Κρυπτογραφήστε και προστατέψτε τα δεδομένα της επιχείρησής σας

Η κρυπτογράφηση αποτελεί ένα πολύ σημαντικό εργαλείο για την προστασία των δεδομένων που δημιουργεί ή συλλέγει η εταιρεία σας. Οι παραβιάσεις δεδομένων εγείρουν διάφορους κινδύνους για τις επιχειρήσεις, από την απώλεια πνευματικής ιδιοκτησίας και τεχνογνωσίας έως την υποκλοπή προσωπικών δεδομένων. Τα προηγούμενα μπορούν να οδηγήσουν σε σοβαρές αρνητικές συνέπειες στην αξιοπιστία της εταιρείας, αλλά και σε βαριά πρόστιμα.

5 λεπτά χρόνος ανάγνωσης

5 λεπτά χρόνος ανάγνωσης

Τι είναι η κρυπτογράφηση και τι ακριβώς προστατεύει;

Κρυπτογράφηση είναι η διαδικασία κωδικοποίησης πληροφοριών με τέτοιο τρόπο ώστε να μην είναι προσβάσιμες από μη εξουσιοδοτημένα άτομα. Στην περίπτωση που τα κρυπτογραφημένα δεδομένα της εταιρείας σας διαρρεύσουν, αυτός που τα έχει υποκλέψει, δεν θα μπορεί να τα διαβάσει, καθώς το περιεχόμενό τους είναι ακατανόητο χωρίς το κατάλληλο "κλειδί" αποκρυπτογράφησης.

Ο περισσότερος κόσμος δεν γνωρίζει ότι πολλές πληροφορίες προστατεύονται ήδη από τεχνολογίες κρυπτογράφησης. Για παράδειγμα, οι διαδικτυακές αγορές και οι διαδικτυακές τραπεζικές συναλλαγές δεν θα λειτουργούσαν χωρίς τεχνολογία κρυπτογράφησης, η οποία έχει σχεδιαστεί για να προστατεύει τις προσωπικές πληροφορίες και τα οικονομικά δεδομένα καθώς μετακινούνται μέσω του διαδικτύου. Όσον αφορά το επιχειρηματικό περιβάλλον, η κρυπτογράφηση θα πρέπει να χρησιμοποιείται για την προστασία της πνευματικής ιδιοκτησίας και της τεχνογνωσίας της εταιρείας σας, καθώς και των προσωπικών δεδομένων που επεξεργάζεστε εντός αυτής.

Διαβάστε περισσότερα

Η πνευματική ιδιοκτησία και η τεχνογνωσία μπορεί να περιλαμβάνει τα προϊόντα ή τις υπηρεσίες που δημιουργεί η επιχείρηση. Μπορεί επίσης να αποτελούν τις μεθόδους που χρησιμοποιείτε για την επιτυχημένη πώληση αυτών των προϊόντων ή τις διαδικασίες για να διασφαλιστεί ότι λειτουργούν αποτελεσματικά καθ' 'όλη τη διάρκεια του κύκλου ζωής τους. Ομοίως, μπορεί να περιλαμβάνουν επιχειρηματικά και εμπορικά σχέδια για το επόμενο ημερολογιακό έτος. Όλες αυτές οι πληροφορίες μπορούν να αποφέρουν οικονομικά οφέλη ή να χρησιμοποιηθούν για κακόβουλους σκοπούς από έναν κυβερνοεγκληματία.

Τα προσωπικά στοιχεία που συλλέγει και επεξεργάζεται η εταιρεία σας ενδέχεται να περιλαμβάνουν πληροφορίες σχετικά με τους πελάτες και τους υπαλλήλους σας. Ο νόμος απαιτεί να προστατεύεται η πρόσβαση σε αυτά τα δεδομένα, όπως ορίζεται από τον Γενικό Κανονισμό Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης (GDPR).

