Raport specjalny – „Ranking największych banków w Polsce”: Rozwiązywanie problemów nierozwiązywalnych

BANK 2018/06

Rozmowa z Grzegorzem Brolem, prezesem zarządu Integrity Partners.

Czy RODO to potwór z wielkimi zębami, którego wszyscy się powinni bać? Nawet osoby niezwiązane z żadnym biznesem dostają listy, że w związku z RODO coś muszą zrobić. To staje się wszechobecne i straszne…

image

– Wszechobecne na pewno, i to nie tylko w naszym kraju, ale w całej Unii Europejskiej. Współpracujemy z wieloma firmami zagranicznymi i widać wyraźnie, że jest to bardzo ważny temat. Zresztą poza Unią także, bo mamy partnerów z Izraela, którzy też tym żyją, choć ich to teoretycznie nie dotyczy. Jednak kooperując z firmami europejskimi, muszą się interesować nowym rozporządzeniem. Czy to jest straszne? W pewnym stopniu tak, ponieważ proces ochrony danych osobowych postępuje od lat i nie jest to pierwsza regulacja w tym zakresie, natomiast pojawiły się elementy powodujące, że jest potraktowana znacznie poważniej, chociażby przez dość znaczące sankcje finansowe, w kontekście naruszenia tej regulacji. Może stąd skojarzenie ze strasznym potworem. Ale dzisiaj rano czytałem informację – która mnie bardzo zaskoczyła – że jeszcze 40% konsumentów nie słyszało o RODO. Pomimo takiego zalewu informacji przesyłanej wszystkimi kanałami. Można przyjąć zatem, że jeszcze sporo czasu upłynie zanim to zagadnienie będzie faktycznie wszechobecne.

Mniej więcej rok temu firmy, które miały być objęte RODO, zaczęły snuć czarne wizje na temat krótkiego czasu wdrożenia i ogromnych wyzwań technologicznych i prawnych. Wówczas wydawało się, że trzeba natychmiast ruszyć z robotą, bo rok przy tego typu wdrożeniu to nie jest dużo. I tak naprawdę, kiedy rozporządzenie weszło w życiu, to wszyscy już byli spóźnieni. Teraz, mam wrażenie, że i im bliżej wyznaczonego terminu, tym mniej się o tym mówi. Czy pan też to obserwuje?

– W zakresie przygotowania formalnoprawnego firmy nie odpuściły i większość naszych klientów jest już po okresie współpracy z firmami consultingowymi i kancelariami prawnymi. Co oznacza, że przeanalizowały swoje zbiory danych i sposób postępowania z nimi…

…czyli praca trwała w zaciszu gabinetów…

– …tak, była to praca koncepcyjna. Ale ta regulacja niesie za sobą także obowiązki, których nie da się obsłużyć tylko regulaminami. Ona poprzez szereg artykułów wymusza wiele rozwiązań, w tym rozwiązań technologicznych. I ten proces się dopiero rozpoczyna. Większość firm dopiero rozpoznaje ofertę rynku, żeby zapewnić sobie w praktyczny sposób na przykład tzw. prawo do zapomnienia. Tylko jakaś wyjątkowa awangarda jest w trakcie wdrożeń konkretnych rozwiązań i tu trzeba przyznać, że w tej awangardzie są przede wszystkim banki.

Ile w takim razie potrzeba jeszcze czasu, skoro większość firm jest dopiero na etapie poszukiwania partnerów, którzy pomogą im wdrożyć odpowiednie systemy?

– Przede wszystkim jest to bardziej proces niż projekt i będzie trwał wiele lat. Oceniam, że główna fala wdrożeń związana z ochroną i dostępem do informacji potrawa dwa do trzech lat.

Integrity Partners to firma ekspercka specjalizująca się w dwóch kluczowych obszarach Cyber Security oraz Cloud. W gronie jej klientów znajdują się największe instytucje i przedsiębiorstwa różnych sektorów gospodarki oraz liczni przedstawiciele dynamicznie rozwijającego się rynku małych i średnich przedsiębiorstw.

Wychodząc naprzeciw zmieniającym się regulacjom prawnym odnoszącym się do ochrony danych osobowych, zbudowała ofertę rozwiązań technologicznych, które warto rozważyć nie tylko w kontekście nowego rozporządzenia GDPR/RODO.

