1. Εισαγωγή

Η προστασία των δεδομένων και ιδιαίτερα των προσωπικών δεδομένων σε έναν οργανισμό αναδεικνύεται σε μια σημαντική, οργανωμένη και επιμελή καθημερινή δραστηριότητα. Τα δεδομένα αποτελούν ίσως το πλέον σημαντικό κεφάλαιο για κάθε εταιρία και θα πρέπει να συλλέγονται, επεξεργάζονται, διακινούνται, φυλάσσονται, προστατεύονται με την εφαρμογή των κατάλληλων πρακτικών, διαδικασιών, πολιτικών και εργαλείων.

Έχοντας ως στόχο την αντιμετώπιση των δυσμενέστερων σεναρίων, η δημιουργία και εφαρμογή ενός Σχεδίου Αντιμετώπισης Περιστατικών Παραβίασης Δεδομένων (Incident Response Plan) αποτελεί μία από τις προϋποθέσεις συμμόρφωσης με το νέο Γενικό Κανονισμού Προστασίας Δεδομένων (GDPR), καθότι συνδέεται άμεσα με τις απαιτήσεις του κανονισμού. Ο Νέος Γενικός Κανονισμός συνοπτικά απαιτεί από τις εταιρίες:

• να έχουν εκπαιδεύσει κατάλληλα το προσωπικό τους,
• να ενσωματώσουν στις διαδικασίες τους τα δικαιώματα των υποκειμένων των δεδομένων,
• να έχουν τα κατάλληλα μέτρα ασφαλείας και τις αναγκαίες πολιτικές για την προστασία των πληροφοριών,
• να έχουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα που θα διασφαλίζουν τη διαθεσιμότητα της Πληροφορίας (Σχέδιο Επιχειρησιακής Συνέχειας),
• να κάνουν αναλύσεις των επιπτώσεων που μπορούν να προ-κύψουν λόγω παραβίασης ιδιωτικότητας (Privacy Impact Assessment),
• να σχεδιάζουν προϊόντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας (Privacy by Design, Privacy by Default),
• να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων,
• να έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer),

να έχουν σχέδιο αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων (Incident Response Plan).

Στη συνέχεια θα παρουσιάσουμε τον τρόπο δημιουργίας και εφαρμογής ενός Σχεδίου Αντιμετώπισης Περιστατικών Παραβίασης Δεδομένων (Incident Response Plan), που βασίζεται σε εμπειρίες εταιριών από όλον τον κόσμο.

Έτσι, μπορείτε να έχετε την άποψη της εσωτερικής εμπειρίας αντιμετώπισης περιστατικών, που θα σας δώσει τις βασικές κατευθύνσεις να δημιουργήσετε ένα Incident Response Plan, την ομάδα που χρειάζεστε, τα εργαλεία και την εκπαίδευση που απαιτείται γι’ αυτόν τον σκοπό.

 

 

2. Οι κυριότερες συνέπειες μιας παραβίασης & η αναγκαιότητα ενός Incident Response Plan

 

 

Οι συνέπειες μιας παραβίασης συνοψίζονται παρακάτω:

• Αδυναμία πρόσβασης σε σημαντικά & κρίσιμα δεδομένα.
•  Μεγάλο πλήγμα στη φήμη και το όνομα της εταιρίας.
• Πιθανή Απώλεια Πελατών & Επιδείνωση του Δείκτη Ικανοποίησης Πελατών.
• Προσωρινή αδυναμία εκτέλεσης συναλλαγών.
• Προβλήματα με την πιστοληπτική αξιολόγηση (Credit Rating).
• Ανάγκη για περισσότερο προσωπικό καθώς και μεγαλύτερες ανάγκες εκπαίδευσης.
• Αύξηση ασφαλίστρων από τις ασφαλιστικές εταιρίες.
• Πρόστιμα & αποζημιώσεις.

  Είναι προφανές ότι η αντιμετώπισή τους είναι σύνθετη, πολύπλοκη, απαιτεί πολλούς & ποικίλους πόρους και δημιουργεί έκτακτα (και πολλές φορές δυσβάστακτα) κόστη.

  Η ύπαρξη Σχεδίου Αντιμετώπισης Παραβιάσεων μπορεί να:

• αποτρέψει περαιτέρω απώλεια δεδομένων,
• περιορίσει (ή αποτρέψει) δυσμενείς αναφορές & φήμες για την αξιοπιστία και το όνομα της εταιρίας,

αποτρέψει (ή περιορίσει) πρόστιμα και αποζημιώσεις,

Η θέση ενός Incident Response Plan δεν είναι στο ράφι κάποιας βιβλιοθήκης. Είναι ένα δυναμικό εργαλείο που βοηθά στην πρόληψη, την αντιμετώπιση και τη βελτίωση διαδικασιών και συστη-μάτων σχετικά με την αντιμετώπιση περιστατικών παραβίασης.

