Scandalul Cambridge Analytica a scos la iveală faptul că reţeaua de socializare Facebook accesa şi copia lista telefoanelor efectuate de utilizatori sau chiar a mesajelor trimise de aceştia. Datele a peste 50 de milioane de utilizatori ar fi fost folosite în scopuri pentru care aceştia nu ştiau că şi-ar fi dat vreodată acceptul, aşa cum ar fi manipularea intenţiei de vot în cadrul alegerilor din Statele Unite. Nu este, desigur, prima oară când aflăm că giganţi din domeniul tehnologiei – aşa cum ar fi Google, Apple sau Twitter – sunt acuzaţi că accesează sau permit altor aplicaţii să acceseze date confidenţiale; protestul pare a fi însă mai virulent de această dată, culminând cu mişcarea #deletefacebook. Printre cei care s-au alăturat este şi Elon Musk, care a şters paginile companiilor pe care le deţine (Tesla şi SpaceX) de pe reţeaua de socializare.
Cu toate că e greu să trasăm o legătură directă între Regulamentul General privind Protecţia Datelor Personale şi scandalul Cambridge Analytica, pare că normele impuse de Uniunea Europeană au rolul de a preveni, pe viitor, astfel de întâmplări.
Deşi s-a tot vorbit de GDPR în ultima vreme, e bine să începem prin a explica trei lucruri esenţiale: ce este GDPR, cui se adresează şi care sunt consecinţele nerespectării regulilor pe care acesta le impune.
Pentru a răspunde ameninţărilor asupra securităţii cetăţenilor şi companiilor UE, Comisia Europeană a prezentat în 2012 un pachet de acte legislative privind reforma normelor UE în materie de protecţie a datelor, destinat să adapteze Europa la era digitală. Pachetul de reformă a fost adoptat de Parlamentul European la 14 aprilie 2016 şi cuprinde două instrumente: Regulamentul general privind protecţia datelor (GDPR) şi Directiva privind protecţia datelor pentru sectoarele poliţiei şi justiţiei penale. Regulamentul general privind protecţia datelor le va permite cetăţenilor să exercite un control sporit asupra datelor lor cu caracter personal. Potrivit unui sondaj Eurobarometru, două treimi dintre europeni (67%) au declarat că sunt îngrijoraţi în legătură cu faptul că nu deţin controlul deplin asupra informaţiilor pe care le furnizează online.
GDPR se adresează tuturor persoanelor juridice, indiferent că vorbim de societăţi comerciale, persoane fizice autorizate, asociaţii şi fundaţii (inclusiv asociaţii de proprietari), cabinete medicale, şcoli şi grădiniţe sau autorităţi publice care prelucrează date personale. Pentru a înţelege dacă GDPR vă afectează sau nu businessul, trebuie să vă puneţi următoarele întrebări: am relaţii comerciale sau contractuale cu persoane fizice (angajaţi, clienţi)? Procesez date cu caracter personal pentru alţi parteneri de afaceri (aşa cum ar fi o companie ce prestează servicii de contabilitate sau de curierat)? Dacă la oricare din întrebările de mai sus răspunsul este da, atunci GDPR va avea un impact asupra businessului.
Afacerile care nu sunt afectate de Regulamentul general privind protecţia datelor sunt cele care desfăşoară activităţi care nu intră sub incidenţa legilor din Uniunea Europeană sau cele realizate de către autorităţi competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor. Sunt de asemenea exceptate lucrările efectuate de o persoană fizică în cadrul unei activităţi exclusiv personale sau domestice; cu alte cuvinte, dacă procesaţi date acasă doar de dragul de a le procesa, nu veţi avea legătură cu noul regulament.
Pentru a explica cel de-al treilea element, şi anume care sunt consecinţele în urma încălcării GDPR, trebuie înţeles cum modifică acesta fluxul operaţional al unei companii.
