Společnost Comguard připravila ve spolupráci se společností McAfee setkání pro partnery a zákazníky s tématem GDPR a ochrany dat. Evropské nařízení o ochraně osobních údajů sice bude účinné až od května příštího roku, ale informace, které zazněly během série přednášek, byly i tak alarmující.
Nepůjde to zaonačit
Vladimír Merta z Comguardu shrnul základní informace o nařízení GDPR a zdůraznil jeho nadřazenost právu členských států EU. Je tedy vyloučeno, že bychom to nějak „zaonačili“, nařízení bude platit pro všechny správce a zpracovatele dat v České republice.
Merta dále hovořil o velké pasivitě státu a médií ohledně GDPR. Kusé informace z veřejných zdrojů podle něj z nařízení vytvářejí démonizovaný „black box“ a tuzemské subjekty jako by čekaly na signál, který však stále nepřichází. V sousedních zemích již přitom podle Merty dávno probíhají přípravy.
Současně zmínil, že zmíněná pasivita je zarážející, neboť za porušení GDPR hrozí pokuta až 20 milionů eur a nařízení se vztahuje prakticky na kohokoliv, kdo spravuje nebo zpracovává osobní údaje občanů členských států. Jeho dopad proto bude velmi široký a nařízení se bude vztahovat i na subjekty, které by to možná nečekaly.
Přichází éra informovaného souhlasu
Kromě nových povinností spojených se správou osobních údajů bude podle Merty třeba věnovat velkou pozornost získávání souhlasu subjektů, které podle něj tvoří a budou tvořit 99 % potíží při zaváděním souladu s novým nařízením.
Dny předem zaškrtnutých políček a implicitních souhlasů, které umožňuje současný zákon o ochraně osobních údajů, se stanou v režimu GDRP minulostí a správci dat budou muset velmi explicitně informovat subjekt o tom, kdo přesně bude jeho data spravovat a co s nimi bude dělat.
Aby toho nebylo málo, subjekt bude mít právo svůj souhlas odvolat a vznést námitku proti přenositelnosti svých osobních údajů. Drtivá většina subjektů dnes přitom podle Merty nemá úplně jasno v tom, kde se jejich data nachází a kdo s nimi může nakládat.
Kdo je vlastně ten správce?
Merta varoval, že řada organizací si vlastně není jista svou budoucí rolí v režimu GDPR a už vůbec si pak není jista tím, jaký bude mít nařízení vliv na vztahy s externími partnery. Ilustroval to příkladem firmy, která si nechává zpracovávat účetnictví a mzdy externím specialistou.
Dojde-li k úniku dat, při hledání viníka bude primárně zkoumáno, jakým způsobem správce dat (v tomto případě firma) zajistil jejich ochranu, a to nejen v rámci své vlastní organizace, ale také v rámci celého řetězce – v tomto případě ještě velmi jednoduchého – zahrnujícího zmíněného účetního.
Jako právník Merta soudí, že právě takové případy budou hlavní příčinou soudních řízení v B2B oblasti a povede k řadě zajímavých precedentů. O to větší pozornost by však měly firmy věnovat tomu, kdo bude v jaké situaci zodpovědný za bezpečnost předmětných údajů.
Největší hrozby
Nad správci dat se podle Merty vznáší celá řada hrozeb. Z vývoje událostí vyplývá problém vnitřního dluhu v organizacích, které dlouhodobě zanedbávaly oblast bezpečnosti, hrozí zavádění další evropské legislativy a hrozí i potíže se správci dat, kteří sice sídlí mimo EU, ale zároveň jsou součástí řetězce.
Další hrozby vyplývají z příležitosti. Kromě obligátních hackerů a úniků dat Merta upozornil na problém „šíbrů“, kteří sice nedisponují IT znalostmi, ale zase mají zmapovaná úskalí nové legislativy a chystají se je využít ku prospěchu svému (likvidace konkurence) nebo ku prospěchu toho, kdo jim zaplatí.
V neposlední řadě je zde hrozba v podobě běžného lidského faktoru, tedy vědomého nekalého jednání či nechtěného selhání některého zaměstnance. Správci dat samozřejmě hrozí i postih ze strany akcionářů v případě, že svou (ne)činností dopustí situaci, kdy dojde k porušení podmínek nařízení.
Merta na závěr zdůraznil, že GDPR bude prakticky všudypřítomné, bude prostupovat celou organizací a dotkne se prakticky všech klíčových podnikových systémů. Nařízení se navíc nevztahuje pouze na IT systémy, ale i na data v listinné podobě, kartotéky a další „papíry“.
Co s tím? Nabídnout pomocnou ruku!
Něco takového skutečně není radno podcenit, ale i tato mince má rub i líc. Merta zdůraznil, že správci dat budou muset sestavit tým odborníků, nehledě na povinnost jmenovat oficiálního pověřence, spíše známého pod termínem data protection officer (DPO), v rámci větších organizací.
