[vc_row][vc_column][vc_column_text]
«Υπάρχουν μόνο δύο είδη επιχειρήσεων: αυτές που τις έχουν ήδη χακάρει και αυτές τις οποίες θα χακάρουν στο μέλλον», δήλωσε το 2012 ο τότε Διευθυντής του FBI Robert Mueller.
Παρά την ψηφιοποίηση των πληροφοριών και την χρήση ηλεκτρονικών δικτύων για την διεκπεραίωση συναλλαγών και εργασιών, είναι προφανές πως οι περισσότερες επιχειρήσεις στην Ελλάδα δεν έχουν συναίσθηση των κινδύνων που διατρέχουν τόσο οι ίδιες όσο και τα δεδομένα των πελατών τους από τις κυβερνοεπιθέσεις.
Οι νομικές συνέπειες της διαρροής δεδομένων από τις κυβερνοεπιθέσεις είναι, πάντοτε σοβαρές. Οι μεν βλαπτόμενοι τρίτοι δικαιούνται να κινηθούν δικαστικά σε βάρος της επιχείρησης για τη διαρροή των δεδομένων τους, οι δε αρμόδιες αρχές να επιβάλλουν τα πρόστιμα που προβλέπονται από τη νομοθεσία.
Η οδηγία Νetwork and Information Security
Οι περισσότεροι πλέον γνωρίζουν τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679 (γνωστό και ως GDPR). Λίγοι όμως γνωρίζουν και την Οδηγία για τα Μέτρα για Υψηλό Κοινό Επίπεδο Ασφαλείας Συστημάτων Δικτύου και Πληροφοριών (Νetwork and Information Security Directive 2016/1148) που επίσης έπρεπε υποχρεωτικά να ενσωματωθεί στην εσωτερική νομοθεσία των κρατών – μελών τον Μάιο του 2018.
Με τα παραπάνω νομοθετήματα η Ευρωπαϊκή Ένωση σκληραίνει τη στάση της στην απόδοση επιχειρηματικής ευθύνης για την παράλειψη προστασίας και ασφαλούς διαχείρισης των δεδομένων. Και τα δύο νομοθετήματα, προβλέπουν δυσμενείς συνέπειες σε βάρος της επιχείρησης για τη διαρροή δεδομένων.
Ο ρόλος του Νομικού Συμβούλου
Καθήκον του Νομικού Συμβούλου είναι η μέριμνα για την πιστή εφαρμογή της νομοθεσίας και των βέλτιστων πρακτικών (best practices), η άμβλυνση των συνεπειών από τυχόν παραβίαση και, ιδίως, η εναρμόνιση του συνόλου της επιχείρησης στην τήρηση του Σχεδίου Αντίδρασης (Incident Response Plan), το οποίο απαραίτητα πρέπει να διαθέτει κάθε επιχείρηση. Ένα Σχέδιο Αντίδρασης σε Κυβερνοεπίθεση ενδεικτικά περιλαμβάνει:
- Τη σύνθεση του crisis management team και πότε/πως ενεργοποιείται.
- Τους επικεφαλής των ομάδων ενέργειας, και πότε/πως ειδοποιούνται.
- Το πρόσωπο που αποφασίζει (και το deadline λήψης απόφασης) για την ολοσχερή διακοπή (total shut down) λειτουργίας των δικτύων της εταιρείας ή την απόπειρα συνέχισης λειτουργίας ώστε να εντοπισθεί η προέλευση της κυβερνοεπίθεσης.
- Τα έγγραφα που θα τεκμηριώνουν τον χρόνο συνειδητοποίησης της κυβερνοεπίθεσης και των ενεργειών που έλαβαν χώρα.
- Τον υπεύθυνο επικοινωνίας που (ενδεχομένως) θα διαχειρισθεί επικοινωνιακό κομμάτι της αποκάλυψης.
Ο νομικός σας σύμβουλος γνωρίζει ποιες είναι οι απαιτούμενες ενέργειες ώστε να καθίσταται σαφές στις Αρχές πως η επιχείρηση έκανε ό,τι καλύτερο ήταν δυνατό τόσο προληπτικά όσο και μετά την διαρροή των δεδομένων και να συλλεγεί το κατάλληλο αποδεικτικό υλικό. Κρίσιμος είναι ο ρόλος του νομικού συμβούλου και στην κατάρτιση αναφοράς η οποία με τρόπο σαφή και ευεξήγητο θα εντοπίζει τα αίτια της διαρροής και τα ευθυνόμενα πρόσωπα.
Επίσης, ο νομικός σύμβουλος της επιχείρησης θα εντοπίσει τις πιθανότερες πηγές κινδύνου και θα είναι σε θέση να διαπραγματευθεί το περιεχόμενο των προτεινομένων συμβάσεων ασφάλισης και εν τέλει εισηγηθεί τη σύναψη της ενδεδειγμένης ασφαλιστικής κάλυψης έναντι κυβερνοεπίθεσης.
Όλες οι παραπάνω ενέργειες του νομικού συμβούλου (: εσωτερικά policies, Σχέδιο Αντίδρασης, Ασφαλιστική Κάλυψη) κυρίως όμως η ευθυγράμμιση της επιχείρησης με όσα προβλέπονται, δεν μπορούν παρά να έχουν ως συνέπεια την επαύξηση της εμπιστοσύνης των πελατών και συνεργατών της προς την ίδια.
Λάμπρος Τιμοθέου
Partner
Υ.Γ. Το άρθρο δημοσιεύτηκε στην Εφημερίδα ΜΑΚΕΔΟΝΙΑ, στις 21 Οκτωβρίου 2018