Noua legislaţie europeană aduce o serie de elemente de noutate. Astfel, companiile sunt obligate să numească, în anumite condiţii, un responsabil cu protecţia datelor la nivel de companie sau grup care va acţiona în fapt mai mult ca un reprezentant „în teritoriu” al autorităţii, având rolul de a se asigura că toate procesele şi procedurile operatorului sunt conforme cu legea şi de a notifica autoritatea competentă în termen de 72 de ore atunci când are loc o încălcare a securităţii datelor cu caracter personal. Unele drepturi va trebui redefinite, iar altele noi va trebui definite pentru persoanele vizate (de exemplu dreptul de a fi uitat sau dreptul la portabilitatea datelor). Apar condiţii mult mai stricte pentru o procesare legală în baza consimţământului persoanei vizate, iar persoanele împuternicite să proceseze date cu caracter personal în numele operatorului vor avea o mai mare răspundere. Companiile va trebui să desfăşoare evaluări de impact în cazul în care prelucrează automat date cu caracter personal care produc efecte juridice privind persoana fizică, care o afectează în mod similar într-o măsură semnificativă sau în cazul în care prelucrează pe scară largă anumite categorii speciale de date (cel mai des întâlnit exemplu fiind cele privind sănătatea, datele genetice şi biometrice) sau date cu caracter personal privind condamnări penale şi infracţiuni. O a treia situaţie care presupune evaluări de impact este monitorizarea sistematică, pe scară largă, a unei zone accesibile publicului.
Pe ultima sută de metri
La începutul anului, mai mult de o treime dintre companiile din România (37%) nu aflaseră încă despre GDPR sau credeau că regulamentul nu li se aplică, conform unui studiu realizat de MKOR Consulting. GDPR va trebui aplicat şi respectat de majoritatea companiilor din România, însă doar 62% conştientizau la începutul anului că vor fi afectate de noua reglementare. Dintre acestea, aproape două treimi îşi actualizaseră sau erau în curs de actualizare a proceselor pentru a fi în acord cu legislaţia până în 25 mai, dată la care GDPR intră în vigoare în toată Uniunea Europeană. 16% dintre managerii chestionaţi nu cred că se vor putea alinia cerinţelor GDPR până la această dată.
„Reglementările GDPR bat la uşa companiilor, în condiţiile în care orice societate care colectează date despre clienţii şi colaboratorii săi va trebui să se conformeze cu cerinţele regulamentului european până în 25 mai. Noi, la MKOR, am fost curioşi să vedem în ce măsură sunt companiile româneşti informate şi, mai mult, pregătite să îşi adapteze procesele pentru a se conforma noilor norme de protecţie a datelor”, precizează Corina Cimpoca, consultant senior şi fondator al MKOR Consulting. Aproape o treime (31%) dintre companii doar s-au informat despre GDPR, fără a trece însă la acţiune. Acestora li se adaugă alte 13% care nici măcar nu au încercat să afle detalii despre cum vor fi afectaţi. Cel mai nepregătite sunt microîntreprinderile: 20% dintre acestea nu au făcut nimic pentru a fi în acord cu noua reglementare, iar alte 44% doar s-au informat.
Pe de altă parte, aproape un sfert dintre companiile respondente şi-au identificat procesele de lucru care vor suferi modificări şi şi-au pregătit un plan de lucru, iar 19% dintre ele au pregătit o echipă internă dedicată implementării GDPR. O parte dintre companiile româneşti (respectiv 18%) au apelat la servicii de consultanţă specializată pentru a se alinia reglementărilor GDPR. În general acestea sunt companii mari şi mijlocii, care dispun şi de bugete mai generoase. Dacă pentru cea mai mare parte a companiilor respondente (19%) sumele cheltuite pentru a se asigura că respectă reglementările GDPR nu depăşesc 1.000 de euro, alţii trebuie să asigure bugete mai mari. Bugetele a 9% dintre companiile româneşti se situează între 1.001 şi 3.000 de euro, în timp ce 6% dintre companii vor cheltui peste 10.000 de euro.
