Περιστατικό Παραβίασης Προσωπικών Δεδομένων σε πελάτες Ελληνικού Ξενοδοχείου

0

Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια των Δικτύων και Πληροφοριών (ENISA) ενημέρωσε την Αρχή Προστασίας Προσωπικών Δεδομένων σχετικά με περιστατικό διαρροής δεδομένων πιστωτικών καρτών τριών ατόμων τα οποία πραγματοποίησαν, από ξεχωριστές τοποθεσίες (διαφορετικά κράτη),ηλεκτρονική κράτηση σε ξενοδοχείο.  

Κατά την εξέταση της υπόθεσης, προέκυψε ότι η ηλεκτρονική πλατφόρμα που χρησιμοποιείται για τις διαδικτυακές κρατήσεις τηρούσε το σύνολο των δεδομένων των πιστωτικών καρτών (αριθμό κάρτας, αριθμό ασφαλείας, ημερομηνία λήξης), ενώ παράλληλα δεν είχαν υιοθετηθεί τα πλέον ενδεδειγμένα μέτρα για την ασφάλεια της επεξεργασίας, όπως δηλ. να επιτρέπονται προσβάσεις που επιχειρούνται από συγκεκριμένες στατικές IP διευθύνσεις, να τηρούνται αρχεία καταγραφής ενεργειών χρηστών, και να χρησιμοποιούνται συνθηματικά (password) με επαρκή πολυπλοκότητα. 

Οι κυβερνοεπιθεσεις είναι πλέον μια απειλή για τα ξενοδοχεία και την βιομηχανία της φιλοξενίας και μέχρι σήμερα έχουν πέσει θύματα μικρές και πολύ μεγάλες μονάδες.

Σύμφωνα με έρευνα του Ponemon Institute το κόστος απώλειας κάθε χαμένου αρχείου ανά πελάτη ξενοδοχείου ανέρχεται σε $122.

Μία κυβερνοεπίθεση μπορεί να επηρεάσει τα συστήματα πληροφορικής που χρησιμοποιούν τα ξενοδοχεία για την διαχείρισή τους και σε περίπτωση που αυτά ανήκουν σε κάποια αλυσίδα μπορεί όλα τα ξενοδοχεία της αλυσίδας να χάσουν την πρόσβαση στο δίκτυο και τα σημεία πώλησης των υπηρεσιών τους και να δημιουργηθούν προβλήματα στην διαχείριση των κρατήσεων και την εξυπηρέτηση των πελατών τους. Λόγω των παραπάνω η ξενοδοχεική μονάδα μπορεί να αντιμετωπίσει θέμα απώλειας εσόδων.

Επίσης μια κυβερνοεπίθεση μπορεί να οδηγήσει σε απώλεια ευαίσθητων προσωπικών δεδομένων των πελατών τους όπως είναι τα στοιχεία των συναλλαγών των πιστωτικών καρτών τους καθως και πληροφορίες σχετικά με τις δραστηριότητές τους κατα την διάρκεια παραμονής τους. Η απώλεια αυτών των δεδομένων μπορεί να φέρει αντιμέτωπη την επιχείρηση με απαιτήσεις των πελατών της για παραβίαση της ιδιωτικότητας τους.

Παραβιάσεις συστημάτων και απώλειας δεδομένων πιστωτικών καρτών έχουν διαπιστωθεί σε πελάτες αλυσίδων φιλοξενίας όπως το Marriott, το Holiday Inn, το Sheraton και άλλες.

Τα παραδοσιακά ασφαλιστήρια που χρησιμοποιούνται για την ασφαλιστική κάλυψη των ξενοδοχειακών μονάδων δεν είναι πλέον αρκετά γιατι περιέχουν καλύψεις οι οποίες δεν μπορούν να ανταποκριθούν σε τέτοιο κίνδυνο, γιατί δεν σχεδιάστηκαν για αυτόν τον σκοπό.

Οι επιπτώσεις από παραβίαση συστημάτων και διαρροής εμπιστευτικών πληροφοριών μπορούν να καλυφθούν μόνο από εξειδικευμένα ασφαλιστήρια τα οποία μπορούν να αντιμετωπίσουν ολοκληρωτικά τις συνέπειες κινδύνους που προκαλούν παραβιάσεις συστημάτων.

Ο σωστός προγραμματισμός η λήψη κατάλληλων μέτρων προστασίας, η ύπαρξη διαδικασιών και ενός πλάνου αντιμετώπισης περιστατικών είναι απαραίτητος, όμως ακόμα και μια πολύ καλά οργανωμένη επιχείρηση δεν μπορεί να αντιμετωπίσει εσωτερικά το σύνολο των επιπτώσεων αποτελεσματικά λόγω της έλλειψης εμπειρίας σε ανάλογες καταστάσεις.

