Сигурност

10 оперативни неща, които трябва да промените заради GDPR

Владимир Владков

Владимир Владков

В България се засичат средно по 11 хиляди вируса на ден, или общо 4 милиона вируса за 2016 г., като 80% от зловредните кодове са били или криптовируси, заключващи файловете и искащи директно откуп от жертвите, или са измамни линкове, водещи отново да заразяване с криптовируси. Това заяви на събитието ESET Security Days Констатин Веселинов, управител на Centio. “Все по-чести са и случаите на атаки тип „човек по средата“, при които български фирми, работещи с външни доставчици, губят средства заради подменена „по пътя“ фактура - т.е. фирмата изпраща фактура, зложелателят я „прихваща“, сменя само IBAN кода със собствена сметка, често в същата банка, а след това счетоводителят плаща фактурата, а парите не пристигат. Последният случай, за който знам в България, е за платени 75 000 евро, които са изтеглени веднага от зложелателя, които българската фирма няма да си върне никога“, добави Веселинов.

31% от атаките са срещу малки и средни фирми, каквито са над 93% от всички дружества в България, като щетата от един откраднат запис е около $158. След като регламентът GDPR влезе в сила на 25 май 2018 г. финансовите санкции, предвидени в този регламент, само ще увеличат загубите, допълни той.

Голям проблем е и т.нар. вътрешен фишинг, т.е. служителите са склонни да споделят веднага с колегите си информация, която са получили от ИТ отдела или от ръководството. Освен това киберпрестъпниците става все по-умели, този „сенчест бизнес“ се разраства много бързо, а престъпниците използват много добре инструментите на социалния инженеринг. Скорошните случаи на изпратени фалшиви е-писма от НАП атакуваха именно счетоводители в момент на стрес и въпреки всички обучения в организациите, много хора в момент на стрес кликват върху изпратени заразени документи и линкове, дори ги разпращат допълнително до колеги с искане за помощ“, посочи Веселинов.

Киберпрестъпниците създават многослойни и все по-сложни схеми за източване на кредитни карти. Например с точни копия на истински е-магазини прихващат данните за кредитната карта, плащат за поръчаната от потребителя стока в истинския магазин, изпращат му и продукта, след което започват да изпразват „кредитната карта“. Или ако „супервайзор“ на пакет от 100 откраднати карти, продадени на „кибер престъпник“ от по-ниско ниво разбере, че дадена карта е анулирана, той я заменя с нова „хакната“ карта.

Допълнителни изисквания, налагани от GDRP

Задължителният регламент GDRP унифицира начина, по който се работи с лични данни в 28-те страни в Европейския съюз. „Досега фирмите трябваше да се съобразяват с 28 различни регулации и при пробиви бяха заплашени от съдебни дела в 28 различни съдилища. Единната рамка, налагана от GDPR, се стреми да защити и интересите на бизнеса, както и правата на гражданите“, коментира Спас Иванов, търговски директор на Centio.

Спас Иванов, търговски директор на Centio. Снимка: архив на Computerworld

Изискванията към бизнеса са ясни и конкретни, а промените засягат всеки стопански субект, който обработва данни на физически лица над 5000 човека за цялата история на съществуване на фирмата. Очаква се след това тази „граница“ да бъде намалена до 1000 човека, а след това изискванията да важат за всички фирми.

Изпратено по погрешка е-писмо, случайно или не разкрит телефон указател води до изтичане на лични данни на граждани, а това може да ви донесе солена глоба, ако гражданин се оплаче в Комисията за защита на личните данни или конкурент, разбрал за проблема, съобщи в комисията и тя назначи проверка, обясни Спас Иванов. В същото време КЗЛД е обявила, че ще започне да обучава кадри във връзка с новия регламент непосредствено преди влизането му в сила (крайният срок е 25 май), а това изглежда несериозно. „След тази дата всеки правоохранителен орган в Европейския съюз може да налага глоба, която при съществени нарушения достига до 20 млн. евро, или до 4% от годишния оборот (прилага се по-голямата от двете суми). Ако нарушението е установено в Унгария (т.е. са изтекли лични данни на унгарски граждани, водещ е унгарският орган, а българският е длъжен да му съдейства)“, обясни Спас Иванов.

Планове за съгласуване с GDRP

Всяка организация, която работи с данни на физически лица, трябва да изработи свой план за „съответствие“ с 3 аспекта. Първият етап на анализ и оценка трябва да включва инвентаризация на данните, като администраторът на данни трябва да изисква само онези данни, които имат отношение към предоставяните услуги. Ако за нуждите на маркетинг отдела са нужни по-подробни профили на клиентите (основна задача на CRM системите), то за получаването на тези данни трябва да се изисква изричното съгласие на потребителя. „След това се прави анализ на риска за притежаваната информация и накрая план за намаляване на въпросния риск чрез въвеждане на технологични и организационни мерки“, каза Иванов.

