Tiskane izdaje
Cilj nove splošne uredbe o varstvu podatkov (GDPR) je urediti hrambo in obdelavo osebnih podatkov, predvsem pa njihovo zaščito v celotni življenjski dobi. GDPR je hkrati priložnost, da podjetja ob iskanju rešitev za zagotavljanje skladnosti precej dvignejo svojo varnostno letvico. Varnost poslovnih podatkov in informacij je večinoma v domeni oddelkov IT, a bi morala biti skrb vseh zaposlenih. Prihodnja uredba GDPR bo znatno uredila področje upravljanja podatkov, saj so zagrožene visoke kazni dovolj velika motivacija za sleherno podjetje, da uredi svoje poslovanje in po možnosti celo postane »podatkovno gnano«.
Nove zahteve
GDPR prinaša veliko novih zahtev pri varovanju podatkov. Grožnje, ki izhajajo iz nepooblaščenega dostopa do podatkov (kraje, zlorabe, odtekanja in podobno), morajo podjetja čim učinkoviteje preprečiti, če pa se ta zgodi, pa ga morajo vsekakor čim prej odkriti in zajeziti ter incident prijaviti. Podjetja torej poleg kakovostnega vpogleda v podatke in poslovanje potrebujejo predvsem varnostne rešitve, ki bodo blokirale napadalce.
»Upravljavcem in obdelovalcem je ostalo zelo malo časa za identifikacijo in izvedbo nujnih aktivnosti za zagotovitev skladnosti njihove obdelave osebnih podatkov z novo pravno ureditvijo varstva teh podatkov. Pri tem bodo uspešni le, če bodo postopki implementacije zahtev GDPR, ZVOP-2 in relevantnih področnih predpisov, kot sta uredba o zasebnosti in elektronskih komunikacijah, PSD2 in drugi, izvedeni sistematično in racionalno, z uporabo ustreznih metodologij ter organizacijskih in tehnoloških ukrepov, podprtih z usposabljanjem nosilcev upravljanja sistema varstva osebnih podatkov ter ozaveščanjem uporabnikov podatkov s temelji novega sistema,« razlaga Marjan Antončič iz podjetja Ainigma.
Po znanje in rešitve k sistemskim integratorjem
»Zagotavljanje skladnosti poslovanja z uredbo GDPR je vsekakor priložnost za sistemske integratorje, posebno za specialiste s področja informacijske varnosti in tiste, ki znajo načrtovati varne poslovne sisteme in rešitve, skladne z najvišjimi varnostnimi standardi. Podjetja se morda premalo zavedajo pasti na varnostnem področju. In to ne le neposrednih groženj, kot so hekerji, virusi in druge škodljive kode. Tudi slabo načrtovane varnostne rešitve, postavljene zgolj za zagotavljanje delovanja storitve, so nevarne. Če gre hkrati še za nepreverjene rešitve, se na koncu pogosto izkaže, da te sploh ne služijo namenu, torej je podjetje še bolj ogroženo,« komentira Matjaž Katarinčič, varnostni strokovnjak v podjetju Smart Com.
V dobi, ko podjetja uporabljajo cel kup informacijskih rešitev in poslovne programske opreme ter digitalnih naprav in storitev (predvsem iz računalniškega oblaka), je zagotavljanje ustrezne informacijske varnosti zahtevna naloga. Kompleksna okolja in iznajdljivi napadalci so za oddelek IT, ki ne premore specializiranih varnostnih strokovnjakov, namreč nočna mora.
Sistemi in aplikacije pa so lahko varni in učinkoviti šele, ko so ustrezno povezani in zavarovani. Uredba GDPR podjetjem postavlja veliko resnih vprašanj, na katera bodo morala najti odgovore. Predvsem pa je treba poskrbeti za varen in predvsem sledljiv dostop poslovnih uporabnikov do podatkov, njihovo spremljanje in analiziranje. Na področju komunikacije in prenosa podatkov praksa zahteva kriptiranje podatkov, saj močna enkripcija poskrbi, da tudi v primeru morebitnega prestrezanja napadalec dobi le kup nerazločnih »ničel in enic«.
Dvesto dni, da ugotovijo
Velik izziv podjetjem že zdaj pomeni resnično varno brisanje podatkov, še bolj bosa pa so pri odkrivanju varnostnih incidentov in preverjanju zlorab ter odtekanju podatkov. Statistika je strašljiva – podjetja povprečno več kot dvesto dni sploh ne ugotovijo, da so bila napadena, v tem času pa napadalci lahko odtujijo zelo veliko podatkov.