Implementarea GDPR este o oportunitate pentru a securiza nu doar datele cu caracter personal, ci toate datele sensibile pe care le deţine o companie, remarcă Bogdan Tudor, CEO al companiei de consultanţă Startech Team. „De cele mai multe ori, în plus faţă de datele a căror protecţie UE vin să o impună, companiile deţin date de o valoare mult mai mare, precum informaţii despre clienţi, parteneri, preţuri de producţie sau de vânzare, salariile în companie şi multe altele de a căror securitate poate depinde chiar afacerea în sine“, spune el. În prezent, cea mai eficientă metodă de protecţie a datelor este deconectarea de la internet a sistemelor pe care acestea sunt stocate. „Dacă nu poţi face acest lucru, vei avea nevoie de o analiză făcută de un expert capabil să recomande soluţia potrivită pentru afacerea ta. Vremurile în care să deţii un antivirus ca modalitate de securitate au apus de mult. Astăzi, antiviruşii clasici sunt neputincioşi în faţa noilor ameninţări şi este nevoie de o nouă abordare, care să ţină cont atât de noile modalităţi dinamice de atac, de noile atacturi de tip ransomware dar şi de o nouă filosofie a securităţii IT, aceea că niciun sistem nu poate fi sigur 100% şi cel mai important este să poţi detecta atacul, minimiza daunele şi restaura sistemele la starea iniţială fără pierderi considerabile.”
Bogdan Tudor consideră că afacerile care se îngrijesc doar de protecţia datelor personale sau de teama amenzilor impuse de GDPR „aruncă pe fereastră o parte din investiţie. Este cea mai bună ocazie pentru a face o evaluare exhaustivă a tuturor datelor sensibile pe care compania le deţine, spune el, şi de a le proteja în consecinţă, maximizând astfel investiţia.
Mai mult, dacă până acum companiile sufereau o breşă de securitate şi ascundeau acest lucru, în noile condiţii sunt obligate să raporteze acest lucru autorităţilor. „De aceea, mă aştept ca incidentele de securitate să facă deliciul media în perioada următoare. Cu toate acestea, datele vor fi mai bine protejate şi pe termen lung mă aştept ca numărul de incidente să scadă. Orice măsură de protecţie a datelor este un pas înainte”, subliniază CEO-ul Startech Team.
„Observăm, fără îndoială, o destul de mare efervescenţă în această materie, cu precădere din partea consultanţilor care încearcă să conştientizeze publicul cu privire la importanţa implementării GDPR în România”, spune avocatul Cătălin Săpaşu, senior associate în cadrul companiei Duncea, Ştefănescu & Associates. „Credem că mare parte din companiile româneşti, în special filiale ale multinaţionalelor, au reacţionat din timp la modificările pe care le presupune GDPR, considerând efectele adverse ale neaplicării acestui regulament, şi au început încă de anul trecut pregătirea în ceea ce priveşte procedura de aliniere. Cunoaştem societăţi care au finalizat implementarea GDPR sau care parcurg ultimii paşi în această direcţie.”
Există însă şi societăţi, arată el, care au început relativ de curând pregătirile pentru implementarea GDPR şi care acum fac primii paşi în vederea actualizării politicilor de confidenţialitate şi a formularelor de obţinere a consimţământului. „A fost esenţială informarea repetată a partenerilor de afaceri asupra acestor modificări legislative majore şi sprijinirea lor în orice etapă de implementare s-ar afla. Mai mult, considerăm că şi start-up-urile ar trebui să implementeze, încă din etapa constituirii firmei, valorile şi garanţiile oferite de GDPR. Se poate astfel realiza o formă incipientă a principiului privacy by default.”
Raportat evident la dimensiunea acestora, impactul asupra IMM-urilor va fi semnificativ, multe dintre acestea neavând implementate astfel de politici, crede Cătălin Săpaşu. Concret, deşi IMM-urile nu deţin logistică, resurse şi forţă de implementare similare cu ale multinaţionalelor (care, în multe dintre cazuri, aplică proceduri uniformizate la nivel de grup), managementul acestora va trebui, mai devreme sau mai târziu, să demareze şi să finalizeze acţiunile necesare în vederea conformării la GDPR. „Managerii în general va trebui să devină în scurt timp – dacă nu au făcut-o deja – foarte atenţi cu procedurile de colectare/stocare a datelor cu caracter personal şi cu aplicaţiile pe care companiile lor le folosesc în activitatea curentă. Nu în cele din urmă, sancţiunile foarte mari prevăzute de GDPR vor determina IMM-urile să se alinieze foarte rapid cerinţelor GDPR.”
