Διαρροή στοιχείων πιστωτικών καρτών σημειώθηκε σε ξενοδοχείο στην Ελλάδα. Πρόκειται για τις πιστωτικές κάρτες τριών πελατών οι οποίοι είχαν κάνει κράτηση από διαφορετικά κράτη ο καθένας, χρησιμοποιώντας την ηλεκτρονική πλατφόρμα του ξενοδοχείου.
Κατά την εξέταση της υπόθεσης προέκυψε ότι το ηλεκτρονικό σύστημα του ξενοδοχείου διατηρούσε τα στοιχεία των καρτών (αριθμό κάρτας, αριθμό ασφαλείας, ημερομηνία λήξης) χωρίς παράλληλα να εφαρμόζει τα ενδεδειγμένα μέτρα ασφαλείας, όπως δηλαδή να επιτρέπονται προσβάσεις που επιχειρούνται από συγκεκριμένες στατικές IP διευθύνσεις, να τηρούνται αρχεία καταγραφής ενεργειών χρηστών, και να χρησιμοποιούνται συνθηματικά (password) με επαρκή πολυπλοκότητα.
Δείτε την απόφαση 85/2015 της Αρχής Προστασίας Προσωπικών Δεδομένων για το περιστατικό. Την ελληνική Αρχή ενημέρωσε ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια των Δικτύων και Πληροφοριών (ENISA).
Οι κυβερνοεπιθεσεις είναι πλέον μια απειλή για τα ξενοδοχεία και την βιομηχανία της φιλοξενίας και μέχρι σήμερα έχουν πέσει θύματα μικρές και πολύ μεγάλες μονάδες.
Σύμφωνα με έρευνα του Ponemon Institute το κόστος απώλειας κάθε χαμένου αρχείου ανά πελάτη ξενοδοχείου ανέρχεται σε $122.
Σε μια κυβερνοεπίθεση παραβιάζονται τα συστήματα πληροφορικής που χρησιμοποιούν τα ξενοδοχεία για την διαχείρισή τους. Αν ανήκουν σε αλυσίδα μπορεί όλα τα ξενοδοχεία της αλυσίδας να χάσουν την πρόσβαση στο δίκτυο και τα σημεία πώλησης των υπηρεσιών τους με αποτέλεσμα σύγχυση στις κρατήσεις και στην εξυπηρέτηση των πελατών και κατ’ επέκταση απώλεια εσόδων.
Η κυβερνοεπίθεση μπορεί επίσης να οδηγήσει σε απώλεια των προσωπικών δεδομένων των πελατών, όπως στοιχεία πιστωτικών καρτών ή πληροφορίες για τις κινήσεις τους κατά τη διαμονή τους. Οι πελάτες έχουν το δικαίωμα κατόπιν να προβάλουν απαιτήσεις για παραβίαση ιδιωτικότητας.
Παραβιάσεις συστημάτων και απώλειας δεδομένων πιστωτικών καρτών έχουν διαπιστωθεί σε πελάτες ξενοδοχείων όπως το Marriott, το Holiday Inn, το Sheraton και άλλες.
Τα παραδοσιακά ασφαλιστήρια που χρησιμοποιούνται για την κάλυψη των ξενοδοχειακών μονάδων δεν είναι πλέον αρκετά. Οι καλύψεις που εμπεριέχουν δεν μπορούν να ανταποκριθούν σε τέτοιο κίνδυνο, γιατί δεν σχεδιάστηκαν για αυτόν τον σκοπό.
Η παραβίαση συστημάτων και η διαρροή εμπιστευτικών πληροφοριών μπορούν να καλυφθούν μόνο από εξειδικευμένα ασφαλιστήρια τα οποία μπορούν να αντιμετωπίσουν ολοκληρωτικά τις συνέπειες και τους κινδύνους που προκαλούν.
Ο σωστός προγραμματισμός, η λήψη κατάλληλων μέτρων προστασίας, η ύπαρξη διαδικασιών και ενός πλάνου αντιμετώπισης περιστατικών είναι απαραίτητος, όμως ακόμα και μια πολύ καλά οργανωμένη επιχείρηση δεν μπορεί να αντιμετωπίσει εσωτερικά το σύνολο των επιπτώσεων λόγω της έλλειψης εμπειρίας σε ανάλογες καταστάσεις.
