Ponad 80 proc. przedstawicieli firm ma szczątkową wiedzę lub nie wie jeszcze nic na temat rozporządzenia GDPR, a mniej niż 1 na 3 firmy czuje się przygotowana na GDPR już dziś – pokazało globalne badanie firmy Dell (obejmujące również Polskę), dotyczące unijnego rozporządzenia o ochronie danych osobowych, które wejdzie w życie w maju 2018 roku. Z badania Intela wynika z kolei, że 40 proc. polskich firm nie ma przygotowanego scenariusza awaryjnego w razie wystąpienia cyberataku. Natomiast Ponemon Institute w swoim raporcie podkreśla, że działy IT mają problemy z wdrażaniem podstawowych procesów bezpieczeństwa, takich jak kontrola dostępu i tożsamości ze względu na szybkie tempo zmian biznesowych.

GDPR: niedostateczna świadomość, brak przygotowania i potencjalne kary

Ruud van Driel - slajd z konferencji Techrisk 2016

Ruud van Driel – slajd z konferencji Techrisk 2016

GDPR (General Data Protection Regulation) wymusi na firmach istotne zmiany w sposobie gromadzenia danych osobowych i administrowania nimi. Nowe przepisy mają wzmocnić poziom ochrony danych osobowych wszystkich obywateli Unii Europejskiej. Przedsiębiorstwa, które nie zadbają o pełną zgodność z GDPR w chwili wejścia regulacji w życie, mogą ponieść wysokie kary finansowe. Przedsiębiorstwa — zarówno MŚP, jak i korporacje — nie są świadome wymagań nakładanych na nie przez nowe przepisy, nie wiedzą, jak dostosować się do regulacji i nie znają konsekwencji nieprzestrzegania jej postanowień. 97 proc. przedsiębiorstw nie ma planu przygotowań do spełnienia wymogów GDPR, a tylko 9 proc. ankietowanych uważa, że ich firmy będą w pełni gotowe na GDPR w chwili wejścia w życie nowego rozporządzenia.

źr. Dell

źr. Dell

Z badania Della wynika, że 82 proc. osób odpowiedzialnych za bezpieczeństwo danych – zarówno w małych i średnich firmach, jak i w korporacjach – jest zaniepokojonych kwestią spełnienia wymogów GDPR. Jednocześnie tym samym osobom brakuje ogólnej świadomości w zakresie nowej dyrektywy. Udzielone odpowiedzi dowodzą, że firmy nie są jeszcze przygotowane na nowe przepisy i prawdopodobnie nie będą na nie przygotowane w chwili ich wejścia w życie.

  • Ponad 80 proc. przedstawicieli firm, którzy wzięli udział w badaniu ma szczątkową wiedzę lub nie wie nic na temat rozporządzenia GDPR.
  • Mniej niż 1/3 firm czuje się przygotowana na GDPR już dziś.
  • Niemal 70 proc. ankietowanych twierdzi, że nie są jeszcze przygotowani na GDPR lub nie wiedzą nic o stanie przygotowania swojej firmy, a tylko 3 proc. z nich ma stosowny plan przygotowań.
Ruud van Driel - slajd z konferencji Techrisk 2016

Ruud van Driel – slajd z konferencji Techrisk 2016

Jak wynika z badania, przedsiębiorstwa zdają sobie sprawę z faktu, że nieprzestrzeganie przepisów GDPR wpłynie zarówno na poziom bezpieczeństwa danych, jak i na wyniki biznesowe, nie są jednak pewne zakresu niezbędnych zmian, wymiaru kar za nieprzestrzeganie regulacji i ich wpływu na przedsiębiorstwo. 79 proc. ankietowanych stwierdziło, że nie wie, czy ich przedsiębiorstwa zostałyby ukarane, lub sądzi, że nie dotknęłaby ich kara za stosowane podejście do ochrony danych, gdyby przepisy GDPR obowiązywały w tym roku.