Un prim pas pe care cei responsabili ar trebui să îl facă este informarea tuturor angajaţilor companiei în legătură cu garanţiile pe care trebuie să le ofere societatea persoanelor vizate. În cadrul acestei etape li se poate explica angajaţilor şi colaboratorilor care sunt datele personale procesate, motivul pentru care sunt procesate, de ce sunt importante, ce garanţii trebuie să ofere compania şi care sunt sancţiunile corelative. „Această «educare» a angajaţilor ar trebui să înceapă de la primul angajat care intră în contact cu persoana vizată (cel mai adesea front deskul) şi să continue cu personalul care intermediază transmiterea către management a documentelor care conţin date personale. În acelaşi timp, un manager ar trebui să solicite tuturor furnizorilor şi clienţilor companiei garanţii adecvate în legătură cu respectarea drepturilor persoanelor vizate şi, în cazul existenţei unor riscuri aferente respectării GDPR din partea acestor furnizori sau clienţi sau ca urmare a neconformării ulterioare la cerinţele legale, să sisteze colaborarea cu aceştia.“
Având în vedere sancţiunile legale considerabile şi timpul limitat pe care companiile îl mai au la dispoziţie pentru implementarea tuturor aspectelor juridice şi tehnice, asistenţa externă devine importantă pe toată perioada de implementare, cu atât mai mult cu cât schimbările sunt derulate de regulă la nivelul întregii organizaţii, explică avocatul. Cu toate acestea, asistenţa juridică este necesară în faza incipientă a procesului de aliniere la standardele GDPR, în mod special pentru efectuarea unui studiu de risc. Acesta constă în identificarea modului de colectare a datelor cu caracter personal, a fluxurilor de date transferate către terţi, analiza şi definirea procedurilor de lucru, analiza implicaţiilor prevederilor GDPR asupra activităţii companiei, relaţiei cu contractorii, subcontractorii, modului de obţinere a consimţământului persoanelor vizate şi analiza politicilor şi procedurilor interne existente ale companiei pentru asigurarea protecţiei datelor cu caracter personal.
„Bugetul aferent implementării GDPR este fără îndoială important; acesta este desigur variabil. Pentru a efectua o planificare bugetară în ceea ce priveşte alinierea companiei la cerinţele GDPR trebuie, în primul rând, să înţelegem modificările concrete pe care le va aduce la nivelul organizaţiei. Astfel, acesta aduce o serie de schimbări pentru anumite industrii, de exemplu o schimbare a vârstei la care copiii îşi pot exprima consimţământul, ceea ce va fi relevant pentru companiile care prestează servicii în domeniul educaţiei, entertainmentului, în general businessuri care se adresează copiilor”, spune Cătălin Săpaşu. Din punctul de vedere al bugetului, o noutate este faptul că GDPR are o abordare nouă a modului în care ar trebui să se gestioneze confidenţialitatea într-o organizaţie; organizaţiile sunt responsabile pentru implementarea acestor modificări, iar multe va trebui să numească un responsabil pentru protecţia datelor (data processing officer DPO), intern sau extern.
„În mod normal, alinierea la cerinţele GDPR începe cu un audit destul de cuprinzător. O parte foarte importantă a oricărui proces de aliniere la cerinţele GDPR ar trebui să fie gestionarea riscurilor, în special crearea unui proces care să documenteze procesarea datelor şi să evalueze riscurile de confidenţialitate. Dacă este necesar, acest proces va conduce, de asemenea, la evaluări ale impactului asupra vieţii private a persoanelor vizate şi, ulterior, la decizii privind riscurile, evaluări făcute de către un organism competent din cadrul companiei”, remacă avocatul.