Bezpieczna wymiana informacji. Kontrolowane współdzielenie dokumentów z rozbudowaną funkcją raportowania, znakowania treści oraz możliwością integracji z systemami DLP.

Audyt danych. System do wyszukiwania danych ustrukturyzowanych i nieustrukturyzowanych.

Klasyfikacja informacji. Rozwiązania do klasyfikacji danych na podstawie treści i podobieństwa binarnego.

Przechowywanie i przetwarzanie danych. Platforma spełniająca wymogi regulacji w zakresie przechowywania danych.

Zarządzanie dostępem uprzywilejowanym. Systemy do nagrywania, monitorowania i audytu sesji uprzywilejowanych, zapewniające kontrolę dostępu do infrastruktury i danych.

Kontrola uprawnień. Rozwiązanie zapewniające audyt, kontrolę i weryfikację poziomu dostępów Active Directory.

Anonimizacja. Maskowanie danych statycznych i dynamicznych w czasie rzeczywistym.

Czy dużym ryzykiem jest nie zrobić nic?

– Myślę, że jest to duże ryzyko. Ponieważ regulacja jest nowa, będzie docierała się w boju przez najbliższe miesiące. Wykazanie dobrej woli w pierwszym okresie, że podjęło się wysiłek, będzie okolicznością, którą audytorzy odbiorą pozytywnie. Natomiast całkowite zignorowanie tego zagadnienia może być bardzo bolesne.

Co tak naprawdę trzeba zrobić, żeby z jednej strony być w zgodzie z RODO, a z drugiej mieć pewność, że zabezpieczenie jest skuteczne?

– To temat rzeka i oczywiście dostawcy będą pokazywać dziesiątki kluczowych rozwiązań. Z pragmatycznej strony, na pewno trzeba zadbać o ochronę informacji, czyli zarówno na poziomie dostępu do niej, jak i postępowania z nią, chociażby szyfrowania i bezpiecznej wymiany. Ale należy także zwrócić uwagę na rozwiązania niszowe (dotychczas były stosowane raczej w wyjątkowych przypadkach), jak anonimizacja danych w środowiskach nieprodukcyjnych (testowych), które staną się zapewne standardami rynkowymi.

Współpracujecie z największymi dostawcami systemów i oprogramowania, chociażby z Microsoftem. Czy to oznacza, że na tym rynku liczą się tylko najwięksi, czy pojawiają się także dobre rozwiązania małych, niezależnych firm?

– Nasza firma zbudowała portfolio rozwiązań dedykowanych wymaganiom stawianym przez RODO. Z jednej strony bazujemy na rozwiązaniach liderów rynkowych, takich jak wspomniany Microsoft. Zrobiliśmy także przegląd rynku, szczególnie izraelskiego, pod kątem dedykowanych rozwiązań do ochrony sensytywnych danych, w tym danych osobowych. Dzięki temu wprowadziliśmy na polski rynek zupełnie nowe, innowacyjne rozwiązania, także firm będących jeszcze startupami. Wynika to z faktu, że część funkcjonalności i wymagań jest zupełnie nowa, np. dynamiczne maskowanie danych w systemach i aplikacjach. To jest kategoria, która ma bardzo krótki staż na rynku. Zajmuje się tym niewiele firm i na ogół nie są to znane marki, mające w naszej ocenie olbrzymi potencjał rynkowy.

A skąd Izrael, przecież przyzwyczailiśmy się, że technologia idzie do nas z amerykańskiej Doliny Krzemowej?

– Nasza firma na poziomie strategicznym rozwija się w dwóch kierunkach – oferujemy rozwiązania chmurowe, niezależnie czy jest to chmura publiczna, prywatna, czy rozwiązanie hybrydowe, i to faktycznie jest domena firm amerykańskich. Świetnym przykładem jest Microsoft, będący liderem w wyścigu dostawców rozwiązań chmurowych. Natomiast drugim motorem napędowym naszej firmy jest cyber security, czyli rozwiązania do zapobiegania zagrożeniom i ochrony danych. W tym przypadku krzemowa dolina mieści się w okolicach Tel Awiwu.

