Το ψηφιακό χάος που προκλήθηκε διεθνώς την Παρασκευή 19 Ιουλίου, παραλύοντας τεράστιο τμήμα του πλανήτη, αλλά και η επίθεση χάκερς στο Ελληνικό Κτηματολόγιο, καθιστούν σαφές το γεγονός ότι ο διασυνδεδεμένος κόσμος μας γίνεται ολοένα και πιο περίπλοκος, εμφανίζοντας απειλές και εμπόδια που ουδέποτε είχαμε διανοηθεί. Το NB Daily ανασύρει από το αρχείο του περιοδικού Συνήγορος (155/2023), άρθρο – μελέτη που υπογράφουν από κοινού ο Lorenzo Grillo, Managing Director και Επικεφαλής Υπηρεσιών Κυβερνοκινδύνων σε Ευρώπη & Μέση Ανατολή της Alvarez & Marsal και η Δρ. Κάλλια Γκαβέλα, Senior Director, Επικεφαλής Τµήµατος Αντιδικιών και Ερευνών της Alvarez & Marsal στην Ελλάδα, απαντώντας σε μείζονα ερωτήματα ως προς το φαινόμενο της κυβερνοασφάλειας.
Η μελέτη έχει ως εξής:
Οι κίνδυνοι στον κυβερνοχώρο καθώς και οι κίνδυνοι αναφορικά µε την απώλεια ή διαρροή πληροφοριών και δεδοµένων δεν είναι κάτι άγνωστο για την Ελλάδα. Σε διάστηµα µόλις δύο ετών, διάφοροι τύποι κυβερνοεπιθέσεων, συµπεριλαµβανοµένων επιθέσων µε τη µορφή λογισµικού εκβίασης για καταβολή λύτρων (ransomware) και κακόβουλου λογισµικού (malware), έχουν προκαλέσει σοβαρές ζηµιές µεταξύ άλλων σε αρκετά κυβερνητικά προγράµµατα και στον µεγαλύτερο πάροχο δικτύου κινητής τηλεφωνίας της χώρας.
Σε παγκόσµια κλίµακα, οι κυβερνοεπιθέσεις έχουν αυξηθεί τόσο σε αριθµό όσο και πολυπλοκότητα καθώς οι επιχειρήσεις ολοένα και περισσότερο βασίζονται στην τεχνολογία για την εκτέλεση των εργασιών τους και την παράδοση των προϊόντων τους, και καθώς νέες µορφές ευέλικτης εργασίας έρχονται στο προσκήνιο. Ειδικά δε ο πόλεµος Ουκρανίας-Ρωσίας έχει εντείνει περαιτέρω τέτοιου είδους απειλές.
Σύµφωνα µε τον Οργανισµό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια, ή αλλιώς ENISA, το κακόβουλο λογισµικό (malware) αποτελεί τη µεγαλύτερη σχετική απειλή στην Ευρώπη. Η Ελλάδα ειδικότερα βρίσκεται µεταξύ των 10 πρώτων ευρωπαϊκών χωρών σε πιθανότητα να έρθουν αντιµέτωπες µε επιθέσεις κακόβουλου λογισµικού (malware) και µεταξύ των 10 πρώτων σε πιθανότητα να αντιµετωπίσουν επίθεση µε λογισµικό εκβίασης για καταβολή λύτρων (ransomware), σύµφωνα µε έκθεση της Specops. Η εν λόγω έκθεση που βασίζεται στην Έκθεση Ψηφιακής Άµυνας της Microsoft, έδειξε ότι η Ελλάδα κατατάσσεται στη 13η θέση µεταξύ των 32 χωρών µε τα υψηλότερα επίπεδα εγκληµατικότητας στον κυβερνοχώρο, έχοντας δεχθεί περίπου το 4% του συνόλου των κυβερνοεπιθέσεων στην Ευρώπη.
