Svi znaju da je od 25. maja, 2018. godine, na snagu stupio GDPR, odnosno Opšta uredba o zaštiti podataka o ličnosti, koja ima za cilj da strože reguliše skladištenje i obradu korisničkih podataka u okviru Evropske unije, te da i kompanije u
zemljama van iste (kao što je Srbija), koje nastupaju na njenom području kroz B2B i B2C transakcije, moraju da usklade svoja poslovanja s novonastalom korporativnom klimom.
Ipak, ono što i dalje veliki broj ljudi ne zna jeste da je jedan od glavnih razloga za uvođenje GDPR-a sve učestaliji broj hakerskih napada, kao i koja je nova zakonska procedura, u slučaju istih.
Ukoliko imate bilo kakve sumnje u efikasnost hakerskog delovanja, rezultati globalnih istraživanja, koje poseduje kompanija Clico, specijalizovana za oblasti bezbednosti podataka, umrežavanja informacionih sistema i njihovog upravljanja, pokazuju da je vrednost godišnje štete, koju ono prouzrokuje na svetskom nivou, dostigla 100 milijardi dolara, kao i da je verovatnoća da će vaša kompanija, bila ona mala, srednja ili velika, biti hakovana u nekom trenutku svog postojanja praktično stoprocentna!
Zašto je invazija hakera poprimila epidemijske razmere?
Globalna ekspanzija komunikacionih kanala rezultirala je sveopoštom digitalizacijom poslovnih tokova, koja je pretvorila korporativne sisteme u virtuelni svet bez granica. To znači da se naši lični podaci nalaze širom interneta, u masovnim bazama podataka (sam Facebook ima preko milijardu korisnika koji ostavljaju informacije!) društvenih mreža, rezervacionih sistema, banaka, telekom operatera, kao i SVIH kompanija čija delatnost zahteva skladištenje i obradu korisničkih podataka. Sve ovo učinilo je naše lične podatke izuzetno dostupnim, ali i ranjivim.
Prepoznavši ovakvo stanje stvari i oslanjajući se na pasivan pristup vodećih ljudi kompanija sprovođenju adekvatnih bezbednosnih mera, hakeri su se pretvorili u neumorne sajber prestupnike čija evolucija veština se odvija svetlosnom brzinom. Lični podaci imaju veliku vrednost, te njihova eksploatacija od strane hakera može da ima nesagledive finansijske i druge posledice po korisnike kojima podaci pripadaju.
Vaša zakonska reakcija na hakersku nezakonsku akciju
Na organizacijama je da obaveste nadležnog organa o svakom upadu u bazu podataka (data breach), u roku od 72 sata nakon prepoznavanja istog. Dužina roka je tolika da verovatno nećete ni saznati svaki detalj upada, ali tokom inicijalnog kontakta s nadležnim organom, trebalo bi navesti prirodu ugroženih podataka, aproksimativan broj potencijalno oštećenih
subjekata i moguće posledice po njih, kao i mere koje su preduzete radi sanacije aktuelnog stanja.
Ovde, prema kompaniji Clico, distributeru najpriznatijih svetskih kompanija iz oblasti zaštite podataka, kao što su HPE Aruba, Arista Networks, Juniper Networks, Forcepoint, Thales, Rubrik, Ucopia, SonicWall, Tufin, Rapid7, A10 Networks, Linkify, Pulse Secure i Mobile Iron, do izražaja dolaze efikasna bezbednosna rešenja, koja vode kompanije od detekcije ilegalne aktivnosti na mreži do reakcije, u kratkom vremenskom roku, tako što među milionima događaja na mreži, analizom korisničkog ponašanja i korelacijom podataka, uspevaju vrlo precizno da odrede svaku anomaliju, a samim tim i da osiguraju pravovremene zaštitu i sanaciju.
Još pre kontaktiranja nadležnog organa, potrebno je obavestiti i ugrožene subjekte. Oni koji ne ispoštuju navedeni vremenski rok za obaveštavanje nadležnog organa o nastanku bezbednosnog incidenta, mogu da se suoče s kaznom i u vrednosti od 2% od svog godišnjeg globalnog prihoda ili 10 miliona eura, u zavisnosti od toga šta je od navedenih veće.
Važno je ipak znati da, uprkos činjenici da će maksimalne kazne postati oštrije po uvođenju GDRP-a, sama regulativa nalaže da kazne treba da budu recipročne prekršajima. Štaviše, ukoliko pokažete da ste vredno radili na usklađivanju svog poslovanja sa GDPR-om, ICO (Information Commissioner’s Office) će uzeti to u obzir, te verovatno neće izdati onoliku
kaznu koliku bi inače izdao, u sučaju prekršaja.
Prepoznavanje potrebe za podizanjem „borbene gotovosti“
Iz svega navedenog, logičan zaključak je da usklađivanje poslovanja kompanija s pravilima, koja je GDPR doneo, podrazumeva implementaciju efikasnih bezbednosnih IT rešenja i neprekidnu obuku zaposlenih iz oblasti sajber bezbednosti. Premda isti predstavljaju zalog za legalno i sigurno savremeno poslovanje, kompanije u zemlji i regionu još uvek nisu u potpunosti prepoznale potrebu za sprovođenjem adekvatnih bezbednosnih mera (prema istraživanjima kompanije Clico, svega 2% kompanija u Srbiji u procesu je prilagođavanja svoga poslovanja GDPR-u, rizikujući gorenavedene, astronomske kazne), pre svega, zbog
slabe informisanosti i nedovoljnog razumevanja materije.
Upravo zbog toga, Clico je napravio je competence center, sačinjen od vrhunskih security inženjera, koji omogućava ljudima da saznaju sve o oblasti zaštite podataka, kako o aktuelnim pretnjama i dostupnim rešenjima, tako i o propisima koje GDPR donosi, a koji su im ključni za nastavak poslovanja.