Το Incident Response Plan αφορά το σύνολο της εταίρας και δεν είναι ευθύνη μόνο κάποιων επιμέρους τμημάτων. Γι’ αυτό η δέ-σμευση και η υποστήριξη της ανώτατης διοίκησης είναι απαραί-τητη προϋπόθεση.

 

 

3. Η Προσέγγιση δημιουργίας του Σχεδίου Αντιμετώπισης Περιστατικών Παραβίασης

4. Η Σύνθεση Ενός Σχεδίου Αντιμετώπισης Περιστατικών Παραβίασης Δεδομένων

 

4.1. Δημιουργία Ομάδας

Η Δημιουργία Ομάδας είναι το πρωταρχικό βήμα για ένα Incident Response Plan. Η βασική αρχή λειτουργίας της Ομάδας αυτής είναι η Καταγραφή, η Ανάλυση, η Αξιολόγηση διαδικασιών και λειτουργιών, η Πληροφόρηση & Ενημέρωση μεταξύ των Μελών, ο Σχεδιασμός, η Βελτίωση με βάση την εμπειρία που αποκτάται.

Η Ομάδα πρέπει να είναι αντιπροσωπευτική από όλη την εταιρία, που, μεταξύ άλλων, θα πρέπει να περιλαμβάνει μέλη από:

• Data Protection Office
• Την πληροφορική (IT)
• Την Ασφάλεια Πληροφορικών Συστημάτων (IT Security)
• Νομικές Υπηρεσίες
• Εξυπηρέτηση Πελατών / Δικτύο καταστημάτων
• Ανθρώπινο Δυναμικό
• Επικοινωνία & Δημόσιες Σχέσεις

Τα κριτήρια επιλογής των μελών της Ομάδας, είναι η ευρεία γνώση των δραστηριοτήτων της εταιρίας (business knowledge), η γνώση του αντικειμένου, η υπευθυνότητα, η ομαδικότητα και συνεργασία, η διαθεσιμότητα όταν παραστεί ανάγκη.

Η Ομάδα οπλίζεται και λειτουργεί αποτελεσματικά όταν έχει τη στήριξη αλλά και την ευχέρεια να παίρνει αποφάσεις (empowerment) στη λειτουργία της, από τη Διοίκηση της εταιρίας.

4.2. Αξιολόγηση / Προσαρμογή

Υπαρχόντων Διαδικασιών, Πολιτικών & Συστημάτων Ασφάλειας

Η δημιουργία ενός Incident Response Plan συγκεντρώνει όλες τις διαδικασίες που θα επιτρέψουν στην εταιρία να παραμείνει ενεργή μετά από περιστατικά παραβίασης δεδομένων.

Πρακτικά, είναι η συλλογή όλων των διαδικασιών που σχετίζονται με την αναγνώριση, τον προσδιορισμό, την έρευνα, την αντιμετώπιση, την ανταπόκριση σε περιπτώσεις περιστατικών παραβίασης, με γνώμονα τον περιορισμό των επιπτώσεων και τη γρήγορη ανάκαμψη.

Στο πλαίσιο αυτό για κάθε διαδικασία των εμπλεκομένων τμημάτων θα πρέπει να απαντώνται οι ακόλουθες ερωτήσεις:

• Ποιος είναι ο σκοπός; Τι κάνω;
• Πότε εκτελείται; Από ποιους;
• Πώς μετράω την αποτελεσματικότητα; Με ποιους δείκτες (KPIs);
• Πώς βελτιώνω;
• Πώς αντιστοιχεί με το GDPR;

Στην πράξη έχει κριθεί αποτελεσματική η εφαρμογή ενός συστήματος διαρκούς εποπτείας σχετικά με την εφαρμογή διαδικασιών σε όλα τα επίπεδα της εταιρίας. Είναι ένας αποτελεσματικός τρόπος πρόληψης που ταυτόχρονα κινητοποιεί το προσωπικό και ενισχύει την κουλτούρα προστασίας δεδομένων.