Όλο και περισσότερο οι αυξανόµενες απειλές στον κυβερνοχώρο και παραβιάσεις δεδοµένων απασχολούν τους νοµικούς. Οι έκτακτες συνθήκες λόγω της πανδηµίας αλλά και η ενίσχυση του κανονιστικού πλαισίου για την Προστασία Δεδοµένων (ΓΚΠΔ/GDPR) αύξησαν το δικανικό ρίσκο αγωγών αποζηµιώσεων για παραβιάσεις ασφάλειας στον κυβερνοχώρο τα τελευταία χρόνια. Επίσης έχουν διευρυνθεί και οι δικονοµικές οδοί αναφορικά µε την υποβολή αγωγών αποζηµιώσεως για παραβιάσεις δεδοµένων, µε τις συλλογικές αγωγές να αποκτούν νέα δυναµική στην Ευρώπη. Μια πρόσφατη έρευνα που διενεργήθηκε από την Alvarez & Marsal και το Legal Business δείχνει πως οι νοµικοί σύµβουλοι – δικηγόροι αποδίδουν ιδιαίτερη προσοχή σε αυτήν την εξέλιξη. Για την ακρίβεια, το 85 τοις εκατό των in-house δικηγόρων που ερωτήθηκαν σχετικά απάντησε ότι η έκθεση δεδοµένων ανήκει στις υποκείµενες αιτίες πλέον που πιθανόν να οδηγήσουν σε οµαδικές αγωγές ή προσφυγές. Η πολυπλοκότητα της θεµατικής εντείνεται, αν αναλογιστεί κανείς και την αναµενόµενη αυστηροποίηση του ρυθµιστικού πλαισίου µε την εφαρµογή του επικείµενου Νόµου για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA), ο οποίος θα επηρεάσει ένα ευρύ φάσµα ευρωπαϊκών χρηµατοπιστωτικών ιδρυµάτων.
Πράγµατι, ο σχετικός νόµος θα στοχεύει στη δηµιουργία ενός ολοκληρωµένου και διατοµεακού ΕΕ-27 κανονιστικού πλαισίου ψηφιακής επιχειρησιακής ανθεκτικότητας, επιτάσσοντας στις εταιρείες που υπάγονται στο πεδίο εφαρµογής του να εισαγάγουν µια προσέγγιση βάσει κινδύνου (risk-based approach) προς συµµόρφωση και διασφάλιση µετριασµού του ψηφιακού κινδύνου. Τυχόν αποτυχία συµµόρφωσης θα µπορεί να οδηγήσει σε σηµαντικά πρόστιµα και φυσικά βαρύνουσα εταιρική δυσφήµιση.
Τα βασικά µέτρα που θα εισαγάγει o νόµος επικεντρώνονται στους ακόλουθους τοµείς: 1) Διαχείριση κινδύνου Τεχνολογίας Πληροφοριών & Επικοινωνίας (ΤΠΕ), 2) Αναφορά περιστατικών που σχετίζονται µε την ΤΠΕ, 3) Ψηφιακός Έλεγχος Επιχειρησιακής Ανθεκτικότητας, 4) Διαχείριση Κινδύνου ΤΠΕ Τρίτων, 5) Ρυθµίσεις ανταλλαγής πληροφοριών σχετικά µε πληροφορίες και δεδοµένα για απειλές στον κυβερνοχώρο.
Πώς µπορούν οι νοµικοί σύµβουλοι – δικηγόροι να συνδράµουν στις επιχειρήσεις αναφορικά µε τη διαχείριση και τον περιορισµό των κινδύνων από το κυβερνοέγκληµα;
Χωρίς να χρειάζεται να έχουν ειδική γνώση όλων των επιµέρους πτυχών της ασφάλειας στον κυβερνοχώρο, οι δικηγόροι θα πρέπει να αποκτήσουν βασική κατανόηση των επιµέρους τύπων απειλής, να γνωρίζουν τον ενδεχόµενο νοµικό και χρηµατοοικονοµικό αντίκτυπο σχετικών κυβερνοεπιθέσεων και να γνωρίζουν πώς να αξιολογούν την εταιρική ανθεκτικότητα έναντι τέτοιων απειλών. Απαιτείται να υπάρχει επίσης εκ µέρους τους µια βασική κατανόηση του τρόπου µε τον οποίο οι εταιρείες σχεδιάζουν µοντέλα διαχείρισης σχετικών επιθέσεων, καθώς και του λόγου για τον οποίο θα πρέπει να ασκείται πίεση στη διοίκηση της εταιρείας για τη διενέργεια περιοδικών ασκήσεων ελέγχου εταιρικής ετοιµότητας διαχείρισης κρίσεων στον κυβερνοχώρο.