Încălcarea prevederilor GDPR atrage impunerea unor amenzi de la autoritatea de supraveghere, fiind stabilite două seturi de praguri maxime pentru penalizările care pot fi impuse pentru încălcările relevante. Încălcarea anumitor prevederi ale GDPR, precum cele referitoare la principiile de bază pentru prelucrare, drepturile persoanelor vizate sau transferurile de date către un destinatar dintr-o ţară terţă este supusă unor amenzi administrative de până la 20 de milioane de euro sau până la 4% din cifra de afaceri globală, în funcţie de care dintre acestea este mai mare. Alte încălcări, precum cele referitoare la obligaţiile operatorului şi ale persoanei împuternicite de operator, obligaţiile organismului de certificare sau de monitorizare sunt supuse unor amenzi administrative de până la 10 milioane de euro sau până la 2% din cifra de afaceri mondială totală anuală a unei întreprinderi, oricare dintre acestea este mai mare.
„Valoarea crescută a amenzilor administrative impune acordarea unei importanţe deosebite noilor cerinţe ale GDPR. Astfel, companiile trebuie să aibă în vedere faptul că aplicarea unei amenzi administrative consistente poate conduce, în unele cazuri, la suspendarea activităţii acestora sau, în ultimă instanţă, la imposibilitatea de a continua activitatea”, notează Cătălin Săpaşu. „Riscul companiilor nu este însă legat doar de suportarea amenzilor administrative, ci şi de reputaţie. Astfel, în cazul încălcării cerinţelor impuse de GDPR, numele companiei poate fi asociat cu lipsa de securitate, iar deteriorarea brandului unei companii este dificil de cuantificat”, încheie el.
GDPR aduce plusuri pe piaţa serviciilor de securitate IT
Atacurile cibernetice au devenit tot mai sofisticate şi mai greu de detectat, crede Doru Manea, CEO al Netsafe, distribuitor de soluţii şi produse IT cu valoare adăugată pe segmentele de security, networking şi wireless. La nivel global, în medie, impactul financiar al unei breşe de securitate a depăşit în 2016 4 milioane de dolari, valoare în creştere cu 29% faţă de 2013. „Mai alarmant este timpul care se scurge până la descoperirea breşei de securitate: în medie, peste 200 de zile, la care se adaugă o altă perioadă de 70 de zile până la izolarea şi rezolvarea acesteia. Soluţiile de securitate au devenit mai complexe şi vizează companiile în întregul lor, indiferent că vorbim despre angajaţi şi obiceiurile acestora de utilizare a internetului sau a tehnologiei, despre echipamentele pe care le folosesc sau infrastructura la care sunt conectate”, spune Manea.
„Provocarea este creşterea nivelului de conştientizare a riscurilor la care se expun companiile, utilizatorii individuali, angajaţii dacă nu îşi iau măsuri de protecţie împotriva atacurilor cibernetice. În România, principalii investitori în soluţii de securitate şi infrastructură IT sunt companiile mari din domeniile IT, financiar-bancar, telecomunicaţii, sănătate, producţie şi agricultură. Aceste companii conştientizează riscurile la care se expun şi iau măsuri pentru a limita atacurile cibernetice. Pe de altă parte, însă, la polul opus se află IMM-urile, care au rămas vulnerabile în faţa atacatorilor şi care devin ţinta hackerilor; scăpările de securitate ale acestora sunt o modalitate prin care infractorii cibernetici pot accesa contracte, listele de contacte sau informaţiile legate de conturi.”
Doru Manea crede că numărul incidentelor va scădea pe termen lung, dar şi că tehnologia nu este întotdeauna suficientă pentru a fi protejaţi în faţa atacurilor şi ingeniozităţii infractorilor cibernetici. Astfel, în ciuda creşterii investiţiilor în soluţii de securitate IT, companiile rămân vulnerabile, angajaţii acestora, prin comportament şi naivitate, fiind principala slăbiciune. „Aş putea adăuga că firmele ar trebui să investească, în principal, în tehnologii de protecţie zero day care, chiar dacă nu cunosc sursa atacului, fac o analiză a traficului în reţea, anticipează eventualele atacuri şi le blochează în fază incipientă. De asemenea, în contextul intrării în vigoare a noului Regulament privind Protecţia Datelor cu Caracter Personal (GDPR), fiecare companie ar trebui să aibă un sistem de tip SIEM (Security Information and Event Management) care agregă toate alertele de la toate echipamentele din reţea, corelează evenimentele din reţea într-un singur punct şi le administrează în consecinţă”, remarcă Doru Manea.
