IT@BANK 2017: RODO na horyzoncie, firmy w lesie

BANK 2017/11

25 maja 2018 r. w życie wchodzi Ogólne rozporządzenie o ochronie danych (RODO) – ang. General Data Protection Regulation – GDPR. Konsekwencje zmian odczują tysiące firm, ale z przeprowadzanych w ostatnim czasie badań wynika, że wiele przedsiębiorstw wciąż lekceważy rewolucję w przepisach o ochronie danych osobowych, jaką zafundowała nam Komisja Europejska.

Julita Patyńska

Najważniejszym powodem wprowadzenia GDPR/RODO jest, zdaniem Komisji Europejskiej, konieczność wzmocnienia praw obywateli i odbudowania ich zaufania do instytucji przechowujących i przetwarzających ich dane osobowe. Unijni urzędnicy są przekonani, że nowe regulacje pozwolą obywatelom odzyskać kontrolę nad danymi, a przyczynić się ma do tego wprowadzenie następujących rozwiązań:

  • prawo do bycia zapomnianym: gdy ktoś nie chce, aby jego dane były dalej przetwarzane i nie ma podstaw prawnych do ich zatrzymania, dane będą musiały zostać wymazane z bazy danych;
  • ułatwienie dostępu klientom do ich danych i prawo do ich przenoszenia między dostawcami usług;
  • zapewnienie kontroli nad danymi: gdy do przetwarzania danych wymagana jest zgoda, klient będzie poproszony o jej udzielenie. Jeśli się nie zgodzi, dostawca usług nie będzie mógł wymóc ich przekazania;
  • nałożenie na przedsiębiorstwa i organizacje obowiązku bezzwłocznego informowania o naruszeniach ochrony danych;
  • wprowadzenie zasady ochrony prywatności w fazie projektowania (ang. privacy by design) oraz domyślnej ochrony prywatności (ang. privacy by default) – gwarancje ochrony danych będą musiały zostać ujęte w strukturze produktów i usług już na etapie ich powstawania.

Najważniejszą zmianą, którą w praktyce odczują instytucje przetwarzające dane osobowe, będzie konieczność dostosowania procedur pozyskiwania zgody na ich przetwarzanie. RODO zakłada, że musi to być dobrowolne, wiadome, świadome i jednoznaczne okazanie woli. Od maja 2018 r. wszystkie formularze zgody powinny być sformułowane w sposób zrozumiały, jasny i jednoznaczny. Zawiłe, nieprecyzyjne i skomplikowane deklaracje zostaną uznane za wadliwe, a zgoda wydana na ich podstawie uznana za niewiążącą. Powszechna obecnie praktyka przedstawiania użytkownikowi domyślnie zaznaczonych okienek ze zgodą na przetwarzanie danych osobowych i przekazywanie ich podmiotom trzecim będzie zakazana.

„Wyrażenie zgody odbywać się będzie wyłącznie przez zaznaczenie każdego z okienek osobno, a aby zgoda została uznana za dobrowolną, od jej wyrażenia nie będzie można uzależniać wykonania umowy” – wskazują prawnicy.

W ten sposób zgoda nie będzie uważana za dobrowolną, jeśli nie będzie możliwości wyrażenia jej osobno na różne operacje przetwarzania danych oraz gdy użytkownik nie będzie mógł odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

Jeśli przekazujący dane uzna, że instytucja przetwarza je niezgodnie z przepisami, będzie miał prawo do:

  • wniesienia skargi do organu nadzorczego – jeśli użytkownik sądzi, iż przetwarzanie danych osobowych jego dotyczących narusza GDPR;
  • skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji nadzoru dotyczącej użytkownika;
  • skutecznego środka ochrony prawnej przed sądem, przeciwko administratorowi lub podmiotowi przetwarzającemu dane.