Διαθέτοντας την κατάλληλη κατανόηση και επίγνωση της σηµασίας των σχετικών ζητηµάτων, οι δικηγόροι µπορούν να συνδράµουν στην πλήρωση του καθήκοντος επιµελείας που υπέχουν οι πελάτες τους αναφορικά µε την προστασία των εταιρικών συστηµάτων και πληροφοριών.
Ποια είναι τα Είδη Απειλών στον Κυβερνοχώρο;
Οι εταιρείες έχουν αυστηρές υποχρεώσεις αναφορικά µε την προστασία και την ασφάλεια εταιρικών δεδοµένων. Στην Ελλάδα, το επιχειρησιακό σχέδιο καθοδηγείται πρωτίστως από τον Γενικό Κανονισµό Προστασίας Δεδοµένων (ΓΚΠΔ), το Ευρωπαϊκό πρότυπο ασφάλειας δεδοµένων και µέσω γνωµοδοτήσεων και αποφάσεων της Ελληνικής Αρχής Προστασίας Δεδοµένων Προσωπικού Χαρακτήρα.
Δύο βασικοί παράγοντες που πρέπει να γίνουν κατανοητοί από πλευράς νοµικής ευθύνης είναι η υποχρέωση κοινοποίησης τυχόν σχετικών παραβιάσεων και τα σηµαντικά πρόστιµα που αυτές µπορεί να συνεπάγονται. Οι παραβιάσεις µπορεί να είναι απόρροια απώλειας, τροποποίησης, µη εξουσιοδοτηµένης κοινοποίησης ή πρόσβασης, και ακατάλληλης διαβίβασης, αποθήκευσης ή επεξεργασίας προσωπικών δεδοµένων. Οι επιχειρήσεις έχουν στη διάθεσή τους µόλις 72 ώρες για την κοινοποίηση σχετικών παραβιάσεων προσωπικών δεδοµένων. Ανάλογα µε την εκάστοτε υπόθεση και τα πραγµατικά περιστατικά, ο ΓΚΠΔ προβλέπει πρόστιµα και κυρώσεις έως €20 εκατοµµύρια, ή και 4 τοις εκατό του συνολικού παγκόσµιου ετήσιου κύκλου εργασιών του προηγούµενου οικονοµικού έτους, όποιο είναι µεγαλύτερο.
Όπως αναφέρθηκε παραπάνω, πρόστιµα και εταιρική δυσφήµιση θα µπορούν να προκύψουν και λόγω µη συµµόρφωσης µε τον επικείµενο κανονισµό DORA.
Απειλές για την κυβερνοασφάλεια µπορεί να προκύπτουν από οποιαδήποτε από τις κάτωθι πηγές:
• Κακόβουλο λογισµικό (Malware): Λογισµικό ειδικά σχεδιασµένο για να αποκτά µη εξουσιοδοτηµένη πρόσβαση σε συστήµατα υπολογιστών µε σκοπό να βλάψει το σύστηµα ή τα δεδοµένα του.
• Λογισµικό εκβίασης για καταβολή λύτρων (Ransomware): Λογισµικό που αποκλείει κακόβουλα την πρόσβαση στον κάτοχο ενός συστήµατος υπολογιστή έως ότου καταβληθούν χρήµατα ως «λύτρα».
• Κοινωνική µηχανική (Social engineering): Διάφορες κακόβουλες δραστηριότητες µπορούν να συµπεριληφθούν σε αυτόν τον όρο, όπως η µέθοδος των εισβολέων να χρησιµοποιούν ψυχολογική χειραγώγηση για να εξαπατήσουν τους χρήστες, ώστε να επιτρέψουν την πρόσβαση σε κάποιο σύστηµα ή δεδοµένα.
• Εκµετάλλευση της Αρχιτεκτονικής Δικτύων: Οι εισβολείς εκµεταλλεύονται τις αδυναµίες ενός λειτουργικού συστήµατος, κώδικα λογισµικού, περιφερειακών, όπως πρόσθετων (plug-in) εφαρµογών, ή βιβλιοθηκών λογισµικού. Για να αµυνθούν έναντι αυτής της στρατηγικής, οι κάτοχοι συστηµάτων πρέπει να εφαρµόζουν αυτόµατα ή τακτικά ενηµερώσεις κώδικα λογισµικού.
