Нові правила онлайн-світу

Нові правила онлайн-світу

Чого варто очікувати від Закону Європейського Союзу «Про захист персональних даних» (GDPR)? Рішення інформаційної безпеки, які допоможуть відповідати його вимогам.

З 18 травня 2018 року вступає в силу Закон Європейського Союзу «Про захист персональних даних» (General Data Protection Regulation, GDPR). Цей закон гарантує права жителям Європейського Союзу на приватність персональних даних.

Важливе в цьому документі те, що його дія поширюється не на країну чи групу країн Європейського Союзу, а саме на жителів ЄС, у якій би країні вони не перебували. Таким чином, усі юридичні особи, які зберігають, передають або обробляють персональні дані жителів Європейського Союзу, повинні дотримуватися вимог закону GDPR. Недотримання може дорого коштувати компанії: у разі компрометації одного запису, який містить персональні дані, розмір штрафу може сягати 20 млн євро або 4 % річного обороту групи компаній залежно від того, яка з цих сум більша.

Впровадження норм закону GDPR має кілька ключових моментів

  1. GDPR має широке географічне охоплення. Будь-яка компанія, зокрема зареєстрована в країнах СНД, яка веде бізнес з резидентами ЄС, повинна буде дотримуватися GDPR. Навіть якщо мається на увазі безкоштовний сервіс, наприклад веб-сайт, доступний для жителів ЄС, якщо ним збираються, обробляються, передаються персональні дані.
  2. Персональними даними можна вважати будь-яку інформацію, яка однозначно ідентифікує людину. У деяких випадках це можуть бути IP-адреси або файли cookie.
  3. Організації зобов’язані отримати пряму згоду від фізичних осіб — резидентів ЄС щодо обробки організацією їхніх персональних даних. Фізичні особи також матимуть більше прав на обробку своїх даних, наприклад пов’язаних зі стиранням даних (часто називають «правом на забуття») і перенесенням даних, що є правом передавати свої дані третім особам.
  4. Законом вводяться технічні та організаційні заходи, що стосуються захисту персональних даних, які повинні стати обов’язковими, і GDPR містить приклади очікуваних заходів. Серед іншого, ці рекомендації пов’язані з хешируванням і шифруванням персональних даних, можливістю забезпечення конфіденційності, цілісності та доступності, а також з процесами для перевірки ефективності заходів безпеки.
  5. Будуть обов’язковими записи процедур обробки даних. Це означає, що організаціям необхідно буде вести письмовий (електрон­ний) запис операцій обробки персональних даних, фіксуючи життєвий цикл даних, ім’я та контактні дані контролера даних.
  6. Також обов’язковими будуть процедури оцінки, обробки і прийняття ризиків IT-безпеки.
  7. Напевно, найболючіший пункт — про обов’язкове оприлюднення інформації стосовно порушення конфіденційності персональних даних. Ні для кого не секрет, що факти вторгнення ретельно приховуються керівництвом компанії, тому що це веде до значних фінансових втрат, пов’язаних з відтоком клієнтів, юридичними витратами, розслідуванням інцидентів інформаційної безпеки, можливими простоями, а також відновленням функціональності після інциденту. До непрямих фінансових втрат належить втрата репутації, і це настільки серйозно, що непрямі витрати можуть перевищити прямі. Згідно зі ст. 33 GDPR, організації повинні повідомляти контролюючому органу про порушення конфіденційності персональних даних протягом 72 год після виявлення цього факту. Якщо інцидент безпеки — високий ризик для окремих осіб, наприклад, якщо відбулася подія, пов’язана з втратою конфіденційності особистих даних, ці особи повинні бути поінформовані «без затримки».
  8. Якщо організація здійснює обробку великого обсягу записів (конфіденційні особисті дані), то їй потрібний співробітник із захисту даних — Data Protection Officer (DPO). DPO контролює дотримання організаційних правил, підкоряється безпосередньо вищому керівництву, виконує свої завдання незалежним чином і не може бути звільнений або покараний за виконання своїх завдань.

Важливо розуміти, що всередині організації потрібна сильна команда з юристів і професіоналів у сфері інформаційної безпеки для реалізації вказаних вище вимог. Однак ключова роль цього процесу все ж належить керівництву компанії. Без волі вищого керівництва, без його залучення та активної участі на всіх етапах, сподіватися на успіх не варто. Це не дивно, тому що найвище керівництво є і кінцевим бенефіціаром відповідальності за цим законодавством, і суб’єктом, який зазнає фінансових витрат у разі невиконання закону.