Cheltuielile cu implementarea normelor GDPR vor fi diferite în funcţie de sectorul de activitate şi de complexitatea activităţilor desfăşurate, fiind vizate aducerea site-ului şi a sistemelor interne în conformitate cu regulamentul, prelucrarea datelor angajaţilor, a datelor clienţilor în scopuri de marketing, a datelor sensibile ale unor clienţi (referitoare la sănătate, cazier fiscal/judiciar) sau a vânzărilor online, arată un studiu al Consiliului Naţional al Întreprinderilor Private Mici şi Mijlocii din România (CNIPMMR). Potrivit studiului „The Economic Costs of the European Union’s Cookie Notification Policy” din 2014, politica de notificare a vizitatorilor asupra folosirii cookie-urilor (cea pe care Regulamentul general privind protecţia datelor vine să o înlocuiască) genera o cheltuială anuală de peste 2 miliarde de euro în cadrul Uniunii Europene. Costul investit în aducerea site-ului şi a sistemelor interne în conformitate cu reglementările în vigoare fusese atunci estimat la 900 de euro/site, sumă ce poate fi un reper şi în privinţa cerinţelor Regulamentului general privind protecţia datelor, notează acelaşi raport.
Ca urmare a creşterii investiţiilor din partea companiilor, în contextul numărului tot mai mare de incidenţe de securitate IT, dar şi ca urmare a intrării în vigoare, în luna mai a prevederilor GDPR, Netsafe estimează că segmentul pieţei de securitate IT va înregistra o creştere importantă. „Companiile au început deja să se intereseze cu privire la cerinţele de securitate IT pe care trebuie să le respecte conform GDPR. În acest context, va urma, cu siguranţă, o creştere de cel puţin 30% a pieţei de profil, pe segmentul de soluţii de securitate IT clasice, pentru că toate companiile vor avea nevoie de sisteme de raportare, securitate şi vizibilitate a reţelelor IT”, spune Doru Manea, CEO al NetSafe.
Companiile din România stau destul de bine în ceea ce priveşte protecţia datelor faţă de atacatori externi, dacă ar fi să judecăm după numărul de scurgeri de informaţii personale raportate de media, crede Bogdan Botezatu, senior cybersecurity analyst în cadrul Bitdefender. „E greu de spus dacă aceste breşe nu se întâmplă, deoarece nu există încă obligativitatea raportării scurgerilor de informaţii. Cu toate că nu există raportări clare, felul în care companiile colectează informaţii şi felul în care le folosesc lasă de dorit. De exemplu, foarte multe companii colectează informaţii mult peste ce e cu adevărat necesar pentru oferirea unui serviciu. Altele deturnează scopul informaţiei colectate pentru a promova servicii şi oferte sau pentru alte activităţi de marketing.” Un exemplu bun în acest sens îl reprezintă mesajele comerciale trimise prin SMS de diverse companii fără a avea acordul pentru astfel de comunicări, subliniază el.
Bogdan Botezatu crede că introducerea GDPR era necesară, în condiţiile în care atacurile cibernetice au început să îşi facă simţită prezenţă la nivel global încă din 2007, cu cinci ani înainte ca Parlamentul European să facă primele demersuri în vederea implementării unei legi universale de protejare a datelor. Momentele cheie care au marcat evoluţia criminalităţii cibernetice au fost breşele de securitate suferite de TJ Maxx în SUA (94 de milioane de clienţi afectaţi), T-Mobile în Germania (17 milioane de clienţi afectaţi) sau UK Revenue and Customs (25 de milioane de clienţi afectaţi). Toate aceste breşe, remarcă el, survin din neglijenţa cu care au fost tratate datele (stocare improprie sau acces discreţionar la acestea în interiorul companiei) şi ar fi putut fi prevenite cu un set de reguli stricte, precum cele stabilite prin GDPR.
