Czy Twoja firma jest gotowa na reformę europejskich przepisów o ochronie danych?

Transkrypt

1 Czy Twoja firma jest gotowa na reformę europejskich przepisów o ochronie danych? Podstawowe informacje. Przestrzeganie nowych przepisów. 5 najważniejszych działań ułatwiających przygotowanie do reformy.

2 Spis treści 3 Streszczenie 4 Reforma przepisów o ochronie danych czas na zmianę 6 Wpływ rozporządzenia GDPR na firmy 8 Dyrektywa NIS uszczelnianie systemu bezpieczeństwa cybernetycznego 10 Egzekwowanie i konsekwencje nieprzestrzegania nowych przepisów 11 Przestrzeganie nowych przepisów 14 Podsumowanie

3 Streszczenie Dane są obecnie jednym z najbardziej wartościowych i narażonych na niebezpieczeństwo zasobów. Wraz z nadejściem epoki Big Data i rosnącą popularnością rozwiązań chmurowych i mobilnych oraz serwisów społecznościowych, a także w obliczu coraz poważniejszych zagrożeń wzrasta znaczenie prywatności i bezpieczeństwa danych. Ochrona danych znalazła się w centrum uwagi w związku z głośnymi przypadkami ataków, których ofiarą padły m.in. firmy Sony, Target, Anthem czy Ashley Madison. Metody generowania, używania, udostępniania oraz przechowywania danych uległy zmianie i większość firm zdaje sobie sprawę z konieczności zapewnienia ich bezpieczeństwa. Problem polega na tym, że kwestia ochrony danych nie zawsze jest traktowana odpowiednio do jej znaczenia, a przepisy Unii Europejskiej dotyczące prywatności i bezpieczeństwa danych także nie nadążają za zmianami sytuacji. Zmiany prawa Unii Europejskiej w zakresie ochrony danych W związku z coraz poważniejszymi zagrożeniami prywatności i bezpieczeństwa danych Unia Europejska kończy prace nad reformą przepisów o ochronie danych, która przewiduje wprowadzenie ogólnego rozporządzenia o ochronie danych (General Data Protection Regulation GDPR) oraz dyrektywy dotyczącej bezpieczeństwa sieci i informacji (Network and Information Security NIS). Celem reformy jest ustanowienie prawa, które zastąpi obecnie obowiązujące przepisy zależne od kraju i skupi się na następujących kwestiach: z Modernizacja i uspójnienie przepisów UE w zakresie ochrony danych z Poprawa ochrony konsumentów z Uodpornienie kluczowej infrastruktury IT na cyberataki z Określenie norm definiujących minimalny poziom zabezpieczeń we wszystkich krajach członkowskich Firmy nie są przygotowane na reformę Problemy z ochroną prywatności danych, zagrożenia bezpieczeństwa w Internecie oraz konieczność zapewnienia zgodności z przepisami już dziś stanowią poważne i dalekosiężne wyzwania, przed którymi staje wiele firm. Nowe przepisy będą dotyczyć firm we wszystkich sektorach, najprawdopodobniej skutkując dodatkowymi komplikacjami i ograniczeniami. Nowe przepisy będą miały duży wpływ na procesy zarządzania mechanizmami ochrony przed cyberatakami w firmach. Będą też wymagać zmian sprzętowych i programowych oraz w zakresie sprawozdawczości. W związku z poważnym wyzwaniem, jakim jest konieczność zachowania zgodności z nowymi przepisami dotyczącymi prywatności i bezpieczeństwa danych, firmy starają się oszacować, jakie skutki prawne będzie miała zbliżająca się reforma oraz jaki będzie jej wpływ na działalność. Firmy działające w Europie lub kierujące swoją ofertę do klientów europejskich muszą przygotować się do nowej sytuacji. Dlatego też poszukują nowych technologii, które im to ułatwią. Stawką są kary za nieprzestrzeganie nowych przepisów oraz szkody finansowe i wizerunkowe związane z utratą cennych danych osobowych. W niniejszym dokumencie przedstawiamy główne założenia nowych przepisów oraz zalecenia dotyczące zmian, które firmy powinny wprowadzić w swoich zasadach działalności, procesach i procedurach w celu uniknięcia potencjalnych kar finansowych i uszczerbku na reputacji. Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_

