Европейският регламент за защита на личните данни GDPR ще влезе в сила на 25 май 2018 г. с безпощадни нови изисквания за закрила на личните данни, ала нравът на значителна част от младите хора може да се окаже кибер-риск за организациите в светлината на новата регулация. „Поколението „Y” може да компрометира опазването на личната информация.
55% от респондентите в проучване, направено от Института „Ponemon”, казват, че „Поколението „Y” ще е най-голямата заплаха за политиките за сигурност, които ще влязат в сила с въвеждането GDPR. Мениджърите по информационна сигурност вече са притеснени.
Родени в електронната ера
„Поколението „Y” – това са младите хора, родени в ерата на електронните устройства. Те са страстни „техничари”. Не могат да живеят без джаджите си. Свикнали са да работят и да се забавляват в „мултитаскинг” режим. Денонощно са онлайн. Обичат всякакви нови приложения и устройства, искат да ги изпробват веднага. Профилите им из различните сайтове и социални мрежи са свързани помежду си.
„Те буквално живеят в електронния свят. Изглежда сякаш изобщо нямат усещане за неприкосновеност”, казва Вихрен Славчев, управител на Мнемоника. „Нямат навика да се пазят: склонни са да се регистрират къде ли не, като смело предоставят всички данни, които им бъдат поискани”.
Като „Поколение Y” се определят младите хора, родени в началото на 1990-те. Сега те са на възраст, когато започват работа. „Това поколение вече навлиза в корпоративната среда. Те започват да работят, вече не са ученици и студенти. Работят и носят отговорност, защото в своите фирми имат достъп до чувствителни данни”, допълва Вихрен Славчев.
В изследването на „Ponemon” 39% от анкетираните мениджъри казват, че това поколение хора „са много склонни да използват неоторизирани приложения по време на работа, а оттам и да компрометират сигурността на данните”. В този смисъл GDPR ще представлява сериозно предизвикателство за всички организации.
„Винаги, когато предоставям имейл-адреса си някъде или други лични данни, се питам трябва ли им наистина на тези хора подобна информация за мен, защо ми искат тези данни”, споделя Славчев. „Поколението „Y” обаче не си задава такива въпроси.
Цифрова следа
Наред с това развитието на технологиите доведе до състояние, в което всеки човек всеки ден оставя след себе си огромен дигитален „отпечатък”. Дори без да оставя лични данни небрежно, той е откриваем и проследим постоянно. Клетъчните телефонни мрежи знаят по всяко време за всеки от нас къде се намира и в каква посока се движи. Снимките, които споделяме, разкриват какво правим, какво виждаме наоколо. Те носят и метаданни, които допълват това знание с геолокационна информация. Една споделена снимка във Facebook дава достатъчно информация, за да може авторът й да бъде намерен и заловен за минути, разкри наскоро бивш служител на ГДБОП по време на форум за киберсигурност в София.
Време на кибер-пробиви
Същевременно кибер-атаките са достигнали етап на „зрялост”. Те са целенасочени, финансово мотивирани и отлично организирани. Фирмите за решения за сигурност отброяват десетки милиони образци на зловреден код всяко следващо тримесечие. 2017 година е на път да се запомни с мощни „рансъмуер” атаки. Фишингът се усъвършенства до степен, в която дори опитни компютърни потребители се оказаха „задължени”. Заразата „WannaCry” блокира компютрите на хиляди потребители по света и „заключи” дори болници и обществени заведения. Накратко, личните данни са под прицел повече от всякога.
Човешкият фактор
Над 50-60% от пробивите в системите за съхранение на данни във фирмите се случват с участието на вътрешен човек, било то преднамерено или съвсем случайно, припомнят от Мнемоника. В някои случаи става дума за целенасочени действия, а в други – за обикновено незнание. Така или иначе решаващ е човешкият фактор.
„Защитата на личните данни в светлината на GDPR е нещо, за което служителите на фирмите тепърва трябва да бъдат обучени. Те трябва да придобият запознатост, да преминат определени обучения”, казва Вихрен Славчев.
Всеки служител, без значение какъв е размерът на фирмата, ще трябва да е пределно наясно какво точно са личните данни, какво може един служител да прави с тях и какво на всяка цена не бива да допуска. „Всички трябва да са наясно с базовите положения, какво може и какво не може да се прави – както и какви удари на закона следва да очаква при неспазване на правилата”, поясни Славчев.
Всички новопостъпващи във фирмите също трябва да бъдат обучавани как се опазват личните данни в дадената организация. Именно затова всяка организация – частна или държавна, малка или голяма – ще има отговорник по личните данни.
Не технологии, а процедури
Изискванията на GDPR могат да се покрият и в изцяло „аналоговия” офлайн свят, с чисто процедурни правила и мерки, казва Вихрен Славчев. Технологиите пестят време, но за една малка не-технологична фирма добрата защита на личните данни може да се свежда и само до това трудовите договори да са заключени в шкаф и до тях достъп да имат само хора, които имат право на това.
Точно по тази причина влизането в сила на GDPR не е обвързано с конкретни технологии. За сметка на това то се нуждае от правилните насоки – за да се заложат принципите на доброто съхранение на личните данни в организациите.
Това е и същността на заниманията на екипите на Мнемоника, които са посветени на информационната сигурност. „Ние не водим разговор за технологии. За нас важно е да обясним на прост и понятен език какво трябва да направят организациите, когато съхраняват нечии лични данни, и какво трябва да променят в сегашния си начин на работа”, казва Вихрен Славчев. По думите му, не технологиите са от значение при влизането на GDPR, а процедурите.
Статията е подготвена съвместно с екип на Мнемоника – консултантска компания, работеща в областта на кибер сигурността и защитата на данните, с над 600 успешно реализирани проекта за над 100 организации.