Jika perusahaan Anda menjadi korban serangan siber, para pendiri harus menghadapi konsekuensinya – dan bertindak cepat. Beberapa tip.
Sebuah artikel oleh Karsten Krupna dan Frank Bongers, pengacara di Esche Schümann Commichau.
Hampir tidak ada satu minggu pun yang berlalu tanpa adanya laporan serangan siber atau serangan siber baru. Satu-satunya hal yang pasti adalah tidak ada yang pasti. Bank Sentral Eropa dan Bundestag sendiri pernah mengetahui hal ini di masa lalu.
Motivasi para pelaku dan perusahaan yang terkena dampak sangat beragam. Hal ini misalnya ditunjukkan oleh serangan peretas jihadis terhadap lembaga penyiaran Prancis TV5Monde, serangan peretas terhadap situs kencan Lovoo dan portal perselingkuhan Ashley Madison, serta upaya pemerasan terhadap perusahaan rintisan keuangan Hamburg, Kreditech, yang terkait. dengan pencurian data. .
Setiap startup berpotensi terkena dampaknya karena infrastruktur TI terbaik sekalipun tidak dapat mencegah serangan hacker yang berhasil 100 persen. Potensi kerugian yang disebabkan oleh hilangnya data sangat besar dan berkisar dari kerugian finansial, hilangnya rahasia bisnis dan dagang hingga persaingan, kegagalan atau melemahnya infrastruktur TI dan pemerasan hingga kerusakan jangka panjang terhadap reputasi perusahaan.
Masalah
Misalnya, jika data pelanggan jatuh ke tangan yang salah, dorongan pertama pengusaha mungkin adalah melakukan segala kemungkinan untuk memastikan bahwa tidak ada orang di luar perusahaan yang mengetahui masalah tersebut. Lagi pula, Anda tentu tidak ingin menakut-nakuti calon investor, menghindari pengawasan dari otoritas pengatur, dan tentu saja, memastikan bahwa pelanggan tetap memercayai keamanan data mereka.
Namun, perusahaan yang ingin setidaknya menghindari kerusakan reputasi dengan tetap merahasiakan insiden tersebut sebaiknya tidak menggunakan “strategi burung unta” jika terjadi serangan hacker.
Pertama-tama, menurut Undang-Undang Perlindungan Data Federal, akses tidak sah ke data risiko pribadi (seperti rincian bank) oleh pihak ketiga harus segera dilaporkan kepada otoritas pengawas dan mereka yang terkena dampak (pelanggan). Dalam hal ini, tetap diam dapat dihukum dengan denda hingga 300.000 euro. Selain itu, tidak dapat dipungkiri bahwa para pelaku secara spesifik akan mengancam untuk mempublikasikan data sebagai bagian dari pemerasan dan memposting data individu secara online untuk meningkatkan situasi tekanan.
Kelemahan internal juga harus diperhitungkan. Yang diperlukan hanyalah satu karyawan yang frustrasi dan insiden tersebut dapat diakses oleh seluruh komunitas online melalui Facebook, dll. Kemungkinan serangan hacker akan diketahui publik relatif tinggi. Jika pada akhirnya diketahui bahwa perusahaan dengan sengaja ingin menyembunyikan insiden data tersebut, kerusakan reputasinya – yang awalnya ingin dihindari – mungkin akan jauh lebih besar.
Namun, bahkan penanganan terbuka yang diperlukan atas insiden data terhadap mereka yang terkena dampak dan otoritas pengawas tidak melindungi dari konsekuensi negatif lebih lanjut. Jika pers mengetahui tentang serangan hacker terhadap startup terkenal, berita utama akan segera ditulis.
Akibatnya, perusahaan tidak hanya harus memeriksa berbagai laporan dan, jika perlu, mengoordinasikan pertanyaan media, namun juga memperkirakan hilangnya kepercayaan dari pelanggan dan investor karena efektivitas dan cakupan pemberitaan media. Hal ini terutama dapat merusak citra perusahaan rintisan dengan model bisnis yang kaya data atau di bidang yang sangat sensitif seperti portal urusan.
Jika masalah perlindungan data lebih lanjut diketahui dalam konteks ini di perusahaan terkait, seluruh model bisnis mungkin akan mengalami masalah. Selain itu, insiden perlindungan data mengumpulkan sumber daya manusia internal dalam jumlah besar dan biasanya memerlukan dukungan pakar eksternal dan pakar hukum.
Jika pelanggan yang terkena dampak terus melihat ruang untuk mengajukan klaim atas rasa sakit dan penderitaannya, akan terjadi perselisihan di beberapa bidang. Hasilnya adalah perselisihan yang memakan waktu dan mahal dengan otoritas pengawas, pelanggan yang terkena dampak, dan mungkin juga dengan jaksa penuntut umum. Bahkan serangan hacker yang relatif kecil pun dapat mengakibatkan kerusakan yang signifikan.
Pembatasan risiko dan kerusakan melalui persiapan yang tepat
Oleh karena itu penting untuk mengambil tindakan pencegahan yang membatasi risiko dan kerugian bagi perusahaan. Ini termasuk:
- pelaksanaan tindakan teknis dan organisasi yang diperlukan untuk keamanan data sesuai dengan Pasal 9 BDSG
- melatih dan menginstruksikan karyawan tentang cara menangani TI dan data pribadi dengan benar
- perancangan yang cermat terhadap situasi yang meningkatkan risiko di area staf: misalnya penggunaan perangkat pribadi (bawa perangkat Anda sendiri) dan penggunaan email kantor dan fungsi internet secara pribadi
- pemantauan rutin kepatuhan terhadap langkah-langkah keselamatan
- menetapkan rencana darurat untuk manajemen krisis yang efektif jika terjadi serangan dunia maya, termasuk perencanaan kepatuhan terhadap kewajiban pelaporan dan
- Jika perlu, ambil asuransi terhadap risiko dunia maya
Penutup
Perlindungan data adalah masalah kepercayaan. Jika Anda ingin menjaga kepercayaan pelanggan dan mitra bisnis Anda, Anda harus mengambil semua tindakan yang diperlukan untuk mencegah serangan cyber yang berhasil. Jika terjadi keadaan darurat, harus ada rencana darurat yang telah ditetapkan, yang khususnya mencakup kepatuhan terhadap kewajiban informasi hukum. Selain itu, startup juga harus mempertimbangkan apakah solusi asuransi diperlukan untuk memitigasi potensi kerusakan yang signifikan.
Peserta lokakarya Perlindungan Data untuk Pemula: Menghindari Resiko – Memanfaatkan Peluang akan menerima saran mendalam mengenai perlindungan data Esche Schümann Commicau pada tanggal 26 Oktober 2015 di Startup Scene Legal Day.