• Λανθασµένη ρύθµιση παραµέτρων/Σφάλµατα συντήρησης: Αυτές οι αυτο-προκληθείσες απειλές εµφανίζονται όταν οι ρυθµίσεις ασφαλείας δεν έχουν τεθεί σε εφαρµογή ή χρησιµοποιούνται µε σφάλµατα, αφήνοντας το σύστηµα τρωτό. Συµβαίνουν συχνά κατά τη διάρκεια αλλαγών και επικαιροποιήσεων, όπως µεταξύ άλλων σε περίπτωση νέων κυκλοφοριών εκδόσεων λογισµικού ή νέων εφαρµογών πλατφόρµας αποθήκευσης.
• Επίθεση Παραβίασης Εταιρικού Ηλεκτρονικού Ταχυδροµείου: Ο συγκεκριµένος τύπος επίθεσης κοινωνικής µηχανικής (phishing) έχει ως αποδέκτες τους εργαζόµενους της εταιρείας µε στόχο να τους εξαπατήσει, ώστε να προβούν σε ενέργειες επιβλαβείς για την εταιρεία ή το σύστηµα.
Οποιαδήποτε από τις ανωτέρω τακτικές µπορεί να θέσει µία επιχείρηση σε σοβαρό νοµικό και χρηµατοοικονοµικό κίνδυνο, µε προεκτάσεις και αντίκτυπο φυσικά και στην ίδια τη φήµη της εταιρείας. Οι νοµικοί σύµβουλοι και δικηγόροι θα είναι γι’ αυτό το λόγο σηµαντικό να επικοινωνούν στους εντολείς τους, και διοικούντες την εταιρεία, την ανάγκη συνεχούς εκπαίδευσης όλων ή των περισσότερων υπαλλήλων της εταιρείας στα σχετικά ζητήµατα προς ενίσχυση της εταιρικής ετοιµότητας διαχείρισης των σχετικών απειλών. Παρόλο που ο ΓΚΠΔ δεν προβλέπει ρητά την εκπαίδευση των εταιρικών υπαλλήλων, η Ελληνική Αρχή Προστασίας Δεδοµένων Προσωπικού Χαρακτήρα το συνιστά ανεπιφύλακτα µέσω της νοµολογίας της.
Ποιος ήταν ο Αντίκτυπος των Κυβερνοεπιθέσεων στην Ελλάδα;
Όπως συµβαίνει και σε άλλες χώρες, η Ελλάδα έχει διαπιστώσει έναν αυξανόµενο αριθµό κυβερνοεπιθέσεων.
• Επίθεση Ransomware στα Ελληνικά Ταχυδροµεία – Οι εκβιαστές του κυβερνοχώρου πραγµατοποίησαν επίθεση µε λογισµικό εκβίασης για καταβολή λύτρων (ransomware) τον Μάρτιο του 2022 στα Ελληνικά Ταχυδροµεία (ΕΛΤΑ), τα οποία αναγκάστηκαν να αποσυνδέσουν πολλές υπηρεσίες. Η στοχευµένη επίθεση «αποσκοπούσε στην κρυπτογράφηση των κρίσιµων συστηµάτων» που χρησιµοποιούνται στις καθηµερινές λειτουργίες των ΕΛΤΑ, εκµεταλλευόµενη µια ευπάθεια ηµέρας-µηδέν (zero-day) στα συστήµατά τους. Για τη διασφάλιση της συνέχισης της επιχειρησιακής δραστηριότητας, ο πάροχος ταχυδροµικών υπηρεσιών χρησιµοποίησε την ΕΛΤΑ Courier, µια θυγατρική των ΕΛΤΑ, για την παροχή όλων των υπηρεσιών πλην των χρηµατοοικονοµικών, καθώς η εν λόγω µονάδα δεν επηρεάστηκε από την κυβερνοεπίθεση.