„Din nefericire, de atunci şi până în prezent nu s-au văzut îmbunătăţiri. Noile atacuri informatice sunt mult mai agresive şi compromit din ce în ce mai mulţi utilizatori: River City Media (1,37 miliarde de clienţi expuşi), Friend Finder Network (412 milioane de clienţi expuşi) sau Aadhaar (peste un miliard de clienţi expuşi) sunt doar câteva exemple. GDPR vine «la pachet» cu amenzi usturătoare în caz de nonconformitate. Acest aspect, printre multe altele, face ca protejarea datelor cu caracter personal să devină nu doar importantă, ci imperativă pentru orice business care se ocupă de colectarea şi / sau procesarea datelor cu caracter personal. O astfel de amendă poate afecta grav o afacere mică sau mijlocie, însă la fel putem spune şi despre o breşă. Astfel, începând cu 25 mai, riscurile de a nu fi în acord cu GDPR devin relativ egale cu riscurile asociate unui atac”, afirmă Botezatu.
Indiferent de industria în care activează compania sau de cât de mare este businessul, toţi colectorii şi procesatorii de date sunt nevoiţi să implementeze nu doar politici noi de securitate, ci şi să efectueze traininguri şi, în unele cazuri, să achiziţioneze tehnologii noi, atât pentru a adăuga straturi noi de protecţie în vederea protejării informaţiei, cât şi pentru a face dovada conformităţii cu GDPR – aceasta din urmă fiind o cerinţă cheie, explică analistul de la Bitdefender. „Scopul principal al implementării GDPR este tocmai acesta – să se reducă considerabil riscul ca datele cu caracter personal ale cetăţenilor Uniunii Europene să ajungă în mâinile răufăcătorilor. Nu numai că cetăţenii UE pot «păşi» mai liniştiţi pe internet ca urmare a implementării legii, dar ne putem aştepta ca şi riscurile asociate cu atacuri finanţate de actori statali să scadă”, opinează Bogdan Botezatu.
Bogdan Tudor, CEO-ul Startech Team, este însă de altă părere: „Din păcate, companiile locale sunt foarte slab pregătite să facă faţă ameninţărilor informatice. Provocările mediului de afaceri la noi sunt încă concentrate pe nevoile de bază cum ar fi lipsa infrastructurii, ceea ce este o greşeală. Într-o lume în schimbare în care digitalizarea afacerilor va transforma industrii întregi este cel mai bun moment să ne concentrăm pe a exploata această oportunitate. Mai devreme sau mai târziu se vor face autostrăzi în România; beneficiem acum de unele din cele mai rapide autostrăzi informaţionale prin viteză şi calitatea internetului – e un lucru de care toate afacerile ar trebui să profite acum. Întregi industrii se redefinesc folosind tehnologia şi cea mai bună invesţie pe care o poate face o companie acum este în digitalizare şi, evident, în asigurarea protecţiei sistemelor pe care se bazează afacerea ta.”
Pe fondul progresului tehnologic înregistrat în ultimii ani, se poate observa şi o creştere a gradului de complexitate a ameninţărilor cibernetice, care pot avea impact asupra unui număr tot mai mare de utilizatori; în acest context, o standardizare a măsurilor de securizare a datelor este binevenită, crede Gabriel Gîdea, director de dezvoltare la Kingston Technology România şi Bulgaria. „Mă aştept ca politicile de securitate să devină mai consistente; se vor lua măsuri extinse pentru alinierea la standardele prevăzute în GDPR, începând de la cele mai mari companii şi până la IMM-uri. Chiar şi o companie de mici dimensiuni, cu şase angajaţi, va trebui să adopte o serie de politici de securitate pentru datele pe care le procesează. Companiile de mari dimensiuni aveau deja un anumit set de reguli implementat, doar că acestea vor fi ajustate, aliniate cu GDPR şi implementate mai riguros.”
