Είμαστε ήδη στην μέση του 2017 με λιγότερο από ένα χρόνο για την εφαρμογή του Νέου Ευρωπαϊκού Γενικού Κανονισμού για τα Προσωπικά Δεδομένα. Η επικείμενη εφαρμογή του συγκεκριμένου νόμου είναι ένα από τα πιο πιεστικά ζητήματα που πρέπει να αντιμετωπίσουν σήμερα οι σύγχρονες επιχειρήσεις. O νέος κανονισμός αποσκοπεί στην εναρμόνιση της προστασίας των δεδομένων σε όλα τα κράτη μέλη της Ε.Ε. και στην εισαγωγή ορισμένων βασικών συνισταμένων που θα επηρεάσουν άμεσα τις επιχειρήσεις – συμπεριλαμβανομένων των επιχειρήσεων εκτός Ευρώπης.
Τι πρέπει να αναμένουμε;
Πολλά έχουν ειπωθεί για τον GDPR, αλλά ποιο είναι το ρεαλιστικότερο σχέδιο προστασίας δεδομένων για οργανισμούς; Η σοφότερη προσέγγιση θα ήταν να συλλέγουμε μόνο ότι είναι απολύτως απαραίτητο. Ποια όμως προσωπικά στοιχεία χρειαζόμαστε πραγματικά; Για παράδειγμα, η ημερομηνία γέννησης ενός πελάτη ίσως να μην είναι στοιχείο κατάλληλο και χρήσιμο για μια επιχείρησή – γι ‘αυτό και θα πρέπει να διαγραφεί άμεσα. Εάν ένας οργανισμός διαθέτει μια ενεργή συλλογή δεδομένων με στοιχεία που δεν χρησιμεύουν σε κάτι, τότε θα πρέπει να επανασχεδιάσει τη βάση δεδομένων αφαιρώντας τα περιττά πεδία.
Ο διαθέσιμος χρόνος δεν είναι πολύς. Η μεταβατική περίοδος για ένα οργανισμό ξεκινά από τη στιγμή που αντιλαμβάνονται την επιτακτική ανάγκη συμμόρφωσης μέχρι την έναρξη ισχύος του GDPR τον Μάιο του 2018, που θα πρέπει πλέον να είναι έτοιμοι για να μην βρεθούν αντιμέτωποι με τα εξής:
- Πρόστιμα – Το GDPR υποστηρίζει ότι η μη συμμόρφωση ή οι παραβιάσεις θα μπορούσαν να επιφέρουν πρόστιμα μέχρι 4% του συνολικού ετήσιου κύκλου εργασιών ή 20 εκατομμύρια ευρώ σε διοικητικά πρόστιμα.
- Κοινοποίηση παραβίασης δεδομένων – Ο νέος κανονισμός απαιτεί από τις εταιρείες να ενημερώνουν την εποπτική αρχή προστασίας δεδομένων σχετικά με παραβιάσεις δεδομένων εντός 72 ωρών.
- Δικαίωμα διαγραφής – Αφού συλλέγουμε μόνο ότι χρειαζόμαστε θα πρέπει να είμαστε και έτοιμοι να διαγράψουμε τα προσωπικά δεδομένα και τυχόν σχετικούς συνδέσμους εάν δεν θεωρούνται πλέον ακριβή ή σχετικά με την επιχείρηση.
- Δικαίωμα πληροφόρησης και διαφάνειας – Οι πελάτες θα πρέπει να έχουν το δικαίωμα να απέχουν και να έχουν πολύ σαφή κατανόηση για τον τρόπο αποθήκευσης και χρήσης τους.
Στις προβλέψεις ασφαλείας της Trend Micro για το 2017, αναφέραμε ότι ο GDPR αναμένεται να αυξήσει τα διοικητικά έξοδα. Φυσικά εξαρτάται πραγματικά από το τι έχουν ήδη επενδύσει πάνω στο θέμα, αφού σε πολλές εταιρείες έχουν ήδη δεσμευτεί από εθνικούς κανονισμούς. Για αυτές, η προσαρμογή δεν πρέπει να είναι τόσο δύσκολη, διότι ορισμένες από αυτές έχουν ήδη αυστηρότερους κανόνες. Ωστόσο, σε κάποιες άλλες χώρες, ειδικά όταν οι επιχειρήσεις αποθηκεύουν δεδομένα πελατών για σκοπούς μάρκετινγκ, θα χρειαστεί να πραγματοποιήσουν έναν πλήρη επανασχεδιασμό της βάσης δεδομένων τους ώστε να συμμορφωθούν με τον GDPR.
Οι εταιρείες πρέπει να λαμβάνουν υπόψη τα πρόστιμα για μη συμμόρφωση. Είχαμε πέρσι την περίπτωση του παρόχου TalkTalk, όπου του επιβλήθηκε ένα πρόστιμο £ 400.000 επειδή δεν είχε σωστή ασφάλεια στον ιστοχώρο του. Φαίνεται μεγάλο ποσό αλλά θα μπορούσε να ανέλθει σε εκατομμύρια αν ο GDPR ήταν σε ισχύ.
