Ασφάλεια διαδικτύου, Διαδίκτυο

Μ.Σφακιανάκης:”Οι ασφαλιστές πρέπει να εξειδικευτούν και να πιστοποιηθούν στο Cyber Insurance”

Ο κ.Μάνος Σφακιανάκης εκ των Ιδρυτών του GDPR Greece, που είχε διατελέσει για αρκετά χρόνια επικεφαλής στη Δίωξη Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ, σε συνέντευξή του στο asfalisinet.gr και στον Γιάννη Χαρονικολάου αναφέρεται, μεταξύ άλλων, σε θέματα που αφορούν:

την εφαρμογή του Γενικού  Κανονισμού Προστασίας Δεδομένων (GDPR), στον τρόπο που λειτουργεί η εταιρία του, στην ασφάλιση των κινδύνων του διαδικτύου και στο τρόπο που πρέπει να ασφαλίζονται οι επιχειρήσεις και να ασφαλίζουν οι ασφαλιστικές , στην ανάγκη εξειδίκευσης και πιστοποίησης των ασφαλιστών στο cyber Insurance.

Επίσης αποκαλύπτει ότι σύντομα θα βγει στην αγορά ένα νέο προϊόν που θα καλύπτει  αναλυτικά όλο τον διαδικτυακό κίνδυνο που αφορά την οικογένεια, τα παιδιά  και παράλληλα την ατομική επιχείρηση – λιανεμπόριο. 

Ερ: κ. Σφακιανάκη συμπληρώνονται σχεδόν δυο χρόνια από την εφαρμογή του Γενικού  Κανονισμού Προστασίας Δεδομένων (GDPR). Πόσο προσαρμοσμένες είναι επιχειρήσεις και φορείς που διαχειρίζονται προσωπικά δεδομένα στις απαιτήσεις και τους κανονισμούς του GDPR;

Απ: Ευχαριστώ πολύ για την συνέντευξη και θέλω να σας πω ότι μέσα από έρευνα προσωπική δική μου αλλά και συνεργατών μου έχει διαπιστωθεί ότι η εφαρμογή του κανονισμού δεν έχει γίνει όπως θα έπρεπε και εννοώ με το γράμμα του νόμου. Οι διαπιστώσεις μου είναι ότι κάποιες εταιρείες έχουν  ολοκληρώσει την εναρμόνιση σε απόλυτο βαθμό ενώ κάποιες δυστυχώς δεν έχουν ξεκινήσει ακόμα, πλην όμως έχουν αναθέσει το έργο σε κάποιον η κάποια εταιρεία η οποία πήρε προκαταβολή και το έργο έμεινε στην προκαταβολή και στο ότι κάποια στιγμή θα το ολοκληρώσει . Επίσης διαπίστωση είναι ότι πολλές εταιρίες έχουν φτιάξει τα νομικά ζητήματα που αφορά ο κανονισμός ενώ τα τεχνικά δεν τα γνωρίζουν καν διότι αυτός που επέλεξαν να υλοποιήσει το έργο δεν έχει φέρει τεχνικό αρμόδιο οποίος να γνωρίζει να εναρμονίζει σχετικά με το Gdpr .

Στο σημείο αυτό το βασικό είναι ένα, ότι αυτός που έχει αναθέσει το έργο γνωρίζει ότι το έργο έχει τελειώσει έχει πληρώσει κανονικά έχει πάρει το τιμολόγιο του και όταν έρχεται το πλήρωμα του χρόνου με κάποιο έλεγχο ή κάποια άσχημη κατάσταση, που μπορεί να συμβεί σε οποιαδήποτε εταιρεία και να προκαλέσει έλεγχο, τότε συνειδητοποιούμε ότι δεν έχουν γίνει τα τεχνικά αλλά μόνο τα νομικά θέματα.

Μία εμπειρία πρόσφατη, η οποία ήρθε στο φως της επικαιρότητας μας, έδειξε ότι υπέκλεψαν πιστωτικές κάρτες από κατάστημα το οποίο σύμφωνα με πληροφορίες είχε εφαρμόσει τον κανονισμό GDPR  αλλά δεν είχε κάνει κρυπτογράφηση στα ψηφιακά δεδομένα με αποτέλεσμα οι κακοί του διαδικτύου κράκερς να μπουν στα συστήματα των υπολογιστών και να πάρουν τις πιστωτικές κάρτες ως λάφυρα τα οποία βέβαια στη συνέχεια χρησιμοποιούν δόλια και με σκοπό το παράνομο κέρδος.

Στην περίπτωση αυτή η εταιρεία δεν φέρει ευθύνη αλλά αυτός που ανέλαβε το έργο Gdpr διότι εάν είχε γίνει η κρυπτογράφηση οι κράκερς δεν θα μπορούσαν να πάρουν τις πιστωτικές κάρτες διότι θα ήταν κρυπτογραφημένες .

Τέλος στο κομμάτι αυτό θέλω να προσθέσω ότι η Αρχή Προστασίας Προσωπικών Δεδομένων και ο επικεφαλής αυτής Κύριος Μενουδάκος Κωνσταντίνος κάνουν άριστα τη δουλειά τους σχετικά με την εποπτεία του ευρωπαϊκού κανονισμού και αυτό φαίνεται από τις ανακοινώσεις που σχεδόν καθημερινά έχουν στον ιστότοπο τους.

Ερ: Είστε ένας από τους δημιουργούς  του GDPR Greece. Τι ακριβώς είναι η εταιρίας σας και ποιος ο ρόλος της; 

Απ: Η εταιρεία μας είναι από τος πρώτες εταιρείες στην χώρα και ασχολείται με την εναρμόνιση-Υλοποίηση  του ευρωπαϊκού κανονισμού παράλληλα με την Υπεράσπιση – υποστήριξης υποθέσεων που έχουν προβλήματα με την Αρχή  σχετικά με την εφαρμογή του ευρωπαϊκού κανονισμού .

Επίσης η εταιρεία μας αναλαμβάνει ρόλο DPO Κ CISO σε πολλές εταιρίες όπως και ελέγχους πάνω σε υφιστάμενες δομές, καθόσον πολλοί διαπιστώνουν ότι δεν έχουν εφαρμόσει τον κανονισμό όπως έπρεπε και εμείς κάνουμε τυχόν διορθώσεις η εργασίες μετά από πρόσκληση για αναδιάρθρωση δομής .

Επίσης η εταιρεία μας αναλαμβάνει υπηρεσίες Εκπαιδεύσεις είτε διαζώσης είτε διαδικτυακά για το προσωπικό των εταιρειών που έκαναν υλοποίηση GDPR.

Σημαντική υπηρεσία είναι η εκπαίδευση διότι οι περισσότεροι δεν γνωρίζουν τι είναι ο κανονισμός κ τι πρέπει να κάνουν .

Τα κάστρα όλα πέφτουν από μέσα και ειδικότερα εάν δεν έχεις εκπαιδευμένο προσωπικό εύκολα γίνεται το λάθος .!

Έχουμε υπηρεσίες συμβουλευτικής στο ISO/IEC  27001:2013

Επίσης παρέχουμε σε περιπτώσεις καταστροφών των εταιρειών το Disaster Recovery Plan . Τέλος έχουμε το  Gdpr Kit :ALL IN ONE SOLUTION για eshop ιστοσελίδες που εφαρμόζεται εύκολα και απλά χωρίς ενδιάμεσους κ με ελάχιστα χρήματα .

Ερ: Είστε αρκετά έμπειρος σε θέματα κυβερνοασφάλειας και κυβερνοεγκλήματος. Τα θέματα των διαδικτυακών κινδύνων στο επιχειρείν βγαίνουν όλο και πιο ψηλά σε βαθμό επικινδυνότητας. Πόσο σημαντικό είναι οι επιχειρήσεις να λαμβάνουν μέτρα  τόσο από πλευράς τεχνολογικής θωράκισης όσο και από θέματα ασφάλισης των κινδύνων που προκύπτουν από το διαδίκτυο;

Απ: Δυστυχώς διαπιστώνουμε ότι λίγες είναι οι εταιρίες στην χώρα μας οι οποίες έχουν επενδύσει στο cyber security.

Διαπιστώνουμε ότι οι εταιρείες που κάνουν εκατομμύρια ευρώ τζίρο έχουν για antivirus δωρεάν προγράμματα και καμιά ασπίδα προστασίας.

Όταν αυτοί οι άνθρωποι με φωνάζουν να δω Υπόθεση τους που αφορά  εκβιασμό με κρυπτογράφηση όλης της εταιρείας τους με κακόβουλο λογισμικό διαπιστώνω ότι ουδέποτε έχουν ασχοληθεί με την ασφάλεια την διαδικτυακή της εταιρείας τους και ότι δεν είχαν δώσει χρόνια το δίνουν εφάπαξ στο πρόβλημα τους ! Δυστυχώς τώρα που μιλάμε  οι επιθέσεις είναι καθημερινές και σε πολλά επίπεδα και εαν οι εταιρείες δεν εφαρμόζουν πολιτικές ασφάλειας θα έχουν μεγάλο πρόβλημα .Τέτοιο που να κινδυνεύει ακόμα και η  λειτουργία τους διότι δεν έχουν καταλάβει ακόμα κάποιοι επιχειρηματίες ότι πρώτα θωρακίζεις και μετά επενδύεις.!

Στην χώρα μας πρώτα επενδύουν στη συνέχεια τους έρχεται  η κυβερνοεπίθεση από το διαδίκτυο και κατόπιν επενδύουν στην κυβερνo-ασφάλεια ενώ έπρεπε αυτά να είχαν γίνει με άλλη σειρά.!

Ερ: Οι ασφαλιστικές εταιρίες λανσάρουν πλέον προϊόντα που προσφέρουν καλύψεις σε επιχειρήσεις από  τους διαδικτυακούς κινδύνους. Πόσο σημαντική πιστεύετε, ανάμεσα στα άλλα μέτρα που πρέπει να λαμβάνουν,  είναι και η ασφάλισή τους ( Cyber Insurance) από αυτούς τους κινδύνους;

Απ: Στη χώρα μας υπάρχουν πλέον προϊόντα ασφαλιστικά για κίνδυνο από κυβερνοεγκλήματα. Το πρόβλημα εδώ συνίσταται ότι οι ασφαλιστικές εταιρείες ασφαλίζουν τις περισσότερες φορές κίνδυνο χωρίς να έχουν ελέγξει τι έχουν ασφαλίσει και εννοώ τα υπολογιστικά συστήματα σε ποια κατάσταση είναι παράλληλα με το αν υπάρχει και έχει τηρηθεί πολιτική ασφάλειας στην εν λόγω εταιρεία .

Με απλά λόγια ασφαλίζουμε ένα Υπολογιστικό σύστημα χωρίς να έχουμε δει σε ποια κατάσταση είναι και όταν έρχεται ο κίνδυνος  και βλέπουμε ότι οι υποδομές ήταν άθλιες και η ζημιά τεράστια τότε παραδεχόμαστε ότι κάναμε λάθος … Και όλα αυτά γίνονται για να κάνουμε συμβόλαια παραγωγή  και καλά οικονομικά αποτελέσματα αλλά στο τέλος αποδεικνύεται ότι ακολουθήσαμε το λάθος δρομολόγιο. Και εννοώ ότι έπρεπε αρχικά να είχαμε ελέγξει τις υποδομές που κάναμε το συμβόλαιο !!!

Επίσης ένα σημαντικό θέμα είναι ότι οι ασφαλιστές μας οι οποίοι είναι επαγγελματίες δεν έχουν γνώση για το συμβόλαιο που αφορά το κυβερνο-εγκλημα. Γνώση εννοώ τις ορολογίες αλλά και τις τεχνικές που πρέπει να εφαρμόσουν κατά τη διάρκεια του συμβολαίου που κάνουν με ένα πελάτη.

Οι ασφαλιστές πιστεύω ότι πρέπει να εξειδικευτούν και να πιστοποιηθούν  για τις υπηρεσίες σχετικά με το cyber insurance . Όταν γίνει αυτή η εξειδίκευση στους ασφαλιστές η παραγωγή θα είναι πιο μεγάλη και θα μπορούν να πουλάνε εύκολα τον διαδικτυακού κίνδυνο.

Ερ:Πιστεύετε ότι  θα αυξηθεί η ζήτηση  των ασφαλιστικών καλύψεων από τους διαδικτυακούς κινδύνους στην Ελλάδα και γιατί οι επαγγελματίες ασφαλιστές πρέπει  να στραφούν και σε αυτό τον κλάδο;

Απ: Πιστεύω ότι σύντομα θα αυξηθεί η ζήτηση στα συμβόλαια από αφορούν  κίνδυνο του διαδικτύου.Διότι μέσα στο Μάρτιο σύμφωνα με πληροφορίες η αγορά θα έχει ένα νέο προϊόν το οποίο θα καλύπτει αναλυτικά όλο τον διαδικτυακό κίνδυνο που αφορά την οικογένεια τα παιδιά μας και παράλληλα την ατομική επιχείρηση – λιανεμπόριο. 

Το συμβόλαιο αυτό έρχεται για να καλύψει την αγορά στο κομμάτι της λιανικής παράλληλα όμως θα ανοίξουν οι δρόμοι και για τα μεγαλύτερα εμπορικά σχήματα και το αποτέλεσμα θα είναι να εισέλθουμε στην άνοιξη των διαδικτυακών ασφαλειών.

Φωτογραφία αρχείου: Από εκδήλωση του ΣΕΜΑ με θέμα τους κινδύνους του διαδικτύου και την ασφάλιση, όπου ο κ Σφακιανάκης ήταν ομιλητής.