Liczby nie kłamią – według Intel Security 95 procent firm na co dzień doświadcza skutków ataków cyberprzestępców, a tylko 35 procent jeszcze niedawno było w stanie zgłosić naruszenie danych w ciągu trzech dni, czyli w czasie, który wymagany jest przez wchodzącą w życie 25 maja 2018 roku ustawę GDPR. Co zrobić, żeby przygotować się na zmiany i nie zapłacić kary w wysokości 4% globalnego rocznego obrotu firmy?
Najnowszy raport z międzynarodowych badań przeprowadzonych przez Intel Security we współpracy z Centrum Badań Strategicznych i Międzynarodowych (Center for Strategic and International Studies – CSIS), zatytułowany „How Misaligned Incentives Work Against Cybersecurity”, pokazuje, że 95 procent organizacji doświadczyło skutków naruszenia cyberbezpieczeństwa, m.in. takich jak zakłócenia działalności, utrata danych i reputacji firmy. Jednocześnie wchodzące w 2018 roku nowe rozporządzenie o ochronie danych osobowych zobowiązuje organizacje, które wykryły przypadek naruszenia danych osobowych, do zgłoszenia tego faktu w ciągu 72 godzin. Jeszcze w 2015 roku jedynie 35 procent przebadanych przez Intel Security i Vanson Bourne firm było w stanie zgłosić naruszenie danych w tak krótkim czasie. Średnio liczba dni upływająca od wykrycia naruszenia do jego zgłoszenia wynosiła 8. 1/5 przedsiębiorstw zajmowało to 2 tygodnie.
I choć firmy pracują nad poprawieniem tych wyników, międzynarodowe badanie przeprowadzone przez Vanson Bourne w 2016 roku wśród 2500 ekspertów IT dowiodło, że 54 procent organizacji nadal nie zwiększyło swojej gotowości do wprowadzenia i przestrzegania zapisów nowego rozporządzenia.
– Przed firmami, ale też przed producentami i dostawcami rozwiązań bezpieczeństwa dużo pracy, której efektem będzie przygotowanie przedsiębiorstw do wdrożenia nowych regulacji. Naszą wspólną odpowiedzialnością jest szerzenie wiedzy na temat cyberbezpieczeństwa, działań hakerów i sposobów chronienia się przed nimi – mówi Arkadiusz Krawczyk, Country Manager Intel Security Poland.
– Wiemy, że firmy nie informują o naruszeniach danych z wielu powodów, także dlatego że jest to dla nich kosztowne lub grozi im utratą reputacji. Musimy zmienić sposób myślenia o bezpieczeństwie danych osobowych – ono jest ważniejsze niż ewentualne straty firmy. A odpowiednie rozwiązania technologiczne umożliwiają organizacjom podniesienie ogólnego poziomu bezpieczeństwa i skuteczniejszą ochronę cennych danych.
Co zmienia nowe rozporządzenie?
Ogólne Rozporządzenie o Ochronie Danych (OROD) to nowe rozporządzenie Unii Europejskiej (UE) zmierzające do wzmocnienia ochrony prywatności oraz podniesienia poziomu zaufania w zakresie wykorzystania danych osobowych i zarządzania nimi. Zastępuje ono Dyrektywę 95/46/WE, która obowiązywała od połowy lat 90., i ma w swym zamierzeniu ujednolicić podejście UE do przetwarzania i przekazywania danych osobowych. Rozporządzenie obejmuje metody gromadzenia, przechowywania, udostępniania, przetwarzania i wykorzystania danych osobowych. Państwa członkowskie i organizacje z sektora prywatnego i publicznego muszą zapewnić zgodność z przepisami rozporządzenia do maja 2018 roku.
