Door Stefano Debolini en het Sheridans Sports Team
Wanneer velen aan cyberveiligheid denken, is de sportindustrie misschien niet de eerste die in je opkomt. Het heeft echter een behoorlijk deel van de problemen gekend. Footy-lekken overspoelden het internet met veel vertrouwelijke overdrachts- en arbeidsovereenkomsten voor fans om te lezen. Evenzo omvatte de Fancy Bears Therapeutic Usage Exemptions (TUE's) -hack persoonlijke medische informatie met betrekking tot veel spraakmakende sportmannen en -vrouwen.
Deze inbreuken van grote spelers in de sportsector hebben de noodzaak onderstreept van houders van rechten, clubs, agentschappen en andere deelnemers aan het ecosysteem om cyberveiligheid tot een prioriteit te maken.
De hoeveelheid persoonlijke en andere gegevens die in de sportindustrie worden gegenereerd, gedeeld en gecommercialiseerd, heeft een duizelingwekkende groei doorgemaakt, en een goede discussie over hoe je door het regelgevingslandschap kunt navigeren en tegelijkertijd het meeste uit die gegevens kunt halen, is een onderwerp voor een andere dag. Hier richten we ons meer op overwegingen die relevant zijn voor de respons op en naleving van incidenten met datalekken.
Gegevensbeschermingsregelgeving vereist dat houders van gevoelige gegevens, waaronder mogelijk persoonlijke informatie over de sterspelers van een club, passende technische en organisatorische beveiligingsmaatregelen nemen om ongeoorloofde openbaarmaking van spelersgegevens te voorkomen. Als u een inbreuk ondervindt, kan dit erop wijzen dat de stappen die u hebt genomen om te voldoen aan de beginselen van gegevensbescherming, tekortschieten. Om te beginnen is het dus belangrijk ervoor te zorgen dat de beveiliging van uw gegevens (en die van uw zakenpartners en gebruikers) een kernoverweging is in uw hele bedrijf. Wat als u nog steeds het slachtoffer bent van een cyberaanval?
Cyberdreigingen kunnen zich sneller ontvouwen dan een Mane / Salah Liverpool-tegenaanval
Het spreekt voor zich, maar zodra er een datalek wordt ontdekt, moet je erop springen. Meestal (hoewel niet in alle gevallen) wilt u ongeautoriseerde toegang stoppen, niet-essentiële services offline halen, inloggegevens bijwerken, de toegang beperken tot degenen die deze nodig hebben, gegevens vastleggen uit verbindingslogboeken en andere bronnen van auditinformatie, naast andere zaken.
Je moet ook het woord verspreiden. Geen enkel bedrijf zal het leuk vinden om de wereld te laten weten dat het niet zo voorzichtig is geweest met cyberveiligheid als het had kunnen zijn, maar PR-ondersteuning kan u helpen deze boodschap effectief over te brengen. Gebruikers moeten dit mogelijk snel weten, zodat ze inloggegevens kunnen wijzigen op andere sites of services waar ze hetzelfde wachtwoord gebruiken, en zodat ze meer alert kunnen zijn op het risico van identiteitsdiefstal.
Vertraging bij het verspreiden van het bewustzijn kan de schade als gevolg van een datalek vergroten. Toch moet elk incident van geval tot geval worden beoordeeld, rekening houdend met de aard, het volume en de gevoeligheid van de gegevens die mogelijk zijn blootgesteld, en de risico's die dit met zich meebrengt voor u en uw gebruikers. In sommige gevallen kunt u besluiten dat het niet nodig is om gebruikers te laten weten dat u een cyberaanval heeft gehad.
Gevoelige informatie over bijvoorbeeld voetballers is spraakmakend nieuws. De impact ervan kan wereldwijd zijn, dus het is waarschijnlijk dat u uw advocaten nodig heeft om een ​​internationale reactie te coördineren. In sommige rechtsgebieden kan het risico laag zijn, wordt mogelijk niet voldaan aan relevante drempels met betrekking tot het aantal getroffen gebruikers of kan de aard van de gecompromitteerde gegevens van dien aard zijn dat het incident geen openbaarmaking of kennisgeving aan gegevensbeschermingsautoriteiten in bepaalde landen verdient.
