GDPR: dodatkowy pazur w ochronie danych osobowych

Naruszenia danych oraz związane z nimi kradzieże tożsamości osiągnęły skalę epidemii. Według ostatniego globalnego badania przeprowadzonego przez KMPG International więcej niż połowa (55%) konsumentów potwierdza, iż zaprzestała robienia zakupów online z powodu obaw dotyczących prywatności. Badanie pokazało również, iż mniej niż 10% badanych posiada obecnie kontrolę nad sposobem w jakim organizacje używają ich danych osobowych.

Ten rodzaj trendu jest złą wiadomością dla świata zmierzającego w kierunku przyjęcia gospodarki cyfrowej. Zakupy online, natychmiastowy dostęp do informacji finansowych a także możliwość elektronicznego dostępu oraz usług zabezpieczających zmienia życie ludzi i sposób w jaki organizacje prowadzą swoją działalność. Nie jest to odpowiedni czas na obniżenie poczucia bezpieczeństwa konsumentów.

Ogólne rozporządzenie o ochronie danych

Ogólne rozporządzenie o ochronie danych (GDPR) jest odpowiedzią Unii Europejskiej na ryzyko związane z wzrastającą rolą jaką technologia odgrywa w życiu codziennym. GDPR zostało ratyfikowane przez państwa członkowskie w kwietniu 2016 roku i wejdzie w życie 25 maja 2018 roku. Chociaż jest to rozporządzenie UE, to stosuje się je również w przypadku każdej organizacji – bez względu na jej fizyczną lokalizację – jeżeli przetwarza ona dane obywateli UE.

Celem nowej regulacji jest zapewnienie odpowiedniej ochrony procesu przetwarzania danych osobowych “domyślnie i według projektu”. Wymaga ona od organizacji zbierania jedynie minimalnej ilości danych potrzebnych w konkretnym celu, a następnie do całkowitego ich usunięcia w momencie, kiedy dane te nie będą już dłużej potrzebne. Rozporządzenie określa również osoby fizyczne jako wyłącznych właścicieli ich danych osobowych. Jako właściciele danych, osoby fizyczne muszą móc wycofać swoją zgodę na przechowywanie danych w tak samo łatwy sposób w jakim wydali swoją zgodę na ich pobór.

Prywatność to prywatność

Sztuczka polega na tym, iż dla wielu organizacji GDPR daje osobom fizycznym “Prawo do bycia zapomnianym” (ang. RTBF), co oznacza, iż w momencie, gdy wygaśnie ich związek z organizacją, będą mogły odzyskać swoje dane osobowe oraz że ich wszelkie identyfikowalne informacje osobowe (ang. PII) muszą zostać usunięte. Obejmuje to wszelkie dane, które mogą potencjalnie identyfikować konkretne osoby fizyczne oraz które mogą zostać użyte w celu odróżnienia jednej osoby od drugiej lub, które mogą zostać użyte w celu odtajnienia danych anonimowych.

Zaostrzenie ochrony

W przypadku naruszenia danych, GDPR określi również warunki dotyczące tego, kiedy należy dokonywać powiadomień w przypadku wycieku danych, oraz ustanawia dwa poziomy kar w zależności od powagi naruszenia. Mniejsze naruszenia podlegać będą karze do 2% światowych obrotów organizacji lub 10 milionów euro w zależności od tego, która kwota okaże się większa, a poważne naruszenia do 4% obrotów lub 20 milionów euro.

Z powodu szybkich zmian następujących w technologii, GDPR nakłada również ciężar “ciągłej oceny ryzyka” na instytucję kontrolującą dane oraz wymaga tego, iż jakakolwiek zewnętrzna organizacja przetwarzająca dane musi również działać w zgodności z GDPR. Zarówno wysiłek osiągnięcia zgodności jak iryzyko związane z jej brakiem wzrasta dramatycznie wraz z wejściem w życie rozporządzenia GDPR. W rzeczy samej szacuje się, iż 50% organizacji nie będzie działać w zgodności z GDPR w momencie rozpoczęcia jego obowiązywania.

Kto jest objęty regulacją?

GDPR odnosi się do wszelkich organizacji w dowolnym kraju, które zbierają, gromadzą lub przetwarzają dane osobowe obywateli UE. Zaliczamy do tego dane dotyczące pracowników, partnerów biznesowych, potencjalnych klientów oraz kontrahentów. Zgodnie z terminologią rozporządzenia organizacje takie nazwane są mianem “kontrolerów”, co oznacza tych, którzy określają w jaki sposób i dlaczego dane osobowe są przetwarzane, lub “przetwarzających”, którzy działają na rzecz kontrolerów. Na jednych i drugich GDPR nakłada zwiększone obowiązki oraz kary za brak zgodności lub w przypadku naruszenia.