Технологичните мерки трябва реално да намаляват идентифицирания риск до приемливо ниво, в противен случай парите и за най-модерните технологии са „хвърлени на вятъра“, заяви Констатин Веселинов. След въвеждане на технология пак се измерва риска. За първи път в европейска регулация се определят конкретни технологии като криптиране и псевдонимизиране, т.е. заличаване на пряката връзка между личните данни и направените на тяхна база аналитични изводи. Освен това организациите трябва да осигурят преносимост на личните данни (не и на бизнес транзакциите си с потребителите), т.е. наборът от данни да е структуриран така, че да бъде използван от друга компания, включително конкурентна (при заявка от потребителя).

Третият етап включва организационни мерки, като организацията трябва да приведе своите политики и процедури в съответствие с новия регламент.

10 оперативни неща, които трябва да промените във връзка с GDPR

  1. Непрекъснат мониторинг и следене за пробиви както на системите за открити уязвимости, така и за подозрително поведение на потребители или приложения.

  2. Задължителен служител по сигурността на данните. Той трябва да е не само сертифициран, а и компетентен и опитен, тъй като поеме от ваше име комуникацията с правоохранителните органи, с надзорните органи, включително с тези в останалите страни от ЕС. Освен това той трябва да работи в оперативна независимост, не може да на ИТ директора (CIO) да му бъде вменена и тази функция, обяснява Иванов. Служителят по сигурността на данните докладва само на ръководството, което има правомощията да противодейства на проблема и да определя риска.

  3. Съгласие за всяка информация, която съхранявате. Тази клауза поражда много спорове, тъй като разрастващата се онлайн търговия трудно се доказва, че именно даденият потребител е дал съгласие, особено ако не се използват електронни подписи.

  4. Данни без граници. Променя се начина, по който се работи с чуждестранни партньори, включително в страни извън ЕС. „Ако имате партньор туроператор в Турция или Русия например, трябва да се договорите с месните оператори за минимални изисквания по отношение съхраняването, обработката и унищожаването на лични данни. Добрите практики изискват данните да са псевдонимизирани и криптирани и при съхраняване, и при пренасяне“, каза Спас Иванов.

  5. Профилиране. Във всеки момент след като се откажете от услугата на дадена банка или застраховател, можете да искате от тях да унищожат създадения ваш профил. Автоматични обаждания за нови услуги, рекламни кампании и други мерки в този случаи трябва да бъдат „забравени“, както и налични записи на видеокамери и снимки на граждани. Изискването важи и за всички държавни организации – общини, болници, училища, министерства. „:Ако държавата и нейни разпоредители не спазват регламента, то глобата е до 100 млн. евро“, коментира Иванов.

  6. Преносимост на информацията – набор от данни да бъдат използван от друг вид оператор. Засега обаче няма единен формат на този набор, а и скоро няма да има.

  7. Собственик, т.е. администратор или обработващ данните. Ако в организацията се ползва смесен модел, се прилага по-тежкия вариант на изискванията, а именно за администратор на данните.

  8. Псевдонимизация и криптиране – досега тези термини не са ползвани в закон. За първото е нужно парче допълнителна информация за „демаскиране“ на личните данни. В регламентира се препоръчва всички динамични и статични данни да бъдат криптирани. Ако се докаже, че не сте използвали криптиращи механизми, глобата е максимална.

  9. Сертификация. Към днешна дата обаче тя не е възможна, каза Спас Иванов. ISO обмисля към кой управленски стандарт да бъде отнесен новият регламент, като има вероятност за вплитане на GDRP в стандарта ISO 27 000. “Ако сте сертифицирани по ISO 27 000, неговите изисквания надхвърлят тези по новия регламент“, заяви Спас Иванов.

  10. Сигурност в основата на бъдещите разработки (security by design). При създаване на всеки нов бизнес трябва да имате предвид изисквания за сигурност на новия регламент. Предвижда се в бъдеще да бъде правен одит и проверка за съответствие на новите приложения.

Как може да ви помогне Centio?

„На първо място наши специалисти могат да осъществят първоначалния GAP анализ - т.е. доколко внедрените при вас технологични и организационни мерки покриват изискванията на GDRP. След това можем да ви посъветваме кои технологии ще намалят идентифицирания риск, без да е задължително да купувате наши решения, коментира търговският директор на Centio.

Компанията може да предложи и мониторинг на сигурността, т.е. дали даден продукт или решение намалява риска, като услугата включва и т.нар. дигитално разследване и извличане на артефакти при настъпил проблем, което е важно при проверката на правоохранителните органи и решението дали фирмата трябва да бъде глобена или не. Освен това Centio може да предложи „под наем“ специалист по сигурността на информацията. „Можете да вмените тези задължения на колега или да назначите нов човек, но той трябва да има съответните компетенции, знания и практически опит по прилагането им, в противен случай все едно, че не разполагате с такъв“, изтъкна Спас Иванов.

Освен всички останали механизми, чрез които рискът може да бъде избегнат, да бъде намален, той може да бъде и споделен със застраховател, който споделя финансовата тежест при евентуален инцидент. Заедно с Евроинс Centio са разработили съвместен продукт, покриващ различни аспекти от рисковете, свързани с правилата на GDPR.

© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X