- Una historia real – A cualquiera nos puede pasar
TODO EMPIEZA CON UN LINK EN UN CORREO
Una Pyme que se dedica a servicios, que factura 2.500.000€ y tiene datos de 3.000 clientes, datos de salud incluidos,ve como todos sus datos han quedado encriptados de la noche a la mañana.
Nadie sabe como ha sucedido, aunque siempre hay alguien en la empresa que sabe que no debía haber abierto eseenlace que venía un correo que le urgía a abrir ese enlace para aprovechar una promoción…
Lo cierto es que al intentar abrir los archivos surgen unas instrucciones claras donde se insta al pago de un rescate para liberar los datos: 1 bitcoin , unos 6.700€.
Rápidamente el responsable de administración que hace las veces de puente con la empresa de servicios IT, les informa y les pide soluciones alternativas.
La empresa de IT les dice que la copia de seguridad más actualizada es de hace un mes. Que claro ellos ya les dijeron que reducir las copias a una vez al mes que no era buena idea (pero claro el coste se reducía en un 25%).
Así las cosas, la perspectiva es perder los datos de un mes de trabajo. Reconstruir los datos son 300 horas, es decir, un coste de 9.000€ como mínimo.
La empresa de servicios IT es también quien les ha gestionado la LOPD con un departamento especializado en la materia. Este departamento se pone en contacto con el Responsable de Administración: hay que notificar la brecha de seguridad a la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, y en 72 horas desde que se conocieron los hechos.
Asimismo, es obligatorio notificar a los clientes afectados por la brecha de seguridad. En este caso los 3.000 clientes (900 de ellos personas físicas de una asociación). El coste de la notificación es de 3,5 euros por cliente, es decir 10.500€
Llegados a este punto tenemos un coste de 17.200€17.200€, asumiendo que se paga el rescate como mal menor. Pero esto no ha hecho más que empezar.
Una semana después de comunicar a la AEPD, llega un escrito de ésta, donde la AGENCIA notifica que se abre expediente sobre la brecha de seguridad y la vulneración de los datos de los clientes, personas físicas en su mayoría. La sanción propuesta es de 25.000€
A las dos semanas de la notificación llega un burofax de un despacho de abogados especializado en Demandas colectivas, informando que 900 clientes afectados por la violación de seguridad y de privacidad de sus datos interponen demanda. Reclaman 200€ por afectado, es decir, 180.000€
Resumen y conclusiones:
Con un protocolo de seguridad en la gestión del correo electrónico se habría evitado la encriptación.
Las copias de seguridad se deben hacer a diario
Si hubieran tenido contratado ESCUDO CIBER- D&O por 600.000€, con un coste anual de 659€, esta violación de privacidad y de seguridad les habría costado 1.659€(659€ de la prima y 1.000€ de la franquicia) en vez de 222.200€.