Новые правила онлайн мира: 20 млн. евро достойная цена за ошибку? Чего стоит ожидать от GDPR …

Автор статьи: Дмитрий Онищенко, Руководитель департамента продаж услуг

С 18 мая 2018 вступят в силу Закон Европейского Союза о защите персональных данных (General Data Protection Regulation, GDPR). Этот закон гарантирует права жителей Европейского Союза, на приватность персональных данных.

Примечательное в этом документе то, что его действие распространяется не на страну или группу стран Европейского Союза, а именно на жителей ЕС, в какой бы стране они не находились. Таким образом, все юридические лица, которые сохраняют, передают или обрабатывают персональные данные жителей Европейского Союза должны соответствовать требованиям закона GDPR. Не соответствие данному закону может дорого обойтись компании: в случае компрометации одной записи, которая содержит персональные данные размер штрафа может достигать 20 млн евро или 4% годового оборота группы компаний, в зависимости от того, какая из этих сумм больше.

Процесс внедрения норм закона имеет несколько ключевых моментов

1. GDPR имеет широкий географический охват. Любая компания, в том числе компания зарегистрированная в странах СНГ, которая ведет бизнес с резидентами ЕС, должна будет соответствовать требованиям GDPR. Даже если вы предлагаете бесплатный сервис, такой как веб-сайт, доступный для жителей ЕС, если вы собираете, обрабатываете, передаете персональные данные. 
2. Важно отметить, что данным законом персональными данными можно считать любую информацию, которая однозначно идентифицирует человека. В некоторых случая это даже могут быть IP-адреса или файлы cookie.
3. Организации обязаны будут получить явное согласие от физических лиц резидентов ЕС, относительно обработки организацией их персональных данных. Физические лица также будут иметь больше прав на обработку своих данных, например, связанных со стиранием данных (часто называемым «правом на забвение») и переносимость данных, что является правом передавать свои данные третьим лицам.
4. Законом вводятся технические и организационные меры, касающиеся защиты персональных данных, которые должны стать обязательными, и GDPR содержит примеры ожидаемых мер. Среди прочего, данные рекомендации связаны с хешированием и шифрованием персональных данных, возможностью обеспечения конфиденциальности, целостности и доступности, а также процессами для проверки эффективности мер безопасности.
5. Становятся обязательными записи процедур обработки данных. Это означает, что организациям необходимо будет вести письменную (электронную) запись операций обработки персональных данных, фиксируя жизненный цикл данных и имя и контактные данные контроллера данных.
6. Также обязательными становятся процедуры оценки обработки и принятия рисков ИТ безопасности.
7. Наверное, самый болезненный пункт, это пункт об обязательном обнародовании информации о нарушении конфиденциальности персональных данных. Ни для кого не секрет, что факты взлома организации тщательно скрываются руководством компании так как, это ведет к значительным финансовым потерям, связанным с оттоком клиентов, юридическими издержками, расследованием инцидентов информационной безопасности, возможными простоями, а также восстановлением работоспособности после инцидента. К непрямым финансовым потерям относится потеря репутации, и это настолько серьезно, что непрямые издержки могут с лихвой превысить прямые затраты. Согласно статье 33 GDPR, организации должны сообщать контролирующему органу о нарушениях конфиденциальности персональных данных в течении 72 часов после обнаружения данного факта. Если инцидент безопасности представляет собой высокий риск для отдельных лиц, например, когда произошло события связанное с потерей конфиденциальности личных данными, эти лица должны быть проинформированы «без задержки». 
8. Если ваша организация осуществляет обработку большого числа записей (конфиденциальные личные данные), вам потребуется сотрудник по защите данных – Data Protection Officer (DPO). DPO контролирует соблюдение организационных правил и должен подчиняться непосредственно высшему руководству, должен выполнять свои задачи независимым образом и не может быть уволен или наказан за выполнение своих задач.

Важно понимать, что внутри организации нужна сильная команда из юристов и профессионалов в сфере информационной безопасности, для реализации вышеуказанных требования. Однако ключевая роль этого процесса все же принадлежит руководству компании. Без воли высшего руководства, без его вовлечения и активного участия на всех этапах, надеяться на успех не стоит. Это не удивительно, так как именно высшее руководство является и конечным бенефициаром соответствия данному законодательству и человеком, который понесет финансовые издержки за несоответствие.
 

На рынке услуг в странах СНГ в первую очередь закон повлияет на дочерние предприятия, материнские компании которых были зарегистрированы в Европейском Союзе. Для них все регламенты и процедуры, будут унаследованы. Но все затраты будут стараться каким-либо образом монетизировать. Это приведет к тому, что привлекательность на рынке услуг компаний, которые соответствуют GDPR будут выше. Хороший пример это швейцарские Банки, деньги в которых держать довольно дорого, хотя они предлагают высокий уровень конфиденциальности и надежности. Соответственно, конкурентам ничего не остается как самим повышать уровень ИТ безопасности внутри своей организации.
 