Administrator oraz podmiot przetwarzający dane będą musieli liczyć się z realną możliwością poniesienia odpowiedzialności administracyjnej, karnej oraz cywilnej. Wszczęcie postępowania sądowego przeciwko administratorowi lub podmiotowi przetwarzającemu dane będzie możliwe niezależnie od skarg złożonych do nadzoru. RODO ujednolica i istotnie podwyższa sankcje finansowe za naruszenie przepisów o ochronie danych osobowych. Maksymalna wysokość kar może sięgać nawet 20 mln euro lub 4% całkowitego globalnego obrotu za rok poprzedni (w zależności, który wymiar będzie dla przedsiębiorcy dotkliwszy).

image

Widać postęp, ale dobrze nie jest

Najnowsze badania, mające odpowiedzieć na pytanie, jak firmy przygotowują się do nowych regulacji, przeprowadzone przez Trend Micro pokazują, że 97% dyrektorów ma świadomość, że musi się do nich dostosować. 90% twierdzi nawet, że zapoznało się już z RODO, a 84% jest przekonanych, że dane osobowe w firmie mają zapewniony najwyższy możliwy poziom ochrony. Niewątpliwie jest to istotny postęp. Z poprzedniego badania przeprowadzonego rok wcześniej wynikało, że ponad połowa (52%) firm nigdy nie słyszała o nowych przepisach.

Okazuje się jednak, że wzrost świadomości konieczności przeprowadzenia zmian nie idzie w parze z jakością wiedzy o RODO. Wiele badanych przedsiębiorstw miało problem z określeniem, które konkretnie dane umożliwiające identyfikację użytkowników wymagają ochrony. 54% ankietowanych nie wiedziało, że do kategorii tej należy data urodzenia klienta, 49% nie wzięłoby pod uwagę baz danych marketingowych używanych w kampaniach, 43% – adresów e-mail.

„Wynika z tego, że firmy nie są ani tak bezpieczne, ani tak dobrze przygotowane do nowych wymagań, jak im się wydaje. Co więcej, wymienione powyżej informacje wystarczą hakerom do kradzieży tożsamości, a przedsiębiorstwa, które nie zapewniają tym danym należytej ochrony, narażają się na nieprzyjemne konsekwencje – takie jak kary pieniężne, utrata klientów i reputacji” – wskazują autorzy badania.

Z danych Trend Micro wynika, że 76% respondentów nie ma pojęcia o wysokości kar pieniężnych, które grożą za brak odpowiednich zabezpieczeń informatycznych. Tylko 24% wie, że może to kosztować firmę nawet 4% rocznych obrotów. 62% ankietowanych uważa, że największe ryzyko w przypadku naruszenia bezpieczeństwa danych wciąż wiąże się z utratą klientów, a 13% wskazuje na utratę reputacji marki. W opinii autorów badania odpowiedzi te są szczególnie niepokojące, jeśli weźmie się pod uwagę fakt, że wyciek danych może doprowadzić nawet do zamknięcia przedsiębiorstwa.

Firmy wciąż nie wiedzą, kto powinien odpowiadać za zapewnienie zgodności z rozporządzeniem RODO. 31% wskazało na dyrektora generalnego, a 16% na dyrektora ds. bezpieczeństwa informatycznego i podlegających mu pracowników. Okazało się, że jedynie w 19% badanych przedsiębiorstw dyrektor wyższego szczebla jest zaangażowany w prace zespołów zabezpieczających wrażliwe dane klientów. 52% respondentów stwierdziło, że w ich firmach pracami tymi kieruje dział informatyczny, a jedynie 28% wymieniło członka zarządu lub kierownictwo najwyższego szczebla.

image

Kostka domina idzie w ruch

Gdy firma przekaże innej organizacji dostęp do danych lub infrastruktury, słabe punkty jednej z nich mogą mieć wpływ na drugą – wskazują eksperci. Problem ten zyskuje na znaczeniu, ponieważ rządy na całym świecie wprowadzają nowe regulacje, które wymagają od firm, aby dostarczały informacje dotyczące sposobu współdzielenia i ochrony danych osobowych.

– O ile incydenty naruszenia bezpieczeństwa dotykające osoby trzecie przynoszą szkody firmom i dużym, i małym, ich wpływ na finanse organizacji może spowodować o wiele większe szkody. Wynika to z szerszego wyzwania globalnego. Podczas gdy zagrożenia ewoluują w szybkim tempie, przedsiębiorstwa i regulacje zmieniają się powoli. Gdy RODO/GDPR wejdzie w życie i „dogoni” firmy, zanim te zdążą uaktualnić swoje procesy, kary za nieprzestrzeganie zasad mogą zwielokrotnić koszty finansowe – ostrzega Alessio Aceti, szef działu odpowiedzialnego za rozwiązania korporacyjne Kaspersky Lab.

