Raport specjalny Bezpieczeństwo banków 2017: Długi i bolesny poród

Artur Król

Zmianie ulegną zasady rejestrowania, przechowywania, przetwarzania i udostępniania danych wszystkich osób fizycznych, a firmy będą musiały dostosować się do nowych procedur w zakresie cyberbezpieczeństwa. Wypracowanie skuteczniejszych, ogólnoeuropejskich przepisów dotyczących ochrony danych zajęło państwom Unii Europejskiej aż cztery lata. Wejście w życie nowych uregulowań będzie najistotniejszą zmianą ustawodawstwa w tym zakresie w ostatnim dwudziestoleciu. Po pierwsze, stworzono zestaw skutecznych, możliwych do wyegzekwowania przepisów chroniących dane obywateli Europy. Po drugie, niesie on ze sobą daleko idące konsekwencje i może spowodować gruntowną zmianę dotychczasowych procesów i procedur organizacyjnych we wszystkich obszarach działania przedsiębiorstw – od kadr po sprzedaż i marketing. Od maja 2018 r. stworzone zostaną realne możliwości przeciwdziałania nadużyciom i niedopełnieniu obowiązków ochrony danych.

Na firmy łamiące unijne przepisy mogą być nakładane kary finansowe w wysokości nawet 20 mln euro lub 4% rocznych obrotów – w zależności, która kwota będzie wyższa. Rozporządzenie będzie mieć również zastosowanie w przypadku dostawców i sprzedawców mających siedzibę poza Europą, którzy świadczą usługi osobom przebywającym na terenie UE oraz przetwarzają lub przechowują ich dane osobowe.

Prawo do być zapomnianym

Jednym z istotnych zapisów będzie prawo konsumentów do bycia zapomnianym, które „odzwierciedla roszczenia osoby do zagwarantowania usunięcia informacji o niej umieszczonych w internecie, tak by nie mogły być wyszukane przez osoby trzecie”.

– Zgodnie z rozporządzeniem GDPR każda osoba fizyczna uzyska prawo do bycia zapomnianym, czyli niezwłocznego usunięcia swoich danych osobowych z bazy organizacji, która je pozyskała, bądź też zaprzestania ich przetwarzania – mówi Marek Krauze, Sales Engineer w Trend Micro. – W takim przypadku firmy czy organizacje muszą na życzenie klienta usunąć wszystkie dane osobowe i związane z nimi odnośniki. Jak wynika z badania Trend Micro i VMware, aż połowa ankietowanych firm nie dysponuje procedurami czy technologiami zapewniającymi konsumentowi prawo do bycia zapomnianym. Proces usunięcia danych jest wieloetapowy i bardziej skomplikowany niż ich zapisywanie. Największy problem pojawia się wtedy, gdy przechowywanie danych jest zlecone zewnętrznym firmom lub dane dodatkowo przetwarzane są przez inne podmioty – dlatego tak istotne są procedury kontrolujące, zwłaszcza sposób ich kasowania – dodaje.

Strategie ochrony

W 2016 r. odnotowano wycieki danych osobowych z systemów bankowych, firm transportowych i energetycznych, a nawet rejestrów publicznych – problem ten mógł dotyczyć nawet setek tysięcy Polaków. Pamiętny był również incydent z wyciekiem setek numerów PESEL. Według danych opublikowanych w raporcie dotyczącym Polski, przygotowanym przez firmy Trend Micro oraz VMware we współpracy z agencją badawczą ARC Rynek, skala oraz specyfika naruszeń powinna być przestrogą dla firm oraz zmusić je do przemyślenia swego stosunku do kwestii związanych z cyberbezpieczeństwem.

Informacje o wyciekach danych osobowych w innych firmach na ogół przyczyniają się do weryfikacji własnych strategii ochrony danych, jednak niewielki odsetek respondentów (16%) przyznał, że konsekwencją kontroli systemów zabezpieczających jest wdrożenie nowych rozwiązań, mających na celu usprawnienie obowiązujących systemów i procedur. Kluczowymi inicjatywami są stosowanie szyfrowania (81%) oraz zwiększenie świadomości pracowników w zakresie ochrony danych (80%). Pozostałe metody, na jakie zwrócono uwagę w raporcie, to: blokada sprzętu w celu uniknięcia użycia zainfekowanych nośników USB (66%), wprowadzenie przejrzystych procesów, któ...