Do konce roku 2017 by měly vstoupit v platnost dva nové právní předpisy EU, které upravují informační bezpečnost a ochranu dat. Zásadním způsobem ovlivní, jak organizace v členských státech EU řeší svou ochranu a jak reportují narušení bezpečnosti a ztrátu dat. Upozorňují na to zástupci společnosti Check Point Software Technologies.
Zástupci uvedené společnosti komentují novou legislativu: Kyberbezpečnostní směrnice o bezpečnosti sítí a informací bude vyžadovat zapojení celé řady společností ze soukromého sektoru, které pomohou s realizací nových požadavků na zabezpečení a reporting incidentů. Směrnice stanoví, že „provozovatelé kritických infrastruktur“ (organizace z oblastí veřejných služeb, dopravy, veřejného sektoru a finančních služeb) nasadí odpovídající opatření pro správu bezpečnostních rizik a hlášení závažných incidentů na vnitrostátní orgány nebo speciální nouzový kybertým.
Nařízení o obecné ochraně údajů (GDPR) sjednotí stávající nařízení o ochraně údajů v zemích EU do jednoho zákona, takže budou jednotné pokyny, jak organizace musí zacházet s osobními identifikačními údaji (Personal Identifiable Information, PII), tedy veškerými informacemi, které umožní přímo či nepřímo identifikovat nějakou fyzickou osobu. To se bude týkat všech organizací působících v Evropě, a to bez ohledu na to, zda jsou údaje umožňující identifikaci osob uložené uvnitř hranic Evropské unie či nikoliv. Dojde také k rozšíření definice „osobních údajů“, součástí budou i e-mailové adresy, IP adresy a obsah zveřejněný na sociálních sítích.
Klíčové dle zástupců Check Point Software Technologies je, že se tyto směrnice a nařízení stanou vymahatelnými, takže pokud organizace nesplňují NIS nebo GDPR, riskují v případě narušení bezpečnosti přísné sankce. Navrhované pokuty jsou 5 % z celosvětového ročního obratu (v závislosti na segmentu) nebo až 100 milionů EUR. Nové právní předpisy zvýší odpovědnost organizací, ale zároveň je to pro ně příležitost k přehodnocení stávajících bezpečnostních postupů. Změny v oblasti kyberbezpečnosti mohou ve výsledku pomoci otevřít nové obchodní příležitosti a získat konkurenční výhodu.
Některé z návrhů GDPR odráží směrnici NIS, speciálně pokud jde o zabezpečení systémů a dat, podobně je to i u některých sankcí. Ale GDPR má mnohem více detailů souvisejících s regulací a manipulací s osobními identifikačními údaji (PII) občanů EU.
Podléhat právním předpisům GDPR bude každá organizace nabízející zboží nebo služby v rámci členských států EU. Odstraní se tím současné nejasnosti, zda právní předpisy na ochranu údajů platí v dané zemi nebo regionu. Každá organizace podnikající v rámci EU a manipulující s osobními údaji subjektů EU by měla přijmout taková opatření, která zajistí soulad s předpisy.
„Pokud chtějí organizace minimalizovat rizika, měly by shromažďovat a zpracovávat pouze pro daný účel opravdu nezbytné informace. Nutné je také neuchovávat osobní údaje déle, než je nutné. K tomu mohou pomoci různé automatické politiky, které zajistí, že nepotřebná data jsou ihned bezpečně zničena a vymazána, a nehrozí tak žádný postih,“ říká David Řeháček, Marketingový ředitel pro Jižní a Východní Evropu ze společnosti Check Point Software Technologies.
Aktuální bezpečnostní předpisy pouze navrhují, aby organizace implementovaly „vhodná“ technická bezpečnostní opatření a zvolily odpovídající obchodní postupy, ale už není konkrétně uvedeno, jak přesně postupovat a jak konkrétně by takové bezpečné řešení mělo vypadat. Nicméně ochrana by měla obsahovat uznávaná opatření, jako jsou šifrování dat a firewall, a procesně by organizace měly oznamovat narušení bezpečnosti regulátorům a postiženým jednotlivcům do 72 hodin.
„Počet kyberútoků neustále roste, zvyšuje se jejich sofistikovanost a masivní úniky dat jsou bohužel poměrně časté, takže je pravděpodobné, že počáteční pokuty podle nových nařízení budou velmi vysoké. Proto není možné brát kyberbezpečnost na lehkou váhu,“ dodává Řeháček.
V současnosti jsou v zemích Evropské unie velké rozdíly v sankcích a v jejich vymáhání. GDPR tyto rozdíly odstraní a zavede přísné tresty. Navrženy jsou sankce až 100 milionů EUR nebo až 5 % celosvětového ročního obratu organizace. Jak upozorňuje David Řeháček ze společnosti Check Point Software Technologies, sankce tohoto rozsahu znamenají, že bezpečnost dat a celkově oblast kyberbezpečnosti už nelze ponechat náhodě.
Ochrana osobních údajů bude nedílnou součástí organizace. Organizace musí implementovat bezpečnostní opatření do všech technických a organizačních procesů a postupů hned do samého začátku. S bezpečností je potřeba pracovat už během přípravných fází, aby byla nedílnou součástí firmy na všech úrovních.
V rámci nové legislativy bude dle zástupců Check Point Software Technologies celý dodavatelský řetězec - od dodavatelů k zákazníkům - společně zodpovědný za ochranu dat. Nebude tedy možné převádět odpovědnost za zabezpečení dat. To znamená, že organizace zpracovávající velké množství informací identifikujících osoby, budou muset použít opatření pro zabezpečení dat a kontrolovat i své partnery, aby bylo zaručeno, že také oni zpracovávají osobní údaje bezpečně.
Zatím není zřejmé, jestli budou muset organizace podle GDPR jmenovat inspektora ochrany údajů (Data Protection Officer, DPO), který by byl zodpovědný za správu a ochranu interních dat a shodu s předpisy a procesy. V každém případě musí být organizace připravené, že budou muset interně řešit další zabezpečení, správu dat a reporting. Vzhledem k důležitosti těchto úkolů by takový člověk měl být na vedoucí pozici a měl by být připraven věnovat těmto úkolům většinu svého času.