4 Reforma przepisów o ochronie danych czas na zmianę Osiągnięcia w zakresie technologii cyfrowych zrewolucjonizowały metody komunikacji i zawierania transakcji między konsumentami a firmami. Coraz więcej usług opiera się na Internecie. Szerokie wykorzystanie usług online spowodowało wzrost zapotrzebowania na dane osobowe, które są często pozyskiwane bez zgody ich właścicieli. Zjawisko globalizacji danych związane z serwisami społecznościowymi, chmurami obliczeniowymi, wyszukiwarkami i usługami lokalizacyjnymi wzbudza coraz poważniejsze obawy dotyczące zbierania, przechowywania i wykorzystania danych osobowych, a także możliwej utraty kontroli nad tymi danymi. Dane osobowe, informacje finansowe i dokumenty medyczne są składowane w niezliczonych bazach danych, często po upływie terminu przechowywania. Jeśli dane nie zostaną nieodwracalnie usunięte, a firma padnie ofiarą przywłaszczenia danych lub cyberataku, konsumenci będą narażeni na kradzież tożsamości. Brak odpowiedniej reakcji na tego rodzaju zagrożenia powoduje utratę zaufania konsumentów, obniża efektywność firmy i może narazić na szwank bezpieczeństwo kraju. Pionierskie rozwiązania w dziedzinie ochrony danych Unia Europejska od dawna była pionierem, jeśli chodzi o ochronę danych. Dyrektywa Parlamentu Europejskiego i Rady 95/46/ WE z 1995 r., która określa zasady ochrony osób w zakresie przetwarzania i swobodnego przepływu danych osobowych, jest często przywoływana jako wzór w dziedzinie ochrony danych. Niestety, nowe technologie powszechnie używane w działalności firm spowodowały, że przepisy dotyczące prywatności i bezpieczeństwa danych stały się nieaktualne. W obliczu rosnącej liczby Jeśli dane nie zostaną nieodwracalnie usunięte, a firma padnie ofiarą przywłaszczenia danych lub cyberataku, konsumenci będą narażeni na kradzież tożsamości. przypadków naruszenia bezpieczeństwa danych i utraty danych osobowych zarówno konsumenci, jak i firmy oczekują dostosowania regulacji prawnych do bieżącej sytuacji. Nowe przepisy dotyczące prywatności i bezpieczeństwa danych Coraz powszechniejsze zastosowania nowych technologii w biznesie, globalizacja oraz rosnące obawy związane z ochroną prywatności wymusiły gruntowną modernizację prawa z 1995 r. Potrzebne były też rozporządzenia regulujące kwestie bezpieczeństwa sieci i informacji. W związku z tym trwają już prace nad wprowadzeniem dwóch przełomowych środków bezpieczeństwa mających na celu ochronę przed cyberatakami, umożliwienie obywatelom kontroli nad danymi osobowymi oraz budowę zaufania na jednolitym rynku cyfrowym. Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_

