Ενδιαφέρουσες ήταν οι τοποθετήσεις των ομιλητών στο Panel II του Cyber Insurance & Incident Response Conference 2021 σχετικά με το ζήτημα της Νομοθεσίας και της Συμμόρφωσης των οργανισμών.
O Antonis Patrikios, Partner, Privacy & Cybersecurity, Dentons, στην παρέμβασή του ανέφερε:
“Όταν δουλεύουμε σε μεγάλα καταστροφικά περιστατικά, σχεδόν πάντα το αποτέλεσμα είναι η σύσφιξη αυτής της ομάδας που εργάζεται πάνω σε αυτό. Γίνεται πιο συνεκτική και αποτελεσματική. Η μόνη παρατήρηση είναι ότι ενδεχομένως σε έναν από τους ανθρώπους που συμμετέχουν σε αυτή την ομάδα, υπάρχει η τάση να του αποδοθεί η ευθύνη μέσα στην εταιρεία. Βλέπουμε σύγκρουση συμφερόντων, ανθρώπους να λειτουργούν αμυντικά και δυστυχώς κάποιος να χάνει τη δουλειά του. Σχετικά με τα κριτήρια που επιλέγεις τους ανθρώπους που θα συμμετέχουν σε αυτή την ομάδα, αυτό εξαρτάται από την εταιρεία.
-Πρώτον αν μιλάμε για μεγάλους οργανισμούς, δίνω έμφαση στην εμπειρία, την εξειδίκευση και την κουλτούρα. Είναι δύσκολο αυτές τις κρίσεις να τις διαχειρίζεσαι στην πράξη, γι’ αυτό χρειάζεται εξειδίκευση.
-Για τις ΜμΕ δεν υπάρχουν μεγάλα περιθώρια επιλογής. Για αυτούς που εχουν ασφαλιστική κάλυψη για cyber-attacks αυτός είναι ένας πρακτικός τρόπος που μπορεί να τους καλύψει”.
Για τον ρόλο του DPO ο ίδιος ανέφερε πως “υπάρχει σύγχυση σχετικά με τον ρόλο του DPO. Μπορούμε να πούμε εύκολα ότι αποτελεί επέκταση της ρυθμιστικής αρχής στην εταιρεία, όμως ο ίδιος πληρώνεται από την εταιρεία αυτή. O DPO δεν είναι απαραίτητα αυτός που καθορίζει τι θα γίνει, δεν είναι εκείνος που παίρνει την απόφαση για μεγάλα και δύσκολα περιστατικά”.
Ο κ. Patrikios αναφέρθηκε στην ανάγκη “απενοχοποίησης” των εταιρειών, όσον αφορά τέτοιου είδους ζητήματα.
“Για το 90% των περιστατικών το να κοινοποιήσεις στην εποπτική αρχή το περιστατικό δεν πρέπει να χαρακτηρίζεται ως “βρόμικο”. Αν πεις ότι αντιμετώπισα ένα τέτοιο περιστατικό αποτελεσματικά, δεν αμαυρώνει το brand, αντιθέτως, ενισχύει την αξιοπιστία του”.
Στην τοποθέτησή του, ο κ. Απόστολος Βόρρας, Εταίρος και Επικεφαλής του Τμήματος Data Protection & Digital Technologies, Δικηγορική Εταιρεία Κοϊμτζόγλου – Μπακάλης – Βενιέρης – Λεβέντης & Συνεργάτες (Μέλος του Δικτύου Δικηγορικών Εταιρειών Deloitte Legal), ανέφερε ότι μια παραβίαση σε ομίλους μπορεί να επηρεάζει υποκείμενα σε διάφορες χώρες. Το πρωταρχικό ερώτημα σε τέτοιες περιπτώσεις είναι “που πρέπει να απευθυνθώ, σε ποια υπηρεσία, σε ποιο έθνος;”. Σύμφωνα με τον κ. Βόρρα η κατάλληλα αρχή είναι αυτή της χώρας που υπάρχει η κύρια εγκατάσταση.
Όμως, όταν οι εταιρείες αποφασίζουν να απευθυνθούν σε κάποια αρχή, γνωρίζουν ότι οι αρχές αυτές έχουν μια ιστορία μεγάλων προστίμων. Έτσι στρέφονται σε χώρες που είναι πιο ελαστικές. Παράλληλα, όπως είπε, συνήθως υπάρχουν και εθνικές νομοθεσίες με παράλληλες υποχρεώσεις: Για παράδειγμα, στα ΗΑΕ κάθε Εμιράτο έχει τη δική του διαδικασία.
