На 29 септември 2017 година в София се проведе международна конференция „Колаборацията в основата на опазването на критичните данни“, на която Парафлоу взе участие.
Реалният сектор у нас не бърза с въвеждането на изискванията на Общоевропейския регламент за защита на личните данни (General Data Protection Regulation, GDPR) и изчаква промените в нормативната уредба. Това стана ясно по време на международната конференция „Колаборацията в основата на опазването на критичните данни“, организирана от ICT Media и ISACA Sofia Chapter със съдействието на Министерство на отбраната, ДАЕУ и ДАНС.
Повечето компании живо се интересуват от прилагането на регламента за защита на личните данни, но засега – само на нивото на консултациите, категоричен е директорът по бизнес развитие на „Парафлоу Комуникейшънс“ Тодор Ташев.
Промените в законодателството се бавят
Има готов закон, който съответства на регламента, коментира Цанко Цолов, от Комисията за защита на личните данни. Той ще бъде внесен в Народното събрание през някое от ведомствата, защото институцията няма право на законодателна инициатива. Очакванията са, това да стане месеци преди влизането в сила на регламента. Но независимо дали промените ще бъдат приети от Народното събрание до края на май или - не, след 28 май 2018 г., всички български фирми са задължени да се съобразят с изискванията регламента. ( За разлика от европейските директиви, регламентите имат незабавно действие и стоят над националното законодателство в конкретната област, което има само уточняващ характер.)
Истината е, че почти няма компания, която да не се докосва до GDPR, по един или друг начин. Съвременният бизнес или обработва лични данни, или е техен администратор, или пък е обект, който предоставя данните на клиентите си. Всички физически куриери, облачни компании, разработчици на мобилни приложения трябва да изпълнят регламента. Макар да не са заплашени от глоба от националния контролиращ орган, българските компании могат да понесат финансови загуби от искове, заведени от лица, които смятат, че личните им данни не се съхраняват по предвидения начин.
Как GDPR улеснява бизнеса?
Участниците в дискусията се обединиха около мнението, че регламентът е преработка на бизнес процесите в поток от данни и ще накара българските компании да решат дали те са им нужни - или не.
Според Борис Гончаров, директор стратегическо развитие на информационната сигурност в „Аматас“ ЕАД, защитата на данните не е нова тема за ИТ бранша, но проблемът е, че регламентът предвижда, когато личната информация бъде създадена, веднага да се класифицира, категоризира и защити по предвидения ред. От друга страна, той призна, че вместо да се трие ненужната част от нея, често се увеличава пространството за съхранение, например, чрез закупуване на нови сървъри. GDPR обаче ясно постановява, че компаниите могат да съхраняват това, което им е необходимо, т.е. вместо да увеличават пространството, ще трият ненуното. Подобна хипотеза съществува и в сега действащото законодателство, коментира адв. Весела Кабатлийска, експерт защита на лични данни в Адвокатско дружество „Динова Русев и Съдружници“. Но тъй като не са предвидени санкции, често ненужните данни остават. GDPR обаче ще сложи край на излишното събиране на лични данни. Освен за потребителите, това ще се окаже полезно за бизнеса, който ще внесе ред в процесите си и ще стане по-ефективен, коментираха експертите.
Имаме право "да бъдем забравени", но не и изтрити
GDPR ще доведе бизнеса в обака, тъй като доставчиците на услугата ще криптират данните си в съответствие с изискванията на стандарта, прогнозира Тодор Ташев.
Засега обаче не е ясно какъв е стаутът на облачната услуга по отношение на новия регламент: дали тя се отнася към операторите, които само съхраняват данните, или към администраторите, обработващи данните за бизнес проучвания. Регламентът въвежда и т.нар. „право да бъдеш забравен“ или данните ти да бъдат свалени от публичното пространство. Това обаче не означава „да бъдеш изтрит“ и отнесено към облачните услуги предполага, че данните на потребителя могат да не се индексират, т.е. да бъдат „минимизирани“. Същото се отнася и за данни, които подлежат на съхрание за по-дълъг срок по друг закон, например данни за заплати, които по нашата нормативна уредба се съхраняват 50 години, или данни за плащания, кредитни досиета и др.
