-
Ο κίνδυνος της κυβερνοεπίθεσης: Αφορά όλους ή αποκλειστικά τους «εκλεκτούς» και «διάσημους»;
«Πολλοί άνθρωποι που εργάζονται στον τομέα της κυβερνοασφάλειας θα σας πουν ότι δεν είναι ζήτημα του εάν θα δεχθεί μια επιχείρηση κυβερνοεπίθεση αλλά του πότε θα την δεχθεί, υπό οποιαδήποτε μορφή. Είτε έχεις δεχθεί κυβερνοεπίθεση και δεν το έχεις καταλάβει είτε υπέστης κυβερνοεπίθεση και το ξέρεις είτε θα υποστείς κυβερνοεπίθεση κάποια στιγμή στο μέλλον».
Αυτή είναι η δήλωση του Martin Felli (CLO της JDA Software, μιας από τις μεγαλύτερες εταιρείες παγκοσμίως σε software εφοδιαστικών αλυσίδων), προς τον Dominic Carman, ο οποίος διεξήγε ειδική έρευνα για λογαριασμό της Kroll.
Αυτό που λέει ο Felli είναι στην πραγματικότητα μια επεξήγηση της δήλωσης του πρώην Διευθυντή του FBI Robert Mueller, ο οποίος ήδη από το 2012, δήλωσε: «Υπάρχουν μόνο δύο είδη επιχειρήσεων: αυτές που τις έχουν ήδη χακάρει και αυτές τις οποίες θα χακάρουν στο μέλλον».
Παρά την διαρκή ψηφιοποίηση των πάσης φύσεως πληροφοριών και την χρήση ηλεκτρονικών δικτύων για την διεκπεραίωση πάσης φύσεως συναλλαγών και εργασιών, είναι περισσότερο από προφανές πως οι περισσότερες επιχειρήσεις στην Ελλάδα δεν έχουν συναίσθηση των κινδύνων που διατρέχουν τόσο οι ίδιες όσο και τα δεδομένα των πελατών τους από τις πάσης φύσεως και μορφής κυβερνοεπιθέσεις
Όμως γιατί ο νομικός σας σύμβουλος να ασχοληθεί με αυτό το θέμα; Δεν είναι, άραγε, θέμα του ΙΤ;
Για να επιχειρήσουμε μια ικανοποιητική απάντηση στο συγκεκριμένο ερώτημα, πρέπει να στρέψουμε το βλέμμα μας στο πρόσφατο παρελθόν…
-
Η δημοσιοποίηση της απώλειας ή διαρροής πληροφοριών και οι συνέπειές της-Γενικά.
Η δημόσια εκδήλωση – αποκάλυψη μιας απώλειας ή διαρροής πληροφοριών πάσης φύσεως (είτε αυτά είναι προσωπικά δεδομένα πελατών είτε είναι επιχειρηματικά απόρρητα) ξεκινά με την δημόσια παραδοχή αυτής της διαρροής. Μια τέτοια δημόσια παραδοχή είναι δυνατό να γίνει είτε στο ευρύ κοινό είτε σε περιορισμένο κύκλο νομικών και φυσικών προσώπων, τα δεδομένα των οποίων έχουν απωλεσθεί ή διαρρεύσει από την κυβερνοεπίθεση.
Και στις δύο περιπτώσεις (:δημόσια ή περιορισμένη παραδοχή της κυβερνοεπίθεσης) οι νομικές συνέπειες είναι, πάντοτε σοβαρές. Οι μεν βλαπτόμενοι τρίτοι δικαιούνται να κινηθούν δικαστικά σε βάρος της επιχείρησης που δέχθηκε την κυβερνοεπίθεση οι δε αρμόδιες αρχές να επιβάλλουν τα πρόστιμα που προβλέπονται από το υφιστάμενο θεσμικό πλαίσιο. Το εύρος των αποζημιώσεων που θα επιδικαστούν και των προστίμων που θα επιβληθούν θα είναι, πάντοτε, ευθέως ανάλογο της έκτασης της διαρροής και της σοβαρότητας των δεδομένων που απωλέσθηκαν ή υποκλάπηκαν
Και στις δύο περιπτώσεις (στην πρώτη άμεσα, στη δεύτερη εν καιρώ) η αναπόφευκτη δημοσιοποίηση προσελκύει, επιπρόσθετα, το ενδιαφέρον των media και προκαλεί, αναπόφευκτα, σοβαρότατο πλήγμα στο κύρος και τη φήμη της επιχείρησης. Αυτή η δεύτερη συνέπεια της κυβερνοεπίθεσης είναι εξίσου σοβαρή (πολλές φορές σημαντικότερη) με τις νομικές συνέπειες που έχει η δημοσιοποίηση (αγωγές, διοικητικά πρόστιμα, ποινικές ευθύνες).