4.3. Κατηγοριοποίηση των περιστατικών παραβίασης

Τα συμβάντα ασφαλείας ποικίλουν σε επικινδυνότητα, αιτίες, τρόπους, αριθμό. Είναι απαραίτητη η κατηγοριοποίησή τους, έτσι ώστε να είναι σαφές σε όλους τους εμπλεκομένους ποιες συγκεκριμένες ενέργειες πρέπει να υλοποιήσουν ανά περίπτωση. Κάθε συμβάν απαιτεί αντιμετώπιση, αλλά δεν απαιτούν όλα ενέργειες ειδοποίησης και ενημέρωσης. Τα συμβάντα δεδομένων μπορούν να κατηγοριοποιηθούν ως εξής:

• Απώλεια συσκευών οι οποίες έχουν αποθηκευμένα δεδομένα (π.χ. USB Flash, Laptop, Εξωτερικός Σκληρός Δίσκος). 
• Μη εξουσιοδοτημένη / Παράνομη πρόσβαση και Επιθέσεις σε συστήματα ή πληροφορίες με διάφορα τεχνολογικά μέσα ό–πως, hacking, επιθέσεις με ιούς, worms, trojans, ransomware. Μέσω της παράνομης πρόσβασης μπορεί να κλαπούν δεδομένα, να «μολυνθούν», να «κλειδωθούν», να υπερφορτωθούν τα συστήματα υπολογιστών (DDoS).  
• Εσωτερικές Παραβιάσεις, από προσωπικό, πρώην προσωπικό, social engineering (phishing).
• Ανεπαρκή μέτρα προστασίας, παραλήψεις, αμέλεια με αποτέλεσμα να μην προστατεύονται επαρκώς τα δεδομένα.

Παρακάτω παρουσιάζεται μια κατηγοριοποίηση των κινδύνων σε επίπεδα:

Επίπεδο 1. Απόπειρα πρόσβασης σε δεδομένα

Επίπεδο 2. Πιθανότητα πρόσβασης

Επίπεδο 3. Πολλές αποδείξεις παραβίασης

Επίπεδο 4. Σίγουρη παραβίαση

Κατά τον προσδιορισμό των επιπέδων, θα πρέπει σε κάθε περίπτωση να υπάρχει η πρόβλεψη ότι ένα περιστατικό μπορεί να καταγραφεί -αρχικά- σαν χαμηλού ρίσκου, αλλά στη συνέχεια να εξελιχθεί σε σοβαρή απειλή. Για κάθε κατηγορία θα πρέπει να προσδιοριστούν συγκεκριμένες ενέργειες, από ποιους εκτελούνται και μέσα σε ποιο χρονικό πλαίσιο. Πρακτικά θα δημιουργηθεί μια λίστα που μεταξύ άλλων θα περιλαμβάνει:

• Υπεύθυνο Τμήμα
• Ονοματεπώνυμο αρμοδίων (εσωτερικά ή συνεργατών) 
• Στοιχεία επικοινωνίας 
• Ρόλος στο πλάνο 
• Ενέργειες 
• Κατάσταση υλοποίησης / ενεργοποίησης (status)

Είναι προφανές ότι στόχος των ενεργειών είναι η ελαχιστοποίηση των επιπτώσεων μιας παραβίασης σε όλο το εύρος των λειτουργιών της εταιρίας (παροχή υπηρεσίας, πελάτες, συνεργάτες, προσωπικό, αγορά, κοινωνία). Εξαιρετικά σημαντική είναι η καταγραφή κάθε περιστατικού και ενέργειας, ενημέρωσης, τρόπου αντιμετώπισης, κ.λπ. σε ένα ημερολόγιο συμβάντων (log book) με χρονικό προσδιορισμό της καταγραφής. To log book είναι ένα χρήσιμο μέσο αξιολόγησης της αντιμετώπισης και της απόκρισης στα περιστατικά που αντιμετωπίσθηκαν.

4.4. Εξασφάλιση Εξωτερικής Υποστήριξης

Δεν είναι ακραίο να παρομοιάσουμε ένα περιστατικό παραβίασης σαν μια κατάσταση φυσικής καταστροφής (πυρκαγιά, σεισμός, πλημμύρα) που η αντιμετώπισή της χρειάζεται πολλές δεξιότητες, γνώση, ετοιμότητα και διαθεσιμότητα. Ανάλογα με την έκταση και σοβαρότητα της παραβίασης η εταιρία μπορεί να μην είναι σε θέση να λειτουργήσει στο σύνολό της ή σε σημαντικές δραστηριότητές της. Βασικό στοιχείο του πλάνου είναι η εξασφάλιση των απαιτούμενων πόρων στις κατάσταση κρίσης. Υπάρχουν περιπτώσεις που οι εσωτερικοί πόροι δεν επαρκούν. Η έγκαιρη εξασφάλιση εξωτερικής βοήθειας καθίσταται σημαντικός παράγοντας αποτελεσματικής αντιμετώπισης της κρίσης. Στη μέση της θύελλας δύσκολα βρίσκεται βοήθεια ή κοστίζει πολύ ακριβά. Γι’ αυτό η έγκαιρη προετοιμασία και η συμφωνία για συνεργασία με εξωτερικούς συνεργάτες, εξασφαλίζει διαθεσιμότητα πόρων στη διάρκεια μιας κρίσης και σε αποδεκτό κόστος. Συνήθως προτείνεται η εξασφάλιση συνεργασίας στις παρακάτω περιοχές:

