svet IKT | GDPR

Čas ni zaveznik lovilcev skladnosti z GDPR

Intervju: »Še so podjetja, ki o zahtevah GDPR nič ne vedo, razmišljajo pa, da se bodo v zadnjem trenutku le prilagodila.«

Objavljeno
09. marec 2018 17.45
Čas ni zaveznik lovilcev skladnosti z GDPR
Matjaž Katarinčič
Miran Varga
Miran Varga
Matjaž Katarinčič, varnostni strokovnjak v podjetju Smart Com, se sprašuje, zakaj se podjetja tako zelo obotavljajo s pripravo na uredbo GDPR. Izvajalci do 26. maja preprosto ne bodo mogli opraviti vsega, da bi v zadnjem hipu lahko omogočili izvedbo vseh ukrepov, ki bodo skladni z uredbo.

Ste varnostni strokovnjak. Kaj morajo podjetja danes varovati?

Z vidika informacij morajo podjetja varovati svoje »intelektualno« in digitalno premoženje oziroma vire, torej poleg stavb in prostorov še podatke vseh vrst in oblik ter vse, kar je z njimi povezano. S tem mislim na uporabo varnostnih ukrepov in informacijskih sistemov za zmanjšanje tveganj odtujitve vitalnih podatkov organizacije in posledično poslovne škode. Še posebno se je treba pripraviti na obvladovanje tveganj ter ustrezno zaznavo napadov na informacijske sisteme.

Z upravljanjem in varovanjem osebnih podatkov se tudi vi ukvarjate že zelo dolgo. Po čem ste si najbolj zapomnili preteklo leto?

Preteklo leto so svet, Slovenija ni izvzeta, zaznamovali zelo resni varnostni incidenti. Organizacije, ki se ukvarjamo s takšnimi primeri, opažamo, da se je njihovo število povečalo. Zaradi incidentov je zavedanje o pomembnosti kibernetske varnosti večje. Odzvali so se tudi ponudniki varnostnih rešitev in nekatere rešitve so že prilagodili novim zakonodajnim zahtevam in standardom v industriji in bančništvu. A, opažam, da se z GDPR resno ukvarja peščica slovenskih podjetij, preostala še čakajo. Delujejo po pristopu »bomo že«, saj menijo, da bo, ker gre za novo zakonodajo, inšpekcijskih nadzorov na začetku malo, in računajo na to, da bodo inšpektorji najprej izdajali le opozorila in ne denarnih kazni.

Toda uredba GDPR je na »zakonodajnem papirju« Evropske unije tako rekoč že dve leti?

Drži, a stvari so se v Sloveniji začele spreminjati šele v zadnjega pol leta. Še danes najdete podjetja, ki o GDPR zahtevah nič ne vedo, večina pa jih razmišlja, da bodo v zadnjem trenutku vendarle prebrali zakonodajo, implementirali neko rešitev in postali skladni. A ni tako preprosto. Težava je, da so osebni podatki v poslovnih okoljih zelo razpršeni, obstajajo vsepovsod in so pogosto brez ustrezne standardizacije, ki bi zagotavljala njihovo sledljivost. V praksi podjetja iščejo bližnjice, to je še bolj očitno, čim se bliža začetek veljavnosti uredbe. Hitrih rešitev skoraj ni, tiste redke, ki pokrivajo peščico zahtev uredbe, so drage. Podjetja, ki bodo skladnost z GDPR reševala s programskimi rešitvami, ki jih namestijo med poslovne aplikacije in podatkovne zbirke, se morajo pripraviti na visoke stroške.

Zakaj pa so te rešitve drage?

Niso vse rešitve drage, a poslovni model prodaje za rešitve, ki »bedijo« nad upravljanjem osebnih podatkov, temelji na količini obdelanih podatkov oziroma transakcij in prepustnosti omrežja. Cena rešitev se zvišuje tudi s členi varnosti uredbe GDPR, ki jih rešitev podpira. Stroški so višji še zaradi dejstva, da je treba vse rešitve in sisteme, ki spremljajo informacijsko varnost in upravljajo s podatki, integrirati v obstoječe okolje z ne nujno najsodobnejšimi poslovnimi rešitvami.

Kakšen pa je vaš odgovor, če vam nekdo reče, da bi skladnost z GDPR uredil na cenovno ugoden način?

Pojasnim, da je njegova želja uresničljiva, a se mora spopasti s časom, ki mu ni v prid. Določene spremembe na podatkovnih zbirkah in prevajanje na skupni imenovalec – podatki so zdaj v papirni obliki, različnih e-oblikah, kot so preglednice in datoteke, se ne zgodijo čez noč. Samo pomislite, da morate ustrezno prečistiti in urediti interni telefonski imenik, baze obiskovalcev, kadrovske evidence, preglednice osnovnih sredstev ter številne zaledne sisteme. Glede na to, kakšne aplikacije podjetje uporablja, je dela lahko veliko ali malo. V mojih očeh GDPR ni strošek, ampak priložnost za temeljito ureditev poslovnih procesov, zagotavljanje nadzora nad podatkovnimi tokovi in povečanje informacijske varnosti, učinkovito zaznavanje in ukrepanje ob morebitnem incidentu in posledično zmanjšanje tveganja poslovne škode.