-
«Δεν έλαβε χώρα ενδελεχής διερεύνηση των αιτιών της διαρροής πληροφοριών»: Η περίπτωση της Yahoo
Σχετικά πρόσφατα (το 2016) η Yahoo αποκάλυψε δύο αυτοτελή περιστατικά υποκλοπής των δεδομένων της από hackers, οι οποίοι απέκτησαν πρόσβαση σε δεδομένα ενός δισεκατομμυρίου χρηστών (:το νούμερο προκαλεί, πράγματι, ίλιγγο). Το πρώτο συνέβη το 2014 και κρατήθηκε, αρχικά, μυστικό. Όταν όμως το 2016 έγινε και δεύτερη παραβίαση, η εταιρεία αναγκάσθηκε να προβεί σε συνολική αποκάλυψη.
Το σοκ για τον επιχειρηματικό κόσμο των Ηνωμένων Πολιτειών ήταν τόσο μεγάλο που μια λεπτομέρεια πέρασε ίσως απαρατήρητη: Ο πρώτος που παραιτήθηκε ήταν ο Head IT της Yahoo (:αναμενόμενο) ο δεύτερος όμως ήταν ο επικεφαλής Νομικός Σύμβουλος. Γιατί όμως αυτή η δεύτερη παραίτηση;
Η Ειδική Επιτροπή που ορίσθηκε από το Διοικητικό Συμβούλιο της Yahoo για τη διερεύνηση των συνθηκών των διαρροών, τόσο αυτής του 2016 όσο κι εκείνης του 2014, έκρινε πως όλη η ομάδα των Νομικών Συμβούλων της Yahoo απέτυχε να διερευνήσει ενδελεχώς τα αίτια και τις συνθήκες των παραβιάσεων του 2014. Και τούτο παρά το ότι διέθετε και τα στοιχεία και τις προϋποθέσεις για να το επιτύχει. Η συγκεκριμένη λοιπόν αποτυχία από μέρους της ομάδας των Νομικών Συμβούλων είχε ως πρώτο αποτέλεσμα να μην ληφθεί οποιοδήποτε ουσιαστικό μέτρο και ως τελικό-δραματικό αυτή τη φορά (αποτέλεσμα) να καταστεί εφικτή η εκτεταμένη παραβίαση του 2016.
Ποιο ήταν το καθήκον λοιπόν που παρέλειψε ο Επικεφαλής Νομικός Σύμβουλος της Yahoo; Ποιο αντίστοιχο καθήκον βαρύνει τους Νομικούς Συμβούλους των επιχειρήσεων;
-
Οι αλλαγές που φέρνουν στο παγκόσμιο επιχειρηματικό περιβάλλον ο Κανονισμός ΕΕ GDPR και η Οδηγία NIS
Το 2016 η Ευρωπαϊκή Ένωση νομοθέτησε δύο σημαντικότατα νομοθετήματα : Τον Γενικό Κανονισμό Προστασίας Δεδομένων (General Data Protection Regulation 2016/679) και την Οδηγία για τα Μέτρα για Υψηλό Κοινό Επίπεδο Ασφαλείας Συστημάτων Δικτύου και Πληροφοριών σε ολόκληρη την Ένωση (Νetwork and Information Security Directive 2016/1148).
