Σύμφωνα με πρόσφατη έκθεση που δημοσίευσε η Βρετανίδα Επίτροπος Πληροφοριών (ICO), Ελίζαμπεθ Ντέναμ, οι παραβιάσεις δεδομένων παρουσίασαν αύξηση έως και 75% μέσα σε δύο χρόνια.

Η μελέτη, που διεξήχθη από την Kroll, λάμβανε υπόψη μια σειρά προσωπικών δεδομένων, συμπεριλαμβανομένων στοιχείων για την υγεία, την οικονομική κατάσταση και λεπτομέρειες που αφορούν στην εργασία και στην απασχόληση.

Η πρόσβαση στα δεδομένα αυτά κατέστη δυνατή βάσει του νόμου Freedom of Information Act, καθώς και βάσει ορισμένων στοιχείων και δεδομένων από το γραφείου του Επιτρόπου Πληροφοριών που ήταν δημοσίως διαθέσιμα.

Λάθος παραλήπτες

H εταιρεία Kroll ανακάλυψε ότι πάνω από 2000 αναφορές για παραβιάσεις που έφτασαν στο γραφείου της Επιτρόπου Πληροφοριών (ICO) εντός του τελευταίου έτους θα μπορούσε να αποδοθούν σε ανθρώπινα λάθη, την ώρα που μόνο 292 αναφορές για παραβιάσεις κατατάσσονται στην κατηγορία των σκόπιμων περιστατικών στον κυβερνοχώρο ή αν θέλετε στην κατηγορία των κυβερνοεγκλημάτων.

Στις αναφορές για τις παραβιάσεις που πιθανώς προκλήθηκαν από ανθρώπινο λάθος, οι περισσότερο κοινοί τύποι παραβιάσεων προσδιορίστηκαν ως μηνύματα ηλεκτρονικού ταχυδρομείου που είχαν λανθασμένους αποδέκτες (447), δεδομένα που βρέθηκαν σε κοινή θέα ή απεστάλησαν με μήνυμα ηλεκτρονικού ταχυδρομείου ή με φαξ σε λανθασμένους αποδέκτες (441) καθώς και σε απώλειες ή κλοπές χειρόγραφων εγγράφων (438).

Όσον αφορά στις κυβερνοεπιθέσεις χωρίς την ανθρώπινη συμμετοχή, ο πλέον συνηθισμένος τύπος παραβίασης την τελευταία χρονιά ήταν η μη εξουσιοδοτημένη πρόσβαση (102).

Επιπλέον, ο τομέας της υγείας αποκαλύφθηκε ότι είναι η συχνότερη πηγή των αναφορών παραβίασης δεδομένων με συνολικά 1214 αναφορές, και κατόπιν ο τομέας των επιχειρήσεων γενικότερα (362), που είχε και το υψηλότερο ποσοστό αύξησης στις παραβιάσεις δεδομένων τα τελευταία δύο χρόνια (215%).

GDPR, ένας Σημαντικός Παράγοντας

Σύμφωνα με την Kroll, η αύξηση των αναφορών παραβιάσεων υποδεικνύει ότι υπάρχει κάποια συσχέτιση με την αύξηση της διαφάνειας από την πλευρά των εταιριών που είναι αποτέλεσμα του Ευρωπαϊκού Γενικού Κανονισμού Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης που τέθηκε σε ισχύ από τον Μάιο.

«Οι αναφορές παραβιάσεων δεδομένων δεν ήταν υποχρεωτικό να γίνονται γνωστοί ή να αποκαλύπτονται για τους περισσότερους οργανισμούς πριν από την έναρξη ισχύος του GDPR» εξήγησε ο Andrew Beckett, Managing Director και επικεφαλής EMEA του τμήματος Cyber Risk Practice της Kroll και συμπλήρωσε «έτσι ενώ τα δεδομένα είναι αποκαλυπτικά, από την άλλη παρέχουν μόνο ένα στιγμιότυπο από την αληθινή εικόνα των παραβιάσεων που πραγματοποιούνται σε οργανισμούς στο Ηνωμένο Βασίλειο.

