BANK 2017/06

50 Największych Banków w Polsce 2017: RODO to szansa dla biznesu, nie tylko wydatki

Tim Grieves | Dariusz Śliwa,Cezary Prokopowicz
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
W większości firm, zarówno polskich, jak i europejskich, najbliższe miesiące przebiegać będą pod znakiem wdrażania nowych zasad ochrony danych osobowych. Jak uczynić ten proces najbardziej efektywnym i zarazem najmniej uciążliwym dla przedsiębiorstwa?
bank.2017.06.foto.142.c.200xTim Grieves on
CIO, CISO, CISM, MBCS Chief Cyber & Security Strategist – EMEA, HPE Software

 [TG]: Wdrażanie rozwiązań przewidzianych przez ogólne rozporządzenie o ochronie danych osobowych w wielu przedsiębiorstwach traktowane jest wyłącznie w kategoriach spełnienia narzuconego przez ustawodawcę obowiązku i zapewnienia zgodności wykorzystywanych w firmie procedur z obowiązującymi przepisami. Tymczasem implementacja RODO oznaczać może dla organizacji niepowtarzalną szansę na zwiększenie efektywności wewnętrznych procesów, z czym wiąże się z kolei poprawa jakości funkcjonowania przedsiębiorstwa oraz optymalizacja kosztów. Pamiętajmy, że zasady ochrony danych osobowych stosowane 142 HPE Software obecnie w biznesie odwołują się do przepisów wprowadzonych 22 lata temu, kiedy to cały świat wyglądał zupełnie inaczej. Właściwie przeprowadzony proces dostosowania organizacji do nowych reguł ochrony danych osobowych z pewnością wygeneruje nowe możliwości dla prowadzonej działalności biznesowej. Dziś wiele firm nawet nie ma świadomości, jakie informacje na temat swoich klientów posiada i jak je można spożytkować w działalności biznesowej. Jeśli do posiadanych zasobów danych zaczniemy podchodzić w sposób świadomy, będziemy umieli wyciągać z nich właściwe wnioski i określić korelacje pomiędzy określonym informacjami o kliencie a jego potrzebami i oczekiwaniami, wówczas pojawia się możliwość zaproponowania nowych produktów i usług czy też przyciągnięcia zupełnie nowych klientów. Dlatego wdrażając postanowienia RODO, firmy powinny się skupić na maksymalnym wykorzystaniu nowych możliwości: zwiększeniu przychodów i efektywności operacyjnej czy też oszczędnościach. Postrzeganie ochrony danych jedynie przez pryzmat kar finansowych, tych osławionych 2 czy 4% rocznych przychodów, jest z gruntu błędne.

Dla wielu podmiotów RODO oznaczać będzie rewolucję w zasobach IT. W jakim stopniu nowe technologie mogą przyczynić się do faktycznego zwiększenia ochrony danych?

 [TG]: Utożsamianie implementacji nowych uregulowań prawnych w zakresie bezpieczeństwa informacji czy ochrony danych osobowych jedynie z wymianą systemów teleinformatycznych to kolejny błąd, jakże często popełniany przez osoby decyzyjne w przedsiębiorstwach. Rozwiązania IT są oczywiście powiązane w nierozerwalny sposób z przetwarzaniem danych osobowych, muszą więc nadążać za zmianami wymagań regulacyjnych, jednak zakup nowych systemów teleinformatycznych nie wystarczy, by zagwarantować właściwą ochronę danych osobowych czy w ogóle danych przetwarzanych ramach prowadzonej działalności. Konieczne są zmiany w zakresie procesów realizowanych w organizacji, jak również, a może przede wszystkim, właściwe przygotowanie załogi.

[DS]: Niedocenianym, ale niezmiernie istotnym obszarem jest samo zarządzanie informacją. Musimy wiedzieć, jakie dane posiadamy, gdzie je przetwarzamy i przechowujemy. Należy również regularnie odświeżać swoją wiedzę oraz poddawać ją krytycznej ocenie.

[TG]: Zwrócę tu uwagę tylko na jedno z wyzwań: często uważa się, ze przepisy unijne obejmują wyłącznie podmioty prowadzące działalność na terenie Wspólnoty. Tymczasem RODO ma zastosowanie również do pozaeuropejskich firm, które mogłyby pozyskiwać, przechowywać i przetwarzać dane o obywatelach Unii. Podejmując współpracę z partnerem amerykańskim czy azjatyckim, w ramach której konieczne jest przekazywanie danych osobowych, firma europejska musi zagwarantować, że jej kontrahent będzie stosować się do standardów stosowanych w Unii Europejskiej. HPE jest w stanie zaoferować wsparcie również w tym obszarze; myślę tu o kompleksowej obsłudze konsultacyjnej, która w naszym wydaniu nazywa się Journey To Value (JTV), czyli swego rodzaju modelowym, procesowym podejściu do sprawdzenia, w jaki sposób organizacja powinna osiągnąć zgodność z GDPR.