5 Ogólne rozporządzenie o ochronie danych (GDPR) W celu ujednolicenia zasad ochrony danych Komisja Europejska planuje wprowadzenie jednego prawa, które będzie obowiązywać we wszystkich krajach członkowskich. Ogólne rozporządzenie o ochronie danych (General Data Protection Regulation GDPR) to w dużym stopniu zmodyfikowana wersja dyrektywy 95/46/WE z uwzględnieniem wpływu technologii cyfrowych na prywatność danych. Jego podstawę stanowią zasady ochrony danych obowiązujące od 1995 r. rozbudowane o następujące kwestie: z Postępowanie z danymi osobowymi w obrębie UE z Poprawa mechanizmów ochrony i zapewniania prywatności danych osobowych z Rozszerzenie praw osób, których dane dotyczą W grudniu 2015 r. Rada Europejska, Komisja Europejska oraz Parlament Europejski osiągnęły porozumienie w sprawie treści nowego ogólnego rozporządzenia o ochronie danych. Mimo że treść rozporządzenia została ustalona, musi ona zostać formalnie przyjęta przez Parlament Europejski i Radę. Przewiduje się, że nastąpi to na początku 2016 r. Gdy rozporządzenie zostanie formalnie przyjęte i opublikowane w Dzienniku Urzędowym Unii Europejskiej, zacznie bezzwłocznie obowiązywać w krajach członkowskich całej Unii. Ogólne rozporządzenie o ochronie danych nakłada na firmy wiele nowych obowiązków, np. przestrzeganie praw osób, których dane dotyczą, powiadamianie o naruszeniach bezpieczeństwa danych i wyznaczenie inspektorów ochrony danych. W związku z tym firmy korzystające z danych obywateli UE będą musiały radykalnie zmienić sposób prowadzenia działalności. Przepisy zaczną być egzekwowane przez organy zajmujące się ochroną danych w 2018 r., po upłynięciu 2-letniego okresu przejściowego. Dyrektywa o ochronie danych (95/46/WE) przestanie obowiązywać po opublikowaniu ostatecznej wersji rozporządzenia GDPR. GDPR Dyrektywa dotycząca bezpieczeństwa sieci i informacji (NIS) Dyrektywa dotycząca bezpieczeństwa sieci i informacji (NIS) jest pierwszym tego rodzaju aktem prawnym przedłożonym w UE. Stanowi ona istotną część strategii bezpieczeństwa cybernetycznego UE, wprowadzonej w związku ze wzrostem zagrożenia cyberatakami na organy publiczne i firmy prywatne w całej Unii. Projekt dyrektywy NIS powstał w 2013 r. i skupia się na wdrożeniu strategii bezpieczeństwa cybernetycznego w całej Europie. Jej cele są następujące: z Wprowadzenie środków zapewniających wysoki poziom bezpieczeństwa sieci i informacji w całej UE z Wzmocnienie ochrony infrastruktury IT przed atakami z Internetu z Uzyskanie bezpiecznego i wiarygodnego środowiska cyfrowego w całej UE Parlament Europejski i Rada osiągnęły nieformalne porozumienie w sprawie tej dyrektywy w grudniu 2015 r. Podobnie jak rozporządzenie GDPR, dyrektywa NIS musi zostać formalnie przyjęta przez obie instytucje prawodawcze UE Parlament i Radę. Ma to nastąpić na początku 2016 r. Po formalnym przyjęciu dyrektywy kraje członkowskie będą miały 21 miesięcy na wprowadzenie nowych wymagań w swoich systemach prawnych i 6 miesięcy na identyfikację operatorów usług kluczowych. Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_

6 Wpływ rozporządzenia GDPR na firmy Zmiany prawa UE w zakresie ochrony danych Dyrektywa o ochronie danych 95/46/WE Prawa lokalne 28 krajów członkowskich Nacisk na lokalizację sprzętu Wiele organów ochrony danych Tylko administratorzy danych Różne kary w różnych krajach Brak obowiązku zgłaszania naruszeń bezpieczeństwa Brak obowiązku zatrudniania inspektora ochrony danych Ogólne rozporządzenie o ochronie danych (GDPR) Jedno spójne prawo Nacisk na dane Jeden wiodący organ nadzorczy Administratorzy danych i podmioty przetwarzające dane Sankcje i wysokie kary Obowiązek bezzwłocznego zgłaszania naruszeń bezpieczeństwa Obowiązek zatrudnienia inspektora ochrony danych w większych firmach Rozporządzenie GDPR wprowadza poważne zmiany w zakresie prywatności i ochrony danych, co utrudni wielu firmom uzyskanie zgodności z przepisami. Poza znaczącymi zmianami w procesach biznesowych konsekwencje będą następujące: z Zwiększone wymagania w zakresie nadzoru (szczególnie dotyczące środków bezpieczeństwa) z Zmiany w kulturze firmowej (np. dodanie kultury prywatności do podstawowej listy zasad) z Wyższe koszty związane z wdrożeniem nowych procesów i mechanizmów kontrolnych uwzględniających nowe, rozszerzone prawa osób fizycznych (dostęp do danych, usuwanie danych, prawo do bycia zapomnianym, możliwość przenoszenia danych oraz poprawianie nieprawidłowych lub niekompletnych danych) z Wyższe koszty związane z wdrożeniem nowych technologii, zasad i procesów w celu zapewnienia zgodności z wymogami bezpieczeństwa z Ryzyko finansowe w związku z potencjalnymi wysokimi karami za niezachowanie zgodności z przepisami Przedmiot i zakres rozporządzenia Dyrektywa o ochronie danych (95/46/WE) kładła nacisk na lokalizację sprzętu administratora danych lub podmiotu przetwarzającego dane. Rozporządzenie GDPR natomiast dotyczy przetwarzania danych osobowych podmiotów z UE bez względu na to, czy dane są przechowywane w granicach UE czy nie. Ponadto rozporządzenie rozszerza definicję danych osobowych o adresy , adresy IP komputerów, wpisy w mediach społecznościowych i dane umożliwiające identyfikację użytkownika. Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_

