GDPR: Revoluce nebo evoluce kybernetické bezpečnosti?

O Obecném nařízení o ochraně osobních údajů (General Data Protection Regulation) bylo napsáno již mnoho článků a vedou se o něm dlouhé debaty napříč všemi odvětvími trhu. Nová regulace schválená v květnu 2016 nezadržitelně odpočítává čas ze své dvouleté implementační lhůty končící na jaře 2018 (25.5).

GDPR: Revoluce nebo evoluce kybernetické bezpečnosti?


Nastala tedy doba, kdy se musí obecné debaty nezbytně proměnit ve věcné, vize v plány a průzkum trhu v reálnou implementaci potřebných opatření.

GDPR lze rozdělit hned na několik oblastí, které je nutno řešit. Jejich definice se může lišit různými výklady, ale obecně lze říci, že jde o: Správu, procesy zpracování, uživatele a komunikaci, Data management a Bezpečnost.

Jak začít? Získejte přehled

Téma kybernetické bezpečnosti se line napříč celým textem nařízení a je jednou ze základních složek potřebných k vyhovění požadavkům nařízení. Jde primárně o to zajistit, aby data poskytnutá fyzickou osobou zůstala v bezpečí a nemohla být jakýmkoliv způsobem zneužita.

Velkou otázkou však zůstává, jak přistoupit k zajištění bezpečnosti. Mnohé z organizací, které se budou s tímto úkolem potýkat, mají v oboru minimální zkušenosti a je tedy zásadní zvolit postup, který zavedení potřebných technických a organizačních opatření co nejvíce usnadní.

Nařízení mění základní paradigma bezpečnosti osobních údajů a nově ji hodnotí na bázi rizikovosti. Prvním krokem k zajištění souladu s GDPR v oblasti bezpečnosti by tedy měla být primární analýza: jaká data organizace zpracovává, jaká je úroveň jejich rizikovosti, kde se dané údaje nacházejí v mých systémech. Společnost tak získá přehled o současném stavu svého prostředí, od kterého může odvodit další kroky směrem k implementaci potřebných opatření.

Udržte kontrolu

V oblasti bezpečnosti bylo a bude vždy zásadním faktorem udržet si dlouhodobou kontrolu nad svým prostředím. GDPR více než kdy dříve regulatorně tlačí na dohled nad aktivitami v systémech. V případě, že dojde k úniku dat a audit dozorového orgánu prokáže, že nebyly zavedeny veškeré procesy a opatření, které by uniku mohly zabránit nebo jeho dopad minimalizovat, riskuje taková společnost pokuty až do výše 20 mil. EUR nebo 4% ze světového obratu společnosti. Není tedy záhodno s nařízením hazardovat.

Bezpečnostní monitoring je v této oblasti jedním z ideálních řešení, jak si ušetřit spoustu problémů a zároveň zefektivnit současné IT. Monitoring v reálném čase pomáhá odhalit útočníka, který se nás snaží o kritická data připravit a ve chvíli, kdy víme, že se něco děje, je daleko snazší krizi zabránit.

Osobní údaje se vyskytují v mnoha formách a je důležité udržet kontrolu nad celým systémem. Ať se tedy jedná o monitoring strukturovaných či nestrukturovaných dat, infrastruktury nebo koncových zařízení, u vysoce rizikových údajů by neměla být podceněna žádná z těchto oblastí.

Uživatelé jsou riziko

I ve chvíli, kdy máte svůj systém pevně v rukou, stále zbývá jedna oblast, kterou je velmi obtížné pokrýt. Uživatelé a jejich přístupy ke zpracovávaným datům, stejně jako identifikace subjektů údajů vznášejících požadavky, na které mají díky GDPR právo jsou vždy potenciálním rizikem.

I tento problém má své řešení. Zavedení autorizačních opatření zajistí, že k danému zpracování mají přístup pouze uživatelé, kteří ho nezbytně potřebují k vykonávání své činnosti, stejně jako může zabránit střetu zájmů a značně tak snížit interní nebezpečí, které díky uživatelům vzniká.

Druhá strana mince pak vykresluje problém přístupu externích uživatelů (převážně pak žadatelů o vyřízení vznesených požadavků). Správce ve většině případů musí zajistit jejich identifikaci, než daný požadavek vyřídí, což může být pro spoustu organizací problém. Řešením je buď využít stávající autentizační metody, které má již organizace zavedené nebo nasadit nové automatizované řešení.

Prevence, Detekce, Odezva

GDPR organizace odkazuje na vytvoření efektivního a akceschopného systému kybernetické bezpečnosti, ideálně rozděleného do tří fází. Prevence- minimalizace rizika ještě před tím než vůbec ke kybernetickému incidentu dojde. Tato fáze zahrnuje hlavně prioritizaci a eliminaci zranitelností, správné nastavení konfigurací síťových prvků, udržení kontroly nad uživateli a přehledu nad daty. Detekce- v případě, že k incidentu přesto dojde, je klíčovým momentem schopnost ho detekovat (viz část o Udržení kontroly). Poslední prvek skládačky je schopnost na proběhlý incident reagovat. Ať už jde o subjekty údajů, které je potřeba kontaktovat a oznámit jim únik dat, projít cestu útoku a eliminovat jejich zdroj nebo dokázat včasně reagovat vůči dozorovým orgánům v rámci ohlašovací povinnosti.

GDPR je tedy pro spoustu organizací revolucí v oblasti bezpečnosti a pro jiné pouhou aktualizací stávajícího stavu. Každopádně jde o velké téma, kterému je nutné se věnovat, jelikož květen 2018 se blíží.

Úvodní foto: Fotolia © momius










Komentáře