In 10 luni, noul Regulament General de Protectie a Datelor va intra in vigoare, aducand schimbari majore ale modului in care se vor asigura integritatea, confidentialitate si disponibilitatea datelor cu caracter personal ale cetatenilor europeni. Datanet Systems va poate ajuta sa indepliniti cerintele obligatorii pe zona de securitate IT ale actului legislativ, eliminand astfel riscul penalitatilor.
Din 25 mai 2018, noul General Data Protection Regulation (GDPR) se va aplica direct in toate statele membre ale Uniunii Europene, fara a mai fi necesara transpunerea sa prin intermediul unor acte legislative la nivelul fiecarei tari. GDPR, care inlocuieste Directiva 95/46 a Comisiei Europene, introduce o serie de modificari substantiale in ceea ce priveste: definirea categoriilor de date si modul de operare al acestora, consimtamantul si drepturile cetatenilor asupra datelor personale, obligatiile procesatorilor de date si atributiile organismelor de supervizare etc. Noul regulament vine si cu un nou plafon maxim al sanctiunilor aplicate organizatiilor ce nu respecta cerintele stipulate. Astfel, amenzile prevazute pot ajunge pana la 20 de milioane de euro sau 4% din cifra totala de afaceri a organizatiei penalizate.
Spre deosebire de Data Protection Directive 95/46/EC, securitatea cibernetica este un domeniu abordat mult mai strict in noul regulament, in cadrul a trei articole distincte (Capitolul IV, Sectiunea 2, Articolele 32, 33 si 34), fata de unul singur (Art. 17) in directiva anterioara. Noile reglementari pe zona de securitate stipuleaza prioritizarea riscurilor care pot afecta libertatile si drepturile individuale ale persoanelor, in detrimentul riscurilor financiare ale organizatiilor care proceseaza datele, si impun obligativitatea criptarii si pseudo-anonimizarii datelor. (GDPR defineste conceptul de „pseudonymisation“ ca fiind procesul prin care datele personale sunt prelucrate astfel incat rezultatele obtinute nu mai pot fi atribuite unui subiect anume fara utilizarea unor informatii aditionale.)
Obligativitatea raportarii breselor
Noua este si obligativitatea raportarii breselor de securitate catre autoritatile de supervizare competente, in cazul in care acestea afecteaza integritatea, confidentialitatea si/sau disponibilitatea datelor cu caracter personal. (Regulamentul defineste „personal data breach“ ca fiind bresele de securitate care conduc la distrugerea, pierderea, modificarea, dezvaluirea neautorizata sau accesul la datele cu caracter personal transmise, stocate sau prelucrate.)
GDPR prevede ca impunerea conditiei notificarii se aplica tuturor organizatiilor care opereaza date cu caracter personal, spre deosebire de directiva anterioara in care notificarea era obligatorie doar pentru anumite domenii de activitate (operatori telecom, furnizori de servicii internet etc.). Este o schimbare care extinde aria de aplicare a regulamentului si de care vor trebui sa tina cont incepand de anul viitor organizatiile publice, institutiile financiar-bancare, furnizorii de servicii de utilitati, institutiile medicale, furnizorii de servicii Cloud etc.
GDPR stipuleaza ca raportarea unei brese de securitate trebuie facuta „fara intarzieri nejustificate“ si nu mai tarziu de 72 de ore de la detectarea acesteia. Notificarea catre autoritatea de supervizare trebuie sa contina minimum patru elemente:
- Descrierea naturii bresei de securitate, incluzand categoriile si volumul de date afectate;
- Evaluarea consecintelor probabile ale incalcarii cerintelor de protectie ale datelor cu caracter personal;
- Prezentarea solutiilor propuse pentru remedierea problemei de securitate identificate;
- Datele de contact ale ofiterului insarcinat cu protectia datelor (existenta unui Data Protection Officer este o conditie obligatorie doar in anumite situatii).