• Κυβερνοεπίθεση κατά του Μεγαλύτερου Ελληνικού Χειριστή Δικτύου Κινητής Τηλεφωνίας – Η Ελληνική Αρχή Προστασίας Δεδοµένων Προσωπικού Χαρακτήρα επέβαλε το 2022 στην COSMOTE ΚΙΝΗΤΕΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΕΣ Α.Ε. πρόστιµο συνολικού ύψους €5,85 εκατ. λόγω διαρροής δεδοµένων κλήσεων συνδροµητών, ενώ στον Οργανισµό Τηλεπικοινωνιών της Ελλάδος Α.Ε. επέβαλε πρόστιµο ύψους €3,25 εκατ. για την ίδια υπόθεση. Εν προκειµένω, οι επιτήδειοι χάκερς απέκτησαν πρόσβαση διαχειριστή χρησιµοποιώντας τον κωδικό πρόσβασης ενός διαχειριστή της εταιρείας για να διεισδύσουν στο σύστηµα της Cosmote και να υποκλέψουν τα δεδοµένα των συνδροµητών.
• Κυβερνοεπίθεση σε Υπηρεσίες του Gov.gr και του TAXISnet της Ελλάδας – Μία από τις µεγαλύτερες κυβερνοεπιθέσεις στην Ελλάδα συνέβη τον Νοέµβριο του 2022, όταν οι εγκληµατίες του κυβερνοχώρου προσπάθησαν να διακόψουν τη λειτουργία 800 κρατικών υπηρεσιών, αποκόπτοντας µεταξύ άλλων την πρόσβαση ασθενών στην υπηρεσία ιατρικής συνταγογράφησης. Οι χάκερ έστειλαν µια σειρά από bots για να κατακλύσουν τους ιστοτόπους και να επιβραδύνουν σηµαντικά τη µετάδοση δεδοµένων, εµποδίζοντας την πρόσβαση σε νόµιµους χρήστες. Η Εθνική Αρχή Κυβερνοασφάλειας (National Cyber Security Authority – NCSA) ερεύνησε το περιστατικό και ανέφερε ότι η επίθεση πιθανότατα προήλθε από την Ολλανδία.
• Επίθεση στον Εθνικό Διαχειριστή Φυσικού Αερίου της Ελλάδας – Ο Διαχειριστής Εθνικού Συστήµατος Φυσικού Αερίου (ΔΕΣΦΑ), ο οποίος λειτουργεί και διαχειρίζεται την υπηρεσία φυσικού αερίου της χώρας, δέχθηκε επίθεση τον Αύγουστο του 2022 στις υποδοµές του τεχνολογίας πληροφοριών κατά την οποία οι εγκληµατίες τοποθέτησαν αρχεία του ΔΕΣΦΑ στο dark web και έκλεψαν στοιχεία υπαλλήλων και πελατών. Τέτοιου είδους επιθέσεις έχουν εντείνει τις προσπάθειες για εφαρµογή του εθνικού προγράµµατος κυβερνοασφάλειας, καθιστώντας το κορυφαία προτεραιότητα. Εις απάντησιν, η Εθνική Αρχή Κυβερνοασφάλειας σχεδιάζει µια σειρά ελέγχων σε όλο τον δηµόσιο τοµέα και σε µεσαίες και µεγάλες ιδιωτικές επιχειρήσεις, δίνοντας έµφαση σε βέλτιστες πρακτικές τεχνικών και οργανωτικών µέτρων διαχείρισης σχετικών κινδύνων.
Πώς µπορούν οι Οργανισµοί να Αξιολογήσουν την Ετοιµότητά τους;
Η πλήρης αξιολόγηση της ανθεκτικότητας µιας εταιρείας απέναντι στο κυβερνοέγκληµα αποτελεί ένα κρίσιµο πρωταρχικό βήµα για τον εντοπισµό τυχόν αδυναµιών και κενών προστασίας. Η αξιολόγηση αυτή πρέπει να εναρµονίζεται µε την εταιρική στρατηγική προστασίας δεδοµένων, συστηµάτων και πληροφοριών, η οποία απαραιτήτως καλύπτει και την προστασία εταιρικής πνευµατικής ιδιοκτησίας, εµπορικών µυστικών και κρίσιµης σηµασίας εταιρικών δεδοµένων. Αυτή η διαδικασία αξιολόγησης ξεκινά από το να γνωρίζει η εταιρεία επακριβώς τις πληροφορίες, τα δεδοµένα και τα συστήµατα που χρήζουν προστασίας.