“Η πρόσφατη άνοδος του αριθμού των αναφορών οφείλεται πιθανώς τόσο στις προσπάθειες των οργανώσεων και εταιρειών να συμμορφωθούν με τον GDPR όσο και στην άνοδο των συμβάντων. Τώρα που ο κανονισμός τέθηκε σε ισχύ, ήταν εύλογο να παρατηρήσουμε μια σημαντική αύξηση στον αριθμό των περιστατικών που αναφέρονται, αφού τώρα ο Γενικός Ευρωπαϊκός Κανονισμός Προστασίας των Προσωπικών Δεδομένων επιβάλλει και υποχρεώνει όλους τους οργανισμούς να αναφέρουν συγκεκριμένους τύπους παραβίασης προσωπικών δεδομένων.

«Ως εκ τούτου, περιμένουμε να δούμε και μια αύξηση στα πρόστιμα και στις κυρώσεις που εκδίδονται με το μέγιστο δυνατό πρόστιμο που μπορεί να επιβληθεί να έχει αυξηθεί από τις £500.000 έως και στα €20 εκατομμύρια ή μέχρι και το 4% του ετήσιου κύκλου εργασιών μίας εταιρείας, όποιο από τα δύο είναι μεγαλύτερο. Ο τελικός αντίκτυπος είναι ότι οι επιχειρήσεις δεν αντιμετωπίζουν μόνο πολύ μεγαλύτερο οικονομικό κίνδυνο όσον αφορά στα προσωπικά δεδομένα αλλά και αυξημένο κίνδυνο να κάνουν κακό στη φήμη τους» είπε ο Andrew Beckett, Managing Director και επικεφαλής EMEA του τμήματος Cyber Risk Practice της Kroll.

Η σημασία του αυτοματισμού

Σχολιάζοντας τα ευρήματα της εταιρείας Kroll, η Sarah Armstrong-Smith, επικεφαλής του τμήματος Continuity & Resilience στην Fujitsu για το Ηνωμένο Βασίλειο και την Ιρλανδία, δήλωσε ότι οι εταιρείες πρέπει να υποστηρίζουν τους χρήστες, βοηθώντας τους να γίνουν «ο ισχυρότερος κρίκος (της αλυσίδας), και όχι ο πιο αδύναμος».

Πιο συγκεκριμένα, η Sarah Armstrong-Smith δήλωσε: “Πρέπει (το ζήτημα) να πάει παραπέρα από το να καταρτίσουμε ή να ευαισθητοποιήσουμε τους χρήστες σχετικά με την ασφάλεια και την προστασία της ιδιωτικής τους ζωής. Πρέπει επίσης να υπάρξουν μηχανισμοί για τον εντοπισμό και την αποφυγή εσωτερικών διαρροών δεδομένων από το να συμβούν”.

Η κα Armstrong-Smith συνέχισε εξηγώντας το ρόλο της αυτοματοποίησης στην ενδεχόμενη βελτίωση της προστασίας των δεδομένων.

“Ο αυτοματισμός βοηθά τους οργανισμούς να ανιχνεύουν και να ανταποκρίνονται στις όποιες αλλαγές καθώς και να προσαρμόζουν τις πολιτικές τους για την προστασία των ανθρώπων ενώ παράλληλα τους επιτρέπει να συμμορφώνονται. Και όχι μόνο αυτό, αλλά η αυτοματοποίηση μπορεί να βοηθήσει τους οργανισμούς να αντιδράσουν πιο γρήγορα και να ανταποκριθούν άμεσα σε οποιαδήποτε παραβίαση και αν συμβεί. Έτσι, μπορούν να το κάνουν προληπτικά, ώστε να εξασφαλίσουν ότι θα αναφέρουν ότι είναι να αναφέρουν με έγκαιρο και συμμορφούμενο τρόπο εξασφαλίζοντας ότι θα μπορέσουν να αναλάβουν τον έλεγχο των γεγονότων και όχι το αντίστροφο» δήλωσε η Armstrong-Smith και συμπλήρωσε: «Για να υπάρξει αποτελεσματικότητα όταν πρόκειται για την προστασία προσωπικών δεδομένων, απαιτείται ένας συνδυασμός ανθρώπων, διαδικασιών και τεχνολογιών: όλα πρέπει να είναι προσεκτικά ευθυγραμμισμένα ώστε όλα να ταιριάζουν μεταξύ τους. Στο τέλος της ημέρας, η ασφάλεια από μόνη της δεν μπορεί να σταματήσει μία παραβίαση, απαιτεί μια πολιτισμική μεταστροφή για να ενσωματωθεί η διακυβέρνηση των δεδομένων σε έναν οργανισμό.”

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.