Czy firmy izraelskie są obecne na rynku europejskim, czy jest to oferta, która was wyróżnia?

– Firmy izraelskie wchodzą na rynki międzynarodowe bardzo szybko, co wynika z ich kultury biznesowej, ale także z faktu, że rynek izraelski jest relatywnie niewielki. Jednocześnie z racji położenia geopolitycznego mają bardzo zaawansowane rozwiązania dotyczące bezpieczeństwa. Ponadto realizowany jest tam program rządowy, który mocno wpiera ekspansję firm technologicznych. Dlatego firmy te są widoczne również na rynku europejskim. A jeśli chodzi o naszą współpracę z nimi, to mamy przyjemność wprowadzać te firmy na polski rynek na wczesnym etapie ich działalności. Jako jedna z niewielu spółek mamy doradców z Izraela, którzy proponują nam bardzo ciekawe rozwiązania.

Ochrona danych osobowych od dłuższego czasu jest coraz bardziej restrykcyjna, ale RODO było takim krokiem milowym, głównie jeśli chodzi o restrykcje. To otworzyło przed firmami integratorskimi ogromny rynek, czym dzisiaj dostawcy rozwiązań podkreślają swoją konkurencyjność?

– Wielu graczy na polskim rynku próbuje pod hasłem RODO sprzedawać swoją dotychczasową ofertę, dokładając jedynie do swoich produktów etykietę „RODO compliant”. My natomiast szukaliśmy rozwiązań nowych, idealnie wpisujących się w wymagania rozporządzenia. Współpracujemy np. z firmą SecuPi, która oferuje zupełnie nowe podejście do maskowania danych (tzw. dynamiczne maskowanie danych). To jedno z rozwiązań, które jest pomocne w pogodzeniu pewnej sprzeczności, która się pojawiła, ponieważ z jednej strony przychodzi klient i mówi „proszę usunąć moje dane osobowe ze wszystkich państwa systemów”, a z drugiej strony jest urząd skarbowy, który mówi „proszę trzymać dane transakcyjne przez określony czas”. Jest także prawo bankowe i wiele innych regulacji, które nakazują przechowywanie danych. I my proponujemy doskonałe antidotum na pogodzenie tych dwóch rzeczy.

Potraficie usunąć i nie usunąć jednocześnie?

– Coś w tym stylu, potrafimy nie usunąć fizycznie, ale zamaskować w sposób trwały i zapobiec dostępowi do tych danych.

I to jest zgodne z regulacją?

– Prawnicy rozmawiają na ten temat. Ustawa co prawda weszła w życie, ale jej szczegółowa interpretacja będzie trwała jeszcze jakiś czas. Zapewne będzie tak, że rynek wypracuje konkretne rozwiązania, pokazując, w jaki sposób radzi sobie z problemami, które teoretycznie wydają się nierozwiązywalne.

Integrity Partners jest partnerem SecuPi w Polsce. Platforma SecuPi umożliwia organizacjom zachowanie zgodności z artykułami RODO związanymi z kwestiami technicznymi, w tym „prawem do bycia zapomnianym” (artykuł 17).

W środowisku IT, dane klienta są przechowywane w różnych źródłach, do których uzyskiwany jest dostęp poprzez labirynt procesów, przepływów danych oraz klonowane z systemu do systemu. Złożoność powiązań pomiędzy systemami IT może powodować, że wdrożenie kasowania danych w setkach różnych heterogenicznych źródeł danych może narazić na milionowe koszty związane z ryzykiem utraty integralności bazy danych.

Organizacje wdrażają SecuPi, aby zapewnić dostęp do danych na zasadzie „niezbędnej wiedzy”, udostępniając wiodącą w branży technologię zgodną z zasadami RODO/GDPR, chroniąc jednocześnie przed nieostrożnymi i złośliwymi nadużyciami. Polityki wykorzystane w silniku zapewniają kontrolę dostępu na poziomie wierszy i pól, kontrolę aktywności użytkowników opartą na ryzyku oraz monitorowanie na różnych platformach.

INTEGRITY PARTNERS
+48 (22) 460 99 59
INTEGRITYPARTNERS.PL

Udostępnij artykuł: