Μπορούμε να αποκρύψουμε μια κυβερνοεπίθεση ή είναι νομική υποχρέωση να την αναφέρουμε;

Το ερώτημα αυτό μας το έκανε πρόσφατα ένας πελάτης μας, με αφορμή την περίπτωση της δικηγορικής εταιρείας DPP Law Ltd στο Ηνωμένο Βασίλειο. Η εταιρεία χτυπήθηκε από κυβερνοεπίθεση, δεν έλαβε άμεσα μέτρα, και τελικά της επιβλήθηκε πρόστιμο 70.000 ευρώ, όταν κρίθηκε ότι δεν προστάτευσε επαρκώς τα προσωπικά δεδομένα των πελατών της. Κι αν αυτό συνέβη σε μια νομική εταιρεία με τόση ευθύνη και εμπειρία, σκεφτείτε πόσο εύκολο είναι να συμβεί σε οποιαδήποτε επιχείρηση.

Τι προβλέπει ο νόμος;

Σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR), κάθε οργανισμός που διαχειρίζεται προσωπικά δεδομένα είναι υποχρεωμένος να αναφέρει εντός 72 ωρών οποιαδήποτε παραβίαση, εφόσον υπάρχει κίνδυνος για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

Στην Ελλάδα, η αρμόδια αρχή είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Αν ένα περιστατικό υποκλοπής ή παραβίασης δεδομένων δεν δηλωθεί και αποκαλυφθεί αργότερα —όπως έγινε στην περίπτωση της DPP— τότε οι κυρώσεις είναι πολύ αυστηρές. Δεν είναι μόνο το πρόστιμο που πονάει: είναι το γεγονός ότι η απόκρυψη θεωρείται παραβίαση της αρχής διαφάνειας και λογοδοσίας, θεμελιώδεις αξίες του GDPR.

Τι Συμβαίνει στην Πράξη;

Ξέρουμε πως πολλές ελληνικές επιχειρήσεις, από μικρές μέχρι και μεγάλες, προσπαθούν να αποκρύψουν τέτοια περιστατικά, είτε από φόβο για την εικόνα τους, είτε γιατί απλά δεν γνωρίζουν τι πρέπει να κάνουν. Πολλοί πιστεύουν ότι “αν το κρατήσουμε μεταξύ μας”, θα ξεχαστεί. Δυστυχώς, δεν ξεχνιέται.

Στην πράξη, τα δεδομένα σπάνια μένουν κρυφά. Όσο κι αν προσπαθήσεις να το “μαζέψεις”, κάποια στιγμή θα διαρρεύσουν. Κι όταν αποδειχτεί ότι η επιχείρηση ήξερε και δεν είπε τίποτα, η ζημιά είναι μεγαλύτερη. Η εμπιστοσύνη χάνεται και πολύ δύσκολα ξανακερδίζεται.

Τι μας δείχνουν περιπτώσεις στην Ευρώπη

Δεν είναι μόνο η DPP. Αν δούμε τι έχει συμβεί σε άλλες ευρωπαϊκές επιχειρήσεις, θα διαπιστώσουμε ένα μοτίβο:

• mBank (Πολωνία): Πρόστιμο σχεδόν 930.000 ευρώ επειδή δεν ενημέρωσε έγκαιρα τους πελάτες για διαρροή.
• Vastaamo (Φινλανδία): Ψυχοθεραπευτικό κέντρο απέκρυψε διαρροή και τιμωρήθηκε με πρόστιμο ύψους €608.000.
• British Airways (Ηνωμένο Βασίλειο): Καθυστέρησε την ενημέρωση και πλήρωσε πρόστιμο 20 εκατομμυρίων λιρών.

Η ευθύνη δεν αφορά μόνο τα τεχνικά μέτρα —αφορά και τη σωστή και άμεση αντίδραση.

Και τώρα η μεγάλη ερώτηση: Τι πρέπει να κάνετε εσείς;

Αν έχετε πέσει θύμα κυβερνοεπίθεσης ή υποπτεύεστε παραβίαση, η σωστή αντίδραση μπορεί να σας γλιτώσει από πολύ μεγαλύτερα προβλήματα. Αυτό σημαίνει:

• Άμεσος εντοπισμός και αποκατάσταση των τεχνικών προβλημάτων
• Καταγραφή του συμβάντος
• Επικοινωνία με την Αρχή Προστασίας Δεδομένων
• Σαφής ενημέρωση των πελατών, αν απαιτείται
• Νομική τεκμηρίωση για όλα τα παραπάνω

Αν δεν ξέρετε πώς να το διαχειριστείτε, μην το αφήσετε στην τύχη.

Πώς Μπορούμε να Βοηθήσουμε;

Στην TicTac, προσφέρουμε εξειδικευμένες υπηρεσίες Ransomware Incident Response, σχεδιασμένες να καλύψουν κάθε πτυχή μιας κυβερνοεπίθεσης:

Παρεμβαίνουμε άμεσα, με τεχνική υποστήριξη από ομάδα ειδικών που αναλαμβάνει την απομόνωση, καταγραφή και αποκατάσταση των συστημάτων. Παράλληλα, σε συνεργασία με νομικούς συμβούλους, σας καθοδηγούμε σε κάθε βήμα — από το ποια έγγραφα να υποβάλετε, μέχρι το πώς να ενημερώσετε αρμόδιες αρχές ή πελάτες.

Και το πιο σημαντικό; Δεν μένουμε μόνο στο “σβήσιμο της φωτιάς”. Παρέχουμε εκπαίδευση και πρόληψη, ώστε το περιστατικό να μην επαναληφθεί.

Επικοινωνήστε σήμερα μαζί μας και μείνετε ασφαλείς, έγκαιρα και επαγγελματικά.