Inne wnioski z badania:

  • Mniej niż połowa respondentów sądzi, że wszystkie elementy zabezpieczeń, których dotyczy GDPR, są dobrze przygotowane.
  • Tylko 21 proc. ankietowanych czuje się dobrze przygotowanych do GDPR w obszarze kontroli dostępu (który stanowi kluczową kwestię nowej dyrektywy).
  • Prawie 60 proc. respondentów z korporacji w Europie przyznało, że ich firmy nie są przygotowane na GDPR lub nie znało statusu przygotowań. Podobnej odpowiedzi udzieliło niemal 70 proc. respondentów z małych i średnich firm.
  • Ponad 90 proc. ankietowanych stwierdziło, że aktualne procedury w ich przedsiębiorstwach nie spełniają wymogów GDPR.
  • Ponad 80 proc. respondentów uznało, że ich aktualne technologie zabezpieczeń poczty elektronicznej są dobrze lub dość dobrze przygotowane.
  • Prawie 60 proc. stwierdziło, że ich aktualne technologie kontroli dostępu są dobrze lub dość dobrze przygotowane.
  • Ponad 80 proc. uznało, że ich technologie zarządzania dostępem są dobrze lub dość dobrze przygotowane.
  • 65 proc. stwierdziło, że ich technologie zapór firewall nowej generacji (NGFW) są dobrze lub dość dobrze przygotowane na GDPR.

Jak spełnić wymogi GDPR i uniknąć konsekwencji ich nieprzestrzegania?

  • Wdrożenie niezawodnego rozwiązania do kontroli dostępu. Możliwość kontroli dostępu do aplikacji, które dają wgląd w dane osobowe obywateli Unii — a w szczególności w dane nieusystematyzowane — to element kluczowy dla ochrony danych i zgodności z przepisami GDPR. Kontrola ta zwykle wymaga okresowych przeglądów praw dostępu przeprowadzanych przez kierowników pionów oraz wydawania certyfikatów potwierdzających, że uprawnienia są adekwatne do zadań pracowników i nie zagrażają bezpieczeństwu danych.
  • Zarządzanie kontrolą dostępu. Aby spełnić wymagania GDPR, pracownicy i współpracownicy muszą dysponować uprawnieniami dostępu, umożliwiającymi im wykonanie tylko i wyłącznie zadań, które faktycznie zostały im powierzone. Odpowiednie technologie, które pozwalają kontrolować dostęp do danych na tym poziomie, to uwierzytelnianie wieloskładnikowe, bezpieczny dostęp zdalny, zabezpieczenia oparte na ryzyku oraz zabezpieczenia adaptacyjne, precyzyjne zarządzanie hasłami oraz pełna kontrola nad danymi uwierzytelniającymi i aktywnością użytkowników uprzywilejowanych.
  • Ochrona granic zewnętrznych. Wdrożenie zapór firewall nowej generacji (NGFW) pozwala zmniejszyć podatność sieci na cyberzagrożenia i zniwelować ryzyko wycieków danych, które mogą doprowadzić do naruszenia bezpieczeństwa danych, skutkującego surowymi karami, nakładanymi na mocy GDPR. Należy również zadbać o zgromadzenie informacji na potrzeby ewentualnych dochodzeń, niezbędnych do udowodnienia zgodności z przepisami i wdrożenia stosownych korekt po incydencie naruszenia.
  • Zapewnienie bezpiecznego dostępu mobilnego. Bezpieczeństwo danych można zwiększyć poprzez połączenie komponentów związanych z tożsamością użytkowników, zmiennych reprezentujących urządzenia i czynników czasowych (czas, lokalizacja itp.).
  • Zapewnienie bezpieczeństwa poczty elektronicznej. Dbałość o pełną kontrolę i przejrzystość aktywności w obszarze poczty elektronicznej pomoże zniwelować zagrożenie w postaci phishingu i innych ataków na informacje chronione, opartych na wiadomościach e-mail. Jednocześnie umożliwi to bezpieczną, zgodną z przepisami wymianę poufnych i zastrzeżonych danych.
źr. IDC