Важливі зміни у сфері підвищення рівня інформаційної безпеки

На ринку послуг у країнах СНД закон вплине на дочірні підприємства, материнські компанії яких було зареєстровано у Європейському Союзі. Для них усі регламенти та процедури будуть успадковані. Але всі витрати намагатимуться якимось чином монетизувати. Це призведе до того, що привабливість на ринку послуг компаній, які відповідають GDPR, буде вищою. Гарний приклад — швейцарські банки, гроші в яких тримати досить дорого, хоча вони пропонують високий рівень конфіденційності та надійності. Відповідно, конкурентам нічого не залишиться, як самим підвищувати рівень IT-безпеки всередині своєї організації.

Ця гонка за конкурентні переваги на ринку призведе до важливих змін у сфері рішень, спрямованих на підвищення рівня інформаційної безпеки, а також надання послуг у цій галузі.

Передусім підвищиться попит на фахівців у сфері інформаційної безпеки. Система керування інформаційною безпекою (СКІБ) — це добре продуманий, організований, актуальний набір регламентних процедур, спрямованих на підвищення рівня інформаційної безпеки та готовності всіх користувачів протистояти атакам. Це означає, що головною в процесі створення цієї системи стає група професіоналів, яка зможе створити, запустити та підтримувати ефективність роботи системи управління інформаційною безпекою.

Це вимагатиме від ринку послуг співробітників, спрямованих на навчання і підвищення їх рівня обізнаності в IT-безпеці. І це стосуватиметься не тільки співробітників, які будуть створювати і керувати СКІБ, а й зовнішніх консультантів і підрядників. Чимала роль тут відводиться аудиторам ІБ. Найкраща можливість упевнитися в тому, що СКІБ ефективна, — попросити це перевірити професіоналів.

І ринок ЄС тому підтвердження. Відразу після прийняття Закону і ще до набуття ним чинності з’явилися курси, спрямовані на підготовку сертифікованих DPO. Крім того, значно зростають продажі загальних навчальних курсів з інформаційної безпеки.

Незважаючи на чільну роль людини в цьому процесі, команда з інформаційної безпеки не зможе обійтися без відповідних засобів захисту інформації.

З огляду на вимоги GDPR легко припустити зростання деяких класів рішень інформаційної безпеки.

У зв’язку з тим, що будь-які операції з персональними даними повинні реєструватися, очікується великий обсяг даних (насамперед для журналів подій) і зростання рішень класу Security Information and Event Management (SIEM). Багато фахівців вважають, що цей клас рішень еволюційним шляхом замінять рішення рівня User and Entity Behavior Analytics (UEBA), які ефективніше працюють з Big Data. Вони спрямовані на вивчення поведінкового аналізу, що допомагає підвищити рівень готовності до нових атак, які наразі не описані шаблонними правилами SIEM.

Велика увага приділяється шифруванню даних — адже цей клас рішень найкращим чином справляється із забезпеченням конфіденційності інформації в стані спокою (Data at Rest). Якщо ж конфіденційна інформація має бути доступна певному колу співробітників для її обробки або передачі, то вкрай необхідна система запобігання витоку інформації — Data Loss Prevention (DLP).

Безумовною є потреба надійного резервного копіювання даних — Data Backup. Це питання було актуальним і до GDPR.

Не зовсім звичними будуть для компаній рішення для гарантованого видалення даних.

З огляду на великий потік даних, який буде передаватися по мережі, компанії повинні передбачити політику використання мережі, приділивши належну увагу контролю підключення до мережі Network Access Control (NAC) і будь-яких рішень, які допомагають розібратися і проаналізувати, чим зрештою навантажена мережа (Visibility).

З огляду на те, що сучасні атаки часто використовують процес підвищення повноважень, вкрай важливо мати механізм контролю дій привілейованих користувачів інформаційних систем (користувачів з високими повноваженнями). Такий механізм передбачено у рішеннях класу Privileged Access Management.

Рівень готовності до атак підвищиться завдяки рішенням класу Honeypot (або її сучасної модифікації — Deception) і актуальним сучасним програмам навчання всіх співробітників компанії основам інформаційної безпеки. Особливо це стосується готовності до фішингових атак як найпопулярнішого, дешевого вектору проведення атаки.

Навіть запровадивши у себе систему управління інформаційною безпекою, неможливо бути впевненим у 100-відсотковій захищеності даних. Ось чому настійно рекомендується перевіряти надійність системи захисту і постійно підвищувати її рівень. Бажано залучати зовнішніх фахівців з інформаційної безпеки, які зможуть провести тест на проникнення (Penetration Testing) або аудит на відповідність нормам і стандартам безпеки.

Це неповний список рішень інформаційної безпеки, які допоможуть відповідати вимогам GDPR. Очевидним стає те, що попереду очікується переділ ринку інформаційної безпеки. Можливо, з’являться нові класи рішень, а ми станемо свідками переходу на новий якісний рівень інформаційної безпеки.

 

Отримайте консультацію експертів

Softprom by ERC — Value Added Distributor у сфері інформаційної безпеки, а також інших напрямків IT info@softprom.com