Corporaţiile îşi vor crea sau consolida departamente de tip Security Office, ceea ce poate duce la apariţia de noi joburi, datorită GDPR, este de părere Gîdea. „Chief information security officer-ul va fi principalul responsabil în ceea ce priveşte securitatea datelor pe care compania le procesează. Stickurile USB cu criptare sunt una din principalele soluţii de securitate, în special pentru companiile medii şi cele de mici dimensiuni, dar, bineînţeles, şi în companii de mari dimensiuni ar prezenta avantaje majore implementarea unei politici de securizare prin utilizarea de stickuri cu criptare.” O astfel de politică de securizare ar crea un mediu de lucru flexibil, crede directorul de dezvoltare de la Kingston, spre deosebire de alternativa de a bloca toate posturile USB din companie în încercarea pentru a evita complet transferul de date pe stickuri USB sau medii externe. Cabinetele de avocatură, cabinetele medicale, cu cinci – şase angajaţi, IMM-urile sunt exemple de companii care pot beneficia de avantajele criptării hardware disponibile pe stickuri USB.
Companiile fac constant eforturi pentru a se proteja de atacurile cibernetice, pe măsură ce tehnologia evoluează, dar, în acelaşi timp, atacurile devin din ce în ce mai complexe şi mai greu de evitat. Cu toate acestea, companiile româneşti sunt din ce în ce mai pregătite, fiind şi forţate să facă progrese, din cauza gradului de complexitate tot mai ridicat al atacurilor, crede Gabriel Gîdea.
Companiile care nu îşi protejează datele corespunzător riscă nu numai pierderi cauzate direct de eventuale răscumpărări solicitate de atacatori, ci şi pierderi cauzate de amenzi. „Dialogul pe tema GDPR este mai intens comparativ cu anul trecut, când 70% dintre oameni nu auziseră de acest subiect; astăzi, probabil că mai sunt 20-30% care nu sunt familiarizaţi cu directiva europeană. Remarc o evoluţie în nivelul de conştientizare, dar e loc de progres la capitolul implementare. Cred că în prima fază nu vom remarca o scădere semnificativă a numărului incidentelor. Mă aştept şi ca alinierea la prevederile GDPR să nu se facă din prima zi, adică începând cu 26 mai. Vorbim de un proces de durată; observ că tot mai multe companii se străduiesc să se alinieze la prevederi pe ultima sută de metri. Însă pe termen mediu şi lung am încredere că GDPR va avea un impact pozitiv în acest sens”, concluzionează el.
GDPR nu este însă singura schimbare de anul acesta: directiva UE privind Securitatea Reţelelor şi a Sistemelor Informatice (directiva NIS), care urmăreşte să sporească rezistenţa cibernetică, intră de asemenea în vigoare în mai 2018. Organizaţiile identificate de statele membre ca operatori de servicii esenţiale (infrastructură critică), precum şi furnizorii de servicii digitale (motoare de căutare, servicii de cloud computing şi pieţe online), se confruntă cu noi cerinţe în temeiul directivei în materie de securitate şi de raportare a incidentelor la autorităţile naţionale. Ca şi în cazul GDPR, companiile ar putea suferi consecinţe grave în cazul neconformării, arată studiul PwC Global State of Security Survey (GSISS) pe anul 2018. „Directorii executivi ar trebui să vadă Directiva GDPR şi Directiva NIS nu doar ca exerciţii de asigurare a conformităţii, ci mai degrabă drept oportunităţi strategice de a-şi adapta afacerea într-o lume a datelor. În plus, companiile ar trebui să se adreseze autorităţilor de reglementare pentru a construi relaţii şi linii de comunicare înainte de a ajunge la termenele limită de conformitate”, notează în raport Manuela Guia, partener la D&B David şi Baias, liderul echipei de servicii juridice de conformitate şi protecţie a datelor.
Europa şi-a dat seama târziu că datele cetăţenilor europeni sunt folosite fără niciun cadru legal, ba chiar sunt exploatate pentru profit, în special de către companiile de peste ocean, şi încearcă în al 12-lea ceas să repare această problemă, opinează Bogdan Tudor. Tot el conchide: „Deşi legea este adresată giganţilor Facebook, Google sau Apple, din păcate acest lucru creează costuri suplimentare, în special pentru companiile din Uniunea Europeană. Lumea nu a început şi nici nu se va termină odată cu GDPR, aşa cum încearcă să sugereze o parte din consultanţii în GDPR, apăruţi ca ciupercile după ploaie, şi în special cei care nu au altă activitate de bază şi încearcă să profite de această oportunitate”.
