Κυβερνοεπίθεση είναι οποιαδήποτε κακόβουλη ενέργεια που λαμβάνει μέρος μέσω ηλεκτρονικού υπολογιστή ή δικτύου και σκοπό έχει την τροποποίηση, καταστροφή, κλοπή, υποκλοπή ή και την απαγόρευση στην πρόσβαση σε πληροφορίες του νόμιμου κατόχου (της Επιχείρησης).
Στόχο μιας κυβερνοεπίθεσης μπορεί να αποτελέσει ένα πληροφοριακό σύστημα υπολογιστών, ένα δίκτυο υπολογιστών, είτε με σκοπό να ζητήσει ο εισβολέας (hacker) λύτρα, είτε για να πετύχει εκβιαστικά την σύναψη συμφωνίας παροχής προστασίας των πληροφοριακών συστημάτων της Εταιρείας (θύμα) μαζί του έναντι πληρωμής.
Μια κυβερνοεπίθεση για οποιαδήποτε εταιρεία ή Οργανισμό δύναται να προκαλέσει σειρά αλυσιδωτών αρνητικών συνεπειών, ειδικότερα της επιχειρησιακής συνέχειας (business continuity), πλήγματος στην κερδοφορία, δυσφήμισης της εταιρείας, παράπονα από πελάτες/συνεργάτες και διαρροής προσωπικών δεδομένων.
Η διαρροή προσωπικών δεδομένων ειδικότερα, με βάση τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) και τον εναρμονιστικό Νόμο περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών (Ν. 125 (Ι)/2018), αποτελεί παραβίαση του ΓΚΠΔ από μέρους της Εταιρείας/ Οργανισμού – θύμα.
Τέτοιο γεγονός λόγω των νομικών ευθυνών που θα δημιουργήσει στην εταιρεία – Οργανισμό θα προκαλέσει παράλληλα το ενδιαφέρον του γραφείου της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα το οποίο θα διερευνήσει κατά πόσον, πριν από την κυβερνοεπίθεση, είχαν υιοθετηθεί από την εταιρεία – Οργανισμό τα απαραίτητα οργανωτικά και τεχνικά μέτρα για την αποφυγή περιστατικών παραβίασης.
Στην περίπτωση που εντοπίσει το γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα πως δεν είχαν υιοθετηθείόλα τα απαραίτητα μέτρα προστασίας, η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα δύναται να επιβάλει βαριά πρόστιμα τα οποία με βάση τον ΓΚΠΔ μπορεί να είναι μέχρι €20.000.000 ή μέχρι 4% του ετήσιου κύκλου εργασιών της εταιρείας όποιο είναι μεγαλύτερο.
Με άλλα λόγια, η εταιρεία – Οργανισμός, εκτός από θύμα κυβερνοεπίθεσης με πιθανά αποτελέσματα την επιχειρησιακή παράλυση, την δυσφήμιση και την ταλαιπωρία, θα βρεθεί νομικά εκτεθειμένη για παράβαση του ΓΚΠΔ και συνάμα υπόλογη σε καταβολή προστίμων.
Εξ’ όσων έχει γίνει ευρέως γνωστό το τελευταίο διάστημα υπάρχει μεγάλη κινητικότητα σε σχέση με κυβερνοεπιθέσεις, ειδικότερα περιστατικών κυβερνοεπιθέσεων τύπου Ransomware. Αδιαμφησβήτητα οι κυβερνοεπιθέσεις αποτελούν την σύγχρονη και ταχέως αναπτυσσόμενη μορφή εγκλημάτων που απασχολεί εταιρείες και Οργανισμούς ανά το παγκόσμιο.
Η απειλή εκτός από διαρκής έχει καταστεί και πιο έντονη, εάν ληφθεί υπόψη ότι ο χρόνος που απαιτείται για να λάβει χώρα μια κυβερνοεπίθεση έχει συρρικνωθεί δραματικά. Ενώ στο παρελθόν μία κυβερνοεπίθεση απαιτούσε περίπου 60 ημέρες για να οργανωθεί και να εκτελεστεί, σήμερα δεν χρειάζονται παρά μόνο τέσσερις ημέρες. Αυτό φανερώνει ότι οι χάκερ γίνονται πιο έξυπνοι και γρήγοροι ως προς το πώς να οργανώνουν τις επιθέσεις τους.
Σκοπός λοιπόν του παρόντος είναι η ενημέρωση για συνεχή επαγρύπνηση και ευαισθητοποίηση για την διαφύλαξη αφενός των πληροφοριακών συστημάτων των εταιρειών και Οργανισμών και αφετέρου των προσωπικών δεδομένων προς συμμόρφωση με τις πρόνοιες του ΓΚΠΔ και του εναρμονιστικού νόμου Ν. 125 (Ι)/2018.
Ενόψει των ανωτέρω, και επειδή οι κίνδυνοι ελλοχεύουν οφείλουν οι επιχειρήσεις να λαμβάνουν συνέχεια και εκ των προτέρων μέτρα όπως:
i. Πλήρη εναρμόνιση με τον ΓΚΠΔ.
ii. Διορισμό έμπειρου Υπεύθυνου Προστασίας Δεδομένων.
iii. Θωράκιση συστημάτων.
iv. Διαρκής επαγρύπνηση.
v. Αξιολόγηση, εντοπισμός και αντιμετώπιση των ευπαθειών των συστημάτων, λήψη μέτρων όπως μεταξύ άλλων, διενέργεια τεστ ευπαθειών και τεστ διεισδυτικότητας.
vi. Επένδυση σε λογισμικά τα οποία προβλέπουν και αναχαιτίζουν κυβερνοεπιθέσεις.
vii. Συνεχής εκπαίδευση των εργαζομένων για τις τελευταίες τεχνικές που χρησιμοποιούν οι χάκερς.
viii. Διενέργεια ελέγχων συμμόρφωσης (audits) με τον ΓΚΠΔ αλλά και του επιπέδου ασφάλειας των συστημάτων μας ανά δυο έτη.
ix. Διενέργεια εκτιμήσεων του επιπέδου του ρίσκου της επιχείρησης ώστε να είναι γνωστά τα κενά.
Τελειώνοντας, σημαντικό είναι να αναφέρω πως τα πιο πάνω μέτρα εκτός από την προστασία από τις επιθέσεις των χάκερ που προσφέρουν, ενεργούν και ως μετριαστικοί παράγοντες εκ μέρους της επιχείρησης ώστε να επιβληθεί μικρότερο πρόστιμο, είτε στην περίπτωση που το γραφείο της Επιτρόπου Διενεργήσει Ελέγχους αυτεπάγγελτα, είτε στην περίπτωση που προκύψει διαρροή προσωπικών δεδομένων.
*Δικηγόρος Εξειδικευμένος σε Θέματα Δικαίου Τεχνολογίας
