Η κουλτούρα της μυστικότητας κατά την παραβίαση δεδομένων στο διαδίκτυο πρέπει να εξαλειφθεί δια παντός.
Σε μια εποχή που οι βρετανικές επιχειρήσεις πρέπει να ενισχύουν και να επικαιροποιούν τις πολιτικές τους για την προστασία των δεδομένων κατά την προετοιμασία για τη θέσπιση νέας νομοθεσίας, είναι ανησυχητικό να αναφέρουμε μια κουλτούρα μυστικότητας και αμφισημίας όσον αφορά τις παραβιάσεις δεδομένων σε ολόκληρη τη χώρα.
Με τον γενικό κανονισμό για την προστασία των δεδομένων της ΕΕ (GDPR) που πρόκειται να τεθεί σε ισχύ στις 25 Μαΐου του επόμενου έτους, φέρνοντας μαζί του τεράστια πρόστιμα ύψους έως 20 εκατομμυρίων ευρώ ή 4 τοις εκατό του κύκλου εργασιών, μια έρευνα αποκάλυψε την πραγματική έκταση του προβλήματος παραβίασης δεδομένων της Βρετανίας .
Η έρευνα για τη διαχείριση των αρχείων της Crown Records, η οποία διεξήχθη από την Censuswide, εξέτασε 408 υπεύθυνους για τη λήψη αποφάσεων σε εταιρείες με 100 έως 1.000 υπαλλήλους σε ολόκληρη τη χώρα – και τα αποτελέσματα υποδηλώνουν ότι σχεδόν ένας στους τρεις εργαζόμενους πληροφορικής παραβιάζουν τη διαλειτουργικότητα παραλείποντας να τις αναφέρουν.
Είτε πρόκειται για φόβο, είτε για μυστικότητα, είτε για πανικό, δεν είναι ξεκάθαρο, αλλά αυτή η προσεγγιστική λογική θα μπορούσε να έχει σοβαρές συνέπειες για το μέλλον των εταιρειών ή των επιχειρήσεων, καθώς το δημόσιο συμφέρον για παραβιάσεις συνεχίζει να αυξάνεται – και η νομοθεσία γύρω από αυτές συνεχίζει να σφίγγει.
Οι παραβιάσεις δεδομένων έχουν γίνει πρωτοσέλιδο άπειρες φορές μέσα στο 2017, με περιπτώσεις υψηλού προφίλ, όπως η εταιρεία κινητής τηλεφωνίας Three – όπου ο κωδικός του υπαλλήλου κλέφθηκε τον Μάρτιο και τα δεδομένα 200.000 πελατών διακυβευόταν. Τον Απρίλιο, οι εγκληματίες του κυβερνοχώρου κατέλαβαν 250.000 αρχεία πελατών στο Wonga, συμπεριλαμβανομένων των στοιχείων του τραπεζικού λογαριασμού.
Ωστόσο, φαίνεται ότι αυτές οι ιστορίες μπορεί να είναι μόνο η κορυφή του παγόβουνου.
Τα κυριότερα στατιστικά στοιχεία από την έρευνα της Crown Records Management περιλαμβάνουν:
- Το 32% γνωρίζει κάποιον στην εταιρεία του που δεν έχει αναφέρει παραβίαση δεδομένων.
- Το 31% έχει καθυστερήσει την αναφορά παραβίασης δεδομένων στα ανώτερα στελέχη ή στις αρμόδιες αρχές.
- Το 29% επέλεξε να μην αναφέρει παραβίαση στα ανώτερα στελέχη ή στις αρμόδιες αρχές.
- Το 27% γνωρίζουν κάποιον στην προηγούμενη εταιρεία τους που δεν έχει αναφέρει παραβίαση δεδομένων.
- Το 14% δεν γνωρίζει σε ποιον να αναφέρει την παραβίαση.
- Το 8% δεν γνωρίζει τι αποτελεί παραβίαση δεδομένων.