GDPR και κρυπτογράφηση

Ο GDPR ορίζει επακριβώς τα προσωπικά δεδομένα. Αυτά περιλαμβάνουν κύρια ονόματα και επώνυμα, φωτογραφίες, διευθύνσεις email, αριθμούς τηλεφώνου, αριθμούς λογαριασμού, δακτυλικά αποτυπώματα και φωνητικά δείγματα. Ο κανονισμός αυτός, ο οποίος βρίσκεται σε ισχύ σε όλα τα κράτη μέλη της ΕΕ από τις 25 Μαΐου 2018, καταδεικνύει την κρυπτογράφηση ως ένα μέτρο προστασίας ως προς τον κίνδυνο απώλειας της αξιοπιστίας μιας εταιρείας.

Υποθέστε για παράδειγμα ότι ένας από τους υπαλλήλους σας χάνει ένα USB flash που περιέχει μια λίστα των πελατών σας. Ο GDPR απαιτεί από εσάς να ενημερώσετε για το συμβάν όλα τα άτομα που βρίσκονται στην εν λόγω λίστα, τα οποία μπορεί να επιλέξουν να διακόψουν περεταίρω συνεργασία μαζί σας εξαιτίας της συγκεκριμένης παραβίασης. Ωστόσο, η υποχρέωση ειδοποίησης των συγκεκριμένων ατόμων δεν ισχύει εάν τα προσωπικά τους δεδομένα ήταν κρυπτογραφημένα.

Γνωρίζετε τι πρέπει να κάνετε εάν η εταιρεία σας έχει υποστεί απώλεια προσωπικών δεδομένων;

Υποχρέωση ειδοποίησης της ρυθμιστικής αρχής:

Πρέπει να αναφέρετε τυχόν παραβίαση προσωπικών δεδομένων στην αρμόδια αρχή προστασίας δεδομένων. Αυτή η υποχρέωση ισχύει όχι μόνο για μεγάλης έκτασης συμβάντα, όπως μεγάλες διαρροές της βάσης δεδομένων, αλλά και για μικρά λάθη. Για παράδειγμα, εάν κατά λάθος μπερδέψετε τα περιεχόμενα δύο φακέλων που προορίζονται για αντίστοιχους διαφορετικούς παραλήπτες, θα πρέπει να το αναφέρετε.

72 ώρες στη διάθεσή σας

Θα πρέπει να ενημερώσετε την αρμόδια εποπτική αρχή για το συμβάν εντός 72 ωρών από τη στιγμή που έπεσε στην αντίληψή σας και όχι από τη στιγμή που συνέβη. Ωστόσο, εάν δεν τηρηθεί αυτό το χρονικό όριο, η καθυστέρηση στην ειδοποίηση (δηλαδή οι λόγοι για τους οποίους δεν αναφέρατε την παραβίαση εντός 72 ωρών) πρέπει να αιτιολογείται.

Υποχρέωση ειδοποίησης των επηρεαζόμενων ατόμων

Σε πιο σοβαρές περιπτώσεις, εκτός από την αρχή προστασίας δεδομένων, πρέπει επίσης να ενημερώσετε και τα άτομα των οποίων τα δεδομένα έχουν επηρεαστεί από το συμβάν. Ωστόσο, αυτό το βήμα δεν είναι υποχρεωτικό εάν το συμβάν έλαβε χώρα αφού η εταιρεία σας είχε εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας, ιδίως εκείνα που καθιστούν τα προσωπικά δεδομένα ακατανόητα σε οποιοδήποτε άτομο δεν έχει άδεια πρόσβασης. Προφανώς, ο μάλλον περίπλοκος νομικός όρος «τεχνικά μέτρα» αναφέρεται στην κρυπτογράφηση.

Πιθανά πρόστιμα που σχετίζονται με τον GDPR

Η μη εκπλήρωση της υποχρέωσης αναφοράς παραβίασης δεδομένων στην αρμόδια εποπτική αρχή τιμωρείται με πρόστιμο έως 10 εκατομμύρια ευρώ ή, έως και 2% των ετήσιων παγκόσμιων εσόδων της εταιρείας κατά το προηγούμενο οικονομικό έτος. Εκτός από την υψηλή χρηματική ποινή, η αρχή προστασίας δεδομένων μπορεί επίσης να θεσπίσει τα ακόλουθα:

  • προσωρινό ή οριστικό περιορισμό, συμπεριλαμβανομένης της απαγόρευσης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα
  • διαγραφή προσωπικών δεδομένων. 