Για την αντιμετώπιση και διαχείριση περιστατικών παραβίασης συστημάτων, απώλειας δεδομένων και άρνησης παροχής υπηρεσίας απαιτούνται να καλυφθούν άμεσα και έμμεσα κόστη όπως:
Άμεσα κόστη τα οποία περιλαμβάνουν, επαγγελματικές αμοιβές εξειδικευμένων συμβούλων διαχείρισης περιστατικών παραβάσης συστημάτων, πρόστιμα και έξοδα όπως:
- αμοιβές εξειδικευμένου δικηγόρου
- υπηρεσίες ειδικών ψηφιακης εγκληματολογίας
- υπηρεσίες δημοσίων σχέσεων και επικοινωνίας
- υπηρεσίες τηλεφωνικού κέντρου
- credit monitoring παρακολούθηση συναλλαγών πιστωτικών καρτών
- έξοδα αντικατάστασης στοιχείων ενεργητικού όπως αντικατάσταση της πιστωτικής κάρτας του πελάτη και αντικατάσταση υλικού hardware ή software κ.λπ.
- πρόστιμα για μη τήρηση της νομοθεσίας περί προσωπικών δεδομένων
- έξοδα για την επίτευξη επιχειρησιακής συνέχειας
Έμμεσα κόστη μπορεί να είναι ακόμα πιο σημαντικά, συμπεριλαμβανομένων:
- μείωση της φήμης της εταιρίας
- την πτώση των εσόδων
- χαμένων επιχειρηματικών ευκαιριών
- απώλειας πελατών
- απώλειας συνεργατών
- αύξηση των αμοιβών των υπηρεσιών τρίτων παρόχων
- κόστη εκπαίδευσης και ευαισθητοποίησης σε θέματα ασφάλειας πληροφοριών του ανθρώπινου δυναμικού της εταιρίας,
- καθώς και πρόσθετα επαναλαμβανόμενα έξοδα για ελέγχους ασφάλειας.
Δυστυχώς, πολλά από αυτά τα κόστη είναι απρογραμμάτιστα και μπορούν να έχουν αρνητική επίπτωση στην ρευστότητα και τις ταμειακές ροές μιας επιχείρησης.
Τα κόστη πάντως δεν είναι μόνο οικονομικά. Το 57% των συμβάντων απώλειας δεδομένων είχε αρνητικό αντίκτυπο στη συνολική λειτουργία της επιχείρησης, στη φήμη και την αξιοπιστία της.
Όπως προκύπτει από έρευνα, το 61% των ερωτηθέντων αντιμετώπισε προβλήματα με ιούς, worms, Trojans και άλλα είδη κακόβουλου λογισμικού.
Δεδομένου ότι η πιθανότητα κυβερνοεπίθεσης δεν μπορεί να εξαλειφθεί, η ασφάλιση Cyber Insurance είναι το ιδανικό εργαλείο διαχείρισης του συγκεκριμένου κινδύνου, δηλαδή της παραβίασης συστημάτων και της απώλειας δεδομένων πελατών.
Εκτός από την κάλυψη των χρηματοοικονομικών επιπτώσεων της εταιρίας παρέχει και πρόσβαση σε ομάδες ειδικών οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών. Η πρόσβαση σε ομάδες ειδικών μπορεί να βοηθήσει και να ελαχιστοποιήσει την οικονομική καταστροφή και τη βλάβη της φήμης που μπορεί να συντελεστεί σε σύντομο χρονικό διάστημα.
Λαμβάνοντας υπόψη τις ανάγκες των επιχειρήσεων η Cromar (www.cromar.gr) προσφέρει σε συνεργασία με την Beazley (www.beazley.com) το Beazley Global Breach Solution το οποίο αποτελεί μια συνολική λύση αποτελεσματικής διαχείρισης των κινδύνων παραβίασης συστημάτων και απώλειας δεδομένων και επιτρέπει στις επιχειρήσεις να διαχειριστούν την αυξανόμενη ευθύνη τους και να μετριάσουν τον κίνδυνο να θιγεί η εταιρική τους φήμη από την παραβίαση.
Το Beazley Global Breach Solution προσφέρει εκτός από την κάλυψη των χρηματοοικονομικών επιπτώσεων, πρόσβαση σε ομάδες ειδικών οι οποίες έχουν αντιμετωπίσει άνω των 2.000 περιστατικών παγκοσμίως.
H Ομάδα Διαχείρισης Περιστατικών του Beazley Global Breach Solution βραβεύθηκε ώς η καλύτερη ομάδα για το έτος 2015 από την Advisen (www.advisenltd.com)
No comment yet, add your voice below!