data publikacji

Co GDPR oznacza dla małych organizacji i jak chronić się przez naruszeniem bezpieczeństwa danych w firmie?

Sebastian Zamora, Channel Account Excecutive firmy Sophos

Wiele zmieniło się od czasu ostatniego wprowadzenia unijnego Ogólnego rozporządzenia o ochronie danych (GDPR) w 1995. Urządzenia przenośne stały się wszechobecne i nikogo już nie dziwi posiadanie dwóch czy trzech urządzeń przy sobie. W tym samym czasie wrażliwe dane firmy są wynoszone poza bezpieczną sieć firmową. Pracownicy przeglądają poufne dokumenty na prywatnych komputerach, odczytują e-maile na prywatnych telefonach i tabletach i przechowują dane w chmurze nie dbając o zabezpieczanie kopii.

Obecnie firmy są zmuszone zmierzyć się z poważnymi wyciekami danych, które narażają ich klientów na kradzież tożsamości. Są tym samym narażone na utratę zaufania klientów i inwestorów, a od przyszłego roku poważne kary finansowe.

W jaki sposób firmy powinny dostosować się do nowych przepisów i co wprowadzenie GDPR oznacza dla małych organizacji odpowiada Sebastian Zamora, Channel Account Excecutive firmy Sophos.    

Kogo dotyczy GDPR?

Głównym założeniem reformy jest ochrona danych osobowych mieszkańców Unii Europejskiej. Ma ona więc znaczenie ogólnoświatowe, ponieważ dotyczy wszystkich firm, które prowadzą interesy z obywatelami Unii. Przepisy GDPR są bardzo zbliżone do wielu amerykańskich przepisów o ochronie danych. Przykładowo firma z siedzibą we Francji prowadząca swój biznes w Kalifornii musi przestrzegać kalifornijskich przepisów. Najistotniejszą różnicą jest jednak to, że GDPR ujednolica prawo dotyczące ochrony danych we wszystkich państwach członkowskich, co sprawia, że europejskie i pozaeuropejskie firmy nie muszą badać i poznawać szczegółów legislacyjnych 28 państw – polegają jedynie na odgórnej, wspólnej zasadzie bezpieczeństwa. Te same reguły mają zastosowanie dla wszystkich firm niezależnie od tego, gdzie znajduje się ich siedziba.

Ogólne przepisy dotyczące ochrony danych (GDPR) będą stosowane we wszystkich państwach członkowskich Unii Europejskiej (w tym w Wielkiej Brytanii). Sankcje za naruszenia przewidziane w rozporządzeniu wynoszą do 20 mln euro lub 4 proc. rocznych obrotów globalnych organizacji. Ustawa zmienia również znaczenie takich pojęć jak zgoda, odpowiedzialność i prawa osób, których dotyczy ochrona. To co nie zostało dostatecznie podkreślone w mediach, to oficjalne wprowadzenie funkcji Inspektora Ochrony Danych (DPO).

Do tej pory rola DPO była w dużej mierze niezdefiniowana w całej Europie i reszcie świata. GDPR nie tylko formalizuje tą rolę, ale także wprowadza konieczność jej wprowadzenia do wielu organizacji – m.in. do instytucji publicznych, gdzie niezbędne będzie przydzielenie roli DPO przynajmniej jednemu pracownikowi. Oznacza to jednak, że niektóre małe organizacje będą podlegały prawnemu obowiązkowi posiadania DPO w swojej strukturze. 

Jak postępować zgodnie z GDPR?

Dla wielu firm, które muszą dostosować się do nowych przepisów, najlepszym sposobem jest wdrożenie silnej strategii ochrony danych, która będzie skutecznie chroniła przed ich utratą – czy to przez intencjonalne działanie zewnętrzne czy przypadkowe utraty danych spowodowane przez pracowników firmy.

Mimo, że nowe przepisy nie wymagają szczególnego rodzaju kontroli technicznej, wskazują szyfrowanie jako efektywny sposób zabezpieczania danych osobowych i uniemożliwienia ich wykorzystania przez niepożądane osoby. Taką strategię ochrony stosują organizacje na całym świecie, które postępują zgodnie z innymi wytycznymi dotyczącymi ochrony danych osobowych. W momencie, gdy skradzione dane są zaszyfrowane, są właściwie bezużyteczne dla złodzieja.

Jeśli firma połączy narzędzia szyfrowania danych z systemami zabezpieczeń zapobiegającymi kradzieży ma największą szansę na skuteczne zabezpieczenie wrażliwych danych. 

Jak skutecznie zabezpieczać się przed wyciekami danych?

Skuteczna strategia bezpieczeństwa nie jest budowana w przeciągu jednego dnia. Należy pamiętać, że pomimo, iż 57 proc. naruszeń bezpieczeństwa danych jest powodowanych przez działania zewnętrzne hakerów i złośliwego oprogramowania, aż 23 proc. wycieków danych jest związana z nieintencjonalnym działaniem pracowników firmy. Co należy więc robić by zapobiegać wyciekom wrażliwych danych?

Szyfrowanie całego dysku jest najbardziej podstawową formą szyfrowania i powszechnie zaleca się, aby wszystkie komputery w sieci używały szyfrowania do ochrony danych w spoczynku. Zapewni to bezpieczeństwo w przypadku utraty lub kradzieży urządzenia. Warto rozszerzyć ten rodzaj ochrony na urządzenia mobilne i zaopatrzyć się w rozwiązanie, które pozwala na lokalizowanie urządzenia i zdalne jego blokowanie lub wymazywanie danych

W obie coraz bardziej wyrafinowanych i agresywnych ataków typu malware niezbędne staje się posiadanie wielowarstwowej konfiguracji zabezpieczeń, które może zatrzymać atak na wszystkich poziomach sieci. Najnowszej generacji urządzenia sieciowe, zatrzymują ataki na styku z internetem, zanim trafią do urządzeń pracowników oraz automatycznie blokują lub szyfrują ważne wiadomości e-mail i załączniki (np. pliki PDF), zapewniając ochronę przesyłanych przez pracowników danych. 

Często zdarza się, że pracownicy wysyłają wiadomości do innej osoby niż pierwotnie zakładali. W przypadku wrażliwych danych, błąd ludzki może oznaczać obciążenie grzywną dla pracodawcy. Szyfrowanie na poziomie plików oznacza, że dane nawet gdy opuszczają sieć firmową są zabezpieczone – w związku z czym nawet gdy nastąpi naruszenie zasad ochrony, ryzyko grzywny znacznie się zmniejsza. 


W ciągu najbliższego roku firmy muszą skupić się na dokładnym zbadaniu swoich zabezpieczeń i wprowadzaniu rozwiązań, które pozwolą przechowywać dane bezpiecznie. Poza rozwiązaniami technologicznymi muszą jednak zadbać również o to, by ich pracownicy zmienili nastawienie do bezpieczeństwa i traktowali je jako najważniejszy priorytet. Tylko wtedy firma będzie mogła w pełni sprostać wymaganiom GDPR. 

 

1 1 1 1 1 1 1 1 1 1
5.0