Usklađivanje sa zahtjevnom europskom Općom uredbom o zaštiti osobnih podataka (GDPR) i općenito ulaganja u IT sigurnost i zaštitu privatnosti, vruće su aktualne teme u gotovo svim kompanijama. Ako nisu, uskoro će postati. O tome kakvo je stanje na terenu govori Berislav Lastrić, poslovni konzultant za energetiku i komunalne djelatnosti te stručnjak za GDPR regulativu u Combisu, jednom od vodećih pružatelja IT usluga u Hrvatskoj.
- Koliko je Combis angažiran na prilagodbi IT sustava GDPR regulativi? Jesu li tvrtke svjesne sveobuhvatnosti promjena koje im slijede i što su najveći izazovi?
Usklađivanje s GDPR regulativom obuhvaća širok spektar poslovanja organizacije, od internih akata, preko organizacijsko-tehničkih procesa i edukacije djelatnika, pa sve do komunikacije i odnosa s korisnicima, partnerima te s javnošću. Važno je voditi računa da puno usklađivanje s GDPR regulativom uključuje evaluaciju usklađenosti u tri segmenta koju čine pravna usklađenost, procesno-proceduralna usklađenost (HRM) i tehničko-tehnološka usklađenost (ICT). Combis je za svoje korisnike pripremio širok spektar savjetodavnih i implementacijskih usluga za sva tri navedena segmenta i može obuhvatiti sve segmente poslovanja kako bi usklađenost s GDPR regulativom bila potpuna. Pojednostavljeno, ono što mi nudimo je ‘ključ u ruke‘.
>>> Novi broj Lidera – GDPR prijeti: Kraj dosadašnjeg modela direktne prodaje
Na našem tržištu postoji širok raspon svjesnosti u tvrtkama o GDPR-u - neke kompanije nisu upoznate s okvirima regulative, neke se nisu aktivno počele baviti programom usklade ili očekuju da će mehanizmi koje su uspostavile po starom Zakonu o zaštiti osobnih podataka te staroj EU Direktivi biti dostatni za početak, unatoč tome što nova Uredba EU i očekivani novi zakon donose mnoge promjene, i finalno, tvrtke koje su vrlo sustavno krenule sa svim aktivnostima i koje su već danas daleko odmakle u svom programu usklade. Svaka od faza usklade nosi svoje izazove, no ono što je najizazovnije su procesi, procesi i ponovno procesi. Počevši od svjesnosti što regulativa diktira i kakve implikacije to ima na poslovne procese, preko faze implementacije tehničkih mjera, do upravljanja i parametriziranja tehnologije koja nam služi za obradu i manipulaciju osobnih podataka.
- Što je ključno za dobru prilagodbu zahtjevima GDPR-a? Kolika su potrebna ulaganja u IT sigurnost s tehnološke strane da bi se učinkovito zaštitili osobni podaci sukladno zahtjevima Uredbe? Kakva su vaša interna iskustva s GDPR-om?
Vrlo važno je napomenuti da zbog širine koju zahvaća regulativa, aktivni sudionici u kompanijama, moraju biti članovi iz gotovo svih dijelova organizacije, od pravnih i kadrovskih poslova, općih poslova i operacija, korporativne sigurnosti, prodaje i marketinga, financija te tehničkih odjela i odjela informatike. Cijeli proces mora biti usklađen s najviše razine. Iz ovog tima će se sigurno profilirati i osoba koja će biti nominirana za Povjerenika zaštite osobnih podataka (DPO), a koja mora imati adekvatna dopuštenja za organizacijske akte te autonomiju kako bi upravljao kvalitetom operativnih procesa nakon procesa usklade i s početkom stupanja na snagu same Uredbe.
Combis je dio HT grupe, a time i član puno šire porodice unutar Deutsche Telekoma. Sama telekom industrija je već opsežno regulirana po pitanju privatnosti. Stoga su aktivnosti unutar DT-a i HT-a krenule vrlo rano, a i mi u Combisu smo uskladili svoje programske okvire. Naš je plan da sva područja budu u potpunosti usklađena s GDPR direktivom već početkom kalendarske 2018. godine. Osim toga, GDPR uredba i njene odredbe su idealna prilika da svaka organizacija sagleda način upravljanja vlastitim podacima i učini nužne promjene, bez obzira je li rezultat same EU Uredbe ili i potreba u skladu s pozitivnom poslovnom praksom.