Τα προσκόμματα, σύμφωνα με τον κ. Βόρρα, είναι πολλά, καθώς κάποιες φορές η διαδικασία μπορεί να μην φτάσει μέχρι τέλους, γιατί το ίδιο το τμήμα μπορεί να μην θέλει να κοινοποιήσει ότι υπάρχει σφάλμα στην ασφάλειά του.
Όπως δήλωσε χαρακτηριστικά: Οι επιχειρήσεις γενικά αρνούνται να κάνουν γνωστοποιήσεις στις εποπτικές αρχές για τέτοιου είδους περιστατικά, γιατί φοβούνται μην αμαυρώσουν τη φήμη τους. Σίγουρα το να ανοίξουμε δίαυλο επικοινωνίας με τον επόπτη μας γεμίζει ενδοιασμούς. Πολλές φορές περιμένουμε τι θα γίνει στην αγορά, αν κάποια άλλη εταιρεία το γνωστοποιήσει στον επόπτη για να το γνωστοποιήσουμε κι εμείς.
Αναφερόμενος στον ρόλο του DPO ο κ. Βόρρας είπε ότι: “Στις ελληνικές επιχειρήσεις σε ποσοστό 84% ο dpo ασκεί παράλληλα καθήκοντα. Έχει συμβουλευτικό και ελεγκτικό ρόλο. Έχει ρόλο να διασφαλίσει τα δεδομένα των πελατών, των εργαζομένων και των τρίτων”.
Από την εμπειρία του, ανέφερε ότι διαπίστωσε πως από το 2018 και μετά υπήρξε ένα μεγάλο ποσοστό συμμόρφωσης στο cyber security και τη νομοθεσία αλλά “δυστυχώς υπήρξαν τυποποιημένες λύσεις. Βέβαια αυτό διαφέρει από οργανισμό σε οργανισμό”.
Στο περιστατικό Ransomware Evil που χτύπησε περίπου 1000 μικρομεσαίες επιχειρήσεις και που κλήθηκε να συνδράμει αναφέρθηκε κατά τη διάρκεια του πάνελ ο κ. Ιωάννης Ε. Γιαννακάκης, Group General Counsel & Chief Compliance Officer, Avramar Group
Όπως εξιστόρησε “ο στόχος εδώ ήταν μικρομεσαίες επιχειρήσεις που δεν ήταν οι περισσότερες προετοιμασμένες όσον αφορά το cyber resilience. Σε αυτό το περιστατικό, στο οποίο στοχοποιήθηκαν εταιρείες από χώρες κυρίως της Β. Ευρώπης κρυπτογραφήθηκαν φάκελοι, δεν κλάπηκαν στοιχεία. Το περιστατικό έγινε τον Ιούλιο του 2021 όταν hackers από το ουκρανικό team του ransomware evil ζήτησαν 70 εκατ. ευρώ. Κάποιες εταιρείες πλήρωσαν, οι περισσότερες όχι. Αργότερα έγινε de-crypting σε όσες πλήρωσαν” . Το συμπέρασμα από όλο αυτό, σύμφωνα με τον κ. Γιαννακάκη είναι πως πλέον στόχος γίνονται και οι ΜμΕ, όχι μόνο οι μεγάλοι όμιλοι.
Ο ίδιος παρατήρησε πως μεγάλη πληγή στην ασφάλεια των εταιρειών είναι η έλλειψη incident response plans. “Δεν υπάρχουν συγκεκριμένα σχέδια για την αντιμετώπιση μιας απειλής από τον κυβερνοχώρο. Πρέπει το σχέδιο αυτό να είναι δοκιμασμένο στην πράξη, να καθορίζει ρόλους, να ορίζει τον επικεφαλής του σχεδίου αντιμετώπισης”.
Σχετικά με τη συνεργασία εταιρειών -εποπτικών αρχών, ο κ. Γιαννακάκης διαπιστώνει πως “στην ελληνική πραγματικότητα, υπάρχει άρνηση κατ’ αρχήν ή διασταγμός των οργανισμών να γνωστοποιήσουν τα περιστατικά, παρά την ύπαρξη της νομικής υποχρέωσης. Αυτό συνδέεται με την κουλτούρα που υπάρχει στις ελληνικές επιχειρήσεις γενικότερα στο ζήτημα της διαχείρισης προσωικών δεδομένων”.