źr. IDC

Badanie zlecone przez firmę Dell zostało przeprowadzone przez Dimensional Research. Wzięło w nim udział 821 specjalistów ds. IT i biznesowych, odpowiedzialnych za ochronę danych w przedsiębiorstwach mających klientów w Europie. Do wcześniejszego rozpoczęcia przygotowań do GDPR przekonuje m.in. IDC: – Choć do wejścia w życie przepisów GDPR pozostały dwa lata, lepiej nie odkładać na później przygotowań do spełnienia nowych wymogów. Skala, złożoność, koszty i newralgiczne znaczenie GDPR sprawiają, że większość firm będzie potrzebować co najmniej dwóch lat na osiągnięcie pełnej zgodności z przepisami. Większość przedsiębiorstw musi więc zacząć już teraz.1

1Executive Brief on GDPR: A Primer for Getting Started Towards Compliance”, Duncan Brown, marzec 2016 r.

 Polskie firmy nieprzygotowane na cyberataki

Aż 40 proc. dużych przedsiębiorstw w Polsce nie ma przygotowanego scenariusza awaryjnego na wypadek cyberataku lub podobnych zdarzeń. Według badania Intela przeprowadzonego w krajach Europy Środkowo-Wschodniej, polskie firmy troszczą się o bezpieczeństwo IT w mniejszym stopniu niż przedsiębiorstwa z Czech czy z Węgier.

źr. Intel

źr. Intel

Niskie rozpowszechnienie planów reagowania na cyberataki pośród przedsiębiorstw w Polsce zaskakuje, gdy zestawimy je z danymi dotyczącymi naruszeń bezpieczeństwa IT w ostatnich 6 miesiącach. Do incydentów, takich jak: atak złośliwego oprogramowania, dostęp nieuprawnionych osób do danych firmowych, wycieki danych itp. – doszło w 27 proc. dużych polskich firm (w 22 proc. 1-3-krotnie, w 5 proc. przynajmniej czterokrotnie).

– Aby wyprzedzić rozwój zagrożeń technologicznych, trzeba nie tylko stawiać na innowacje, ale również pamiętać o doskonaleniu istniejących już w firmie zabezpieczeń i o najlepszych praktykach kodowania aplikacji. To niezwykle istotne w dzisiejszym, narażonym na cyberataki świecie. Aby uniknąć zagrożeń, należy postawić na dwa elementy: zabezpieczenia i edukację. Szefowie firm oraz producenci muszą dbać o stan wiedzy swoich pracowników i klientów – pamiętajmy, że to właśnie dobra intuicja i świadomość zagrożeń pozwalają ustrzec się przed większością najgroźniejszych ataków – mówi Arkadiusz Krawczyk, Country Manager w Intel Security Poland.

źr. Intel

źr. Intel

Badanie Intela przeprowadzono w Polsce, Czechach, Rumunii i na Węgrzech wśród 250 decydentów IT z przedsiębiorstw zatrudniających co najmniej 150 osób. Krajem, w którym firmy są najlepiej przygotowane na wypadek cyberataku są Czechy, gdzie 84 proc. osób decyzyjnych w obszarze bezpieczeństwa IT deklaruje, że w ich przedsiębiorstwie przygotowano scenariusz awaryjny, gotowy do wdrożenia, gdyby doszło do ataku na sieć firmową. W Rumunii planem tego typu dysponuje 72 proc. firm, natomiast w Polsce i na Węgrzech – 60 proc.