Z badań firmy wynika, że przedsiębiorstwa na całym świecie zaczynają postrzegać inwestycje w bezpieczeństwo IT jako strategiczne, udział środków przeznaczanych na ochronę z roku na rok rośnie. W dużych korporacjach jest to już niemal jedna czwarta (23%) całego budżetu przeznaczonego na technologie informatyczne. Tendencja ta jest obserwowana w firmach każdej wielkości, łącznie z bardzo małymi, które zwykle cierpią na niedobór zasobów i niezbyt chętnie zwiększają nakłady na IT. Sęk w tym, że choć na bezpieczeństwo przeznacza się więcej środków, to budżety na IT są niższe. Średni budżet przeznaczany na ochronę IT przedsiębiorstw w ujęciu bezwzględnym zmniejszył się z 25,5 mln w zeszłym roku do 13,7 mln dolarów w 2017 r.

Tymczasem odzyskanie sprawności po incydentach naruszenia bezpieczeństwa nie staje się wcale tańsze. W 2017 r. koszty ponoszone przez małe i średnie przedsiębiorstwa w wyniku naruszenia bezpieczeństwa wynosiły średnio 87,8 tys. dolarów na jeden incydent, podczas gdy w 2016 r. – 86,5 tys. dolarów. W przypadku koncernów koszty są ponad 10 razy wyższe. W 2017 r. wynosiły 992 tys. dolarów, a w 2016 r. – 861 tys. A po wejściu w życie RODO będą kosztować jeszcze więcej.

Zdaniem ekspertów, wzrost nakładów na bezpieczeństwo IT wcale nie rozwiąże problemu. Z ich obserwacji wynika, że największe straty przedsiębiorstwa ponoszą na skutek incydentów dotyczących osób trzecich i ich zaniedbań. Średnie koszty, które poniosły z tego tytułu małe i średnie firmy, wyniosły 140 tys. dol. Korporacje straciły prawie 2 mln dol. (1,8 mln) oraz dodatkowo 1,6 mln dol. z powodu niewystarczającego poziomu ochrony dostawców infrastruktury IaaS.

Firmy wciąż nie wiedzą, kto powi­nien odpowiadać za zapewnienie zgodności z rozporzą-dzeniem RODO. 31% wskazało na dyrektora generalnego, a 16% na dyrektora ds. bezpieczeństwa informatycz­nego i podlegających mu pracow­ników.

Lepiej zapobiegać, niż leczyć

To, że firmy nie radzą sobie z wykrywaniem incydentów bezpieczeństwa, wiadomo nie od dziś. 83% badanych przedsiębiorstw w ciągu roku wykryło od zera do pięciu incydentów. Z jednej strony ⅔ ankietowanych firm uważa, że pracownicy są najsłabszym ogniwem organizacji, ale z drugiej strony nie wysyłają ich na żadne szkolenia – wykazał raport EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm”.

W ciągu roku osiem na dziesięć firm zanotowało od zera do pięciu znaczących incydentów naruszenia bezpieczeństwa. Jedna na dziewięć firm padła ofiarą cyberataków od pięciu do dziesięciu razy. 6% badanych doświadczyło więcej niż 10 incydentów. Najczęściej wskazywano ataki malware (68% badanych), działania pracowników (44%) oraz utratę danych z powodu awarii sprzętu (39%).

– Wyniki wskazują, że firmy nie radzą sobie z wykrywaniem ataków. Identyfikują one bardzo mało incydentów, a wśród tych wykrytych dominują łatwe do zaobserwowania, takie jak infekcja ransomware czy utrata danych w wyniku awarii. Pojawia się obawa, czy brak poczucia zagrożenia nie wynika właśnie z braku możliwości zaobserwowania incydentów bezpieczeństwa – wskazuje Aleksander Ludynia z Zespołu Zarządzania Ryzykiem Informatycznym EY.

Dla większości badanych przedsiębiorstw, najsłabszym ogniwem w kontekście bezpieczeństwa organizacji jest nie sprzęt, oprogramowanie czy procedury, lecz pracownik firmy. Takiego zdania jest aż 64% respondentów. Na dalszych miejscach wśród przyczyn cyberzagrożeń, znaleźli się przestępcy komputerowi – wymieniani przez ponad połowę respondentów (57%), oraz przestarzałe oprogramowanie (40%).