Αξίζει να αφιερώσετε λίγο χρόνο για να κατανοήσετε των παραπάνω στοιχείων, επειδή μερικά από αυτά τα στατιστικά στοιχεία είναι πραγματικά συγκλονιστικά. Υποστηρίζουν ότι οι παραβιάσεις δεδομένων μπορεί να είναι πολύ πιο συχνές και πιο διαδεδομένες από ό, τι πολλοί άνθρωποι αντιλαμβάνονται – και ότι η βρετανική επιχείρηση δεν είναι καλά προετοιμασμένη για τις αλλαγές που θα βρουν σύντομα μπροστά τους.
Φαίνεται ότι υπάρχει μια κουλτούρα μέσα σε πολλές εταιρείες ότι η καλύτερη απάντηση σε μια παραβίαση είναι να την αγνοήσουμε ή να τη διατηρήσουμε κρυφή μακριά από τα βλέμματα του κόσμου.
Ίσως αυτό να οφείλεται στο φόβο της απώλειας φήμης που μπορεί να αντιμετωπίσει εταιρεία όταν δημοσιοποιούνται οι παραβιάσεις. Ή ίσως είναι απλά μια έλλειψη σαφών διαδικασιών και διαχείρισης πληροφοριών στην επιχείρηση. Είτε έτσι είτε αλλιώς, οι συνέπειες είναι σοβαρές και τις περισσότερες φορές η υπόθεση πρέπει να οδηγηθεί στα δικαστήρια για να προστατευθούν οι χρήστες ή οι πελάτες μιας ιστοσελίδας που χακαρίστηκε, διότι οι προσωπικές τους πληροφορίες είναι προφανώς στα χέρια των κακοποιών και μπορεί να τα χρησιμοποιήσουν για κακό σκοπό.
Πολλοί άνθρωποι θα ξέρουν ότι το GDPR πρόκειται να επιφέρει τεράστια πρόστιμα σε εταιρείες που παραβιάζουν τους κανόνες ή υποφέρουν από παραβιάσεις δεδομένων – τα πρόστιμα αυτά έχουν δημοσιοποιηθεί σε μεγάλο βαθμό και δεν μπορεί κάποιος να επικαλεστεί το επιχείρημα ότι δεν το γνωρίζε.
Αλλά ίσως το λιγότερο αναγνωρισμένο είναι ότι ο κανονισμός περιλαμβάνει επίσης μια απαίτηση για την ταχεία αναφορά των παραβιάσεων δεδομένων, εντός 72 ωρών, στο μέλλον.
Αυτό το αυστηρό χρονοδιάγραμμα θα αποτελέσει πρόκληση για επιχειρήσεις οι οποίες επί του παρόντος δεν διαθέτουν πραγματική δομή ή δεν έχουν παράσχει κατάρτιση προσωπικού σχετικά με την αναφορά παραβιάσεων.
Αυτό δεν είναι ένα ζήτημα που αφορά μόνο τις μεγάλες επιχειρήσεις, που αναμφίβολα θα είναι ο στόχος για μεγάλα πρόστιμα στις αρχές του κανονισμού. Οποιοδήποτε είδος πρόστιμο – ή οποιαδήποτε απώλεια της φήμης – θα μπορούσε να είναι μια πραγματική απειλή για τη βιωσιμότητα μιας μικρής επιχείρησης, κι αυτό ισχύει σε όλους τους τομείς.
Τα αποτελέσματα της έρευνας έδειξαν ότι το θέμα της μυστικότητας είναι κοινό σε πολλούς τομείς. Μερικά από τα πιο δημοφιλή αποτελέσματα ήταν:
- Το 43% στον τραπεζικό και χρηματοπιστωτικό κλάδο γνωρίζει κάποιον στην εταιρεία του που δεν έχει αναφέρει παραβίαση δεδομένων – είναι το υψηλότερο ποσοστό μεταξύ όλων των τομέων που εξετάστηκαν.
- Το 40% των τραπεζών και των χρηματοπιστωτικών ιδρυμάτων καθυστέρησαν να αναφέρουν παραβιάσεις δεδομένων στα ανώτερα διοικητικά στελέχη ή στις αρμόδιες αρχές – και πάλι, είναι το υψηλότερο ποσοστό μεταξύ των ερωτηθέντων.