Τον πρώτο εξ αυτών (GDPR) αρκετοί, ήδη, γνωρίζουν. Την δεύτερη όμως οι περισσότεροι αγνοούν, παρά το γεγονός ότι και αυτή πρέπει υποχρεωτικά να ενσωματωθεί στην εσωτερική νομοθεσία των κρατών – μελών από τον Μάιο του 2018. Τα κράτη – μέλη υποχρεούνται μέχρι τον Νοέμβριο του 2018 να ταυτοποιήσουν τους φορείς και παρόχους εκμετάλλευσης βασικών υπηρεσιών (οι οποίοι έχουν πλέον αυξημένη ευθύνη τήρησης υψηλών μέτρων ασφαλείας).
Τα συγκεκριμένοι νομοθετήματα θα επηρεάσουν (ακριβέστερα: επηρεάζουν ήδη) άμεσα και καίρια, με τον ένα ή τον άλλο τρόπο, το σύνολο των επιχειρήσεων που διαχειρίζονται Προσωπικά Δεδομένα ευρωπαίων πολιτών. Τονίζεται ότι δεν αφορούν μόνο τις ευρωπαϊκές επιχειρήσεις αλλά και τις εκτός Ευρωπαϊκής Ένωσης οντότητες που διαχειρίζονται δεδομένα πολιτών της Ένωσης.
Στην Ευρώπη (όπως νωρίτερα στην Βόρεια Αμερική) κάτι σημαντικό αλλάζει σε σχέση με την εκτίμηση των κινδύνων που εγκυμονεί η ηλεκτρονική διαχείριση δεδομένων. Η στάση των νομοθετικών οργάνων και ελεγκτικών αρχών φαίνεται πως σκληραίνει απότομα και σημαντικά. Με τα παραπάνω νομοθετήματα η Ευρωπαϊκή Ένωση γίνεται η αιχμή του δόρατος σχετικά με την απόδοση επιχειρηματικής ευθύνης όσον αφορά την παράλειψη προστασίας και ασφαλούς διαχείρισης των πληροφοριών που, με τον ένα ή τον άλλο τρόπο, διαχειρίζονται οι επιχειρήσεις.
Και τα δύο νομοθετήματα, πέρα από όλες τις άλλες συνέπειες τους και τις πολλαπλές παραμέτρους κανονιστικής συμμόρφωσης που δημιουργούν, επισωρεύουν και πρόσθετες δυσμενείς συνέπειες σε περίπτωση κυβερνοεπίθεσης που ως αποτέλεσμά της μπορεί να έχει τη διαρροή δεδομένων.
-
Μέσα σε αυτό το περιβάλλον των ραγδαίων (μα και ταυτόχρονα σημαντικών) αλλαγών επιχειρηματικών συμπεριφορών και πρακτικών που επιφέρουν οι σύγχρονες νομοθετικές τάσεις, ο ρόλος του Νομικού Συμβούλου μιας επιχείρησης αποδεικνύεται εκτεταμένος και, συνάμα, καίριος .
Ο Νομικός Σύμβουλος μιας επιχείρησης οφείλει, ως επικεφαλής της οικείας ομάδας, να σχεδιάσει, επιβλέψει και δοκιμάσει εκ των προτέρων ένα Σχέδιο Αντίδρασης (Incident Response Plan) για την περίπτωση κυβερνοεπίθεσης.
Φαντάζει ίσως περίεργο ότι ένας νομικός είναι επικεφαλής μιας τέτοιας προσπάθειας και όχι ο IT Manager. Κι όμως, μόνο με αυτόν τον τρόπο μπορεί να υπάρξει αποτελεσματική προστασία των συμφερόντων της επιχείρησης έναντι των συνεπειών που θα έχει μια ενδεχόμενη απώλεια ή διαρροή δεδομένων.
Στο τεχνικό σκέλος είναι προφανής (όσο και αυτονόητη) η συνδρομή των ειδικών εκείνων που θα εντοπίσουν το είδος της εισβολής, την αδυναμία που έτυχε εκμετάλλευσης, την ταυτοποίηση του όγκου των δεδομένων που διέρρευσαν κλπ. Κύριο μέλημα όμως του Νομικού Συμβούλου θα είναι η όχι μόνον η γνωστοποίηση στη διοίκηση και τα αρμόδια στελέχη της επιχείρησης αλλά και η μέριμνα για την πιστή εφαρμογή όσων προβλέπονται από την νομοθεσία και τις βέλτιστες πρακτικές (best practices), η άμβλυνση των συνεπειών από τυχόν παραβίαση και, ιδίως, η εναρμόνιση του συνόλου των τμημάτων της επιχείρησης στην τήρηση του Σχεδίου Αντίδρασης.