Инвестиция в сигурността на данните
Компаниите ще трябва да посочат т.нар. експерт по поверителните данни (Data Privacy Officer), който може да е външен като одитора или вътрешен като CSO. Специалистът трябва да има познания по ИТ, право, управление на риска и оценка на въздействието.
Очакванията са, във връзка с GDPR, организациите да инвестират или в сигурността на данните, или в оперативната им обработка. По всяка вероятност болниците и други организации, които боравят с чувствителни данни ще заделят бюджети за сигурност, а онлайн компаниите и търговците – за обработката. Прогнозата сочи, още, че финансовите институции ще вложат поравно и в двете посоки. Не на последно място, очакванията са да се повиши и бизнес културата у нас, тъй като компаниите ще са длъжни да докладват за пробиви в системите си и за всички течове на лични данни. Към момента това почти не се прави, тъй като не се изисква от законодателството.
Какво да направи бизнесът, за да спази изискванията за личните данни на ЕС?
Компаниите трябва да предприемат организационни стъпки, да намерят рамката, с помощта на която да преправят или подобрят процесите си, да изработят карта на наличните си данни и да маркират необходимите за бизнеса и ненужните такива. Това е първата стъпка за да станат съвместими с Общия регламент за защита на личните данни (GDPR), коментира Тодор Ташев, директор бизнес развитие на „Парафлоу Комуникейшънс“.
„От технологична гледна точка нещата са сравнително лесни и опират до претърсване на всички масиви с данни – официални и неофициални, с които разполагат фирмите. Ако компанията е обръщала внимание на сигурността на данните и има правила как и кой може да ги съхранява и използва, нещата ще изглеждат много лесни: само с няколко допълнителни вътрешни правила съответствието с GDPR може да бъде осъществено“, коментира още той.
Информацията, която се намира във всяка организация е два вида – структурирана и неструктурирана. Всички големи производители на бази данни, които съхраняват и обработват структурирана информация, ще изкарат версии, които криптират цялата база, което означава че тя ще бъде защитена, пояснява Тодор Ташев: „Дори да бъде открадната по някакъв начин, извършителите няма да имат достъп до съдържанието й, освен ако не са откраднали и средствата за достъп до тази криптирана информация. По-сериозното предизвикателство е с неструктурираните данни, намиращи се на различни места в сървърите, дисковите масиви и крайните устройства на компанията“, допълва той. Поради исторически причини, данните са нараствали главоломно, без някой в повечето компании да полага усилия да ги почиства по някакъв начин, или да ги сортира, да преценява дали още са необходими.
Какво да направи бизнесът, за да спази изискванията за личните данни на ЕС?
Проблемът е в неструктурираните данни
Основното предизвикателство е как неструктурираните масиви да бъдат сканирани и да се извърши класификация на данните в тях, за да бъдат открити и маркирани личните данни, които се съдържат в тях.
За по-малките компании това ще е по-лесно - данните са по-малко, съхранението им е по-централизирано, защото обикновено имат една система за управление на бизнеса, в която държат по-голяма част от информацията.
„При големите компании, предизвикателството е сериозно от процесна гледна точка. Те имат нужда от методическа помощ от хора, запознати с изискванията и това предимно е консултантски проект от правен характер. Технологичните решения са по-скоро инструмент, който да им помогне там, където има несъответствие, за да бъдат технологично подкрепени“, обяснява Ташев.
Регламентът за личните данни влиза в сила на 28 май и ако организациите вече не са направили първите си стъпки, няма да могат в предвидения от регламента срок да приведат процесите си в съответствие, предупреждава Тодор Ташев. Хубавото е, компаниите, с които сме контактували разбират предизвикателството и вече са започнали за действия: запознати са, правят първи стъпки и планират докладите си за оценки, за да видят в кои области са несъответствията и къде имат припокриване с изискванията на GDPR.
Изчакването е заради необходимостта от инвестиция на средства: в бюджетите за 2017-та на повечето компании, с които сме контактували няма предвидени такива разходи и затова всички отлагат промените за следващата година. Вероятно ще има компании, които ще предпочетат да изчакат, да направят формални стъпки или дори или ще рискуват да бъдат глобени.
