GDPR: Zažíváme klid před bouří?

Možná si ještě vzpomenete na všechny ty žádosti o souhlas se zasíláním emailů, které jste dostali loni na jaře, než 25. května 2018 nabylo účinnosti Všeobecné nařízení o ochraně osobních údajů (GDPR). Od té doby jakoby toto téma upadlo v zapomnění. Stále sice přetrvává určitá nejistota ohledně právních dopadů nařízení GDPR, nicméně společnosti již této problematice nevěnují moc pozornosti a spíše předpokládají, že na ně nebude mít dopad.

Tento laxní přístup se však nevyplácí, protože během prvního roku účinnosti GDPR byly vyměřeny pokuty v celkové výši 56 milionů eur a provedeno více než 200 tisíc šetření, z nichž 64 tisíc prokázalo porušení tohoto nařízení. Zdaleka nejvyšší pokutu, a to rovných 50 milionů eur, udělila francouzská Národní komise pro ochranu údajů (CNIL) společnosti Google.

Přístup k nařízení GDPR a reakce na něj se v jednotlivých evropských zemích velmi liší. Například na Slovensku a ve Švédsku dosud v souvislosti s GDPR nepadla jediná pokuta, zatímco v Polsku, Portugalsku a ve Španělsku už společnosti obdržely pokuty ve výši několika set tisíc eur. Německo v souvislosti s GDPR hlásí 42 udělených pokut a 58 upozornění, kde průměrná výše finančního postihu činila 16 100 eur. Naproti tomu v Nizozemsku bylo vydáno přes 1 000 upozornění, ale udělena pouze jediná pokuta, která se však svou výší 600 000 eur řadí mezi nejvyšší.

To, jestli za výší vyměřených pokut stojí špatné dodržování GDPR v některých zemích nebo laxnější přístup orgánů na ochranu osobních údajů v jiných zemích, není jasné.

Kde tedy společnosti dělají chybu, když jde o dodržování GDPR?

Slabým článkem jsou podnikové sítě

Firemní síť je nejen hlavní datovou dálnicí, ale také hlavním cílem kybernetických útoků. Ani protokoly a postupy pro manipulaci s osobními údaji v souladu s nařízením GDPR nemusí být nic platné, pokud dojde k narušení zabezpečení sítě. Bez ohledu na jejich velikost musí být pro všechny společnosti, které chtějí předcházet porušení GDPR a možným vysokým pokutám, prioritou posílit v zájmu ochrany dat svou síť. Za porušení GDPR společnostem hrozí pokuta až 20 milionů eur nebo 4 % jejich ročního celosvětového obratu podle toho, která hodnota je vyšší. Dodržovat požadavky nařízení GDPR je však nadále výzvou. Je evidentní, že provádění emailové marketingové kampaně a aktualizování interních dokumentů je mnohem snazší než zavedení konkrétních opatření na ochranu sítě a citlivých informací.

Kybernetická kriminalita představuje rostoucí hrozbu, která může způsobit katastrofální škody. Protože kybernetičtí zločinci přicházejí se stále důmyslnějšími útoky na IT infrastrukturu, pro společnosti není snadné chránit své sítě a data. Bohužel krutou pravdou je to, že žádnou síť nelze 100% ochránit. Nařízení GDPR naštěstí ani nic takového nevyžaduje a pouze společnostem ukládá povinnost dělat pro ochranu údajů vše, co je v jejich silách. To znamená, že společnosti potřebují robustní a spolehlivé řešení, které prokazuje jejich odhodlání řídit přístup do sítě a chránit svá digitální aktiva. Nicméně se zdá, že většina společností by dnes měla problém prokázat, že jejich síť je tak bezpečná, jak jen může být.

Nastal čas na lepší ochranu

Legislativa, a to včetně GDPR, je silná pouze tak, jak důsledné je její prosazování. V této souvislosti poradenská společnost Ernst and Young očekává, že úřady postupně zaujmou striktnější přístup. „Dle našeho názoru evropští regulátoři splní své letošní výhružky a začnou vyměřovat vyšší pokuty,“ uvedl Peter Katko, partner společnosti EY. Společnosti na tento vývoj a zvýšenou aktivitu úřadů pro ochranu údajů musí reagovat během několika málo měsíců.

Zatímco velké korporace si mohou dovolit na zavedení a správu bezpečnostních opatření najmout poskytovatele řízených služeb, ty menší k tomu často nemají finanční prostředky a ani nedisponují potřebnými znalostmi. Netřeba dodávat, že právě pro malé a středně velké společnosti mohou být pokuty za nezavedení robustnějších opatření proti kybernetické kriminalitě likvidační.

Úřady pro ochranu údajů mají právo nejen vyměřit pokuty, ale také dočasně nebo trvale zakázat zpracování údajů. Smyslem tohoto zákazu, který by mohl ohrozit samotnou existenci organizace, zejména pokud zvážíme s ním spojené poškození pověsti, je zabránit narušení dat během vyšetřování.

Za účelem snížení rizik a zajištění souladu podnikové sítě s požadavky nařízení GDPR mohou malé organizace přijmout několik praktických opatření. Především je naprosto zásadní, aby své sítě budovaly podle nejnovějších standardů kybernetické bezpečnosti a pomocí nejmodernější síťové infrastruktury a nespoléhaly se na standardní domácí router s běžným antivirovým softwarem. Nastal čas posunout se dále a těžit z výhod nových nástrojů.

Například specializovaná technologie Advanced Threat Protection (ATP) pro pokročilou ochranu před hrozbami začíná být dostupná stále širšímu okruhu organizací, které díky ní mohou v reálném čase monitorovat svou síť a chránit ji před kybernetickými hrozbami. A právě takové řešení je nutné vzhledem ke stále rostoucímu počtu a důmyslnosti útoků.

Společnosti už si nemohou dovolit další čekání. Nejenže musí držet krok s požadavky úřadů pro ochranu údajů, ale také je pro ně nezbytné průběžně kontrolovat svou stávající síťovou infrastrukturu, aby dokázaly omezit riziko kybernetických útoků. Další prioritou společností musí být zvyšování povědomí jejich vlastních zaměstnanců o kybernetické bezpečnosti, aby každý v organizaci znal způsoby bezpečného zacházení s údaji a dokázal identifikovat bezpečnostní hrozby.

Ještě je čas jednat a vyhnout se pokutám a poškození pověsti, které jde ruku v ruce s porušením zabezpečení údajů. Pokud organizace nechtějí v druhém roce účinnosti GDPR čelit dokonalé bouři, musí toto nařízení opět začít vnímat jako své klíčové téma.

Autor: Petr Koudelka, Senior Sales Engineer ve společnosti Zyxel Communications Czech

Kategorie: Aktuality
07/2019

Zanechat komentář



IT-bezpecnost-logo-white

Login

2017 DCD Publishing s.r.o. ©  Všechna práva vyhrazena

Web by Marián Rehák.