Velká část správců však bude i přesto vyžadovat externí pomoc, a právě v tuto chvíli přichází velká příležitost pro specialisty na bezpečnost, dodavatele řešení, poskytovatele služeb a další partnery. Tyto firmy si v příštím roce rozhodně nebudou moci stěžovat na nedostatek práce.
Comguard přitom rozhodně nehodlá nechat své partnery ve štychu. Vzhledem k velmi rozličným problémům jednotlivých správců dat sice nejsou v plánu žádné partnerské semináře, ale Vladimír Merta a další členové týmu distributora jsou k dispozici k individuálním konzultacím.
Pozor na trojúhelník GDPR-eIDAS-ZoKB(NIS)
Po Mertovi si vzal slovo Aleš Špidla, prezident Českého institutu manažerů informační bezpečnosti, který ve své prezentaci hovořil o problematice trojúhelníku GDPR-eIDAS-ZoKB(NIS). Nadcházející režim GDPR je podle něj nutné vnímat v kontextu dalších dvou důležitých fenoménů.
Pod zkratkou eIDAS se skrývá evropské nařízení o elektronické identifikaci a důvěryhodných službách pro elektronické transakce, které je účinné již o poloviny roku 2016 a jeho účelem je garantovat identitu jedince v kyberprostoru a zavést standardy pro elektronické podpisy a další typy elektronické identifikace.
Souvislost tohoto nařízení a GDPR je velmi přímá. Celých 74 % kybernetických útoků totiž podle Špidly probíhá skrze zneužitou nebo špatně zabezpečenou identitu. Tato skutečnost představuje velké varování pro správce dat.
Na dně čeká státní zástupce
Zkratka ZoKB(NIS) pak představuje novelizované znění zákona o kykerbetické bezpečnosti. Národní bezpečnostní úřad například v souladu s touto novelou přestane pokrývat oblast IT a jeho pravomoci převezme nově vznikající Národní úřad pro kybernetickou a informační bezpečnost.
Pro správce dat je však důležitější jiná změna. Novela zákona totiž rozšiřuje záběr a nastavuje nižší parametry pro definici provozovatele základní služby, čímž se rozumí taková, jejíž narušení by mohlo mít „významný dopad na zabezpečení činností“ v klíčových odvětvích.
To jinými slovy znamená, že některé poskytovatele služeb, které se dotýkají sektorů, jako jsou energetika, doprava, bankovnictví, zdravotnictví, digitální infrastruktura nebo veřejná správa, čeká sada nových povinností týkajících se ochranných a preventivních opatření.
Špidla zdůraznil nutnost brát celou situaci velmi vážně. GPDR, eIDAS a ZoKB(NIS) přímo přirovnal k vrcholům Bermudského trojúhelníku, v jehož středu se točí ohromný vír a na jeho dně čeká státní zástupce.
Podniky si podle Špidly musí přestat namlouvat, že se jich tyto změny netýkají. Kromě právních aspektů a hrozících pokut by si firmy měly dát pozor i na poškození pověsti a všechny by se měly vydat cestou auditu, návrhu a následné implementace příslušných opatření.
McAfee ochrání data pomocí analýzy
Jan Strnad ze společnosti McAfee, která byla hlavním partnerem setkání, následně představil portfolio nástrojů, které firma nabízí pro ochranu a prevenci ztrát dat na základě analýzy. McAfee dokáže pokrýt a monitorovat cloudové služby a aplikace, databáze, interní systémy, koncová zařízení i síťovou infrastrukturu.
Strnad zdůraznil, že data se ztrácejí nejen při přesunech a při práci s nimi, ale také z úložišť. McAfee proto nabízí portfolio analytických a preventivních řešení McAfee DLP, která podle něj poskytnou komplexní ochranu celého prostředí organizace.
Tato platforma dokáže klasifikovat data a následně sledovat, jak je s nimi nakládáno, zasílat notifikace administrátorům, zabraňovat uživateli v jeho činnosti, či si od něj vyžádat odůvodnění toho, co s danými daty dělá.
Vyhovění GDPR snadno a rychle
Samotný proces klasifikace je podle Strnada nejdůležitější a nejnáročnější částí celého procesu, neboť pokud by měl systém sledovat úplně vše, bylo by to nesmírně náročné na paměť i síť, zejména ve větších organizacích.
Vzhledem k celkem jasné definici osobních údajů podle GDPR je však klasifikace v tomto případě usnadněna. Systém dokáže v souborech najít výrazy v určitém formátu (např. rodná čísla, čísla platebních karet, data, telefonní čísla, e-mailové adresy), případně používat slovník frází.
K dispozici je však i manuální nástroj, který umí vynutit na samotném uživateli, aby sám klasifikoval data v souboru, který vytváří v sadě Office nebo Outlooku. Toto podle Strnada nachází uplatnění například v bankách a podobných organizacích.
Zdroj: ChannelWorld
