό περιστατικό

Αυτό είναι το σημείο όπου συνδέεται η κυβερνοασφάλεια με την ασφαλιστική λογική.

5. Τι ακριβώς καλύπτει το πρόγραμμα που εξετάζει

Όχι γενικά, αλλά με βάση συγκεκριμένες κατηγορίες εξόδων και ευθυνών.

Συμπέρασμα

Μια παραβίαση δεδομένων μπορεί να κοστίσει σε μια επιχείρηση πολύ περισσότερο απ’ όσο φαίνεται στην αρχή.

Δεν είναι μόνο ζήτημα υπολογιστών. Είναι θέμα:

• λειτουργίας
• εμπιστοσύνης
• χρόνου
• πίεσης
• εξόδων
• και πιθανών ευθυνών

Γι’ αυτό η σωστή στάση δεν είναι η υποτίμηση του κινδύνου.

Η σωστή στάση είναι να καταλάβει η επιχείρηση:

• τι δεδομένα διαχειρίζεται
• πόσο εκτεθειμένη είναι
• πόσο θα την επηρεάσει ένα περιστατικό
• και αν χρειάζεται όχι μόνο καλύτερη πρόληψη, αλλά και σωστή ασφαλιστική εξέταση

Θέλετε να δείτε αν η ασφάλιση κυβερνοκινδύνων έχει πρακτικό νόημα για τη δική σας επιχείρηση;

Αν θέλετε, μπορούμε να εξετάσουμε μαζί:

• τι είδους δεδομένα διαχειρίζεται η επιχείρησή σας
• ποια βασικά σημεία έκθεσης υπάρχουν
• και αν μια ασφαλιστική λύση κυβερνοκινδύνων έχει πρακτικό νόημα για τη δική σας περίπτωση

Ζητήστε μια πρώτη ενημέρωση χωρίς δέσμευση.