Σε ισχύ τίθεται σε μερικούς μήνες και συγκεκριμένα από τα τέλη Μαρτίου του 2018 ο Γενικός Κανονισμός για την Προστασία Δεδομένων, γνωστός ως GDPR (General Data Protection Regulation)
Εξαιτίας του κανονισμού GDPR οι επιχειρήσεις ανά την Ε.Ε. έχουν ήδη αρχίσει να πραγματοποιούν θεμελιώδεις αλλαγές στον τρόπο λειτουργίας τους και στις μεθόδους διαχείρισης κινδύνου που εφαρμόζουν. Σε περίπου 4 μήνες από σήμερα, οι επιχειρήσεις πρέπει να προσαρμόσουν τις υποδομές τους, για να αποφύγουν τα υψηλά πρόστιμα.
Τι ακριβώς όμως είναι ο νέος κανονισμός; Πως θα επηρεάσουν οι νέες αυτές εξελίξεις την λειτουργία των επιχειρήσεων; Πως μπορούν να προετοιμαστούν έγκαιρα και με τον καλύτερο δυνατό τρόπο.
Η Biljana Pavlovic, υψηλόβαθμο στέλεχος του τομέα ΙΤ της Cisco που έχει δώσει έμφαση στις λύσεις GDPR αναφέρει στο ΑΠΕ-ΜΠΕ:
– Τι είναι ο κανονισμός GDPR και πώς φτάσαμε εδώ;
Ο γενικός κανονισμός για την προστασία δεδομένων (GDPR) εισάγει νέους κανόνες οι οποίοι θα επηρεάσουν εταιρείες σε ολόκληρο τον κόσμο. Θα εφαρμοστεί τόσο σε εταιρείες του Ευρωπαϊκού Οικονομικού Χώρου, όσο και σε άλλες, οι οποίες συναλλάσσονται με αγορές ή πολίτες στο εσωτερικό της Ευρωπαϊκής Ένωσης (ΕΕ).
Ο κανονισμός GDPR δίνει στους πολίτες της ΕΕ νέα δικαιώματα σε σχέση με τα προσωπικά τους δεδομένα, όπως, μεταξύ άλλων, το δικαίωμα να αποσύρουν τη συγκατάθεσή τους, καθώς και ευκολότερη πρόσβαση στα δεδομένα που τους ανήκουν. Υποχρεώνει τις επιχειρήσεις να αναλάβουν μεγαλύτερη ευθύνη για τα δεδομένα χρηστών τα οποία συλλέγουν και να εξασφαλίσουν ότι κάνουν ό,τι καλύτερο μπορούν για την προστασία των δεδομένων αυτών.
Δύο είναι οι λόγοι που οδήγησαν στη δημιουργία αυτού του κανονισμού. Ο πρώτος είναι οι ίδιοι οι πολίτες να έχουν τον έλεγχο των δεδομένων τους. Οι εταιρείες δεν θα μπορούν πλέον να συλλέγουν οποιαδήποτε πληροφορία επιθυμούν, αν δεν συντρέχει σοβαρός λόγος.
Δεύτερον, κάθε χώρα έχει χωριστή νομοθεσία για τον έλεγχο των δεδομένων των χρηστών.
Τι συμβαίνει όμως όταν μια εταιρεία με έδρα την Ελλάδα έχει πελάτες στην Ιταλία, τη Γερμανία και την Ισπανία; Ποιος νόμος ισχύει σε αυτήν την περίπτωση; Με τον κανονισμό GDPR θα μειωθεί η «σύγχυση» και θα είναι ευκολότερο να διαπιστωθούν οι κανόνες που ισχύουν σε κάθε περίπτωση. Δεν θα υπάρχουν πλέον δικαιολογίες.
Ορισμένες χώρες ήδη διαθέτουν νόμους παρόμοιους με τον κανονισμό GDPR, αλλά με μία σημαντική διαφορά: τα τρομακτικά πρόστιμα. Στην περίπτωση του GDPR, οι ποινές μη συμμόρφωσης είναι πολύ υψηλές, τρομάζοντας ακόμα και τους μεγάλους παίκτες. Τα πρόστιμα μπορούν να φτάσουν στο 4% του ετήσιου κύκλου εργασιών ή στα 20 εκατομμύρια ευρώ (οποιοδήποτε από τα δύο ποσά είναι υψηλότερο).
