Δέκα μήνες από την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) και η εικόνα συμμόρφωσης στις ελληνικές επιχειρήσεις του Δημόσιου και Ιδιωτικού τομέα δεν είναι καθόλου ενθαρρυντική. Τα πράγματα δε θα μπορούσαν να είναι αλλιώς όταν καταγράφεται από τον ΟΟΣΑ ότι η χώρα χάνει το τρένο της 4ης βιομηχανικής επανάστασης.
Η συμμόρφωση αλά... ελληνικά δε σχετίζεται με την καθυστέρηση. Χαρακτηρίζεται από προβλήματα εταιρικής κουλτούρας, κακού μάνατζμεντ, γραφειοκρατίας, άρνησης διάθεσης δαπανών και κυρίως παρερμήνευσης για το τι συνιστά προστασία της ιδιωτικότητας. Η απόδειξη για όλα αυτά είναι εύκολη και διατίθεται από τους ίδιους τους υπόχρεους σε συμμόρφωση μέσω μιας πλημμυρίδας από επιπόλαια disclaimers στους εταιρικούς ιστότοπους.
Η Καθυστέρηση στον ορισμό Υπευθύνων Προστασίας Δεδομένων στις δημόσιες δομές είναι μεγάλη (9 στα 20 Υπουργεία με μοναδικό το Υπουργείο Υγείας που έχει προχωρήσει στην πιο άρτια οργάνωση) ενώ στον ιδιωτικό τομέα έχουν DPO μόλις το 1/3 των 3.500 υπόχρεων επιχειρήσεων.
Ας τα πάρουμε με τη σειρά
Οφείλουμε να αναγνωρίσουμε ότι οι λάθος αντιλήψεις σχετικά με την προστασία του ατόμου από την αυθαίρετη επεξεργασία των προσωπικών του πληροφοριών, διαμορφώθηκαν και ρίζωσαν κατά την διάρκεια της μετάβασης από το αναλογικό στο ψηφιακό περιβάλλον. Όταν ηγεσίες εργαλειοποίησαν στο πλαίσιο του ενδοεταιρικού power game την τεχνολογική αναβάθμιση των οντοτήτων που διοικούν. Όταν κανένας ρυθμιστής δεν έθεσε ως προϋπόθεση τα ζητήματα της δεοντολογίας, της λογοδοσίας, της διαφάνειας και της ανθρωποκεντρικής στρατηγικής. Έτσι αφέθηκε μόνη της η εταιρική κοινωνική ευθύνη να μοιάζει με πολύχρωμη κουρελού στρωμένη χωρίς στρατηγική στα πόδια μιας ελίτ και όχι των πελατών ή για λόγους δημοσίου συμφέροντος.
Ζωντανή καταγραφή κυβερνοεπιθέσεων από τη Fortinet
Τεχνολογία, γνώση και ηθική
Όποιος βλέπει σήμερα το δέντρο και όχι το δάσος κινδυνεύει να μη δει τους κινδύνους που κρύβονται μέσα σε αυτό. Η ευρεία χρήση νέων τεχνολογιών που δε «συνομιλούν» μεταξύ τους και κυρίως δεν είναι ασφαλείς απέναντι σε κυβερνοεπιθέσεις, προσφέρει την καλύτερη απόδειξη αυτής της συνθήκης. Οι επιχειρήσεις δείχνουν να διψούν να κοσμήσουν την εικόνα τους με εργαλεία υψηλής τεχνολογίας και δράσεις με έντονη χρήση των Μέσων Κοινωνικής Δικτύωσης, παραβλέποντας την αξία να εντάσσονται όλα αυτά σε ένα πλαίσιο στρατηγικής.
Είτε χρησιμοποιούν αναγκαστικά τα πληροφοριακά συστήματα, είτε τα επιστρατεύουν για λόγους μάρκετινγκ, δαπανούν μεγάλα ποσά για να έχουν ως αποτέλεσμα, εφήμερες εντυπώσεις και στη συνέχεια, ανασφάλεια, δυσαρεστημένους πολίτες και τεράστιους κινδύνους.