Z powyższego wynika również, że procesy związane z ochroną danych osobowych powinny być włączone w szerszy kontekst bezpieczeństwa i zarządzania danymi w firmie…

bank.2017.06.foto.142.b.200xDariusz Śliwa
Inf. Mgmt & Governance, HPE Software [DS]

 [DS]: Obszar bezpieczeństwa danych, zarządzania informacją i ochrony danych osobowych są we współczesnym świecie integralnie powiązane. Chciałbym przypomnieć incydent z 2016 r., gdy jeden z polskich operatorów telekomunikacyjnych informował o ataku hakerów na serwis www służący rejestracji nowych klientów. Wedle samego administratora danych doszło wówczas „do naruszenia danych osobowych, które przekazali Państwo poprzez formularze na stronie [internetowej]”. Na pierwszy rzut oka faktycznie mamy do czynienia z klasycznym naruszeniem bezpieczeństwa danych osobowych, wszak doszło do włamania i wycieku. Jednak w rzeczywistości problem dotyczył zarządzania informacją, a w zasadzie jego braku – dane klientów nie były usuwane z serwisu www po zakończeniu procesu rejestracji nowego klienta, zalegając tam przez wiele lat. W efekcie duża ilość niepotrzebnie gromadzonych tam informacji stała się cennym łupem hakerów. Gdyby operator dysponował odpowiednimi narzędziami pozwalającymi na wyszukiwanie i inwentaryzację danych osobowych, skala wycieku byłaby znacznie mniejsza.

Dlaczego pomimo tak dynamicznego rozwoju narzędzi antyfraudowych możliwa jest tak wielka bezkarność sieciowych włamywaczy?

bank.2017.06.foto.142.a.200xCezary Prokopowicz
Regional Sales Manager Eastern Europe, HPE Software [CP]

[CP]: Skuteczne zapobieganie atakom hakerskim jest możliwe jedynie wówczas, jeśli odejdziemy od tradycyjnego postrzegania cyberataków jako zagrożenia, przeciwko któremu wystarczy zastosować nowoczesne rozwiązania teleinformatyczne. W większości firm stosowane są najbardziej aktualne zabezpieczenia, tymczasem według badań średni okres pomiędzy włamaniem a jego wykryciem wynosi 146 dni. Prawie przez pół roku złodzieje penetrują zasoby przedsiębiorstwa w sposób całkowicie niezauważony!

[TG]: Aby powstrzymać ten proceder, należy przede wszystkim zrozumieć punkt widzenia tej kategorii przestępców i sposób prowadzenia przez nich biznesu. A ten, jak w każdej działalności gospodarczej, sprowadza się do maksymalizacji zysków, obniżki kosztów i zwiększania efektywności. Przestępcy dysponują nawet analogicznymi strukturami jak korporacje: mają swój dział personalny, który troszczy się o jak najlepsze przygotowanie załogi do dokonywania coraz bardziej wyrafinowanych wyłudzeń, komórki odpowiedzialne za finanse, logistykę czy obsługę prawną, a także marketingowców, którzy starają się dotrzeć do potencjalnych klientów i zaoferować im swe usługi. Jeżeli poznamy mechanizmy działania grup przestępczych, wówczas jesteśmy w stanie zmienić sposób narracji wewnątrz przedsiębiorstwa i w zrozumiały sposób przedstawić zarządowi i radzie nadzorczej informacje o zagrożeniach i metodach ich skutecznej eliminacji. Dziś bardzo często na zebraniach zarządów dyskutuje się o konkretnych rozwiązaniach IT, o firewallach czy innych pakietach antyfraudowych, co jest i niezrozumiałe, i nieefektywne. Nie tędy droga, w obszarze ochrony bezpieczeństwa informacji zawsze należy wziąć pod uwagę kontekst szerszy niż tylko technika.

Na zakończenie jedno pytanie: jakie nowe zagrożenia w obszarze bezpieczeństwa danych mogą się pojawić w nadchodzących miesiącach?

Siedem zaleceń dla CIO i CISO wdrażających RODO

  1. Wybierz i stosuj odpowiednio pojemny framework i strategię bezpieczeństwa cyfrowego
  2. Koncentruj się na DANYCH – na zarządzaniu rekordami, klasyfikacji, szyfrowaniu i retencji
  3. Przeprowadź pełen audyt bieżących i planowanych inicjatyw dotyczących ryzyka
  4. Aktywnie włączaj Bezpieczeństwo i Zarządzanie Informacją do wszystkich procesów (security & privacy by design)
  5. Mobilizuj szerokie audytorium wokół Bezpieczeństwa Danych oraz Zarządzania Informacją (projektowanie produktów/usług, łańcuch dostaw…)
  6. Przekonaj partnerów i klientów do rygorystycznych standardów bezpieczeństwa i zarządzania informacją
  7. Przemyśl rolę IT (stań się cenionym partnerem biznesowym)

[TG]: Rok 2017 upłynie najpewniej pod znakiem łączenia danych pozyskanych z różnych źródeł. Do tej pory kradziono z reguły pojedyncze elementy, takie jak numery kart płatniczych, określone rodzaje danych osobowych czy też przechwytywano poszczególne operacje bankowe. Rozwój big data sprawia, że dla zorganizowanych grup cyberzłodziei nowym obszarem działalności stanie się łączenie zasobów danych pozyskanych z najróżniejszych źródeł, ich agregowanie w jak najbardziej kompletne pakiety. Dla przestępców taki pakiet jest nieporównanie więcej wart niż poszczególne informacje, umożliwia bowiem dokonywanie wyłudzeń na znacznie większą skalę i zupełnie nowych obszarach, równocześnie jednak konsekwencje przechwycenia danych osobowych stają się coraz poważniejsze dla ewentualnych poszkodowanych. Możemy już mówić o przechwyceniu cyfrowej tożsamości, co z kolei stanowi problem znacznie donioślejszy aniżeli tylko utrata karty płatniczej czy nawet przejęcie przez złodzieja danych dostępowych do bankowego systemu transakcyjnego. W obecnej chwili zagrożenie dotyczy w zasadzie wyłącznie konsumentów, jednak nie ma wątpliwości, że prędzej czy później na celowniku hakerów znajdą się również przedsiębiorstwa i administracja publiczna.