Οι επιχειρήσεις δεν έχουν άλλη επιλογή από τη συμμόρφωση. Τα πρόστιμα και οι πιθανές κυρώσεις είναι ένα ρίσκο που κανείς δεν μπορεί να αγνοήσει. Όσο νωρίτερα αρχίσετε να προετοιμάζεστε, τόσο καλύτερα.
– Τι συμβαίνει αν η έδρα του οργανισμού μου είναι εκτός ΕΕ; Είναι και πάλι υποχρεωτική η συμμόρφωση;
Ο κανονισμός GDPR είναι κανονισμός της ΕΕ. Ωστόσο η εφαρμογή του είναι αρκετά ευρεία. Επηρεάζει οποιονδήποτε οργανισμό απευθύνεται ενεργά σε πελάτες ή χρήστες εντός ΕΕ. Δεν αφορά μόνο οργανισμούς με φυσική παρουσία στην ΕΕ.
Και πού θα το καταλάβουν; Αυτό μπορεί να γίνει με αρκετούς τρόπους. Για παράδειγμα, ο τομέας της εταιρείας σας στο διαδίκτυο είναι .eu; Η ιστοσελίδα της εταιρίας είναι μεταφρασμένη σε ευρωπαϊκές γλώσσες; Αναφέρεται ως συνάλλαγμα το ευρώ; Υπάρχουν παραδείγματα πελατών από την Ευρώπη; Αν η απάντηση είναι «ναι» σε οποιαδήποτε από τις παραπάνω ερωτήσεις, τότε θα πρέπει να ακολουθηθεί ο κανονισμός GDPR.
Είναι αρκετά πιθανό ένας οργανισμός να χειρίζεται δεδομένα πολιτών της ΕΕ με κάποια μορφή ή τρόπο. Αν νομίζετε ότι αυτό δεν ισχύει, δείτε λίγο τι εννοεί ο κανονισμός όταν αναφέρεται σε προσωπικά δεδομένα. Δεν περιλαμβάνονται μόνο στοιχεία τραπεζικών λογαριασμών, διευθύνσεις email, ευαίσθητες προσωπικές πληροφορίες, αλλά και διευθύνσεις IP. Αν αναλογιστείτε πόσες εταιρείες χρησιμοποιούν στη δουλειά τους διευθύνσεις IP, τότε η νομοθεσία αφορά πολύ περισσότερους, αναφέρει το υψηλόβαθμο στέλεχος της Cisco, καθώς απευθύνεται στις επιχειρήσεις. Και προσθέτει: Λαμβάνοντας μέτρα για την προστασία των δεδομένων σας, θα έχετε πολύ μεγαλύτερη ευκαιρία να προστατέψετε την επιχείρησή σας έναντι ηλεκτρονικών απειλών. Είναι ένα τεράστιο βήμα προς τα εμπρός στην αντίληψη του κόσμου για την προστασία των δεδομένων και παράλληλα μια θετική αλλαγή για τους πελάτες σας.
– Πώς θα ξεκινήσω τον σχεδιασμό μου προκειμένου να ικανοποιήσω τα κριτήρια;
Η αρχή γίνεται με μια ανάλυση των ελλείψεων κάθε επιχείρησης και ειδικότερα με μια έρευνα για το τι πρέπει να για να ευθυγραμμιστεί με τους νέους κανόνες, καθώς υπάρχουν πολύ συγκεκριμένες κατευθυντήριες γραμμές.
Είναι σημαντικό η κάθε εταιρεία να έχει επίγνωση των προσδοκιών της από τους εργαζομένους, σε κάθε σημείο της διαδρομής, ενώ η έγκαιρη προετοιμασία είναι απαραίτητη.
– Μπορώ να επιτύχω συμμόρφωση αν προμηθευτώ ένα συγκεκριμένο είδος εξοπλισμού;
Όχι. Το GDPR πάνω από όλα αφορά τις διαδικασίες ασφαλείας και τη διαχείριση κινδύνου. Η τεχνολογία είναι ένα κομμάτι του, αλλά δεν υπάρχει ένα συγκεκριμένο προϊόν το οποίο μπορεί να λύσει όλα σας τα προβλήματα. Η τεχνολογία δεν θα λειτουργήσει αν δεν συνεργάζονται όλοι οι τομείς.
