Въз основа на инцидентите, които видяхме през 2016 г., препоръчвам организациите да започнат да се подготвят. От нарастването на ‘BEC‘ атаките на киберпрестъпниците, използващи по-ефективни начини за използване на устройствата „Internet of Things“ (IoT), тези въпроси, свързани със сигурността, би трябвало да напомнят на бизнеса и хората да бъдат по-бдителни. В бъдеще един от най-належащите въпроси, на които трябва да обърнат внимание много организации, е предстоящият Общ регламент за защита на данните (GDPR). Новият набор от правила има за цел да хармонизира защитата на данните във всички държави-членки на ЕС и да доведе до редица ключови компоненти, които ще окажат пряко въздействие върху бизнеса, включително и предприятията извън Европа.

Какво трябва да очаквате?

Много е казано за GDPR, но кой е най-реалистичният дизайн за защита на данните на организациите? Това трябва да е един от въпросите, които трябва да си зададете за бизнеса. Моят отговор на това е да събирате само това, от което имате нужда. Колко от личната информация, която сте събрали, наистина имате нужда? Например рожденият ден на клиента може да не е полезна информация за вашия бизнес – затова трябва да се отървете от нея. Ако имате съществуваща колекция от данни, от която вашия бизнес не се нуждае, трябва да реконструирате базата данни и да изпуснете тези ненужни полета. През преходния период до влизането в сила на GDPR през май 2018 г. организациите трябва да се подготвят за да могат да отговорят на изискванията. Ето някои от често срещаните проблеми, които вашата компания може да срещне:

Глоби – GDPR твърди, че неспазването или нарушенията биха могли да струват на компаниите до 4% от световния годишен оборот или 20 милиона евро в административни глоби.
Известие за нарушаване на данните – новият регламент ще изисква от дружествата да уведомят контролния орган на защита на данните за злоупотреба с данни в рамките на 72 часа.
Право за изтриване – за да подчертая предишното си изказване, събирайте само това, от което се нуждаете. Това означава, че компаниите трябва да изтриват личните данни и всички свързани връзки, ако не ги считат за подходящи или необходими за бизнеса.
Право на информираност и прозрачност – клиентите трябва да имат правото да се откажат и да имат много ясна представа как съхранявате личните им данни и какво правите с тях.

В прогнозите за сигурност на Trend Micro за 2017 г. ние казахме, че GDPR се очаква да повиши административните разходи, но размерът наистина ще зависи от това, което фирмите правят в момента. Повечето европейски компании вече са обвързани с местните разпоредби в рамките на страните, така че адаптирането към GDPR не трябва да бъде толкова трудно, защото някои от тях вече имат дори по-строги правила. Въпреки това, в други държави, особено когато фирмите съхраняват данни на клиенти за маркетингови цели, ще трябва да извършат цялостно преразглеждане на своята база данни, за да се съобразят с GDPR.
Компаниите трябва да вземат предвид глобите за несъответствие. В случаят на TalkTalk, където е бил глобен с рекордните 400 000 лири, заради липсата на подходяща защита на уебсайтовете, тази глоба би могла да достигне милиони, ако GDPR е в сила. Затова компаниите трябва да се отнесат по-отговорно към своите практики за защита на данните, особено с предстоящото регулиране.

Сега какво?

Има ли достатъчно време за подготовка преди май 2018? Трябва да има, защото компаниите вече знаят, какво следва, тъй като GDPR беше приет през април 2016. Откакто влезе за обсъждане в европейския парламент минаха 5 години, така че организациите вече трябва да са наясно и да действат по отношение на своите стратегии за изпълнение още отсега. Докато GDPR би могъл да бъде тежко време за много компании, няма да е така за всички. В крайна сметка така компаниите ще се научат да прилагат по-добри практики за сигурност по отношение на обработката на данни, което ще увеличи доверието на потребителите и технологичния неутралитет.

Ето какво можете да направите за да се подготвите:

Знайте къде се съхраняват данните – GDPR диктува:

Личните данни трябва да са адекватни, уместни и ограничени до това, което е необходимо по отношение на целите, за които се използват

Уверете се, че не съхранявате повече информация, отколкото ви е необходима за тази цел.
Използвайте утвърдени контроли за сигурност – прегледайте правилата за сигурност и инвестирайте в доставчик, който може да предложи криптиране на данни в облака, сигурност на мрежата, усъвършенстван в защитата срещу злонамерени софтуери, IDS/ IPS и предотвратяване на загуба данни.
Определете служител по защита на данните (DPO), ако сте предприятие – в съответствие с изискванията на GDPR, може да се наложи да потърсите правен съвет за да определите дали вашата фирма трябва да назначи служител по защита на данните или не. Ако сте предприятие, а не SMB, по-вероятно е да имате нужда от него. DPO би помогнал на отдела по информационни технологии и на борда да подобри процесите и сигурността на защитата на данните и ще има за задача да наблюдава спазването на разпоредбите за защита. От гледна точка на това много компании, както в Европа, така и извън нея, ще имат затруднения да се придържат към тези нови правила. Като такива, компаниите трябва да признаят тези промени, да мислят бързо и да действат сега!