Αυτό σημαίνει ότι θα μπορούσατε είτε να χάσετε όλες τις επαφές των υφισταμένων πελατών σας, είτε να απαγορευτεί προσωρινά στην εταιρεία σας η αποθήκευση τέτοιων δεδομένων. 

Οι παραβιάσεις δεδομένων επηρεάζουν όλες τις επιχειρήσεις ανεξαρτήτως μεγέθους

Πολλές επιχειρήσεις θεωρούν ότι δεν είναι ευάλωτες σε διαδικτυακές επιθέσεις ή παραβιάσεις δεδομένων λόγω του μικρού μεγέθους τους και των περιορισμένων περιουσιακών τους στοιχείων. Δυστυχώς, αυτό δεν είναι αληθές: σύμφωνα με τους αναλυτές της IDC, οι μικρομεσαίες επιχειρήσεις πέφτουν θύμα παραβιάσεων ασφαλείας σε ποσοστό άνω του 70%. Από την άλλη, τα καλά νέα είναι ότι οι επιχειρήσεις δεν χρειάζεται να αναφέρουν κυβερνοεπιθέσεις, εκτός εάν τα προσωπικά δεδομένα έχουν παραβιαστεί ή διαρρεύσει.

Λόγω της λανθασμένης εντύπωσης ότι κάποιες επιχειρήσεις έχουν "ανοσία" στις κυβερνοεπιθέσεις, όσες έχουν υποστεί κάποια επίθεση διστάζουν να το αναφέρουν φοβούμενη τις αρνητικές επιπτώσεις στην αξιοπιστία τους.

Η ESET έχει διαπιστώσει ότι κατά τη διάρκεια του πρώτου έτους μετά την έναρξη ισχύος του GDPR, οι εποπτικές αρχές στην Ευρώπη εξακολουθούσαν να εξοικειώνονται με τους νέους κανόνες. Είναι πιθανό ότι τώρα θα αρχίσουν να επιβάλουν υψηλότερα πρόστιμα.

Ωστόσο, η εμπειρία δείχνει ότι εάν οι πληττώμενες εταιρείες συνεργαστούν με τις αρχές, τους επιβάλλονται χαμηλότερες ποινές. Επιπλέον, όλα δείχνουν ότι εάν η επιχείρησή σας δεν είναι ένας γνωστός γίγαντας του Διαδικτύου, είναι απίθανο να της επιβληθεί το μέγιστο πρόστιμο που προβλέπει ο κανονισμός.

Έτσι, αυτό που προτείνουμε στις επιχειρήσεις, είναι να τηρούν πάντα την υποχρέωση κοινοποίησης, να συνεργάζονται με τις εποπτικές αρχές και να εκπαιδεύουν τους υπαλλήλους τους σχετικά με τα προσωπικά δεδομένα και πώς πρέπει να προστατεύονται.

Λύσεις κρυπτογράφησης της ESET

ESET Endpoint
Encryption

Το ESET Endpoint Encryption προστατεύει τα ευαίσθητα δεδομένα σε εταιρικές συσκευές μέσω κρυπτογράφησης. Παρέχει κρυπτογράφηση αρχείων και φακέλων, email και συνημμένων αρχείων, αφαιρούμενων μέσων, εικονικών δίσκων καθώς και ολόκληρου του δίσκου. Είναι εύκολο στη χρήση, προσφέρει πλήρες απομακρυσμένο έλεγχο των κλειδιών κρυπτογράφησης και δεν απαιτεί server για εγκατάσταση. Αποκτήστε δωρεάν έκδοση 30 ημερών και δοκιμάστε το ESET Endpoint Encryption στην εταιρεία σας.