Ο Νομικός σας Σύμβουλος (οφείλει να) γνωρίζει ποιες είναι οι πρόνοιες εκείνες (πριν την κυβερνοεπίθεση) αλλά και οι απαιτούμενες ενέργειες (μετά την κυβερνοεπίθεση και τη διαρροή δεδομένων) ώστε:
- Να καθίσταται σαφές στις αρμόδιες ελεγκτικές και δικαστικές Αρχές πως η επιχείρηση έκανε ό,τι καλύτερο ήταν δυνατό τόσο προληπτικά (πριν από την κυβερνοεπίθεση) όσο και μετά την διαρροή των δεδομένων.
- Να εντοπισθούν κατά τρόπο σαφή και ευεξήγητο (σε μη ειδικούς) τα αίτια της διαρροής, τα πρόσωπα που τυχόν ευθύνονται, η ύπαρξη δόλου ή αμέλειας που συνετέλεσαν στην διαρροή των πληροφοριών.
- Η δημιουργία βέλτιστων συνθηκών και αποδεικτικού υλικού για την επιδίωξη της τιμωρίας των αυτουργών ή/και υπευθύνων της επίθεσης ενώπιον των αρμοδίων αρχών και οργάνων.
- Η επικοινωνιακή διαχείριση των συνεπειών της αποκάλυψης της απώλειας/διαρροής δεδομένων εξαιτίας της κυβερνοεπίθεσης.
Ο Νομικός Σύμβουλος της επιχείρησης θα εντοπίσει τους συγκεκριμένους κινδύνους για κάθε επιχείρηση-πελάτη του ανάλογα με τη δραστηριότητα που ασκεί και την έκθεση της στην διαχείριση δεδομένων (:gap analysis). Σε συνεργασία με το ΙΤ της επιχείρησης θα μελετήσει ο Νομικός Σύμβουλος τα πιθανά σενάρια κυβερνοεπίθεσης και θα καταρτίσει ένα Σχέδιο Αντίδρασης, το οποίο θα είναι απλό και κατανοητό για όλα τα στελέχη και τμήματα της επιχείρησης όσο και, ιδίως, για έναν δικαστή που ενδεχομένως επιληφθεί μεταγενεστέρως.
Για να γίνει απόλυτα κατανοητό αυτό ας προστρέξουμε σε ένα απλό παράδειγμα: Ο δικηγόρος που υπερασπίζεται έναν πελάτη του για ιατρική αμέλεια δεν χρειάζεται να είναι νευροχειρουργός. Αρκεί να έχει προετοιμασθεί ώστε να αντιλαμβάνεται την φιλοσοφία και ακολουθία του πρωτοκόλλου που όφειλε να ακολουθήσει ο πελάτης του για να ανταποκριθεί στο επίδικο περιστατικό. Ο Νομικός Σύμβουλος της επιχείρησης, αφού κατανοήσει, με την πολύτιμη βοήθεια του IT, τα τεχνικά ζητήματα, θα «μεταφράσει» με τρόπο κατανοητό τις απαραίτητες ενέργειες και διαδικασίες, ώστε αυτές να είναι απλές και κατανοητές τόσο από τη Διοίκηση της επιχείρησης και τους εργαζόμενους όσο και από τρίτους (ελεγκτικές αρχές, δικαιοσύνη).
Είναι μάλιστα χαρακτηριστικό ότι ήδη στις ΗΠΑ και στη Μεγάλη Βρετανία, οι μεγάλες δικηγορικές εταιρείες έχουν αναπτύξει δικά τους τμήματα Κυβερνοασφάλειας, ώστε να παρέχουν το σύνολο των υπηρεσιών που απαιτούνται (legal και IT).