– Badanie pokazuje, że przeszkolenie z zakresu bezpieczeństwa IT, przyjęcia na siebie odpowiedzialności za przestrzeganie zasad i odświeżanie wiedzy nie wystarcza. Listy trywialnych haseł, pokazujące ignorowanie podstawowych zasad ich tworzenia, lekceważenie zaleceń i procedur szyfrowania danych, otwieranie maili phishingowych – to tylko ułamek błędów, które popełniają ludzie, a jednocześnie użytkownicy urządzeń i systemów IT – ostrzega Tomasz Dyrda, dyrektor w Dziale Zarządzania Ryzykiem Nadużyć EY.

Mimo nasilającego się zagrożenia ze strony cyberprzestępców i coraz większej liczby udanych ataków, firmy opierają swoją obronę na technologiach stworzonych w latach 80. ubiegłego wieku – wskazują autorzy badania „Cyberbezpieczeństwo firm”. Są to przede wszystkim programy antywirusowe (93%) i zapory ogniowe (89%). Popularność innych sposobów zabezpieczenia w badanych firmach nie przekracza 30%.

Okazuje się, że zaledwie 7% firm posiada system informowania o incydentach, działający w trybie 24/7/365. Aż 43% firm nie posiada żadnego systemu ostrzegania. Podejście zmienia się radykalnie, gdy dochodzi do ataku hakerskiego, ale wtedy jest już za późno. „Niestety, w wielu przypadkach ataki są skuteczne. Firmy ponoszą realne straty i dopiero po zimnym prysznicu następuje refleksja i próba zrozumienia, w jaki sposób i z kim działać, żeby w przyszłości uniknąć podobnych sytuacji” – wskazują eksperci.

Chociaż firmy zdają sobie sprawę ze znaczenia ludzi dla bezpieczeństwa całego systemu, niewiele z tą wiedzą robią. Okazuje się, że aż 41% pracowników nie uczestniczyło w żadnym szkoleniu na temat bezpieczeństwa w sieci, a w prawie ⅓ badanych firm nie ma procedury postępowania w sytuacji zagrożenia cybernetycznego. Aż ¾ badanych firm stwierdziło, że przeprowadziło w firmie testy bezpieczeństwa, jedynie co piąta (21%) zrobiła to w ciągu ostatniego roku. Tylko 15% firm twierdzi, że wnioski z audytu zostały wdrożone w życie.

Okazało się, że jedynie w 19% badanych przedsiębiorstw dyrektor wyższego szczebla jest zaangażowany w prace zespołów zabezpie-czających wrażliwe dane klientów.

Przezorny Polak dba o dane

A jak zwykli Polacy podchodzą do kwestii ochrony swoich danych? 46% Polaków ma negatywny stosunek do udostępniania informacji na swój temat instytucjom lub firmom i stara się ograniczać je do absolutnego minimum. Ponad dwie piąte ankietowanych (43%) dzieli się nimi niechętnie, nawet gdy w firmy obiecują korzyści w postaci nagród, bonów i rabatów. Niechęć ta może być związana z faktem, że ponad połowa internautów (58%) spotkała się z nieodpowiednim w ich odczuciu wykorzystaniem własnych danych – wskazują autorzy raportu „Rok do RODO – ochrona danych osobowych oczami polskich konsumentów” Deloitte’a.

Tylko co piąty badany wykazuje pozytywny stosunek do dzielenia się danymi. Wraz z wiekiem i poziomem wykształcenia sceptycyzm względem tego wzrasta.

Aż 95% uczestniczących w badaniu firmy Kantar Public na zlecenie Deloitte’a deklaruje, że podczas robienia zakupów lub podejmowania decyzji o wyborze usługi zwraca uwagę na to, czy wymaga się od nich podania danych osobowych. Blisko połowa ma negatywny stosunek do udostępniania instytucjom lub firmom, a 83% przynajmniej raz zrezygnowało ze skorzystania z usługi po zapoznaniu się z warunkami przetwarzania danych osobowych.

34% polskich internautów deklaruje, że co najmniej raz podjęła aktywne działanie w celu uzyskania informacji na temat posiadanych przez podmiot komercyjny danych osobowych na jego temat. Jednak zdecydowana większość nie posiada takich doświadczeń (66%). W krajach Europy Zachodniej takie żądania są na porządku dziennym i stanowią dla przetwarzających bardzo duże obciążenie.

Zaledwie 16% badanych otrzymało kiedykolwiek informację o naruszeniu poufności ich personaliów.