7 Rozporządzeniem są objęte wszystkie organizacje i osoby znajdujące się na terenie UE. W przeciwieństwie do dyrektywy o ochronie danych, dotyczy ono także firm spoza UE, które dostarczają towary lub usługi obywatelom UE, a także monitorują zachowania online lub przetwarzają dane osobowe obywateli UE. Dodatkowe ryzyko związane z profilowaniem i analizą danych Big Data Eksplozja popularności Internetu spowodowała powstanie wielu kanałów transmisji danych z różnych lokalizacji, np. z poczty , telefonów, komputerów, blogów, platform społecznościowych i transakcji online. W rezultacie powstał ogromny skarbiec danych Big Data wypełniony danymi osobowymi. Analiza danych Big Data odgrywa istotną rolę w gospodarce cyfrowej i jest powszechnie używana w zwykłych procesach biznesowych. Wraz ze wzrostem liczby zastosowań danych Big Data rosną obawy obywateli UE dotyczące zbierania, udostępniania i analizowania ich danych osobowych. Rośnie także liczba odczuwanych naruszeń prywatności. Nowe rozporządzenie wprowadza wiele ograniczeń w zakresie profilowania danych. W wielu przypadkach profilowanie będzie dozwolone wyłącznie po spełnieniu następujących warunków: z Uzyskanie jednoznacznej zgody osoby, której dotyczą dane z Wyraźne dopuszczenie takich praktyk przez prawo danego kraju członkowskiego z Podpisanie odpowiedniej umowy z osobą, której dotyczą dane Ze względu na złożone mechanizmy analizy danych Big Data profilowanie danych osobowych jest kwestią priorytetową w procesie zapewniania zgodności z przepisami. Nowe wymagania dotyczące podmiotów przetwarzających dane Nowe rozporządzenie nakłada nowe obowiązki zachowania zgodności z przepisami bezpośrednio na dostawców usług i podmioty przetwarzające dane, a także przewiduje różne rodzaje sankcji karnych. Jest to ogromna zmiana względem starszej dyrektywy o ochronie danych UE, zgodnie z którą dostawcy usług nie mieli bezpośredniego obowiązku przestrzegania dotychczasowego prawa. Dostawcy usług, którzy nie będą przestrzegać nowych wymogów, mogą zostać do tego zmuszeni przez organy nadzorcze. Mogą też na nich zostać nałożone wysokie kary. Oto nowe obowiązki, których muszą przestrzegać dostawcy usług: z Wdrożenie wszystkich środków bezpieczeństwa wymaganych w rozporządzeniu i prowadzenie dokumentacji z Pomoc administratorom w wykonywaniu obowiązków związanych z powiadamianiem o naruszeniach bezpieczeństwa, oceną skutków w zakresie ochrony danych i wcześniejszym uzyskiwaniem zezwoleń z Wyznaczenie inspektora ochrony danych (w przypadku spełnienia warunków dotyczących przetwarzania danych) z Przestrzeganie wymogów w zakresie międzynarodowego transferu danych z Współpraca z organami nadzorczymi (jeśli jest to konieczne) Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_