- Το 20% των λιανοπωλητών δεν γνωρίζουν ποιος πρέπει να αναφέρει την παραβίαση δεδομένων – το υψηλότερο ποσοστό οποιουδήποτε τομέα.
- Το 17% στο λιανικό εμπόριο δεν είναι καν σίγουρο τι συνιστά παραβίαση δεδομένων – εδώ ο μέσος όρος ήταν μόλις 8% κατά τα παρελθόντα έτη.
- Το 15% στον φαρμακευτικό τομέα δεν γνωρίζουν ποιος να αναφέρει μια παραβίαση – βρίσκονται στην δεύτερη χειρότερη θέση μετά το λιανικό εμπόριο.
Για να αναφέρουμε και ορισμένα θετικά, σε κάποιους τομείς υπήρχαν μία ή δύο εξαιρέσεις από τον κανόνα. Η υγειονομική περίθαλψη διαπιστώθηκε ότι μόνο ένας στους 20 δεν γνώριζε ποιος ήταν υποχρεωμένος να δηλώσει την παραβίαση, ενώ όλοι στον ασφαλιστικό τομέα καταλάβαιναν τι συνιστά παραβίαση δεδομένων και ότι κανένα άτομο που ερευνήθηκε δεν είχε αποφύγει να αναφέρει παραβίαση.
Είναι μια ανακούφιση ότι η εικόνα δεν είναι εντελώς ζοφερή, ωστόσο, η προοπτική τόσων πολλών επιχειρήσεων που διατηρούν κρυφές τις παραβιάσεις δεδομένων είναι μια ανησυχία δεδομένης της κατεύθυνσης του ταξιδιού στη νομοθεσία περί προστασίας δεδομένων.
Οι επιχειρήσεις που καθυστέρησαν την προετοιμασία για το GDPR με την ελπίδα ότι δεν θα επηρεάσουν το Ηνωμένο Βασίλειο μετά το Brexit αρχίζουν ήδη να συνειδητοποιούν το λάθος που έχουν κάνει. Πρώτον, ο κανονισμός θα εφαρμοστεί πριν ολοκληρωθεί το Brexit, δεύτερον θα επηρεάσει κάθε επιχείρηση που χειρίζεται τα προσωπικά δεδομένα των ευρωπαίων πολιτών και τρίτον η κυβέρνηση του Ηνωμένου Βασιλείου έχει ήδη εισάγει το βρετανικό νομοσχέδιο για τα δεδομένα – το οποίο αντικατοπτρίζει πολλές από τις βασικές αρχές του.
Έχοντας όλα αυτά κατά νου, είναι απολύτως απαραίτητο οι επιχειρήσεις να αντιμετωπίσουν αυτή την κουλτούρα της μυστικότητας, διότι στο μέλλον η απροστάτευτη απώλεια δεδομένων απλά δεν θα είναι αποδεκτή. Στην πραγματικότητα, είναι επιτακτική ανάγκη να αναλάβουμε όλοι τις ευθύνες που μας αναλογούν για να προστατέψουμε τους συμπολίτες μας από διαρροές των προσωπικών τους πληροφοριών.
Η ύπαρξη ενός σαφούς προγράμματος προστασίας δεδομένων και διαχείρισης πληροφοριών είναι ζωτικής σημασίας για τις επιχειρήσεις να αποφύγουν τέτοιου είδους προβλήματα. Θα πρέπει να είναι σαφές ποιος είναι υπεύθυνος για την αναφορά περιπτώσεων παραβίασης και το άτομο αυτό έχει υποχρέωση να καταγγέλλει το γεγονός στις διωκτικές αρχές στα πρώτα 30 λεπτά του συμβάντος.
Μέχρις ότου οι επιχειρήσεις κατανοήσουν πόσο μπορεί να τους κοστίσει μια παραβίαση – τόσο οικονομικά, όσο και από την άποψη της φήμης – αυτό το πρόβλημα δεν πρόκειται να εξαφανιστεί.