Заявления от потребители, които искат „да бъдат забравени“
Правото „да бъдеш забравен“ е двупосочно. Някои хора искат да бъдат забравени, а други – да бъдат запомнени. От друга страна, дори някой да пожелае да се възползва от това право, то не е абсолютно поради възможността тези данни да са необходими по регулаторни изисквания: финансово-счетоводни, пенсионно-осигурителни или достъп на органите на реда до данните на гражданите у в случаите регламентирани в други закони. Всяко физическо лице, което иска да бъде забравено, може са разбере какви са ограниченията му. За целта организациите, обект на регулаторни изисквания, трябва да уведомят гражданите, чиито данни съхраняват каква е причината за това, какъв е срокът и как ще ги обработват.
По отношение на правото физическите лица да бъдат забравени, GDPR не задължава, всички данни да бъдат изтрити, а постановява възможността да бъдат премахнати данните, които идентифицират лицето, така че то да не може да бъде еднозначно определено. Всяка организация, която би искала да запази нужните за бизнеса данни за клиентите си, за да анализира и планира по-добре процесите си, може да го направи при спазване изискванията на Регламента и това най-вероятно ще се случи, като ги анонимизират и ги съхраняват за нуждите на анализа. Отделните потребители няма да бъдат идентифицирани като такива в тези организации. Има много технологични инструменти, с които това да бъде извършено.
Софтуерни решения за данни
Технологичните решения, приложими във връзка със защита на личните данни са в няколко посоки – системи за управление на данните, които сортират информацията, а след това – идват решенията за защита или „минимизиране“ на данните.
Системите за управление на данни (data management), сортират масивите, използвайки правила, за да бъдат класифицирани данните и в тях, съответно маркирани хранилищата, в които са личните данни и дават възможност да се предприемат съответните действия – тези данни да бъдат защитени, изтрити или архивирани и маскирани, така че личната информация да не е видима.
“Парафлоу Комюникейшънс“, като партньор на водещите производители на решения за сигурност Symantec и Veritas, предлага надеждни решения за управление на данните.
„Цялата фамилия решения за 360о Data management на Veritas, позволява идентифициране, архивиране и структуриране на потока от информация. Това са Veritas NetBackup, eDiscovery Platform, DataInsight и Information Map Решението за неструктурирани данни Enterprise Vault пък дава възможност да бъдат подредени и неструктурирани и неструктурираните данни в масиви на компаниите“, кометира Ташев.
“Парафлоу Комюникейшънс“ предлага и решението за превенция изтичането на данни Symantec DLP, независимо дали става дума за лична или бизнес информация, с помощта на което се въвеждат правила за работа с критична за бизнеса информация и нейното споделяне чрез имейл, уеб или преносими средства за съхранение на данни.
„Партнираме си и с Vormetric, които предлагат решения за криптиране, анонимизиране и псевдонимизиране на данни, което също решава част от предизвикателството за изпълнение на предвиденото в регламента“, уточнява още Ташев.
GDPR ще разшири дела на облачните услуги
Трудно е да се каже, колко средно може да струва преработването на бизнес информацията според изискванията на GDPR, тъй като цените зависят от бизнеса и обема на данните. Хубавото е, че решенията се предлагат както като инвестиционен разход (закупуване на софтуера), така и като оперативен – да се ползват като услуга. Повечето облачни компании правят необходимите стъпки, да защитят средите си и предложат на клиентите да прехвърлят своите критични данни в облака.
Вече доста български компании са мигрирали към облака или го използват хибридно. Фирмите, които се колебаят или само експериментират с облака ще направят по-сериозни стъпки в тази посока, за да спестят част от средства, за да защитават информацията в масивите си. Още повече, че GDPR дава възможностна администратора на лични данни да възложи при строго определени правила функциите за обработка на лични данни на обработващия (каквито ще се явяват облачните платформи) итова да намали риска за администратора на лични данни, ако обработващия не е изпълнил правилата и поради тази причина има изтичане на лични данни.
Към статия в ComputerWorld България
Екипът на Парафлоу Ви очаква за допълнителна информация и консултации. Свържете се с нас!