Του Νίκου Γεωργόπουλου, ΜΒΑ, CyRM, Cyber Risk Advisor – Cromar Coverholder at Lloyd’s
Ένα μεγάλο λάθος που κάνουν οι εταιρίες στην αντιμετώπιση περιστατικών παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών είναι ότι δεν έχουν προετοιμάσει την επικοινωνιακή στρατηγική τους.
Οι κρίσεις μπορούν να λάβουν πολλές μορφές, που δεν τις έχουμε σκεφτεί.
Είναι οι επιχειρήσεις έτοιμες να αντιμετωπίσουν:
• περιστατικά παραβίασης των συστημάτων τους,
• απώλεια δεδομένων πελατών τους,
• διακοπή λειτουργίας της εφοδιαστικής αλυσίδας τους,
• μεγάλη μείωση κερδών λόγω κυβερνοεπιθέσεων
• δυσφήμιση στα social media
Οι επιχειρήσεις θα πρέπει να είναι προετοιμασμένες για κάθε πιθανή κατάσταση. Δεν έχει σημασία πόσο μακρινό φαίνεται αυτό το ενδεχόμενο.
Ο σχεδιασμός της αντιμετώπισης της κρίσης μετά την εκδηλωσή της και χωρίς καμμία αρχική πρετοιμασία οδηγεί σε σφάλματα που οφείλονται σε ανακριβείς πληροφορίες, πανικό, και μη σωστό καθορισμό προτεραιοτήτων.
Ένα από τα πιο συχνά λάθη που κάνουν οι εταιρείες είναι οτι περιμένουν να διαχειριστούν καταστάσεις κρίσης μόνο με ομάδες στελεχών τους χωρίς να ζητήσουν την βοήθεια κάποιου ειδικού.
Οι ομάδες στελεχών είναι αποτελεσματικές για την καθημερινή λειτουργία της επιχείρησης αλλά όχι τόσο για την διαχείριση περιστατικών απώλειας δεδομένων γιατί οι περιπτώσεις αυτές χρειάζονται εξειδικευμένες γνώσεις σχετικά την εξέλιξη του κανονιστικού πεδίου, την ανάπτυξη της τεχνολογίας και τις βέλτιστες πρακτικές αντιμετώπισης τους, γνώσεις που έχουν εξειδικευμένοι εξωτερικοί σύμβουλοι οι οποίοι θα πρέπει να είναι μέλη της Ομάδας Διαχείρισης Περιστατικών Παραβίασης Συστημάτων .
Αυτό που παρατηρείται επίσης είναι ότι οι εταιρείες είτε ανταποκρίνονται πολύ γρήγορα σε μια κρίση, ή πολύ αργά. Ο συγχρονισμός είναι ζωτικής σημασίας για την αντιμετώπιση της κρίσης.
Αν για το περιστατικό παραβίασης βγεί κάποια ανακοίνωση πολύ γρήγορα, ίσως να μην γνωρίζουμε την πλήρη έκταση της ζημίας, κάτι που σε δεύτερο χρόνο θα μας αναγκάσει πιθανόν να την αναθεωρήσουμε. Αν αυτό γίνει πάρα πολύ αργά θα φαίνεται ότι προσπαθούμε να αποφύγουμε την ευθύνη και λόγω αυτής της καθυστέρησης και οι πελάτες της εταιρίας μπορούν να επηρεάστουν περισσότερο από το περιστατικό.
Οι Δημόσιες Σχέσεις μπορούν να μετριάσουν σημαντικά την ζημιά σε μια κατάσταση κρίσης. Η μη άμεση ανταπόκριση μπορεί να ενισχύσει την κατάσταση και να προκαλέσει πρόσθετη ζημία σε μια εταιρεία σε μια κατάσταση κρίσης. Πάντοτε πρέπει να έχουμε ένα σχέδιο αντιμετώπισης τέτοιων περιστατικών.
Τις αντιδράσεις, τα συναισθήματα και τις ανησυχίες των πελατών των οποίων τα προσωπικά δεδομένα χάθηκαν σε περιπτώσεις παραβιάσεων συστημάτων καταγραφει η ερευνα που διενεργήθηκε από την Experian με θέμα “The Aftermath of a Mega Data Breach: Consumer Sentiment“.
Πιο συγκεκριμένα ζητήθηκε από τους πελάτες οι οποίοι υπήρξαν θύματα παραβίασης προσωπικών δεδομένων να απαντήσουν σε ερωτήσεις σχετικά με την εμπειρία τους. Το ποσοστό των πελατών αυτών που έχασαν δεδομένα διπλασιάστηκε σε σχέση με την αντίστοιχη μελέτη που διενεργήθηκε το 2012 όταν μόνο το 25% των συμμετεχόντων είχαν πέσει θύματα περιστατικων παραβίασης δεδομένων.