Το κόστος ευκαιρίας μεγαλώνει λοιπόν, καθώς αναπτύσσεται η κουλτούρα του τεχνολογικά μοντέρνου χωρίς το απαραίτητο υπόβαθρο σε κάθε τεχνολογικό εργαλείο, να σέβεται και να υπηρετεί τον άνθρωπο.
Εάν δηλαδή πληρώσει μια επιχείρηση το κόστος για να ανασχεδιάσει τα πληροφοριακά της συστήματα, να πιστοποιηθεί κατά ISO και να πληρώσει τις άδειες χρήσης, το κόστος μέτρων κυβερνοασφάλειας και συμμόρφωσης με τον GDPR θα μοιάζει αστείο. Εάν υποστεί επίθεση και ζημία στην τεχνολογική της υποδομή, ή ακόμη χειρότερα, διαρρεύσουν γενικά και προσωπικά δεδομένα, το κόστος θα είναι μεγαλύτερο και από το βάρος μιας καθολικής αλλαγής.
Ακόμη όμως και εάν αντιμετώπιζαν τα πράγματα με ανοικτό πνεύμα, θα ήταν εξαιρετικά δύσκολο να δεχθούν να επενδύσουν σε εκπαίδευση του προσωπικού όπως απαιτεί ο ΓΚΠΔ. Η κρίση δημιούργησε στρεβλώσεις που οδηγούν σε αυξανόμενες απαιτήσεις από το ανθρώπινο δυναμικό, ενώ η αγορά της γνώσης δεν παράγει εργαζόμενους -ορχήστρα αλλά στελέχη υψηλής εξειδίκευσης. Η αντίθεση είναι τραγική.
Τους φαίνεται ακριβότερη η επένδυση στην ηθική από την επένδυση στην εσωστρεφή χρήση προγραμματισμένα θνησιγενών τεχνολογικών εργαλείων. Η αποσπασματικότητα όμως έχει το μειονέκτημα να δυσκολεύει ακόμη περισσότερο το επιχειρείν καθώς αυξάνει την απόσταση από την αποτελεσματικότητα. Καθιστά αδύνατη την ενσωμάτωσή της σε ολοκληρωμένα στρατηγικά σχέδια και Πολιτικές Ποιότητας, ενώ εμποδίζει τον έλεγχο και την υλοποίηση των στόχων της εταιρικής οντότητας.
Το πρόστιμο δίνει λάθος μήνυμα
Το λογιστικό λάθος στα παραπάνω οφείλεται στην εξίσωση των παραβιάσεων του ΓΚΠΔ με τα πρόστιμα των εκατομμυρίων. Προφανώς είναι ορθότερο να εστιάζει κάποιος στο κόστος της συμμόρφωσης από τη μη συμμόρφωση στην περίπτωση ενός περιστατικού και μάλιστα τέτοιου που διακυβεύεται το μέλλον μιας επιχείρησης.
Εάν για παράδειγμα το κόστος μιας ζημίας στο δίκτυο και τα αρχεία δεδομένων μιας εταιρείας αγγίζει κατά μέσο όρο τα $150 το αρχείο (από $380 στα αρχεία υγείας έως $110 στον δημόσιο τομέα), προφανώς μειώνονται δραστικά από την επένδυση σε αυτοματισμούς κυβερνοασφάλειας όπως φαίνεται στη μελέτη Global Overview from IBM Security and Ponemon Institute.
Σε κάθε περίπτωση είναι προτιμότερο το πλεονέκτημα απέναντι στον ανταγωνισμό λόγω της συμμόρφωσης. Είναι συμφερότερη η επένδυση στην ασφάλεια του πελάτη από τη διαχείριση της ζημίας σε χρήμα, φήμη και πελατεία. Συνεπώς δεν κοστίζει περισσότερο η ηθική όταν επενδύουμε στην ασφάλεια από το σχεδιασμό των συστημάτων.
*Ο Βασίλης Βασιλόπουλος είναι Υπεύθυνος Προστασίας Δεδομένων στην ΕΡΤ.
Oι απόψεις που διατυπώνονται σε ενυπόγραφο άρθρο γνώμης ανήκουν στον συγγραφέα και δεν αντιπροσωπεύουν αναγκαστικά, μερικώς ή στο σύνολο, απόψεις του Euro2day.gr.