8 Dyrektywa NIS uszczelnianie systemu bezpieczeństwa cybernetycznego Przed wprowadzeniem dyrektywy NIS składanie raportów dotyczących bezpieczeństwa sieci i informacji było dobrowolne. W związku z tym ogólny potencjał oraz poziom zaangażowania i gotowości sektora prywatnego znacząco różniły się w poszczególnych krajach członkowskich. Celem dyrektywy NIS jest uszczelnienie i ujednolicenie systemu bezpieczeństwa cybernetycznego przez wprowadzenie zharmonizowanych przepisów obowiązujących we wszystkich krajach UE. Reforma przepisów o bezpieczeństwie danych i odporności na cyberataki (dyrektywa NIS) to najpoważniejsza zmiana w dziedzinie ochrony danych w UE od 1995 r. Jest to też pierwsza inicjatywa wprowadzająca jednolitą strukturę norm bezpieczeństwa informacji w całej Unii. Założenia tej dyrektywy mającej na celu zmniejszenie liczby zagrożeń i incydentów związanych z bezpieczeństwem danych są następujące: z Ustanowienie minimalnego poziomu bezpieczeństwa w całej UE z możliwością wprowadzania wyższych poziomów w poszczególnych krajach z Elastyczne wdrażanie nowych zasad w związku z różnym poziomem przygotowania w poszczególnych krajach z Umożliwienie krajom członkowskim określenia wytycznych w zakresie definiowania incydentów podlegających obowiązkowi zgłoszenia (na poziomie sektorów) Kraje członkowskie przyjmują strategię NIS i wyznaczają organ odpowiedzialny za jej wdrażanie Zarządzanie ryzykiem w sieci Sprawniejsza współpraca między krajami i wymiana informacji Trzy filary nowej dyrektywy Firmy wdrażają procesy zarządzania ryzykiem i zgłaszają incydenty Dyrektywa dotycząca bezpieczeństwa sieci i informacji Dyrektywa NIS oznacza sprawniejsze zarządzanie ryzykiem w sieci i zgłaszanie incydentów w całej UE. Jej podstawę stanowią trzy główne założenia: z Każdy kraj członkowski musi przyjąć strategię NIS i wyznaczyć centralny organ odpowiedzialny za jej wdrażanie, a także zapewnić mu środki konieczne do zapobiegania zagrożeniom i incydentom oraz reagowania na nie. z Usprawnienie współpracy między krajami członkowskimi oraz sektorem publicznym i prywatnym w celu wczesnego ostrzegania o zagrożeniach i incydentach, wymiany informacji, a także przeciwdziałania zagrożeniom i incydentom. z Określone firmy i usługi działające w Internecie muszą wdrożyć procesy zarządzania ryzykiem i zgłaszać poważne incydenty naruszenia bezpieczeństwa IT odpowiedniemu organowi krajowemu. Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_

9 Zakres dyrektywy NIS Po raz pierwszy firmy będą miały prawny obowiązek wdrożenia odpowiednich mechanizmów zabezpieczających infrastrukturę IT, aby zapewnić bezpieczeństwo i wiarygodność środowiska cyfrowego w całej UE. Wymaganie zgłaszania incydentów naruszenia bezpieczeństwa IT ma na celu utworzenie kultury zarządzania ryzykiem i zapewnienie wymiany informacji między sektorem prywatnym i publicznym. Zakres obowiązywania dyrektywy NIS obejmuje następujące podmioty: z Operatorzy infrastruktury o kluczowym znaczeniu w sektorach takich jak usługi finansowe, transport, energetyka i opieka zdrowotna z Firmy świadczące usługi IT, takie jak sklepy z aplikacjami, platformy handlu elektronicznego, platformy obsługi płatności internetowych, platformy chmur obliczeniowych, wyszukiwarki i serwisy społecznościowe z Firmy z sektora administracji publicznej i usług publicznych Firmy usługowe IT Kluczowa infrastruktura Administracja publiczna i usługi publiczne Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_