Skutki GDPR będą znacznie większe niż regionalnego rozporządzenia, które po prostu wpływa na firmy UE lub organizacje, które posiadają dane osobowe UE. Prawdopodobne jest to, iż będzie ono prowadzić do większych oczekiwań ze strony ludzi aby poziom ochrony i widoczności wymagany przez GDPR stał się “nowym standardem”. Jeśli firmy są w stanie zaoferować wysoki poziom widoczności oraz kontroli PII dla konsumentów z UE, dlaczego nie można rozszerzyć zakresu tego rozporządzenia na resztę świata? Spowoduje to podniesienie poprzeczki w zakresie ochrony danych i coraz więcej osób będzie zadawać sobie pytanie “jak bezpieczne są moje dane”?. Będzie to wzmagać apetyt klientów na rozwiązania, które pomogą im przenieść się z miejsca, w którym znajdują się dzisiaj w miejsce, w którym chcieliby się znajdować pod względem bezpieczeństwa i kontroli ich danych osobowych.

Dla większości organizacji, szczególnie dla międzynarodowych przedsiębiorstw, wypełnianie rozporządzenia GDPR będzie czasochłonnym i trudnym wyzwaniem. Oprócz wpływu na przetwarzanie informacji i technologię bezpieczeństwa, zgodność z GDPR będzie wymagać zmian w niektórych podstawowych procesach biznesowych, włączając w to przetwarzanie danych osobowych w przepływie pracy, strukturach organizacyjnych, a nawet strategii biznesowej. W przeciwieństwie do innych gwałtownie rozwijających się cyfrowych modelów biznesowych oznacza to, iż zgodność będzie wymagała nieustannej oceny ryzyka kojarzonej z wdrożeniem nowych technologii. Proces ten będzie wymagał świeżego spojrzenia na istniejące rozwiązania i strategie bezpieczeństwa. Bezpieczeństwo sieci nie wymaga tylko aktywnego zapobiegania włamaniom pochodzącym z wewnątrz rozproszonych i elastycznych ekosystemów sieciowych. Będzie również wymagało minimalizacji ryzyka poważnych naruszeń poprzez redukcję czasu poświęconego na wykrycie i reakcję na nowe zagrożenia. Aby to osiągnąć wymaga się szerszego, bardziej skutecznego i zautomatyzowanego podejścia do bezpieczeństwa.

Co można zrobić? Platforma ochrony Fortinet Security Fabric może być skutecznym
sojusznikiem.

Fortinet Security Fabric pozwala organizacjom wykorzystywać zbiorową energię i inteligencję całego portfolio rozwiązań bezpieczeństwa Fortinet, w celu zbierania i korelacji informacji o zagrożeniach, aktywnie wykrywać i izolować zagrożenia oraz zautomatyzować skoordynowaną odpowiedź wewnątrz całej sieci.

Takie podejście pozwala organizacjom poszerzyć głęboki wgląd wewnątrz własnej infrastruktury oraz, co ważniejsze, do własnych danych w taki sposób, iż będą one wiedziały gdzie te dane się znajdują i kto posiadał do nich dostęp. Pozwala im również wykazać zgodność pod kątem ochrony prywatności oraz weryfikacji bezpiecznego gromadzenia, użytku oraz usuwania danych.

Rozwiązania bezpieczeństwa Fortinet zostały zaprojektowane w taki sposób, aby były zarówno skalowalne jak i wzajemnie połączone. Łączą w sobie wysoką świadomość, funkcjonalne śledzenie zagrożeń, ujednolicone zarządzenie oraz połączenie powszechnych systemów operacyjnych z otwartymi standardami API w zintegrowaną całość zapewniającą bezproblemową ochronę nawet wewnątrz najbardziej wymagających środowisk przedsiębiorstw. Dodatkowo każdy z komponentów Fortinet Security Fabric posiada niezależnie uzyskane najważniejsze certyfikaty stron trzecich dotyczące skuteczności i wydajności bezpieczeństwa.

Inną zaletą zintegrowanej strategii bezpieczeństwa jest redukcja złożoności, która może skutecznie osłabić zapewnienie zgodności. Dzięki strategii security fabric można w widoczny sposób uprościć swoją infrastrukturę jednocześnie zwiększając możliwości Firewalla Nowej Generacji (ang. NGFW) w kierunku kompletnej i interaktywnej struktury bezpieczeństwa, która działa jako zintegrowana całość. Podejście to rozszerza widoczność wewnątrz całego ekosystemu sieci oraz ogranicza czas na wykrycie zagrożeń i podatność na ataki. Taka holistyczna infrastruktura bezpieczeństwa nowej generacji jest konieczna w przypadku organizacji, które chcą spełnić wymagania GDPR w długim okresie czasu. Bez tego, kwestią czasu jest to kiedy zostaną przyłapane na niezgodności i będą musiały za to zapłacić.

Źródło: https://www.csoonline.com/article/3214431/security/the-gdpr-adding-teeth-to-data-privacy.html