Firmy nie są gotowe na nowe unijne rozporządzenie o ochronie danych [AKT.]
Europejskie przedsiębiorstwa mają coraz mniej czasu na wdrożenie nowych rozwiązań, ale... nie są tego świadome. Słów kilka o GDPR.
AKTUALIZACJA [26.11.2016]: Kolejne badanie i kolejne niepokojące wieści na temat przygotowania polskich przedsiębiorstw na nadejście rozporządzenia GDPR o ochronie danych osobowych. Miesiąc temu Dell opublikował wyniki badań, z których wynikało, że 4 firmy na 5 nie są zaznajomione z tematem GDPR. Wspólne badanie Trend Micro, VMware oraz ARC Rynek i Opinia daje równie niepokojące wnioski.
Z nowego badania wynika, że ponad połowa (a konkretnie 52 proc.) polskich firm nigdy nie słyszała o GDPR, a 67 proc. nie ma pojęcia, ile czasu pozostało na wdrożenie koniecznych rozwiązań.
Co więcej, dzisiaj aż 4 przedsiębiorstwa na 10 nie mają wdrożonych żadnych procedur informowania organu ochrony danych o naruszeniach, a to jest jednym z najważniejszych punktów rozporządzenia. Jak tłumaczy Michał Jarski z Trend Micro: „Ma to ukrócić dotychczasową praktykę ukrywania faktów naruszeń bezpieczeństwa przed opinią publiczną, co powodowało powszechne ignorowanie tego problemu jako rzekomo mało istotnego i niewymagającego jakichkolwiek inwestycji”.
„Kolejną nowością wprowadzaną przez GDPR jest konieczność zastosowania adekwatnych zabezpieczeń technologicznych. Nie są przy tym wskazywane konkretne technologie, ale stawiany jest wymóg odpowiedniej jakości owych zabezpieczeń. Świadczy to o strategicznym podejściu UE, które ma zachęcić firmy do tego, aby myślały o bezpieczeństwie w bardziej kompleksowy sposób” – dodaje Jarski.
NEWS [21.10.2016]: W maju 2018 roku w życie wejdzie GDPR (General Data Protection Regulation) – nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Wymusi ono na przedsiębiorstwach wprowadzenie dużych zmian w zakresie sposobów gromadzenia i zarządzania danymi osobowymi.
Celem nowych przepisów jest poprawienie poziomu ochrony danych wszystkich obywateli Unii Europejskiej, dlatego też zmiany będą musiały zostać wprowadzone przez wszystkie podmioty – od korporacji, po małe i średnie firmy. Tymczasem z badania firmy Dell wynika, że przedsiębiorstwa nie są gotowe na takie zmiany.
Jedno słowo: nieświadomość
Niezależnie od wielkości, większość firm nie jest świadoma wymagań, jakie zostaną nałożone przez nowe przepisy, nie mają wiedzy na temat tego, jak do takich regulacji należy się dostosować ani też nie są świadomi konsekwencji wynikających z niezadbania o pełną zgodność z GDPR.
Badanie firmy Dell wykazało, że 4 na 5 przedsiębiorstw nie wie nic lub wie mało na temat unijnego rozporządzenia, a 97 proc. firm nie ma żadnego planu związanego z przygotowaniami do spełnienia wymogów zapisanych w GDPR. Niezbyt pozytywnie patrzy się też w przyszłość – tylko 9 proc. respondentów wierzy, że ich firmy będą gotowe na czas.
Co grozi firmie, która w maju 2018 roku nie będzie przystosowana do regulacji GDPR? Przede wszystkim potężne kary finansowe. Nieprzestrzeganie przepisów o ochronie danych osobowych może też spowodować liczne problemy w przyszłości – ograniczyć szansę na podpisywanie kontraktów czy konieczność radzenia sobie z efektami późniejszych naruszeń. Tego jednak przedsiębiorcy też nie są świadomi – 79 proc. ankietowanych odpowiedziało, że nie wie, czy ich firmy zostałyby ukarane.
Droga do uniknięcia kary jest z kolei jeszcze daleka – w ponad 90 proc. przypadków aktualne procedury nie spełniają bowiem wymogów GDPR.
Jak przygotować się na GDPR?
W gruncie rzeczy rozporządzenie GDPR nie wnosi żadnych gigantycznych zmian, z którymi firma miałaby sobie nie poradzić. Jest jednak szereg wymogów, które należy spełnić, ani uniknąć kary. A można to zrobić tylko wtedy, gdy jest się ich świadomym. Jakie to wymogi?
Przede wszystkim należy zatrudniać specjalistę ds. ochrony danych. Nie ma znaczenia to, czy będzie to oddzielne stanowisko, część obowiązków innego pracownika czy też zadanie dla agencji zewnętrznej.
Kolejny wymóg polega na wdrożeniu zaawansowanego rozwiązania do kontroli dostępu do aplikacji, dających wgląd w dane osobowe Europejczyków. Prawo do wglądu (w formie specjalnych certyfikatów) będą wydawali kierownicy pionów. Co istotne, nie każdy powinien mieć dostęp do wszystkich danych. Poszczególni pracownicy muszą mieć takie warunki dostępu, które umożliwią im tylko wykonywanie konkretnych, powierzonych im zadań.
Do podstawowych rozwiązań, które należałoby wdrożyć w firmie należą: scentralizowany system zarządzania tożsamością i dostępem, uwierzytelnianie wieloskładnikowe, bezpieczny dostęp zdalny, zabezpieczenia adaptacyjne i pełna kontrola nad aktywnością uprzywilejowanych użytkowników.
Przedsiębiorstwa powinny wprowadzić również NGFW, czyli firewall nowej generacji. Rozwiązanie to zmniejsza narażenie sieci na cyberzagrożenia i ogranicza do minimum ryzyko wycieku informacji. Zaawansowane NGFW nie tylko chroni przed zagrożeniami, ale też oferuje głęboką inspekcję pakietów, szyfrowanie sesji SSL w czasie rzeczywistym oraz adaptacyjne wydzielone środowisko uruchamiania aplikacji.
Świat się zmienia i zmieniają się też sposoby uzyskiwania dostępu do danych. Firma powinna zadbać o to, by pracownik mógł uzyskiwać informacje szybko, wygodnie i bezpiecznie. Rozwiązaniem jest zapewnienie chronionego dostępu mobilnego, dzięki któremu odpowiednio zabezpieczony dostęp możliwy jest na wiele różnych sposobów.
Na koniec może i niezbyt odkrywcza, ale niezwykle istotna porada. Odpowiednio zabezpieczyć należy bowiem też pocztę elektroniczną. Służbowa poczta powinna być chroniona przed phishingiem i innymi typami ataków.
„Choć do wejścia w życie przepisów GDPR pozostały dwa lata, lepiej nie odkładać na później przygotowań do spełnienia nowych wymogów. Skala, złożoność, koszty i newralgiczne znaczenie GDPR sprawiają, że większość firm będzie potrzebować co najmniej dwóch lat na osiągnięcie pełnej zgodności z przepisami. Większość przedsiębiorstw musi więc zacząć już teraz”, radzi Duncan Brown.
Źródło: Dell, inf. własna
Komentarze
2Ja bym raczej powiedział, że mało które niewielkie firmy posiadające np. sklep internetowy rejestrują swoje zbiory danych osobowych w GIODO, a już chyba wcale gdy sprzedają przez np. Allegro.
Zresztą sam bym się wahał, czy rejestrować sklep internetowy, w którym bym sprzedawał towary za kilkaset zł miesięcznie i byłby to margines mojego dochodu...