Depistarea ramane principala problema
Procedurile prevazute de GDPR pentru notificarea breselor de securitate sunt clare, insa principala problema a organizatiilor nu este mecanismul de raportare, ci depistarea in timp util a acestora, in conditiile in care anul trecut volumul acestora a crescut cu 40% (ITRC Data Breach Report 2016).
Ori, conform raportului Mandiant M-Trends pentru zona EMEA, in 2016 organizatiile europene aveau nevoie, in medie, de aproximativ 15 luni (469 de zile) pentru depistarea unei brese de securitate.
Este o situatie pe care nu foarte multi cetateni europeni o constientizeaza inca. De exemplu, un studiu recent realizat de Capgemini (Digital Transformation Institute Cybersecurity and Privacy Survey), arata ca 83% dintre clientii bancilor au incredere in capacitatea acestora de a le proteja datele personale. Insa, doar una din cinci institutii financiar-bancare (21%) au capacitatea reala de a detecta o bresa, un sfert dintre ele (26%) au fost deja victimele unui incident de securitate in ultimele 12 luni, in timp ce aproape jumatate (49%) au nevoie intre 3 si 12 luni pentru a remedia efectele.
Problema devine delicata in conditiile in care GDPR prevede ca, in cazul in care riscul de compromitere a datelor personale este evaluat ca fiind ridicat, organizatiile au obligatia de a comunica informatii despre eveniment si efectele acestuia persoanelor afectate (Art. 34). Este deci foarte posibil ca respectivele organizatii sa se confrunte nu doar cu riscul unei amenzi consistente, ci si cu cel al pierderii importante de clienti, deteriorarea imaginii fiind rapida.
Prevenirea, depistarea si remedierea in timp util a acestui tip de probleme de securitate reprezinta insa una dintre principalele zone de competenta ale Datanet Systems. Compania poate dezvolta, implementa si personaliza sisteme integrate de securitate, capabile sa asigure protectia completa a infrastructurilor informatice si reducerea timpului de detectare a breselor.
De exemplu, arhitectura integrata dezvoltata de Datanet pe baza solutiilor Cisco poate reduce timpul de depistare a unui incidente de securitate la 17,5 ore. Sistemele SIEM (Security Information and Event Management) de la Fortinet implementate de specialistii Datanet asigura companiilor o vizibillitate extinsa asupra infrastructurilor pe care le opereaza, facilitand identificarea in timp real a zonelor cu potentiale vulnerabilitati. Portofoliul de solutii Datanet nu se adreseaza insa doar categoriei „large enterprises“, ci si companiilor de dimensiuni medii si mici. Care, prin intermediul solutiilor de tipul Unified Threat Management (UTM), de exemplu, pot beneficia de protectie extinsa la costuri accesibile.
Companiile au nevoie de expertiza
In pofida impactului important pe care il va avea GDPR, exista inca numeroase organizatii europene care nu cunosc inca modul in care noile reglementari le vor afecta activitatea.
Analizele IDC arata ca subiectul GDPR este neclar pentru inca multe organizatii din cadrul tarilor membre: 22% dintre cele 700 de companii europene intervievate nu cunosc prevederile noului act legislativ, in timp ce mai mult de jumatate (52%) au informatii despre GDPR, dar nu pot evalua impactul lor asupra operatiunilor pe care le desfasoara.
Specialistii Datanet Systems va pot ajuta sa identificati punctele nevralgice ale infrastructurii informatice pe care o operati si sa luati masurile necesare respectarii noilor cerinte de securitate. Datanet are experienta necesara, un portofoliu complet de solutii de securitate, precum si o echipa de specialisti certificati, care asigura proiectarea, dezvoltarea, livrarea, punerea în functiune si configurarea, oferind servicii complete de consultanta, mentenanta si instruire de specialitate.
Pentru informatii suplimentare, va invitam sa ne contactati la office@datanets.ro.