-
To ζήτημα της Κυβερνοασφάλειας και η ένταξή του στα κανονιστικά έγγραφα της επιχείρησης
To ζήτημα της Κυβερνοασφάλειας, με πρωτοβουλία του Νομικού Συμβούλου πρέπει να ενταχθεί στα κανονιστικά έγγραφα της επιχείρησης (Κανονισμός Εργασίας, Εσωτερικός Κανονισμός Λειτουργίας, Εγκεκριμένες Οδηγίες (Policies) για την διαχείριση δεδομένων ή/και Η/Υ κλπ).
Ενδεικτικά και μόνον να σημειωθεί πως ένα Σχέδιο Αντίδρασης σε Κυβερνοεπίθεση πρέπει να περιλαμβάνει (ενδεικτικά-μεταξύ πολλών άλλων):
- Ποιοι είναι οι επικεφαλής των ομάδων ενέργειας, πότε και πως ειδοποιούνται
- Ποιος αποφασίζει και εντός ποιου χρονικού διαστήματος για την (ενδεχόμενη) ολοσχερή διακοπή (total shut down) λειτουργίας των δικτύων της εταιρείας ή την απόπειρα συνέχισης λειτουργίας ώστε να εντοπισθεί η προέλευση της κυβερνοεπίθεσης
- Ποιος είναι ο εξωτερικός συνεργάτης που (ενδεχομένως) πρέπει να επιληφθεί της παρακολούθησης των συστημάτων.
- Ποιές και τί είδους είναι οι έγγραφες ειδοποιήσεις και αναφορές που θα αποτελέσουν την αρχή απόδειξης του χρόνου συνειδητοποίησης της κυβερνοεπίθεσης και των ενεργειών που έλαβαν χώρα
- Ποιος είναι υπεύθυνος επικοινωνίας και PR που (ενδεχομένως) πρέπει να διαχειρισθεί το επικοινωνιακό κομμάτι της αποκάλυψης
-
Μήπως ΚΑΙ για την ασφάλιση αστικής ευθύνης θα πρέπει να μεριμνήσει ο Νομικός Σύμβουλος;
Στο ίδιο πλαίσιο, ο Νομικός Σύμβουλος της επιχείρησης θα εντοπίσει με ακρίβεια τις πιθανότερες πηγές κινδύνου και θα έχει τη δυνατότητα να επιλέξει την σωστή ασφάλιση αστικής ευθύνης έναντι κυβερνοεπίθεσης. Και τούτο σε αντίστιξη με τη συνήθη επιχειρηματική τακτική που το μεν επιλέγεται η φθηνότερη προσφορά το δε υπογράφεται το πρώτο κείμενο/σχέδιο ασφαλιστικής σύμβασης που θα σταλεί από την επιλεγείσα ασφαλιστική εταιρεία (το οποίο ενδεχομένως αφενός μεν να καλύπτει και απολύτως περιττούς κινδύνους αφετέρου δε να μην καλύπτει τα απολύτως αναγκαία).
-
Η σύνδεση της αξιοπιστίας της επιχείρησης με την προστασία της
Όλες οι παραπάνω ενέργειες του Νομικού Συμβούλου (:ύπαρξη σαφών κανονιστικών εγγράφων, policies, Σχεδίου Αντίδρασης, Ασφαλιστικής Κάλυψης κλπ) κυρίως όμως η ευθυγράμμιση της επιχείρησης και των στελεχών της με όσα προβλέπουν, δεν μπορούν παρά να έχουν ως συνέπεια την επαύξηση της εμπιστοσύνης των πελατών και συνεργατών της προς την ίδια
Δεδομένου μάλιστα ότι όλοι επιθυμούμε να συνεργαζόμαστε με αξιόπιστους εταίρους, τα (περιφερειακά) οφέλη της επιχείρησης είναι περισσότερο από προφανή: οι πελάτες βλέπουν ότι έχουν να κάνουν με έναν σοβαρό business partner και όχι με ένα «μαγαζάκι».