Για την αντιμετώπιση και διαχείριση περιστατικών παραβίασης συστημάτων, απώλειας δεδομένων και άρνησης παροχής υπηρεσίας απαιτούνται να καλυφθούν άμεσα και έμμεσα κόστη όπως:

Άμεσα κόστη τα οποία περιλαμβάνουν, επαγγελματικές αμοιβές εξειδικευμένων συμβούλων διαχείρισης περιστατικών παραβάσης συστημάτων, πρόστιμα και έξοδα όπως:

  • αμοιβές εξειδικευμένου δικηγόρου
  • υπηρεσίες ειδικών ψηφιακης εγκληματολογίας
  • υπηρεσίες δημοσίων σχέσεων και επικοινωνίας
  • υπηρεσίες τηλεφωνικού κέντρου
  • credit monitoring παρακολούθηση συναλλαγών πιστωτικών καρτών
  • έξοδα αντικατάστασης στοιχείων ενεργητικού όπως αντικατάσταση της πιστωτικής κάρτας του πελάτη και αντικατάσταση υλικού hardware ή software κ.λπ.
  • πρόστιμα για μη τήρηση της νομοθεσίας περί προσωπικών δεδομένων
  • έξοδα για την επίτευξη  επιχειρησιακής συνέχειας

Έμμεσα κόστη μπορεί να είναι ακόμα πιο σημαντικά, συμπεριλαμβανομένων:

  • μείωση της φήμης της εταιρίας
  • την πτώση των εσόδων
  • χαμένων  επιχειρηματικών  ευκαιριών
  • απώλειας πελατών
  • απώλειας συνεργατών
  • αύξηση των αμοιβών των υπηρεσιών τρίτων παρόχων
  • κόστη εκπαίδευσης και  ευαισθητοποίησης σε θέματα ασφάλειας πληροφοριών του ανθρώπινου δυναμικού της εταιρίας,
  • καθώς και πρόσθετα επαναλαμβανόμενα έξοδα για ελέγχους ασφάλειας.

Δυστυχώς, πολλά από αυτά τα κόστη είναι απρογραμμάτιστα και μπορούν να έχουν αρνητική επίπτωση στην ρευστότητα και τις ταμειακές ροές μιας επιχείρησης.

Τα κόστη πάντως δεν είναι μόνο οικονομικά. Το 57% των συμβάντων απώλειας δεδομένων είχε αρνητικό αντίκτυπο στη συνολική λειτουργία της επιχείρησης. Επίσης, πάνω από τα μισά περιστατικά απώλειας δεδομένων (56%) έχουν αρνητικό αντίκτυπο στη φήμη και την αξιοπιστία μιας εταιρείας. Όπως προκύπτει από έρευνα, το 61% των ερωτηθέντων αντιμετώπισε προβλήματα με ιούς, worms, Trojans και άλλα είδη κακόβουλου λογισμικού.

Η ασφάλιση Cyber Insurance αποτελεί ένα εργαλείο διαχείρισης κινδύνου και αποτελεσματικής διαχείρισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων πελατών.

Λαμβάνοντας υπόψη ότι δεν μπορούμε να εξαλείψουμε την πιθανότητα πραγματοποίησης συμβάντων θα πρέπει να μπορούμε να διαχειριστούμε αποτελεσματικά περιστατικά απώλειας δεδομένων και εμπιστευτικών πληροφοριών.

Η ασφάλιση Cyber Insurance προσφέρει εκτός από την κάλυψη των χρηματοοικονομικών επιπτώσεων της εταιρίας και πρόσβαση σε ομάδες ειδικών οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών. Η πρόσβαση σε ομάδες ειδικών μπορεί να βοηθήσει και να ελαχιστοποιήσει την οικονομική καταστροφή και τη βλάβη της φήμης που μπορεί να συντελεστεί σε σύντομο χρονικό διάστημα.

Λαμβάνοντας υπόψη τις ανάγκες των επιχειρήσεων η Cromar (www.cromar.gr) προσφέρει σε συνεργασία με την Beazley (www.beazley.com)  το Beazley Global Breach Solution το οποίο αποτελεί μια συνολική λύση αποτελεσματικής διαχείρισης των κινδύνων παραβίασης συστημάτων και απώλειας δεδομένων και επιτρέπει στις επιχειρήσεις να διαχειριστούν την αυξανόμενη ευθύνη τους και να μετριάσουν τον κίνδυνο να θιγεί η εταιρική φήμη από πιθανή παραβίαση της ασφάλειας των δεδομένων αυτών.

Το Beazley Global Breach Solution προσφέρει εκτός από την κάλυψη των χρηματοοικονομικών επιπτώσεων της εταιρίας και πρόσβαση σε ομάδες ειδικών οι οποίες έχουν αντιμετωπίσει άνω των 2.000 περιστατικών παγκοσμίως.

H Ομάδα Διαχείρισης Περιστατικών του Beazley Global Breach Solution βραβεύθηκε ώς η καλύτερη ομάδα για το έτος 2015 από την Advisen (www.advisenltd.com).

Δείτε την απόφαση 85/2015 της Αρχής Προστασίας Προσωπικών Δεδομένων για το περιστατικό παραβίασης προσωπικών δεδομένων.

Το κρίσιμο αυτό θέμα θα αναλυθεί σε ειδική εισήγηση στο Συνέδριο Hotel Tech
Read more: http://www.cyberinsurancegreece.com/news/xenodocheia-peristatika-paraviasis-prosopikon-dedomenon/

 

Share.

Comments are closed.