Анализи

GDPR издига информационната сигурност в топ приоритет

CIO Media

Виргиния Стаматова

Oбщият регламент за защита на данните на Европейския съюз (GDPR) влезе в сила на 25 май на фона на многобройните кампании на големите технологични корпорации, изразяващи недоволството им от първата всеобхватна регулация на бранша. Същевременно Марк Зукърбърг, изпълнителният директор на Facebook, беше привикан да отговаря пред американския Конгрес за връзките си с „Кембридж аналитика“ и въпросите около неприкосновеността на личния живот и съобщенията. А по време на явяването му пред Европейския парламент се чуха гласове, че случилото се заплашва суверинитета на европейските държави.

Факт е, че през последните години изтичането на лични данни е честа тема в новините, т.е. има какво да се желае от страна на компаниите - и то не само технологичните - които боравят с данните на хората.

С въвеждането на GDPR въпросът за опазването им става също толкова важно за бизнеса, колкото и съхраняването на търговската тайна. И тъй като поверителността и сигурността вървят ръка за ръка, компаниите ще трябва криптират достъпа до данните на потребителите и да го контролират, както правят с чувствителната за бизнеса им информация.Според доклад на 451 Research, поръчан от американската инженерингова компания Thales Group, 13% от фирмите са убедени, че GDPR не се отнася за тях, тъй като не правят бизнес в Европа. (Това е значително по-малко от миналогодишния резултат, когато цели 28% бяха на подобно мнение.) Но може да се окаже, че грешат. Макар че GDPR е регламент на ЕС, той оказа значително влияние извън географските граници на Стария континент, тъй като даде добрата идея на регулаторите в различни страни като САЩ и Китай да затегнат режима за обработка на личните данни на техни граждани. Така сигурността се изкачва до позицията на корпоративен топ приоритет на глобално ниво. За специалистите по киберзащита това означава по-високбюджет.

В подобна посока са и резултатите от проучване на ISACA, което определя сигурността и неприкосновеността на личния живот като главна цел за компанииот всякакъв мащаб. Мениджърите, участвали в допитването, казват, че очакват няколко положителни резултата от подготовката за GDPR. Първите три сапо-добра защита на данните според 60% от анкетираните, следват подобрена бизнес репутация (49%) и обогатяване на корпоративната култура с практики за сигурност на данните (43%).

Криптиране на информацията

Облачните услуги, масовото навлизане на мобилните приложения, изчисленията в периферията, както и по-голямото доверие на доставчици от трети страни означават, че все повече данни се намират извън фирмените мрежи, но има и немалко, които се обработват вътрешно. С една по-голяма атака хакерите лесно могат да навлязат в корпоративния периметър. Обикновено бизнес организациите използват защитни стени и натам са насочени повечето механизми за сигурност. Криптирането обаче може да допълни стратегията им. При инцидент със сигурността подобна политика помага да се защити чувствителната информация. Ако тя е надеждно шифрована, макар злосторниците да стигнат до нея, няма да успеят да я използват. Голяма част от доставчиците на облачни услуги предлагат криптиране на данните, но не всички, а това означава, че отговорността се носи изцяло от клиента.

Друг проблем е свързан с това, че компаниите масово не знаят къде физически се намира чувствителната информация, макар че GDPR изисква това.Според изследване, публикувано през април на сайта на NetApp, партньор на Google в обработката на данни, едва 39% от глобалните корпорации са наясно къде доставчиците им на облачни решения складират информацията. Регламентът предвижда още те да могат да класифицират данните, както и да контролират техния поток. Проучването показва още, че световният бизнес се притеснява повече, че може да претърпи значителни финансови щети в резултата на загуба на репутацията си и отлив на клиенти (50%), отколкото от финансовото измерение на глобата по GDPR (35%). А 63% от американските корпорации са избрали да инвестират в частен облак и сами да подсигурят данните си, вместо да преминат към някой от публичните доставчици.

Контрол върху достъпа до данните на клиентите

Един от секторите, в който репутацията има решаващо значение, е финансовият. За да работят на пазара, тези компании трябва да спечелят доверието на клиентите си. Пробив в сигурността веднага ще доведе до загуби както за дружеството, така и за клиентите му. В резултат – фирмите са изключително внимателни към опазването на данните, с които боравят. И тъй като става дума за пари, регулациите са многобройни.

Често обаче пробиви в дружества от други икономически сфери засягат банковите клиенти, например установеното в средата на юни изтичане на данни надебитни карти на клиенти на британския ретейлър Dixons Carphone. Подобни инциденти карат финансовите институции да заделят все по-големи суми за ИТ сигурност.

Освен увеличените бюджети промяна търпят правилата за достъп до данните на клиентите. Преди те бяха по-универсални, признават от сектора, като всички имат еднакъв достъп до кредитните досиета. Стратегията, която се налага в момента в повечето финансови институции у нас, е всеки отдел и служител да разполага с точно определени права за достъп до клиентската информация, и то само до тази, която е необходима, за да си върши работата. Например кредитният консултант може да види експозицията на клиента към момента, но това не означава, че има достъп до всички негови данни. Например в подобен случай се виждат само последните 4 цифри от ЕГН-то, допълват банкери. Те уточняват, че повечето банки вече са въвели двуфакторна идентификация за клиентите на онлайн банкирането и работят по още методи за автентификация като текстови съобщения.

По-добър мониторинг

Във връзка с изискванията на GDPR повечето големи CRM решения бяха надградени с инструменти за криптиране и мониторинг на влизанията. Независимо дали даден служител или клиент има право на достъп до определена информация, не означава, че тя непременно му е необходима. Какво ще рече това? В качеството на кредитен консултант служителят може да достъпва клиентското досие на определено лице. Въпросът е с каква цел се прави. Ако служителят проверява експозицията на клиента, за да му предложи нова услуга, справката е служебно мотивирана. Но ако данните се достъпват, за да бъдат предоставени на трета страна, за което няма прокурорска заповед, се касае за престъпление по служба. Когато става въпрос за клиента,институцията трябва да има гаранции, че именно той, а не друг достъпва информацията.

Сигурността продава

За част от компаниите, работещи с клиенти на дребно, както и за тези, които са се насочили в корпоративния сегмент, сигурността на данните може да се превърне в конкурентно или оперативно предимство. Според проучване на Deloitte 61% от организациите виждат, че ползите от инвестициите им по GDPRнадхвърлят съответствието. От тях 21% очакват значителни облаги от ново конкурентно предимство, подобрена репутация или бизнес възможности. Макар потребителите да не бяха много заинтересовани за данните си до вчера, днес те са осъзнали силата им. До въвеждането на GDPR страхът, достапреувеличен, беше лагерният огън, около който се събираха всички коментатори на регламента. И това не позволяваше да се откроят останалите аспекти. Например, ако можем да управляваме данните си, ще имаме по-ефективни бизнес процеси – цел, която по-рано постигахме трудно. И още - съгласието на потребителите, което се изисква от регулацията, ще осмисли взаимоотношенията на компаниите с клиентите им, а това е още една възможност.


X