H κύρια συνέπεια της παραβίασης των δεδομένων ήταν το στρες που δημιουργήθηκε στους πελάτες (76 τοις εκατό των ερωτηθέντων), ακολουθούμενη από το χρόνο που έπρεπε να καταναλώσουν για την επίλυση των προβλημάτων που προκαλούνται από την παραβίαση των δεδομένων (39 τοις εκατό των ερωτηθέντων).
Περιστατικά Παραβίασης Συστημάτων και Αντιδράσεις Πελατών
Η ανησυχία των πελατών ότι μπορούν να πέσουν θύματα κλοπήςς ταυτότητας μεγάλωνε σε περίπτωση που είχαν ήδη πέσει θύματα περιστατικών παραβίασης δεδομένων.
Πριν πέσουν θύματα κλοπής ή απώλειας των προσωπικών τους στοιχείων, το 24(%) τοις εκατό έλεγε ότι θα ήταν εξαιρετικά ή πολύ ανήσυχο αν είχαν πέσει θύμα κλοπής ταυτότητας. Μετά από περιστατικά παραβίασης δεδομένων που τους συνέβησαν, αυτή η ανησυχία αυξήθηκε σημαντικά σε 45 (%) τοις εκατό. Σαράντα οκτώ (48%) τοις εκατό των ερωτηθέντων δηλώνουν οτι την ταυτότητά τους είναι σε κίνδυνο για χρόνια ή για πάντα.
Πηγή: Experian “The Aftermath of a Mega Data Breach: Consumer Sentiment“
Πόσο σημαντική είναι η κάλυψη από τα ΜΜΕ των περιστατικών παραβιάσεων δεδομένων;
Η πλειοψηφία των ερωτηθέντων πιστεύουν ότι είναι σημαντικό τα μέσα μαζικής ενημέρωσης να αναφέρουν λεπτομέρειες σχετικά με παραβιάσεις δεδομένων. Κυρίως επειδή απαιτείται από τις εταιρείες να ενημερώνουν περισσότερο τα θύματα και να δείχνουν μεγαλύτερη ευαισθητοποίηση σχετικά με το πώς η παραβίαση των δεδομένων θα μπορούσε να επηρεάσει τα θύματα και να ειδοποιούν τους πελάτες ώστε να προστατεύσουν τα προσωπικά τους δεδομένα από κλοπή ταυτότητας.
Λαμβάνοντας υπόψη ότι δεν μπορούμε να εξαλείψουμε την πιθανότητα πραγματοποίησης συμβάντων θα πρέπει να μπορούμε να διαχειριστούμε αποτελεσματικά περιστατικά απώλειας δεδομένων και εμπιστευτικών πληροφοριών.
Λαμβάνοντας υπόψη τις ανάγκες των επιχειρήσεων η Beazley δημιούργησε το Beazley Global Breach Solution το οποίο αποτελεί μια συνολική λύση αποτελεσματικής διαχείρισης των κινδύνων παραβίασης συστημάτων και απώλειας δεδομένων, επιτρέπει στις επιχειρήσεις, να διαχειριστούν περιστατικά παραβίασης συστημάτων και να μετριάσουν τον κίνδυνο να θιγεί η εταιρική φήμη τους και προσφέρεται στην Ελλάδα από την Cromar (www.cromar.gr).
Το Beazley Global Breach Solution προσφέρει εκτός από την κάλυψη των χρηματοοικονομικών επιπτώσεων της εταιρίας πρόσβαση στην Ομάδα Διαχείρισης Περιστατικών που διαθέτει η οποία βραβεύθηκε από την Advisen ως η καλύτερη ομάδα για το 2014 και έχει αντιμετωπίσει άνω των 3.000 περιστατικών παγκοσμίως.
Νίκος Γεωργόπουλος
Ο Νίκος Γεωργόπουλος είναι απόφοιτος του ALBA Graduate Business School και του Τμήματος Φυσικής του Πανεπιστημίου Πατρών. Είναι μέλος του International Association of Privacy Professionals και εξειδικευμένος σύμβουλος στην παροχή ασφαλιστικών λύσεων Cyber /Privacy Liability & Data Breach Management και Πιστοποιημένος Cyber Insurance Risk Manager. Είναι δημιουργός του “Cyber Risks Advisors” Linkedin Group, του www.privacyrisksadvisors.com και του www.cyberinsurancegreece.com