Две корпоративни стратегии за спазване на GDPR

Ще защити ли оценката на въздействието върху защитата на личните данните цифровите активи на организацията?

Или четат ли хакерите оценката на въздействието върху защитата на данни преди да атакуват

GDPR след една година

Организациите от бизнеса, които имат опит с киберзащитата се отнесоха с подобаваща сериозност към изискванията на GDPR. Финансови институции, телекомуникационни оператори, застрахователи и други, които притежават корпоративна експертиза за сигурността на информационните системи и мрежите посрещнаха 25-ти май 2018 година подготвени. Корпоративната зрялост си даде резултатите и в този случай.

Наблюденията ми и преките печатления от процесите, които се развиват в организациите по темата защита на личните данни водят до следния извод.

Останалите организации, които преди също бяха администратори на лични данни в общия случай се насочиха към изпълнение на GDPR на хартия.

GDPR на терена

Най-разпространения подход за изпълнение на изискванията на регламента включва промяна в документацията, създаване на нови документи и въвеждане на фирмени процеси или правила за работа с лични данни.

Пътят към ада е постлан с хартия, изписана с добри намерения

Това поведение напълно съвпада с отдавна известната на всички, които са патили от хакери, реактивна стратегия. Реактивната стратегия за киберзащита се характеризира с няколко признака:

  • не се провеждат организационни промени и свързани технически мерки за киберзащита;
  • мерките се вземат след като стане инцидент – хакери проникнат в системите и сътворят поразии;
  • след инцидента започват дейности по конфигуриране на защитите по перифериите на мрежите, прилагане, обикновено инцидентно на ъпдейти, смяна на пароли и други, отново уж системно, но без яснота за пълнотата на обхвата…

Реактивната стратегия се прилага отдавна и това продължава. Други специални мерки, които съпровождат реактивната стратегия след инцидент по сигурността:

  • преинсталиране на сървъри, машини за бази данни и възстановяване от архиви;
  • изплащане на откупи за декриптиране на данните, което често на етапа декриптиране завършва с неуспех;
  • търсене на отговорност от виновни и невинни;
  • очакване на следващото посегателство от страна на злонамерените актьори към данните и други цифрови активи на организациията.

Реактивната стратегия при GDPR

С влизането в сила на GDPR реактивната стратегия придобива нови измерения и вече има допълнителни последици:

  • задължение за информиране на Комисията за защита на лични данни;
  • провеждане на мероприятия по ликвидиране на последствията от инцидента, които продължават понякога с години и включват:
  • обяснения, компенсации и извинения за всички потърпевши субекти на лични данни
  • известяване на всички свързани по веригата за доставки на лични данни за инцидента с изтичане на лични данни. Започва се от тези, където рисковете са най-големи, банките. Те трябва да блокират кредитни и дебитни карти в определени случаи, да вземат мерки за наблюдаване на необичайни транзакции от сметките на засегнатите от теча на лични данни.
  • самите субекти на лични данни също се налага понякога да вземат мерки, включително да си сменят паролите за имейлите и други подобни, но за това трябва да бъдат уведомени, както и информирани за инцидента;
  • провеждане на разследване, което може да не е само вътрешно, а да се изпълни от КЗЛД, или съответния орган от друга държава, но преди да започне разследването се изпълняват редица технически мерки, които имат специфичен характер;
  • пьблично обявяване на инцидента в пресата по плана за ликвидиране на последствията от инциденти с изтичане на лични данни, който трябва да е част оценката на въздействието на защитата на личните данни;
  • наемане на адвокатски услуги за да се смегчат наказанията и се отговори на искове от страна на потърпевши субекти на лични данни;
  • проверка на цялата документация по GDPR, например има ли етикети за данните и т. н.;
  • проследяване на черните пазари за лични данни чрез услугите на специализирани компании.

Тези мерки не са описани изчерпателно, но за сметка на това продължават с години. Пробивът в Yahoo от 2012 г. се обработва досега и продължава

Последствията от инцидент с изтичане на лични данни

Са неприятни:

създава се корпоративен стрес, а за екипа по сигурността двоен. Хората, които се занимават с киберзащита знаят какви са рисковете за екип, който е под напрежение. Човешките грешки нарастват, а рисковете се увеличават. Трескавото преконфигуриране на различни системи може и да създаде благоприятни условия за злонамерените актьори.

Субектите на лични данни ползват услуги от компании, бизнесът на които е да открият къде в тъмния интернет се продават личните им данни и откъде са изтекли.

Заинтригуваните дотук да погледнат раздела за черни списъци от GDPR

ВАЖНО

СЛЕДВАЩИЯТ ИНЦИДЕНТ МОЖЕ ДА ДОЙДЕ ТВЪРДЕ СКОРО, А GDPR ИМА ОСОБЕНО МНЕНИЕ В ТОЗИ СЛУЧАЙ

Представете си, че се сбъдне втори инцидент след първия…

Може да прочетете и за стената на срама в Обединеното кралство.

АЛТЕРНАТИВНАТА СТРАТЕГИЯ Е ПРОАКТИВНА

Включва изпреварващи дейности и мерки. Те се провеждат непрекъснато и засягат както организационните процеси, така и технически мероприятия.

Ползата от проективната стратегия се заключава в намаляване на риска.

Последствията се изразяват в адекватност на киберзащитата и оперативно и експедитивно управление на инцидент с изтичане на данни, намаляване на последствията за бизнеса, субектите на лични данни и съответно и минимизиране на институционалните последствия – наказанията.

Трудностите при прилагане на ПРОАКТИВАТА СТРАТЕГИЯ са следните:

  • дефицити в корпоративната експертиза за организиране и техническо обезпечаване на киберзащитата;
  • надценяване на собствените възможности и подценяване на тези на злонамерените актьори;
  • липса на разбиране по темата от страна на мениджмънта.

,