• Υπηρεσίες Νομικής Υποστήριξης
• Υπηρεσίες Πληροφορικής
• Υπηρεσίες Διαδικτυακής Εγκληματολογίας (Computer Forensics) απαραίτητες για τον εντοπισμό της πηγής της παραβίασης
• Υπηρεσίες Επικοινωνίας / Ενημέρωσης & Δημοσίων Σχέσεων
• Ασφαλιστική Κάλυψη κινδύνων παραβίασης (Cyber Insurance)

4.5. Εκπαίδευση

Η συνεχής ενημέρωση και εκπαίδευση του προσωπικού εξασφαλίζει την απαιτούμενη προσοχή, εγρήγορση και αντιμετώπιση περιστατικών παραβίασης δεδομένων. Η έλλειψη κατάρτισης μπορεί να οδηγήσει σε αθώα λάθη που μπορεί να έχουν σημαντικές αρνητικές επιπτώσεις αργότερα. Συνίσταται η δημιουργία δύο εκπαιδευτικών προγραμμάτων. Ένα γενικό πρόγραμμα για όλο το προσωπικό και ένα για το προσωπικό που συμμετέχει στην αντιμετώπιση περιστατικών παραβίασης. Όσον αφορά το προσωπικό αντιμετώπισης περιστατικών το εκπαιδευτικό πρόγραμμα θα περιλαμβάνει εξειδικευμένες μεθοδολογίες, τεχνικές, εργαλεία, ανάλυση περιπτώσεων κ.λπ.

Το γενικό εκπαιδευτικό πρόγραμμα στοχεύει πρωτίστως στη δημιουργία κουλτούρας προστασίας δεδομένων. Θα πρέπει να δίνεται έμφαση σε αληθινά παραδείγματα από την αγορά, το περιεχόμενο να είναι απλό και κατανοητό, να γίνεται τακτικά και να έχει επίπεδα γνώσης. Ως μέσα εκπαίδευσης μπορεί η κάθε εταιρία να βρίσκει δημιουργικούς τρόπους που θα κάνουν το πρόγραμμα ελκυστικό για να εξασφαλίζει τη συμμετοχή. Προς αυτήν την κατεύθυνση, βοηθούν σημαντικά τα ηλεκτρονικά δίκτυα μιας εταιρίας (π.χ. intranet) όπου μπορούν να δίνονται σύντομες συμβουλές (tips), να παρουσιάζονται videos, να διεξάγονται διαγωνισμοί μεταξύ ομάδων / τμημάτων / ατόμων, να συμπληρώνονται ερωτηματολόγια. Το ενημερωμένο και σε ετοιμότητα προσωπικό είναι το καλύτερο μέσο προστασίας, το καλύτερο «εργαλείο» ασφάλειας των δεδομένων. Η δημιουργία και η συνεχής ενίσχυση κουλτούρας προστασίας δεδομένων έχει αποτρέψει κινδύνους παραβίασης σε μεγάλο αριθμό εταιριών.

4.6. Προσομοίωση

Έχοντας οργανώσει τις εσωτερικές και τις εξωτερικές ομάδες αντιμετώπισης παραβίασης, είναι σημαντικό να γνωρίζουμε πώς η εταιρία θα συμπεριφερόταν κατά τη διάρκεια μιας κρίσης παραβίασης και πως θα εντοπίσει τυχόν κενά. Η ενδεδειγμένη μέθοδος είναι η προσομοίωση περιστατικών παραβίασης που θα πρέπει να εκτελείται κατά χρονικά διαστήματα, βασισμένη σε καθορισμένα σενάρια. Στα σενάρια μπορεί να περιλαμβάνεται και η συμμετοχή εξωτερικών συνεργατών. Η Ομάδα του Incident Response Plan, θα πρέπει να αναλύει τα αποτελέσματα της κάθε άσκησής προσημείωσης ώστε να προβαίνει στις απαραίτητες βελτιώσεις διαδικασιών, συστημάτων, πολιτικών αλλά και του επιπέδου ενημέρωσης και εκπαίδευσης.

Η προσομοίωση μπορεί να είναι:

• Επιτραπέζια Άσκηση μεταξύ της Ομάδας του Incident Response Plan.
• Ασκήσεις σε διάφορα τμήματα της εταιρίας.
• Ασκήσεις με συμμετοχή και εξωτερικών συνεργατών.
• «Ζωντανή» προσομοίωση με εικονική παραβίαση από εξειδικευμένο εξωτερικό συνεργάτη.