Οποιαδήποτε αξιολόγηση πρέπει να επικαιροποιείται συνεχώς ενόψει νέων και διαρκώς εξελισσόµενων απειλών και κινδύνων. Θα πρέπει επίσης να καλύπτει και να αποδίδει δείκτη ευπάθειας σε κάθε επιµέρους κατηγορία δεδοµένων, συστηµάτων και εταιρικών ιστοτόπων. Οι περιοδικές αξιολογήσεις βοηθούν τις επιχειρήσεις να διαχειριστούν τυχόν αδυναµίες, αναδεικνύοντας την ανάγκη για αναβάθµιση εξοπλισµού, ενηµερώσεις προϊόντων και αυτόµατη διαχείριση ενηµερώσεων κώδικα λογισµικού. Η τακτική αξιολόγηση κινδύνου και παρακολούθηση τρίτων µερών είναι εξίσου κρίσιµης σηµασίας.
Οι εν λόγω ασκήσεις και διαδικασίες δεν υπάγονται µόνο στην αρµοδιότητα του τµήµατος τεχνολογίας πληροφοριών (ΤΠ). Όλα τα εµπλεκόµενα µέρη και επιχειρηµατικοί εταίροι θα πρέπει να συµµετέχουν τόσο στην αξιολόγηση της εταιρικής ανθεκτικότητας απέναντι στο κυβερνοέγκληµα όσο και στη συνεχή αναπροσαρµογή του προγράµµατος συνέχισης της επιχειρηµατικής δραστηριότητας (business continuity plan), συµπεριλαµβανοµένου του σχεδίου ακεραιότητας, εµπιστευτικότητας και διαθεσιµότητας των πληροφοριών και δεδοµένων, καθώς και του σχεδίου ανάκτησης αυτών σε περίπτωση απώλειας ή καταστροφής. Οι αξιολογήσεις θα πρέπει να περιγράφουν λεπτοµερώς κάθε στάδιο στο οποίο γίνεται επεξεργασία, αποθήκευση, διαβίβαση και διαγραφή δεδοµένων για να µπορούν να εντοπιστούν πιθανά κενά προστασίας.
Μετά την εφαρµογή ενός προγράµµατος αξιολόγησης και διαχείρισης ευπάθειας (vulnerability management program), είναι σηµαντικό για τους επικεφαλής των επιχειρήσεων να έχουν σαφή επίγνωση του ελάχιστου επιπέδου συνέχισης λειτουργίας της επιχείρησής τους (minimum level of service continuity). Η ανεπαρκής ανθεκτικότητα στο κυβερνο-έγκληµα µπορεί να οδηγήσει σε αποτυχία αποτροπής πιθανών απειλών για δεδοµένα και συστήµατα, καθιστώντας επιτακτική την ανάγκη συνεχούς εγρήγορσης και ενηµερώσεων προς διασφάλιση της συνέχισης των κρίσιµων επιχειρησιακών λειτουργιών.