Πολλοί πιστεύουν, ότι η ασφάλεια στον κυβερνοχώρο είναι πρόβλημα τεχνολογίας, στο οποίο απαντάμε με τεχνολογία. Ωστόσο, οι κακοί γίνονται όλο και πιο ευφυείς. Η τεχνολογία από μόνη της δεν μπορεί να τους σταματήσει. Θα αναζητήσουν κάθε αδυναμία η οποία μπορεί να τους ανοίξει τον δρόμο.
Ενδεικτικά στο πρόσφατo Cisco Mid year Cyber security Report 2017, της Cisco με θέμα την ασφάλεια στον κυβερνοχώρο, περιγράφονται «αναβαθμισμένες» δραστηριότητες των εγκληματιών του κυβερνοχώρου. Το παιχνίδι έχει αλλάξει και η προστασία έναντι των παραβιάσεων δεδομένων είναι κάτι που όλες οι επιχειρήσεις πρέπει να συμπεριλάβουν στα σχέδιά τους.
Επίσης, ο κανονισμός GDPR αναφέρει ότι οι οργανισμοί πρέπει να ορίσουν έναν υπεύθυνο προστασίας δεδομένων ο οποίος δεν θα είναι το ίδιο άτομο με τον υπεύθυνο κινδύνων (risk officer) και δεν θα ανήκει σε κάποιο από τα ήδη υπάρχοντα τμήματα μηχανοργάνωσης (ΙΤ).
Οι υπεύθυνοι προστασίας δεδομένων έχουν ειδική αποστολή, αλλά είναι ιδιαίτερα σημαντικό ο ρόλος τους να είναι εκτός του τμήματος ΙΤ και εκτός διοικητικού συμβουλίου, ώστε να είναι αυτόνομοι να λαμβάνουν αποφάσεις οι οποίες θα προάγουν τη συμμόρφωση.
Και πάλι, το θέμα είναι να εξασφαλιστεί ότι οι εταιρείες αναγνωρίζουν το μέγεθος της ευθύνης που φέρουν όταν συλλέγουν και μεταφέρουν δεδομένα άλλων ανθρώπων.
– Πώς επηρεάζει ο κανονισμός GDPR το πώς θα αντιμετωπίσω μια παραβίαση δεδομένων;
Σήμερα, σε ορισμένες χώρες της ΕΕ, αν ένας οργανισμός υποστεί παραβίαση δεδομένων δεν είναι υποχρεωμένος να το αποκαλύψει σε κανέναν. Βέβαια, για λόγους ηθικής αλλά και δεοντολογίας, ορισμένες εταιρείες νιώθουν την υποχρέωση να το κάνουν, ειδικά αν η παραβίαση αφορά άμεσα τους πελάτες τους.
Όμως τώρα με τον κανονισμό GDPR, αυτό θα είναι αναγκαστικό. Αν δεν αναφέρετε μια παραβίαση εντός 72 ωρών, θα αρχίσουν τα πρόστιμα.
Αν οι οργανισμοί δεν διαθέτουν τις κατάλληλες διαδικασίες ή την κατάλληλη τεχνολογία, δεν θα μπορούν να αξιολογήσουν το μέγεθος της παραβίασης. Όταν λοιπόν θα πρέπει να κάνουν τις σχετικές ανακοινώσεις και να απαντήσουν σε ερωτήσεις του τύπου «Ποια στοιχεία εκλάπησαν;», «Τι θα κάνετε τώρα;» ή «Μπορείτε να με διαβεβαιώσετε ότι δεν θα ξανασυμβεί;», οι απαντήσεις τους δεν θα είναι και τόσο πειστικές.
Επίσης, σύμφωνα με έρευνες του Ινστιτούτου Ponemon, ο μέσος χρόνος που απαιτείται για την ανίχνευση μιας παραβίασης σε μια επιχείρηση είναι 191 ημέρες, το οποίο είναι υπερβολικά μεγάλο χρονικό διάστημα. Η Cisco κατάφερε να το μειώσει σε 3,5 μόλις ώρες διεθνώς. Το σημαντικό αυτό επίτευγμα, σε συνδυασμό με την τεχνολογία μας για ετοιμότητα και απόκριση σε παραβιάσεις (Breach Readiness and Response technology), θα βοηθήσει τις επιχειρήσεις να ανακαλύψουν τι συνέβη και πώς μπορούν να περιορίσουν τη ζημιά σήμερα αλλά και στο μέλλον. Απαιτείται αλλαγή στάσης. Οι οργανισμοί πρέπει να αντιληφθούν το σημερινό τοπίο απειλών και να προετοιμαστούν για απόπειρες κλοπής των δεδομένων τους.