Η κυριαρχία των δεδομένων (data) στην σημερινή εποχή, έχει οδηγήσει στην άρρηκτη σύνδεση της ιδιωτικότητας, της ασφάλειας και της εμπιστοσύνης τα οποία αποκτούν ολοένα και μεγαλύτερη σημασία. Παρ’ όλα αυτά, σύμφωνα με νέα στοιχεία που δημοσιεύτηκαν στην ετήσια έρευνα της PwC για την παγκόσμια ασφάλεια πληροφοριών – 2018 Global State of Information Security® Survey ή GSISS -, αρκετοί οργανισμοί, δεν έχουν δώσει το απαιτούμενο βάρος στην προστασία του ιδιωτικού απορρήτου.
Μόλις το 49% των συμμετεχόντων στην έρευνα, δήλωσαν ότι ο οργανισμός τους περιορίζει τη συλλογή, διατήρηση και πρόσβαση σε στοιχεία προσωπικού χαρακτήρα, στα απολύτως απαραίτητα βάσει του νομικού πλαισίου. Αντιθέτως, το 51% διατηρεί ενημερωμένο μητρώο δεδομένων προσωπικού χαρακτήρα εργαζομένων και πελατών στο οποίο συλλέγονται, διακινούνται και αποθηκεύονται τα δεδομένα. Το 53% εισάγει ως υποχρεωτική την παρακολούθηση επιμορφωτικών προγραμμάτων για την πολιτική και τις πρακτικές προστασίας ιδιωτικού απορρήτου.
Σε ό,τι αφορά στην αξιοποίηση προσωπικών δεδομένων πελατών και εργαζομένων από τρίτους, λιγότεροι από τους μισούς (46%) διεξάγουν ελέγχους συμμόρφωσης για τη διασφάλιση της προστασίας τους. Αντίστοιχο ποσοστό (46%) δήλωσε ότι ο οργανισμός τους απαιτεί από τρίτους να συμμορφώνονται με τις πολιτικές ιδιωτικού απορρήτου που εφαρμόζουν.
Στην έρευνα συμμετείχαν 9.500 ανώτερα στελέχη διοίκησης και τεχνολογίας από 122 χώρες.
Σύμφωνα με τον Sean Joyce, επικεφαλής του Τομέα Διαδικτυακής Ασφάλειας και Ιδιωτικού Απορρήτου της PwC στις ΗΠΑ:
«Η χρήση δεδομένων με καινοτόμους τρόπους ανοίγει ταυτόχρονα την πόρτα σε νέες ευκαιρίες και κινδύνους. Είναι πολύ λίγες οι εταιρείες που έχουν ενσωματώσει στον ψηφιακό τους μετασχηματισμό τη διαχείριση των κινδύνων που σχετίζονται με το διαδίκτυο και το ιδιωτικό απόρρητο. Η κατανόηση των συνηθέστερων κινδύνων, που αφορά στην ελλιπή γνώση σχετικά με τη συλλογή και τήρηση δεδομένων, μπορεί να αποτελέσει σημείο εκκίνησης για τη διαμόρφωση ενός ορθού πλαισίου διακυβέρνησης».
Σύμφωνα με τα ευρήματα της GSISS για το 2018, οι επιχειρήσεις στην Ευρώπη και τη Μέση Ανατολή σε γενικές γραμμές παρουσιάζουν μια καθυστέρηση σε σχέση με τις επιχειρήσεις στην Ασία, τη Βόρεια Αμερική και τη Νότια Αμερική σε ό,τι αφορά την ανάπτυξη ολοκληρωμένης στρατηγικής ασφάλειας πληροφοριών και την εφαρμογή πρακτικών διακυβέρνησης στη χρήση δεδομένων.
Πρόκειται για ένα μεγάλο στοίχημα και υπάρχει περιθώριο για βελτίωση
Τα ανώτερα διοικητικά στελέχη αναγνωρίζουν τους σοβαρούς κινδύνους που ελλοχεύουν στην έλλειψη διαδικτυακής ασφάλειας. Στην 21η Παγκόσμια Έρευνα της PwC για τους Διευθύνοντες Συμβούλους, οι διαδικτυακές απειλές συμπεριλήφθηκαν για τρίτη φορά στην 5άδα με τους σημαντικότερους παράγοντες που απειλούν την ανάπτυξη, με το 40% των CEO να δηλώνουν εξαιρετικά προβληματισμένοι παρουσιάζοντας αύξηση 15% σε σχέση με το 2017.
Παρ’ όλα αυτά, μπορούμε να είμαστε αισιόδοξοι καθώς το 87% των CEO δήλωσε ότι επενδύει στη διαδικτυακή ασφάλεια στοχεύοντας στην εμπιστοσύνη των πελατών τους. Αντίστοιχο ποσοστό (81%) δήλωσε ότι προσπαθεί να προσδώσει διαφάνεια στη χρήση και την αποθήκευση των δεδομένων. Όμως λιγότεροι από τους μισούς δήλωσαν ότι αναλαμβάνουν αυτές τις πρωτοβουλίες σε μεγάλη κλίμακα.
Η σημασία της διαμόρφωσης κλίματος εμπιστοσύνης
Οι καταναλωτές εκφράζουν σχετική αβεβαιότητα για το κατά πόσο οι εταιρείες θα χρησιμοποιήσουν υπεύθυνα τα προσωπικά δεδομένα. Ενδεικτικά, στις ΗΠΑ, μόλις το 25% των καταναλωτών στην υπεύθυνη χρήση (βάσει της έρευνας της PwC US Consumer Intelligence Series για το 2017).