Podjetja se morajo lotiti zagotavljanja skladnosti z uredbo GDPR sama, saj je to njihova odgovornost. Če ugotovijo, da nalogi ne bodo kos, naj poiščejo pomoč strokovnjakov. Sistemski integrator jim lahko pomaga tako s strokovnim svetovanjem kakor tudi z uvedbo različnih varnostnih rešitev in ureditvijo poslovnih procesov s ciljem zagotavljanja dodatne varnosti. Je pa priporočljivo, da je pri projektu zagotavljanja skladnosti z uredbo GDPR že od začetka zraven tudi varnostni strokovnjak, ki dopolnjuje ugotovitve pravnikov in izvedbene načrte informatikov.
Tehnične rešitve so le del mozaika
»Kadar govorimo o rešitvah, s katerimi naslavljamo posamezne točke direktive GDPR, največkrat govorimo o naboru kibernetskih varnostnih rešitev, kot so overjanje uporabnikov in pooblastila, pristopna kontrola, rešitve za kriptiranje in varno brisanje podatkov, zaščita pred tako imenovanimi napadi ničtega dne, rešitve za spremljanje in analizo dogodkov z ocenami tveganj in podobne. Razmisliti velja tudi o vlogi osebe, ki bedi nad upravljanjem osebnih podatkov – tako imenovanimi DPO (Data Protection Officer),« je pojasnil Katarinčič.
Interna pooblaščena oseba za varstvo podatkov (DPO) mora biti strokovnjak na področju varstva podatkov in po organizacijski strukturi neodvisen od vodstva. Takšnih profilov strokovnjakov na trgu še ni, saj so šele »v nastajanju«. Precej verjetno je, da bodo DPO postali tudi varnostni strokovnjaki, ki si bodo želeli nadgrajenih izzivov (ali pa zgolj višje plače).
Uredba GDPR bo v poslovnih okoljih pospešila (ali pa jim celo na novo predstavila) uvedbo varnostnih rešitev s področja upravljanja identitet in dostopa. Gre za kontrolne mehanizme, ki upravljajo identitete uporabnikov ter določajo pravila in postopke glede na posamezno delovno mesto – ti se samodejno spremenijo in izvedejo tudi, ko zaposleni odide iz podjetja ali zamenja delovno mesto. Omenjene rešitve se seveda lahko uporabljajo tudi za informacijski dostop strank ali aplikacij do podatkov in zagotavljajo revizijsko sled.
Velika podjetja in podjetja z zelo veliko podatki, ki so zanimivi za napadalce, bodo okrepila povpraševanje po naslednji generaciji rešitev za upravljanje varnostnih dogodkov (NG SIEM). Informatiki bodo te rešitve konfigurirali za spremljanje skladnosti zakonodaje s podatkovnimi bazami oziroma modeli podatkov, varnostni strokovnjaki pa uporabili za natančnejše predvidevanje varnostnih incidentov, analizo varnostnih dogodkov, tveganj in pripravo poročil o skladnosti z zakonodajo.
Sodobne rešitve SIEM znajo zajeti in obdelati podatke o uporabnikih in njihovih aktivnostih od sistema, ko uporabnik začne uporabljati aplikacije, do delovnega namizja na računalniku. Dnevniki aktivnosti vseh naprav in aplikacij so zbrani na enem mestu, nadzorniku pa je na voljo sledljivost dogodkov od samega izvora do ponora. Posledično je rekonstrukcija dogodkov precej hitrejša, zato se podjetje lahko hitreje odzove na morebitne varnostne incidente. Naložba v rešitev za upravljanje varnostnih informacij in dogodkov se lahko zelo hitro povrne, saj omogoča hitro zaznavanje ter sprotno odpravljanje napak konfiguracije in omejevanje ter preprečevanje poslovne škode.
Prihodnje leto bo GDPR še bolj vroča tema
Zagotavljanje z GDPR skladnega poslovanja v neurejenih IT-okoljih in podjetjih ne bo lahka naloga. Podjetja se je morajo zato lotiti takoj. Že zdaj je težko natančno opredeliti njihov čas trajanja in ceno ter ali bodo v povprečju projekti s področja GDPR, saj je vse odvisno od stanja (ne)skladnosti poslovanja s posameznimi členi regulative. Več kot je neskladij, daljše je časovno obdobje implementacije in večji so stroški.
V primerjavi z drugimi evropskimi podjetji so slovenska v relativnem zaostanku (za najboljšimi), ko gre za zagotavljanje skladnosti z uredbo GDPR. A s prstom kazati na državo in se spraševati, zakaj po GDPR povzet novi zakon o varstvu osebnih podatkov, še ni implementiran v slovenski pravni red, ni pravi pristop. Do konca maja 2018 je le še malo več kot 170 dni. Varnostni strokovnjaki vedo, da bo kratica GDPR zaznamovala prihodnje leto: »Predvidevamo, da do postavljenega roka vsa podjetja gotovo ne bodo skladna z novo uredbo, še več, imamo občutek, da se bomo čez leto dni že ukvarjali z reševanjem stanja v podjetjih, ki bodo med prvimi prejemniki glob.«