10 Egzekwowanie i konsekwencje nieprzestrzegania nowych przepisów Możliwość naruszenia bezpieczeństwa danych i jego wpływ na firmę nie jest już tylko zmartwieniem działu IT. Ryzyko ponosi cała firma, a skutki ataku mogą zagrozić jej wynikom finansowym. Kraje członkowskie będą musiały wprowadzić odstraszające, skuteczne i proporcjonalne sankcje za nieprzestrzeganie wymogów ochrony prywatności rozporządzenia GDPR lub wymogów bezpieczeństwa cybernetycznego dyrektywy NIS. Na podstawie przepisów o obowiązkowym zgłaszaniu incydentów konieczne będzie ujawnianie naruszeń bezpieczeństwa danych. Nieprzestrzeganie nowych regulacji będzie miało poważne konsekwencje. Przewidziane kary są dużo wyższe niż te określone w większości przepisów o ochronie danych w krajach członkowskich. Niezapewnienie ochrony danych klientów może wiązać się z karami i sankcjami prawnymi, zniszczeniem reputacji marki, utratą zaufania i lojalności klientów oraz obniżeniem zysków i wartości akcji firmy. Niezależne i lepiej wyposażone organy ochrony danych Wraz z wprowadzeniem rozporządzenia GDPR organy zajmujące się ochroną danych w UE uzyskują szersze uprawnienia w zakresie egzekwowania przepisów oraz działań dochodzeniowych i naprawczych. Są to m.in.: z Badanie przypadków naruszenia przepisów z Powiadamianie administratorów danych i podmiotów przetwarzających dane o możliwych naruszeniach bezpieczeństwa z Nakazywanie administratorom lub podmiotom przetwarzającym dane udostępnienia informacji wymaganych w ramach wykonywania obowiązków z Prowadzenie dochodzeń i audytów terenowych z Nakazywanie poprawienia, zniszczenia lub wyczyszczenia danych z Wydawanie zakazów przetwarzania danych Wiodący organ nadzorczy Dotychczas firmy działające na terenie UE były nadzorowane przez organy zajmujące się ochroną danych w poszczególnych krajach. W związku z tym często prowadzonych było wiele postępowań w tej samej sprawie, które mogły kończyć się innymi postanowieniami. Po wprowadzeniu rozporządzenia GDPR firma będzie podlegać jednemu, wiodącemu organowi nadzorczemu w kraju, w którym znajduje się jej główna siedziba w UE. Postępowania nadal mogą być objęte jurysdykcją więcej niż jednego organu nadzorczego (często mogą być też konieczne konsultacje między wiodącym organem nadzorczym a innymi organami), jednak istnienie centralnego, głównego punktu kontaktowego będzie bardzo przydatne, szczególnie że wiele firm prowadzących działalność w różnych krajach UE często podlega wielu różnym organom. Mechanizm wiodącego organu nadzorczego wiąże się z następującymi wymaganiami: z Każdy kraj członkowski musi mieć odpowiedni organ przygotowany do obsługi wszelkiego rodzaju incydentów. z Wszystkie organy zajmujące się ochroną danych muszą konsultować się i współpracować z organami nadzorczymi innych krajów w spawach transgranicznych. z W ważnych sprawach transgranicznych organy zajmujące się ochroną danych muszą wydawać spójne, podlegające nadzorowi decyzje. z W uzasadnionych przypadkach wiążące decyzje wydaje Europejska Rada Ochrony Danych. Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_

11 Przestrzeganie nowych przepisów Po przyjęciu nowych przepisów na początku 2016 r. rozporządzenie GDPR zacznie być egzekwowane po upłynięciu 2-letniego okresu przejściowego, a dyrektywa NIS po jeszcze krótszym okresie. Za nieprzestrzeganie przepisów przewidziane są surowe kary. Mimo że zostało jeszcze trochę czasu, firmy powinny podjąć działania już teraz, aby zbudować podstawy nowego systemu zapewniania zgodności z przepisami. W przeciwnym razie nie będą w stanie bronić się przed cyberatakami i nie będą przygotowane na nowe, bardziej rygorystyczne regulacje dotyczące ochrony prywatności. Aby pomóc firmom we wczesnym określeniu potencjalnych trudności i zapewnieniu odpowiednich mechanizmów kontrolnych, poniżej przedstawiamy pięć obszarów wymagających podjęcia działań w celu przygotowania się do nowej sytuacji prawnej. 1. Prawa osób, których dane dotyczą Wdrożenie technologii, zasad i praktyk chroniących przed bezprawnym lub nieupoważnionym przetwarzaniem danych. Oprócz zachowania istniejących praw, takich jak prawa dostępu, poprawiania i usuwania danych, rozporządzenie wprowadza nowe i szersze prawa dla osób, których dane dotyczą. Są to między innymi prawo do przenoszenia danych, prawo do bycia zapomnianym i niektóre prawa związane z profilowaniem. Aby zapewnić zgodność procesów przetwarzania danych osobowych z nowymi wymaganiami, należy już teraz podjąć następujące działania: z Przegląd istniejących szablonów i procedur wyrażania zgody na przetwarzanie danych pod kątem właściwej ekspozycji odpowiednich informacji. z Uporządkowanie i aktualizacja zasad, procedur i dokumentacji dotyczących ochrony prywatności. z Utworzenie grupy nadzorującej wszystkie działania związane z ochroną prywatności pod przewodnictwem członka kadry kierowniczej wyższego szczebla. z Wdrożenie technologii, zasad i praktyk chroniących przed bezprawnym lub nieupoważnionym przetwarzaniem danych. z Określenie bieżących działań związanych z profilowaniem i ich ocena pod kątem zgodności z nowymi wymogami. 2. Nadzór nad danymi i ochrona danych Ustalenie, jakie dane klientów są zbierane, kto ma do nich dostęp, do czego są używane i kto jest odpowiedzialny za ich ochronę. W wielu firmach panuje przekonanie, że używane procesy przechowywania danych są jasne i zrozumiałe, podczas gdy firmy te dysponują jedynie jednowymiarowym widokiem przepływu danych. Po wprowadzeniu nowego rozporządzenia firmy muszą mieć całościowy obraz zbierania, przechowywania i przetwarzania danych. Aby wdrożyć skuteczne zasady nadzoru nad danymi i ochrony danych, należy już teraz podjąć następujące działania: z Przeprowadzenie analizy braków w procesach realizacji istniejących i nowych obowiązków w zakresie ochrony danych. Należy także określić istniejące i brakujące mechanizmy kontrolne, które umożliwią zminimalizowanie ryzyka w cyklu życia danych. Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_