Kako pravzaprav izbrati najprimernejšo rešitev?

Izbira rešitev – ene same navadno ni – je odvisna od razvejanosti informacijske arhitekture, od velikosti IT-ekipe in njene usposobljenosti. Odločilni pomen pri izbiri je partnerski odnos in zaupanje v ponudnika rešitve.

Koliko podjetij bo skladnost z GDPR uredilo samostojno in koliko jih potrebovalo pomoč?

Vsa večja podjetja z lastnim razvojem aplikacij bodo skladnost večinoma urejala samostojno. Pri preostalih je to večinoma odvisno od znanja in kadrov, kako bodo poskrbeli za integracijo ustreznih rešitev v poslovanje. Podjetjem lahko pomagamo sistemski integratorji, stranki pripravimo najprimernejšo rešitev za zagotovitev skladnosti. Ustrezna rešitev se lahko zagotovi s sistemskimi pristopom ali integracijo posameznih podatkovnih komponent v nadzorne sisteme.

Kaj je po vašem mnenju najšibkejši člen » enačbe GDPR«?

Podjetje, ki nima nadzora nad podatkovnimi tokovi in zbirkami podatkov, ki so predmet uredbe. Dokler ne izvede analize stanja, sploh ne ve, kaj mora narediti. Raznovrstnost, številčnost in »razbitost« aplikacij v sodobnih okoljih podjetjem v tem primeru niti malo ni v prid. Tak aplikacijski kaos vodi v stanje, kjer podatki niti približno niso na skupnem imenovalcu, kaj šele, da bi bili urejeni in sistemsko upravljani ter varovani.

Kako bi se lotili odpravljanja teh pomanjkljivosti?

Analiza je temelj vsega. Z njo ugotovimo, kje vse se nahajajo osebni podatki, kdo dostopa do njih in kako se obdelujejo. Šele nato podjetje lahko sprejme odločitev, kako se bo lotilo zagotavljanja skladnosti – z notranjimi ali zunanjimi izvajalci in s katerimi rešitvami. V praksi se uporablja kombinacija obeh pristopov. Če podjetja ugotovijo, da nalogi sama niso kos, naj vključijo strokovnjake.

Kdo vse mora pri tem sodelovati?

Pri tem morajo sodelovati IT-strokovnjaki, skrbniki podatkovnih zbirk, varnostni inženirji in pooblaščena oseba za varstvo osebnih podatkov (DPO). Ti so tisti, ki v praksi skrbijo za ureditev tega področja, pri številnih strankah pa je gonilo vodstvo oziroma uprava podjetja, ki ga oziroma jo skrbijo zagrožene visoke kazni.

Toda GDPR ni nekaj, za kar bi enkrat našli rešitev in nato nanjo pozabili. Kako zagotoviti stalno varno in zakonsko skladno upravljanje podatkov?

Za ta namen lahko uporabimo tiste rešitve, ki so povezane z obdelavo podatkov, zagotavljanjem revizijske sledi ter varnostne rešitve, v smislu spremljanja obdelav podatkov in njihovega morebitnega odtekanja. V primeru ugotovitve odstopanja od uvedenih pravil, kršitev ali zlorab, omenjene rešitve dogodek zaznajo in to sporočijo v nadzorni sistem, ki na koncu obvesti DPO in varnostnega inženirja.

Veliko govora je o vlogi DPO – poklicu, ki do pred časom sploh ni obstajal, torej tudi ustreznih kadrov na trgu ni. Lahko varnostni strokovnjak postane DPO?

DPO je oseba, ki je odgovorna za skladnost poslovanja z zakonodajo, ko se podatki obdelujejo. Vsekakor DPO lahko izhaja iz panoge varnostnih strokovnjakov. Prepričan sem, da se bo veliko varnostnih strokovnjakov preobrazilo in postalo DPO, saj teh profilov na trgu ni in v tem vidijo priložnost za specializacijo in karierni razvoj.

Priložnost za zaslužek so zavohali tudi različni svetovalci, nenadoma je na trgu veliko strokovnjakov za GDPR in rešitev z visokoletečimi obljubami. Kako ločiti zrna od plev?

Žal tudi sam ugotavljam podobno. Dolgoročno se bo trg sicer očistil in bodo ostali le zaupanja vredni ponudniki. Sicer pa, kdor preveri, s kakšnim ponudnikom ima opravka, njegovo prisotnost na trgu in priporočila, temu se ni treba bati. Naša ekipa strokovnjakov se s projekti s področja informacijske varnosti ukvarja že več kot 27 let. Zadovoljstvo s strokovno pripravljenimi in na ključ izvedenimi rešitvami je merilo, ki nas ločuje od »novopečenih« strokovnjakov za GDPR.