Celem nowego rozporządzenia jest „umożliwienie ludziom odzyskania kontroli nad ich danymi osobowymi”. Nowe zasady wzmacniają istniejące prawa i poszerzają zakres obowiązków związanych z ochroną danych w przypadku administratorów danych (czyli osób określających cel i środki przetwarzania danych osobowych) oraz podmiotów przetwarzających dane w imieniu administratorów danych, tak aby zapewnić ochronę informacji osobowych Europejczyków niezależnie od tego, dokąd takie informacje są przesyłane oraz gdzie są przetwarzane i przechowywane, w tym również poza granicami UE. Na przykład, rozporządzeniu będzie podlegać każdy podmiot posiadający lub wykorzystujący dane osobowe w UE bądź korzystający z europejskich towarów, usług lub profilów w Internecie.
Zmiany przepisów obejmują następujące obszary:
• Spójność i poufność: Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiedni poziom bezpieczeństwa danych. Administratorzy będą mieli obowiązek wdrożyć odpowiednie techniczne i organizacyjne środki w celu zagwarantowania poziomu bezpieczeństwa adekwatnego do ryzyka.
• Odpowiedzialność: Podmioty muszą być w stanie w sposób proaktywny wykazać zgodność z zasadami ochrony danych określonymi w rozporządzeniu.
• Zgłaszanie naruszenia danych: Obowiązkowe powiadomienia muszą być przekazane w ciągu 72 godzin przez organizację, która wykryła przypadek naruszenia danych osobowych.
• Wbudowana i domyślna ochrona danych: Zabezpieczenia danych osobowych zostaną wbudowane w produkty i usługi już na wczesnym etapie ich opracowywania i najprawdopodobniej domyślne ustawienia wspomagające ochronę prywatności staną się normą.
• Zwiększona widoczność danych osobowych: Podmioty mają obowiązek dokumentować przetwarzanie danych osobowych znajdujących się pod ich kontrolą.
• Prawo do przenoszenia danych: W określonych okolicznościach osoby fizyczne będą miały prawo otrzymać swoje dane osobowe w formacie ustrukturyzowanym, powszechnie używanym i możliwym do odczytu na urządzeniach w celu ich przekazania do innego administratora (np. innego usługodawcy).
• Usuwanie (tzw. prawo do zapomnienia): W określonych okolicznościach osoby fizyczne mają prawo poprosić administratora o usunięcie swoich danych osobowych, a administrator musi wówczas zawiadomić o tej prośbie odbiorcę takich danych osobowych.
Jak może pomóc technologia?
Najnowsze rozwiązania IT mogą oszczędzić czas i zredukować ryzyko w zakresie bezpieczeństwa i prywatności. Biorąc pod uwagę nowe rozporządzenie Unii Europejskiej, warto zwrócić uwagę przede wszystkim na systemy służące zapobieganiu utracie danych i zabezpieczaniu baz danych.
– Nieuprawniony dostęp lub wyprowadzenie poufnych danych może mieć katastrofalne skutki. Wyspecjalizowane technologie są w stanie zapobiec takim zdarzeniom i zapewnić wielowarstwową ochronę w każdym miejscu – w sieci, w chmurze i w punkcie końcowym – tłumaczy Arkadiusz Krawczyk z Intel Security. – Chronią również skutecznie bazy danych – przed zewnętrznymi, wewnętrznymi i ukrytymi w samej bazie zagrożeniami w czasie rzeczywistym bez konieczności zmian architektury, kosztownego sprzętu czy przestojów w jej działaniu. Nasze systemy na przykład dają widoczność całego środowiska bazodanowego i powiązanych zabezpieczeń.
O Intel Security
Intel Security mocno koncentruje się na rozwoju zapobiegawczych i sprawdzonych rozwiązań w zakresie zabezpieczeń i usług chroniących systemy, sieci oraz urządzenia mobilne, mających zastosowanie biznesowe i prywatne na całym świecie. Intel Security łączy w sobie doświadczenie i wiedzę firmy McAfee z innowacyjną i potwierdzoną wydajnością firmy Intel, aby bezpieczeństwo stało się kluczowym elementem każdego rozwiązania informatycznego na dowolnej platformie sprzętowej. Misją Intel Security jest zapewnienie każdemu użytkownikowi bezpieczeństwa pracy i poruszania się w cyfrowym świecie. www.intelsecurity.com
Intel Security