Η PwC εκτιμά ότι οι αναμενόμενες βελτιώσεις στην τεχνολογία επαλήθευσης ταυτότητας (encryption & biometrics), θα συμβάλλουν στη δημιουργία δικτύων εμπιστοσύνης από τους ηγετικούς παίκτες.
Οι μισοί από τους ερωτηθέντες δήλωσαν ότι η χρήση προηγμένων τεχνολογιών επαλήθευσης ταυτότητας έχει ενισχύσει την εμπιστοσύνη των πελατών και των επιχειρηματικών συνεργατών όσον αφορά την ασφάλεια πληροφοριών του οργανισμού και την ικανότητά του να προστατεύσει το ιδιωτικό απόρρητο. Επίσης, το 48% αυτών αναφέρει ότι οι προηγμένες τεχνολογίες επαλήθευσης ταυτότητας έχουν συμβάλει στη μείωση της απάτης ενώ το 41% υποστηρίζει ότι έχουν αναβαθμίσει την εμπειρία των πελατών. Το 46% δήλωσε ότι τη φετινή χρονιά σκοπεύει να αυξήσει τις επενδύσεις στη χρήση βιομετρικών δεδομένων και σε προηγμένες τεχνολογίες επαλήθευσης ταυτότητας.
Ωστόσο, η χρήση της βιομετρικής εκθέτει τις επιχειρήσεις σε κινδύνους που σχετίζονται με τους κανονισμούς που προστατεύουν το ιδιωτικό απόρρητο, ενώ προκαλεί ανησυχίες στην κοινωνία καθώς συνεπάγεται την πρόσβαση των εταιρειών σε τέτοιου είδους στοιχεία. Επίσης, η χρήση μηχανισμών επαλήθευσης ταυτότητας που βασίζονται στη γνώση προσωπικών στοιχείων ενδέχεται να καθιστά έναν οργανισμό ευάλωτο λόγω κινδύνου κλοπής στοιχείων σε ξεχωριστή επίθεση.
Η PwC αναμένει αυξημένη πίεση στην αγορά για την κρυπτογράφηση δεδομένων για σκοπούς προστασίας, κάτι που θα δώσει ώθηση και στις σχετικές επενδύσεις. Το 46% των ερωτηθέντων του κλάδου χρηματοοικονομικών υπηρεσιών δήλωσε ότι τη φετινή χρονιά σκοπεύει να αυξήσει τις επενδύσεις στην κρυπτογράφηση.
Ιδιωτικό απόρρητο: ένα ζήτημα που αφορά το διοικητικό συμβούλιο
Το 31% των συμμετεχόντων στην έρευνα GSISS 2018 δήλωσαν ότι το διοικητικό συμβούλιο του οργανισμού τους συμμετέχει άμεσα στην επισκόπηση των κινδύνων που σχετίζονται με την ασφάλεια και το ιδιωτικό απόρρητο. Για τους οργανισμούς που έχουν αξία πάνω από 25 δις δολάρια το ποσοστό αυτό αυξάνεται στο 36%.
Αντιμετώπιση των GDPR και NIS ως ευκαιρία
Αναφορικά με τον Ευρωπαϊκό Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR), που ισχύει για όλους τους οργανισμούς που δραστηριοποιούνται στην ΕΕ μερίδα συμμετεχόντων στην έρευνα GSISS 2018 από διάφορες χώρες του κόσμου, δήλωσε ότι είχε ήδη ξεκινήσει να προετοιμάζεται από το πρώτο εξάμηνο του 2017. Ενδεικτικά, περίπου το ένα τρίτο των ερωτηθέντων (32%) ήταν ήδη σε διαδικασία αξιολόγησης, με το ποσοστό αυτό να είναι λίγο υψηλότερο στην Ασία (37%) σε σχέση με όλες τις υπόλοιπες περιοχές.
Όπως σχολιάζει ο Γιώργος Ναούμ, Partner στο Συμβουλευτικό Τμήμα της PwC Ελλάδας και Επικεφαλής του Τομέα Τεχνολογίας: «Η συμμόρφωση με το πλαίσιο και τις διαδικασίες που ορίζει το GDPR πέραν των άμεσων οφελών που έχει σε επίπεδο διαχείρισης προσωπικών δεδομένων, αποτελεί μια ευκαιρία και καλλιεργεί το έδαφος για τον Ψηφιακό Μετασχηματισμό. Η σωστή διαχείριση δεδομένων, θα οδηγήσει μεταξύ άλλων, στη λήψη αποτελεσματικότερων επιχειρηματικών αποφάσεων, ενίσχυση της εταιρικής διακυβέρνησης, μείωση πολυπλοκότητας και βελτιστοποίηση των εσωτερικών διαδικασιών».
Η οδηγία της ΕΕ για την Ασφάλεια στα Συστήματα Δικτύου και Πληροφοριών (οδηγία NIS), έχει σκοπό να ενισχύσει την ανθεκτικότητα στις διαδικτυακές απειλές. Οι επιχειρήσεις που ορίζονται από τα κράτη μέλη ως διαχειριστές σημαντικών υπηρεσιών (κρίσιμες υποδομές) καθώς και οι προμηθευτές ψηφιακών υπηρεσιών (μηχανές αναζήτησης, υπηρεσίες cloud και διαδικτυακές αγορές), βάσει του κανονισμού καλούνται άμεσα να συμμορφωθούν σε νέες απαιτήσεις ασφάλειας και αναφοράς συμβάντων στις εθνικές αρχές. Όπως και με το GDPR, σε περίπτωση μη συμμόρφωσης υπάρχει το ενδεχόμενο σοβαρών κυρώσεων.