Эта гонка за более конкурентное положение на рынке приведет к некоторым важным изменениям в сфере рынка средств и решений, направленных на повышения уровня информационной безопасности, а также предоставление услуг в этой области.
 

В первую очередь повысится спрос на специалистов в сфере информационной безопасности. Система управления информационной безопасности (СУИБ) - это в первую очередь хорошо продуманный организованный, актуальный набор регламентных процедур, направленных на повышения уровня информационной безопасности и готовности всех пользователей противостоять атакам. Это означает, что главными, в процессе создания данной системы, становятся группа профессионалов, которые смогут создать, запустить и поддерживать эффективность работы системы управления информационной безопасностью.
 

Это потребует от рынка услуг, направленных на обучение сотрудников, повышения их уровня обязанности принципам ИТ безопасности. И это не только сотрудники, которые будут создавать и управлять СУИБ. Это также внешние консультанты и подрядчики. Немалую роль тут отводится аудиторам ИБ. Нет лучшей возможности удостовериться в том, что твоя СУИБ эффективна, чем попросить это проверить профессионалов.
 

И рынок ЕС тому подтверждение. Сразу после принятия закона и еще до его вступления появились курсы направленные на подготовку сертифицированных DPO. Кроме того, заметен значительный рост, продажи учебных общих курсов по информационной безопасности.
 

Несмотря на главенствующую роль человека в этом процессе, команда по информационной безопасности не сможет обойтись без соответствующих средств защиты информации
Исходя из требований GDPR легко предположить рост некоторых классов решений информационной безопасности
 

В связи с тем, что любые операции с персональными данными должны регистрироваться, ожидается большой объем данных (в первую очередь для журналов событий) и следовательно ожидается рост решений класса Security Information and Event Management (SIEM). Многие специалисты считают, что этот класс решений эволюционным путем заменят другие решения уровня User and Entity Behavior Analytics (UEBA), которые эффективнее работают с большим набором данных Big Data. Они направлены на изучение поведенческого анализа, что позволяет повысить уровень готовности к новым атакам, которые на данный момент не описаны шаблонными правилами SIEM.
 

Большое внимание отводится решениям по шифрованию данных. Это логично – ведь данный класс решений лучшим образом справляется с обеспечением конфиденциальности информации в состоянии покоя (Data at Rest). Если же конфиденциальная информация должна быть доступна определенному кругу сотрудников для ее обработки или передачи, то крайне необходима система предотвращения утечки информации – Data Loss Prevention (DLP).
 

Безусловным является необходимость надежного резервного копирования данных – Data Backup. Безусловно, этот вопрос был актуален и до GDPR.
А вот что не совсем привычно будет для компаний, которые уделяют должное внимание информационной безопасности, это решения для гарантированного удаления данных.
Учитывая большой поток данных, который будет передаваться по сети компания должны предусмотреть политику использования сети, уделив должное внимание контролю подключения к сети Network Access Control (NAC) и любым решениям, которые помогают разобраться и проанализировать, чем всё-таки нагружена сеть (Visibility).

Учитывая, что современные атаки зачастую используют процесс повышения полномочий, крайне важно иметь механизм контроля действий привилегированных пользователей информационных систем (пользователей с высокими полномочиями). Такой механизм предоставляют решения класса Privileged Access Management.

Уровень готовности к атакам также позволят повысить решения класса Honeypot (или ее современная модификация – Deception) и актуальные современные программы обучения всех сотрудников компании основам информационной безопасности. Особенно это касается, готовности к фишинговым атакам, как самому популярному, дешевому вектору проведения атаки.

Даже внедрив у себя систему управления информационной безопасности, невозможно быть уверенным в 100% защите данных. Вот почему, настоятельно рекомендуют проверять надежность системы защиты и постоянно повышать ее уровень. Желательно привлекать для этого внешних специалистов по информационной безопасности, которые смогут провести дружественный тест на проникновение (Penetration Testing) или аудит на соответствие нормам и стандартам безопасности.

Это неполный список решений информационной безопасности, которые помогут соответствовать требования GDPR. Очевидным становится то, что впереди ожидается передел рынка информационной безопасности. Возможно даже появятся новые классы решений, а мы становимся свидетелями перехода на новый качественный уровень информационной безопасности. 

Запросите консультацию экспертов по Информационной Безопасности сейчас

Softprom - Value Added Distributor в сфере Информационной Безопасности, а также других направлений ИТ.

info@softprom.com