Ενώ οι ευρωπαϊκές εταιρίες ανησυχούν για το κόστος εφαρμογής, οι αμερικάνικες πιστεύουν ότι θα τους επιβληθούν πρόστιμα επειδή δεν μπορούν να συμμορφωθούν. Πιθανόν το 2018 να δούμε και αυστηρότερες ποινές όπως φυλάκιση σε περιπτώσεις εσκεμμένων παραβιάσεων με σκοπό τον εμπλουτισμό ή την αποδυνάμωση – που θα μπορούσαν να οδηγήσουν σε σοβαρές επιπτώσεις στη φήμη μιας επιχείρησης. Ως εκ τούτου, θα δημιουργηθούν ευκαιρίες σε δικηγορικά γραφεία να κερδίσουν χρήματα βρίσκοντας πελάτες που μπορούν να καταθέσουν εναντίον μη συμμορφούμενων επιχειρήσεων και να τους μηνύσουν.
Τι κάνουμε τώρα;
Υπάρχει αρκετός χρόνος προετοιμασίας μέχρι τον Μάιο του 2018; Εφόσον συζητείται εδώ και πέντε χρόνια στο Ευρωπαϊκό Κοινοβούλιο, οι επιχειρήσεις πρέπει ήδη να γνωρίζουν και να δρουν για τις στρατηγικές συμμόρφωσης τους ήδη από τώρα. Ενώ η εφαρμογή του GDPR μπορεί να είναι επιβαρυντική, ίσως τελικά να είναι η ευκαιρία για να εφαρμοστούν καλύτερες security πρακτικές ασφαλείας για τη διαχείριση των δεδομένων. Αυτό μπορεί να αυξήσει την εμπιστοσύνη των πελατών και θα ενισχύσει την τεχνολογική ουδετερότητα.
Πώς θα προετοιμαστείτε:
- Να γνωρίζετε πού αποθηκεύονται τα δεδομένα σας – Το GDPR ορίζει ότι «τα προσωπικά δεδομένα πρέπει να είναι επαρκή, συναφή και να περιορίζονται σε αυτά που είναι απαραίτητα σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία». Βεβαιωθείτε ότι δεν αποθηκεύετε περισσότερες πληροφορίες από αυτές που χρειάζεστε για αυτόν τον σκοπό.
- Χρησιμοποιήστε καθιερωμένους ελέγχους ασφάλειας – Επαναξιολογήστε τις πολιτικές ασφαλείας και επενδύστε σε έναν πάροχο που μπορεί να προσφέρει κρυπτογράφηση δεδομένων στο cloud, ασφάλεια δικτύου, προηγμένο anti-malware, εικονική patch IDS / IPS και πρόληψη απώλειας δεδομένων.
- Διορισμός Υπευθύνου προστασίας δεδομένων (DPO) σε πε ρίπτωση μεγάλης επιχείρηση – Σύμφωνα με τις απαιτήσεις GDPR, ίσως χρειαστεί να ζητήσετε νομικές συμβουλές για να καθορίσετε αν η εταιρεία σας θα πρέπει να ορίσει κάποιον DPO ή όχι.
Σε μεγαλύτερες επιχειρήσεις ένας υπεύθυνος προστασίας δεδομένων θα βοηθήσει το τμήμα πληροφορικής και το διοικητικό συμβούλιο να βελτιώσουν τις διαδικασίες και την ασφάλεια των δεδομένων και θα επιφορτιστούν με τον έλεγχο της τήρησης των διατάξεων περί προστασίας δεδομένων. Από την εμφάνισή του, πολλές εταιρείες τόσο εντός όσο και εκτός της Ευρώπης θα έχουν θέμα να τηρήσουν αυτούς τους νέους κανονισμούς. Έτσι θα πρέπει να αναγνωρίσουν αυτές τις αλλαγές, να σκεφτούν γρήγορα και να δράσουν τώρα!
Η λύση Integrated Data Loss Prevention (DLP) της Trend Micro προστατεύει δεδομένα σε endpoints, servers και cloud, τόσο ενδοϋπηρεσιακά και εκτός. Η λύση αυτή διαθέτει κεντρική διαχείριση και δεν υπάρχει ανάγκη εγκατάστασης άλλης τεχνολογίας σε άλλα στρώματα προστασίας του δικτύου. Επίσης έχουμε μιλήσει πολλές φορές σε προηγούμενα τεύχη για την ιδέα του Network Security Custom Defense μέσω της ομάδας προϊόντων Deep Discovery που προσφέρουν αντιμετωπίζουν κάθε στοχευμένη απειλή και περίεργη συμπεριφορά στο δίκτυο.
Το παρόν άρθρο αποτελεί ελεύθερη μετάφραση άρθρου του Raimund Genes που έφυγε ξαφνικά από τη ζωή – στα 54 χρόνια του – στις 24 Μαρτίου 2017 έπειτα από καρδιακή προσβολή που υπέστη στο σπίτι του στη Γερμανία. Ο Raimund Genes ήταν Chief Technology Officer της Trend Micro και η συμβολή του στην ανάπτυξη της εταιρείας, αλλά και ευρύτερα στο τομέα της Ψηφιακής Ασφάλειας, ήταν πάρα πολύ σημαντική. Κατά την τελευταία του δημόσια ομιλία στην CeBIT μίλησε με πάθος για τις προσπάθειες καταπολέμησης των εγκληματιών του κυβερνοχώρου και το όραμα του να βοηθήσει τον κόσμο να γίνει ασφαλέστερος.