Πώς θα πρέπει να είναι το Λειτουργικό Μοντέλο Ανθεκτικότητας στον Κυβερνοχώρο;
Στη σηµερινή ψηφιακή εποχή οι εταιρείες έχουν να αντιµετωπίσουν σηµαντικές απειλές. Είναι όµως εξίσου σηµαντικό να εκτιµώνται και οι πιθανές προκλήσεις που ενδέχεται να προκύψουν στο µέλλον. Οι επικεφαλής των επιχειρήσεων πρέπει να µπορούν να προβλέψουν και να κατανοήσουν αυτές τις προκλήσεις και να αξιολογήσουν τον κίνδυνο και πού αυτός κατατάσσεται µε βάση τη συνολική επιχειρηµατική στρατηγική της εταιρείας, λαµβάνοντας υπόψη τις προτεραιότητες του οργανισµού, τυχόν επιχειρησιακούς περιορισµούς και το βαθµό αλληλεπίδρασης των εµπλεκοµένων µερών. Αυτή η κατανόηση µπορεί να βοηθήσει τις εταιρείες να λάβουν τεκµηριωµένες αποφάσεις για τη βελτίωση της ψηφιακής επιχειρησιακής λειτουργίας τους και να προετοιµαστούν για πιθανές µελλοντικές προκλήσεις. Παραδοσιακά, οι οργανισµοί έχουν επικεντρωθεί στην προστασία δεδοµένων και στον περιορισµό των σχετικών παραβιάσεων. Καθώς όµως το έγκληµα στον κυβερνοχώρο εξελίσσεται και απειλές όπως το ransomware επιτίθενται σε υποδοµές τεχνολογίας πληροφοριών (ΤΠ), οι εταιρείες θα πρέπει να δώσουν ιδιαίτερη βαρύτητα στην κατάρτιση ενός σχεδίου αντιµετώπισης (response plan), που να εδράζεται στα αποτελέσµατα της αξιολόγησης κινδύνων και εταιρικής ευπάθειας. Η πρώτη βασική ενέργεια θα πρέπει να είναι η δηµιουργία ενός «αρχηγείου» (war room) στελεχωµένου καθόλη τη διάρκεια του 24ωρου µε υψηλόβαθµα στελέχη (C-suite) και άλλους βασικούς ενδιαφερόµενους της εταιρείας (Διευθύνων Σύµβουλος, Δ/ντης Οικονοµικών Υπηρεσιών, Δ/ντης Διαχείρισης Κινδύνων, Δ/ντης Λειτουργιών, Δ/ντης Πληροφορικής, Δ/ντης Ασφάλειας Πληροφοριών, Νοµικός Σύµβουλος, Δ/ντης Ανθρώπινων Πόρων, Υπεύθυνος Προστασίας Δεδοµένων και ενδεχοµένως άλλοι ανάλογα µε τον οργανισµό) µε σκοπό την ταχεία αντιµετώπιση τυχόν περιστατικού.
Είναι ο εντολέας σας έτοιµος για την Επόµενη Κυβερνοαπειλή;
Οι εταιρικοί δικηγόροι καλούνται να θέσουν δύσκολα ερωτήµατα στους εντολείς τους για να βεβαιωθούν ότι αυτοί λαµβάνουν τον κίνδυνο της κυβερνοασφάλειας σοβαρά υπόψη, σε συµµόρφωση µε τον ΓΚΠΔ και άλλες σχετικές νοµοθεσίες για τον κυβερνοχώρο, συµπεριλαµβανοµένων και των ειδικών επιπρόσθετων κανονιστικών απαιτήσεων που θα προκύψουν από την εφαρµογή του επικείµενου κανονισµού DORA.
Ο Νοµικός Σύµβουλος της επιχείρησης καλείται να αναλάβει και ρόλο συµβουλευτικό προς τη διοίκηση σε θέµατα διεξαγωγής σχετικών αξιολογήσεων κινδύνου και στον εντοπισµό περιοχών ευπάθειας. Καλείται επίσης να συνδράµει στην τακτική διεξαγωγή ασκήσεων ετοιµότητας, ώστε να µετρηθεί η αποτελεσµατικότητα της οµάδας αντιµετώπισης της κρίσης.
Οι εταιρείες δε γίνεται να βασίζονται απλώς στην ασφάλισή τους έναντι των απειλών του κυβερνοχώρου. Τα ασφάλιστρα έχουν εξάλλου διπλασιαστεί και οι εταιρείες βρίσκονται πλέον ακόµα και αντιµέτωπες µε το ενδεχόµενο να µην πληρούν τους ελάχιστους όρους ασφαλιστικής κάλυψης στο σηµερινό καθεστώς κυβερνοπολέµου.
Οι δικηγόροι καλούνται να κατανοήσουν και να επικοινωνήσουν στα µέλη του διοικητικού συµβουλίου την ευθύνη και καθήκον επιµέλειας που υπέχουν σε σχετικά θέµατα. Η ύπαρξη ενός ισχυρού σχεδίου κυβερνοανθεκτικότητας είναι ένας από τους καλύτερους τρόπους επίδειξης δέουσας επιµέλειας απέναντι στον οργανισµό.