12 z Wprowadzenie strategii klasyfikacji, przechowywania, zbierania, niszczenia, składowania i wyszukiwania danych. z Ustalenie, jakie dane klientów są zbierane, kto ma do nich dostęp, do czego są używane i kto jest odpowiedzialny za ich ochronę. Zbędne dane należy zniszczyć, zachowując tylko te, które są potrzebne. z Ustalenie miejsc przetwarzania danych w firmie i przez podmioty zewnętrzne zarówno z perspektywy funkcjonalnej, jak i geograficznej. z Wyznaczenie inspektora ochrony danych w przypadku przetwarzania dużych ilości danych. 3. Audyty wewnętrzne i zarządzanie ryzykiem Wdrożenie wewnętrznych i zewnętrznych procesów audytowych w celu określenia stopnia narażenia na ryzyko w związku z nowymi przepisami. Nowe przepisy oznaczają radykalne zmiany dla wielu firm, wymagając od nich często wprowadzania kompleksowych zmian w procesach przetwarzania danych i zabezpieczania informacji. Aby zminimalizować ryzyko związane z dodatkowymi wymogami w zakresie nadzoru danych, firmy potrzebują skutecznych mechanizmów audytów wewnętrznych. W związku z tym powinny już teraz podjąć następujące działania: z Ocena istniejących zespołów zajmujących się audytami wewnętrznymi i zarządzaniem ryzykiem w celu określenia braków w personelu i możliwościach działania. z Wdrożenie wewnętrznych i zewnętrznych procesów audytowych w celu określenia stopnia narażenia na ryzyko w związku z nowymi przepisami. z Wprowadzenie procedur umożliwiających zapewnienie komitetów ds. audytu o minimalizacji zagrożeń oraz demonstrowanie zgodności procesów przetwarzania danych osobowych z rozporządzeniem. z Okresowe przeprowadzanie audytów i ocen ryzyka. z Wdrożenie zasad integrujących kwestie ochrony prywatności i bezpieczeństwa z procesami w firmie. 4. Gotowość i reagowanie na naruszenia bezpieczeństwa danych Opracowanie procesów wykrywania, szczegółowego analizowania i eliminowania przypadków naruszeń bezpieczeństwa danych oraz naprawiania związanych z nimi szkód, a także gruntowne przetestowanie planów reagowania na incydenty. Firmy muszą przyjąć do wiadomości możliwość wystąpienia naruszenia bezpieczeństwa danych. Powinny też przygotować się na taką ewentualność. Nowe przepisy wymagają zgłaszania takich przypadków do właściwych organów ochrony danych, nawet jeśli firmy dysponują odpowiednimi mechanizmami obronnymi lub szkody spowodowane atakiem są niewielkie. Aby przygotować się na naruszenia bezpieczeństwa danych, należy już teraz podjąć następujące działania: z Wprowadzenie proaktywnej ochrony systemów i zatrudnienie wysoko wykwalifikowanego personelu. z Wdrożenie odpowiedniej technologii aktywnego monitorowania sieci i wykrywania zagrożeń. Konieczny jest także wielopoziomowy mechanizm zapewniania bezpieczeństwa składający się z szyfrowania, ochrony przed szkodliwym oprogramowaniem i zabezpieczeń w punktach końcowych. z Opracowanie procesów wykrywania, szczegółowego analizowania i eliminowania przypadków naruszeń bezpieczeństwa danych oraz naprawiania związanych z nimi szkód, a także gruntowne przetestowanie planów reagowania na incydenty. Należy uwzględnić kluczowe osoby z całej firmy oraz kadry kierowniczej wyższego szczebla w celu zagwarantowania spójności reakcji. Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_