-
Η δημιουργία συνθηκών αποτροπής μιας «εσωτερικής» κυβερνοεπίθεσης
Τα τελευταία χρόνια βρισκόμαστε, δυστυχώς, μπροστά σε φαινόμενα παραβίασης επιχειρηματικών απορρήτων επιχειρήσεων από (δυσαρεστημένα ή μη, παραμένοντα ή υπό αποχώρηση) στελέχη τους στο πλαίσιο ενός μακροπρόθεσμου ή ευκαιριακού σχεδιασμού τους. Τη νομολογία μας έχουν απασχολήσει κάποιες μεμονωμένες, μέχρι σήμερα, περιπτώσεις στελεχών τα οποία είτε ήθελαν (απλώς) τη βλάβη της εργοδότριας επιχείρησης είτε τον προσωπικό τους πλουτισμό είτε την μετακίνησή τους σε ανταγωνιστή-συνοδεία της προίκας των επιχειρηματικών απορρήτων του προηγούμενου εργοδότη τους.
Η προστασία της επιχείρησης από τα (κακόβουλα) στελέχη της μολονότι δεν είναι αυτόματη ή αυτονόητη είναι, εντούτοις, σε πολύ σημαντικό βαθμό εφικτή με σημαντικά ερείσματα στο υφιστάμενο θεσμικό πλαίσιο αλλά και στο Σύνταγμα (http://koumentakislaw.gr/epixeirhseis-kai-empisteftikothta/)
Τι συμβαίνει λοιπόν όταν η κυβερνοεπίθεση προέρχεται «εκ των έσω» όταν δηλ. δράστης είναι στέλεχος της επιχείρησης; Υπάρχει δυνατότητα προστασίας και αποτροπής; Υπάρχει δυνατότητα (στην περίπτωση του απευκταίου) διάγνωσης της προέλευσης και ταυτοποίησης των δραστών με σκοπό τον (εσωτερικό) παραδειγματισμό και (μελλοντική) αποτροπή;
Ο Νομικός Σύμβουλος είναι εκείνος που οφείλει να δημιουργήσει το πλαίσιο και υπόβαθρο των επιχειρηματικών απορρήτων. Ακριβώς στο ίδιο αυτό πλαίσιο (αυτονοήτως σε στενή συνεργασία με το τμήμα ΙΤ) οφείλει να δημιουργήσει συνθήκες αποτροπής μιας «εσωτερικής κυβερνοεπίθεσης», η οποία θα ήταν δυνατό να πλήξει καίρια τα συμφέροντα της επιχείρησης που εκπροσωπεί. Εκείνος είναι που πρώτος οφείλει να «κρούσει» τον κώδωνα του κινδύνου αλλά κι εκείνος που θα πρέπει να προτρέψει την επιχείρηση στη θέσπιση κατάλληλων πολιτικών και διαδικασιών για την ασφαλή χρήση των δικτύων της εταιρείας, τις ηλεκτρονικές επικοινωνίες, τον έλεγχο της πρόσβασης στα συστήματα και αρχεία της εταιρείας από τα στελέχη της.
-
Αντί Επιλόγου
Οι εκάστοτε διαθέσιμοι πόροι είναι, πάντοτε, περιορισμένοι. Η ανάγκη για την ορθολογική διαχείρισή τους περισσότερο από προφανής και σε ό,τι συναρτάται με τη μέγιστη δυνατή προστασία από το Cyber Risk.
Εάν δεν γίνει έγκαιρη και ενδελεχής αναγνώριση των αναγκών και πιθανών κινδύνων για την συγκεκριμένη επιχείρηση, το πιθανότερο είναι ότι οι πόροι της επιχείρησης θα «ξοδευτούν» με τρόπο που δεν θα είναι ο βέλτιστος.
Ο νομικός σας σύμβουλος μπορεί να σας οδηγήσει σε ορθολογικότερη και αποτελεσματικότερη χρησιμοποίηση των διαθέσιμων πόρων και να αναλάβει την ευθύνη συντονισμού όλων των εμπλεκομένων.
Μα κι αν δεν επιλέξετε να του αναθέσετε τα συγκεκριμένα project, αναζητείστε τουλάχιστον τη συνδρομή του. Να είσθε βέβαιοι ότι το αποτέλεσμα θα είναι απείρως καλύτερο.