- Koji su trenutačno najveći izazovi u području IT sigurnosti? Koliko je sve zahtjevnije u vrijeme clouda, mobilnih aplikacija, IOT-a itd., što su najslabije točke u kompanijama u kontekstu sigurnosti?
Na listi prioriteta računalna sigurnost mora biti u samom vrhu kada se govori o planiranju budućih ulaganja. Bilo da je riječ o razvoju novog servisa, aplikacije ili održavanju već postojećeg sustava, aspekt sigurnosti treba biti sastavni dio kompletnog procesa. Stoga je s aspekta GDPR uredbe dobrodošao mandat privacy by design, gdje od početka kroz standardiziran pristup i metodologiju (DPIA) u građenje novog servisa ili proširenje postojećeg valja ugraditi aspekte politike zaštite privatnosti, i na isti način u širem smislu primijeniti na aspekt sigurnosne zaštite.
>>> Još samo devet mjeseci do primjene GDPR uredbe koja će značajno izmijeniti koncept poslovanja
Posljedice novih sigurnosnih incidenata i specifičnih napada sada već postaju katastrofalne, primjerice obustava nekog servisa dovodi do direktnih financijskih gubitaka za pružatelja usluge ali i multiplicirano dodatnih indirektnih troškova, poput onemogućenog pristupa vrijednoj dokumentaciji, ili efekta na reputaciju poslovnog subjekta.
Nove tehnologije koje proširuju domet digitalne transformacije poslovnog procesa do krajnjih granica, u području digitalnih stvari (IoT), uvode u cjelokupnu arhitekturu nove integracijske točke, od rubne senzorike do centralnih platformi i korporativnih sustava te time otvaraju potpuno nove sigurnosne izazove od fizičke razine, identifikacije, autentikacije i odgovarajućih novih naprednih tehnika ugroza (snooping, malware injection, ‘thing‘ in the middle (TITM), denial of sleep) koje nas sve skupa tek čekaju u naprednijoj primjeni ovih tehnologija.
- Primjećujete li porast ulaganja u kibernetičku sigurnost u Hrvatskoj? Poznato je da potpuna zaštita ne postoji, ali kako učiniti maksimalno u današnjem digitalnom okruženju i reagirati preventivno?
Ono što sa sigurnošću možemo reći jest da će razdoblja koja dolaze zahtijevati znatno više usluga iz područja računalne sigurnosti i to ne samo osnovnih usluga integracije pojedinih tehnoloških rješenja za zaštitu, već i onih kompleksnijih. Prvenstveno su to usluge reaktivnog karaktera, odnosno, odgovor na incidente. U tu skupinu spadaju usluge poput analitike sigurnosnih događaja, detaljne istrage u slučaju proboja i digitalna forenzika.
>>> Alfatec: Big Data je ‘must have’ za unaprjeđenje poslovanja, GDPR udara na prodaju i marketing
Isto tako, sve se više obraća pozornost i na faktore prevencije. U tu skupinu spadaju usluge poput penetracijskog testiranja, a provođenjem takvog testiranja naručitelj usluge dobiva uvid u kvalitetu računalne sigurnosti vlastitog sustava kao i odgovarajuće sugestije za poboljšanja. Svrha testiranja je otkrivanje i ispravljanje propusta prije nego što ih otkrije netko s nepoštenim namjerama. U pravilu su do sada ovu vrstu usluga provodile institucije iz financijskog svijeta, najčešće zbog regulatornih zahtjeva.
Valja spomenuti i usluge ranog upozorenja na opasnosti. Tu prije svega mislimo na threat intelligence, odnosno razmjenu informacija o aktualnim napadima i njihovim indikatorima zaraze, a s ciljem da se preventivno poboljša postojeći sustav zaštite kako bi se smanjili rizici od napada o kojima već postoje saznanja.
Na kraju trebamo napomenuti da i napredna adaptivna sigurnosna arhitektura postaje nova poslovna realnost, a njoj je cilj predviđati što bi se sve moglo dogoditi, ali i ono što je možda još važnije za istaknuti - preskriptivno propisati postupke djelovanja kao i automatizirati same postupke zaštite, a time se adekvatno prilagođavati izazovima.