Στο ερώτημα εάν οι επιχειρήσεις στρέφονται στη cyber ασφάλιση ο κ. Γιαννακάκης παρέθεσε την προσωπική του εμπειρία: “Από όλα τα περιστατικα που έχει τύχει να εμπλακώ, σε μία μόνο πρίπτωση ενεργοποιήθηκε το cyber insurance. Η εταιρεία έχασε όμως χρήματα γιατί τα μετέφερε σε hackers νομίζοντας ότι τα έστελνε σε προμηθευτή”.
Η κα Μίνα Ζούλοβιτς, Partner Lawyer at Zoulovits Kontogeorgo Law Firm συμμετείχε στο δεύτερο πάνελ του Cyber Insurance & Incident Response Conference 2021, και εξήγησε την διαδικασία που ακολουθείται μετά από ένα χτύπημα.
“Όταν συμβαίνει ένα τέτοιο περιστατικό ξεκινάει ένας πανικός. Πρέπει να μαζέψουμε ανθρώπους με εξειδικεύσεις από διάφορους τομείς. To ζήτημα της αντιμετώπισης ενός τέτοιου περιστατικού έχει μεγάλη νομική χροιά. Μπορεί να αφορά μια σειρά νομικών επιπτώσεων, πρέπει να εντοπιστεί τι έχει παραβιαστεί – μπορεί να μην αφορά μόνο προσωπικά δεδομένα. Πρέπει να υπάρξει μια σοβαρότατη στάθμιση εντός 72 ωρών τι πρέπει να κοινοποιηθεί στις αρχές, με βάση το GDPR και εάν πρέπει να κοινοποιηθούν τα υποκείμενα. Στους μεγάλους οργανισμούς εμπλέκονται και τα corporate affairs. Η πρόληψη είναι το πιο σημαντικό σημείο. Πρέπει να υπάρχει μια συνεννόηση για το ποιος ενημερώνεται, ποιος πρέπει να ενημερώσει και ποιοι πρέπει να εμπλακούν”.
Τόνισε δε πως “οι εξειδικευμένοι σύμβουλοι μπορεί να αποτελέσουν μια οικονομική λύση για τις εταιρείες. Γιατί θα δώσουν άμεσες λύσεις, θα συμβουλεύσουν στοχευμένα και μπορεί να αποτρέψουν την επιβολή μεγάλων προστίμων μελλοντικά”.
“Aυτό που λέμε είναι ότι σας δίνεται μια χρυσή ευκαιρία με τον νέο Κανονισμό και τα εργαλεία για να χτίσετε σχέσεις εμπιστοσύνης με τους πελάτες. Έχεις μια ωραία ιστορία να πεις, έχεις μια ασφλαιστική κάλυψη και ταυτόχρονα είσαι και compliant με τους κανονισμούς. Το βασικό για μένα είναι να χτίσεις σχέσεις εμπιστοσύνης” ανέφερε.
Σχετικά με το πόσο συνειδητοποιημένες είναι οι εταιρείες όσον αφορά το cyber insurance, η κα Ζούλοβιτς παρέθεσε τρεις κατηγορίες εταιρειών:
–Διάφοροι οργανισμοί, όπως χρηματοπιστωτικοί που είναι αρκετά συνειδητοποιημένοι και πριν ακόμα από τον νέο νόμο, είναι ενημερωμένοι για την πρόληψη και στρέφονται στο cyber insurance
-Μια δεύτερη κατηγορία είναι εταιρείες που έκαναν compliance με τη νομοθεσία και ενδιαφέρονται για το cyber insurance
-H τρίτη κατηγορία που δεν έχει καν συνειδητοποιήσει τι έχει αλλάξει. Πρέπει να εκπαιδευτούν και να αλλάξει η κουλτούρα τους εν γένει έτσι ώστε να στραφούν στο cyber insurance.
Ο κ. Τάκης Κακούρης, Δικηγόρος και συντονιστής του πάνελ τόνισε την ανάγκη να “απενοχοποιήσουμε κάποια πράγματα. Πρόστιμα, ο φόβος για την εποπτική αρχή. Πρέπει να υπάρξει απενοχοποίηση ως προς την γνωστοποίηση στις εποπτικές αρχές και απενοχοποίηση ως προς τη γνωστοποίηση στα υποκείμενα.
Ο ρόλος των δικηγόρων δεν είναι μόνο κατασταλτικός αλλά προληπτικός. Λιγότερο να φοβίζουμε και περισσότερο να πείθουμε για τι τι πρέπει να κάνουν οι εταιρείες προληπτικά”.