Innowacje w biznesie i bezpieczeństwo IT nie zawsze idą w parze

źr. Ponemon Institute

źr. Ponemon Institute

Wyniki badania firmy Micro Focus przeprowadzonego we współpracy z Ponemon Institute pokazują, że przedsiębiorstwa wiedzą, w jaki sposób zwiększać bezpieczeństwo, ale z powodu presji spowodowanej przez szybko następujące zmiany biznesowe, w tym wdrażanie nowych technologii i aplikacji, firmy poświęcają kwestię bezpieczeństwa na rzecz szybkiego rozwoju biznesu. — Badanie wykazuje, że procesy, które mają za zadanie wesprzeć cyfryzację —  zapewniania bezpieczeństwa, zarządzania przydzielaniem i kontrolą dostępu nie są jeszcze dostępne, powiedział dr Larry Ponemon, prezes i założyciel Ponemon Institute.

źr. Ponemon Institute

źr. Ponemon Institute

Respondenci biorący udział w badaniu widzą potrzebę zapewnienia dostępu użytkownikom korporacyjnym w określonym czasie. Niestety, takimi procesami trudno jest zarządzać, a zasoby przeznaczone do ich obsługi nie są wystarczające. Aby zaspokoić potrzebę szybszego dostępu do informacji, przedsiębiorstwa przedwcześnie zachęcają użytkowników korporacyjnych do samodzielnego zarządzania dostępem. Takie działanie zwiększa ryzyko ujawnienia ważnych informacji, takich jak dane o klientach i pracownikach, i zwiększa istniejące już luki w mechanizmach kontroli, tak jak ma to miejsce w systemach mainframe.

Główne wnioski z badania Ponemon Institute:

  • źr. Ponemon Institute

    źr. Ponemon Institute

    62 proc. ankietowanych twierdzi, że nie może dotrzymać kroku tempu zmian lub zastosować mechanizmów kontroli wystarczająco rozległych, aby z powodzeniem zabezpieczyć informacje,

  • 44 proc. jest zdania, że proces przyznawania dostępu jest uciążliwy,
  • 64 proc. uważa, że informacje o klientach są zagrożone ze względu na słabą kontrolę dostępu,
  • 47 proc. twierdzi, że ze względu na słabą kontrolę dostępu są również zagrożone dane pracowników,
  • 49 proc. uważa, że IoT jest ważną tendencją wpływającą na zarządzanie dostępem i tożsamością.

Badanie pozwoliło też określić najważniejsze tendencje zmniejszające ryzyko:

  • źr. Ponemon Institute

    źr. Ponemon Institute

    48 proc. respondentów jest zdania, że wdrożenie dobrej technologii do zarządzania dostępem i tożsamością może być pomocne w osiągnięciu celów związanych z procesami biznesowymi,

  • 69 proc. respondentów postrzega uwierzytelnianie wieloskładnikowe jako istotną technologię do egzekwowania zarządzania dostępem.

Zalecenia dla przedsiębiorstw:

  • źr. Ponemon Institute

    źr. Ponemon Institute

    Nawiązać relacje oparte na ścisłej współpracy między działami informatycznymi i ds. bezpieczeństwa. Wypełnić lukę pomiędzy potrzebą bezpieczeństwa w przedsiębiorstwie i potrzebami biznesowymi, ponieważ firmy chcą przechodzić na platformy mobilne i rozwiązania chmurowe.

  • źr. Ponemon Institute

    źr. Ponemon Institute

    Utworzyć proces weryfikujący tożsamość użytkowników. Przyznać dostęp na podstawie tożsamości uprzywilejowanych. Uzyskać wskazówki i zabezpieczenia ze strony działów IT w celu utworzenia i utrzymywania najlepszych procedur przyznawania dostępu w przedsiębiorstwie.

  • źr. Ponemon Institute

    źr. Ponemon Institute

    Zrezygnować z systemów budowanych samodzielnie. Tworzone własnymi siłami systemy nie są wystarczająco skalowalne i elastyczne, aby umożliwić korzystanie z platform mobilnych i rozwiązań chmurowych.

Napisane przez Stefan Kaczmarek