Om effectief en compliant te reageren, spelen een hele reeks factoren een rol. Is uw bedrijf, vanuit juridisch oogpunt, een gegevensbeheerder of verwerker (niet altijd zo eenvoudig als u zou verwachten)? Gaat het om persoonlijke gegevens (dit is misschien niet voor de hand liggend, bijvoorbeeld als het om een ​​gebruikers-ID, IP-adres of andere identificatiegegevens gaat, inclusief gegevens die kunnen worden gecombineerd met andere informatie om iemand te identificeren)? Welke rechtsgebieden zijn relevant en welk recht is van toepassing?
​
Talking Tactics
​
Tenzij u over aanzienlijke interne capaciteiten beschikt, zult u vrijwel zeker externe hulp moeten inschakelen. In plaats van hulp te zoeken na het evenement, waar vertragingen een blijvende impact kunnen hebben, raden we u aan om in uw eigen tijd een incidentresponsplan op te stellen. Dat betekent preventief praten met cyberveiligheidsadviseurs, auditors, PR-bedrijven, advocaten, uw leveranciers, uw personeel en uw gebruikers over cyberveiligheid.
Een effectieve voorbereiding en een responsplan voor cyberveiligheidsincidenten helpen belanghebbenden hun verantwoordelijkheden in het geval van een datalek te begrijpen, vertragingen in uw reacties te verminderen, de kosten van het reageren op de inbreuk te verlagen, de gevolgen te verminderen en de kans op een datalek te verkleinen gebeurt in de eerste plaats.
De betrokkenheid van externe specialisten zorgt er niet alleen voor dat u over de relevante technische capaciteiten beschikt, maar kan ook vertrouwen wekken, aangezien audits eerder onafhankelijk en onbevooroordeeld zijn.
Na de recente inbreuk maakte TalkTalk binnen één dag een openbare aankondiging, liet PwC prompt zijn systemen beoordelen en werd geprezen door een commissie van het ministerie van Cultuur, Media en Sport voor deze krachtige crisisrespons, dus dergelijke acties zijn waarschijnlijk om van nut te zijn als een handhavingsactie wordt overwogen door bijvoorbeeld het Information Commissioner's Office.
Op dit moment zijn er tal van goede commerciële, reputatie- en juridische redenen om ervoor te zorgen dat u klaar bent voor een inbreuk wanneer (in plaats van als) deze zich voordoet. Vanaf 25 mei 2018 omvatten wijzigingen in de regelgeving de Algemene Verordening Gegevensbescherming (AVG) die, naast vele andere wijzigingen, de maximale boetes voor inbreuken op de gegevensbeschermingswetgeving zal verhogen van £ 500.000 tot 4% van de wereldwijde jaaromzet of € 20 miljoen, nieuwe verplichtingen met betrekking tot het melden van datalekken, en het betrekken van gegevensverwerkers in het kader van bepaalde inbreuken waarvoor ze voorheen niet aansprakelijk zouden zijn geweest.
​
DeBrief na de wedstrijd
​
Hoewel het nogal droog klinkt, zal een goed responsproces voor cyberinbreuken:
- een organisatie helpen bij het identificeren, beheersen en herstellen van de inbreuk;
- de omvang van ongeoorloofde toegang onderzoeken en de risico's die deze met zich meebrengt, door personen en organisaties op de juiste manier te informeren; en
- zorg ervoor dat er stappen worden ondernomen om te voorkomen dat het opnieuw gebeurt.
​
Hoe zou een sportbureau of voetbalclub reageren als het uit een krantenbericht zou vernemen dat zijn spraakmakende spelersalarissen, persoonlijke adressen en telefoonnummers online waren gelekt? 'Waar te beginnen?' kan de gebruikelijke reactie zijn.
We raden u aan om met de verantwoordelijken voor IT, communicatie, beveiliging en compliance in uw bedrijf te praten en enkele scenario's te bespreken. Bespreek uw zorgen met gespecialiseerde adviseurs, vul de hiaten aan, stel interne en externe incidentresponsgroepen samen en stel een incidentresponsplan op. Maak u daarna weer zorgen over zaken op het terrein.
Het Sheridans Sports Team kan u helpen met al het bovenstaande. Neem contact op met Daniel Geey of Stefano Debolini voor meer informatie.