13 z Przygotowanie planu powiadamiania o naruszeniach bezpieczeństwa ze wskazaniem osób odpowiedzialnych za kontakt z organami ochrony danych, mediami i innymi instytucjami. z Nawiązanie relacji z firmami zajmującymi się reagowaniem na incydenty oraz analizowaniem ataków i usuwaniem ich skutków. 5. Świadomość pracowników i kultura firmowa Określenie części firmy przechowujących, tworzących lub nadzorujących odpowiednie rodzaje danych, a następnie ustalenie poziomu świadomości i zgodności z przepisami w tych częściach. Obowiązki związane z poufnością i ochroną danych są zwykle dobrze znane w pionach firmy zajmujących się ryzykiem, bezpieczeństwem i zachowaniem zgodności z przepisami. Takim samym poziomem wiedzy powinni wykazywać się pracownicy całej firmy. Aby przeszkolić pracowników z zakresu obowiązków dotyczących ochrony danych i zachowania poufności, należy już teraz podjąć następujące działania: z Określenie części firmy przechowujących, tworzących lub nadzorujących odpowiednie rodzaje danych, a następnie ustalenie poziomu świadomości i zgodności z przepisami w tych częściach. z Zapewnienie dostępu do pełnych informacji dotyczących przestrzegania przepisów o ochronie danych. Należy przeszkolić pracowników w zakresie postępowania z poufnymi danymi oraz regularnie budować świadomość wewnętrzną w całej firmie. z Rozpoczęcie uwzględniania kwestii ochrony danych we wszystkich produktach i usługach w celu ochrony prywatności z założenia. z Budowa kultury firmowej, w której ochrona prywatności jest obecna w każdym procesie i na każdym poziomie. Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_

14 Podsumowanie Szybko ewoluujące środowisko biznesowe oraz nowe technologie w połączeniu z kryzysem zaufania klientów do usług online i coraz poważniejszymi obawami dotyczącymi prywatności wymuszają reformę przepisów dotyczących prywatności i ochrony danych. Jednocześnie głośne przypadki naruszenia bezpieczeństwa danych powodują wzrost znaczenia i zaostrzenie wymagań w zakresie ochrony poufnych informacji osobowych oraz kluczowych elementów infrastruktury. W związku z tym władze UE postanowiły gruntownie zmodernizować przepisy o ochronie i bezpieczeństwie danych, dodając do nich nowe wymogi, które zwiększają liczbę obowiązków i mają wpływ na działalność firm we wszystkich sektorach. Celem rozporządzenia GDPR jest ujednolicenie ochrony danych w całej UE, wzmocnienie ochrony danych osobowych oraz zabezpieczenie i usprawnienie europejskiej gospodarki internetowej. Dyrektywa dotycząca bezpieczeństwa sieci i informacji z kolei skupia się na promowaniu bezpieczeństwa cybernetycznego i odporności na ataki oraz ochronie kluczowych elementów infrastruktury przed zagrożeniami i atakami z sieci. Ponadto znacznemu zaostrzeniu uległy sankcje za nieprzestrzeganie przepisów kary mogą sięgać 20 mln EUR lub 4% całkowitych obrotów rocznych. Dlatego trzeba działać już teraz. Nowe przepisy zaczną być wkrótce egzekwowane, a przestrzeganie ich prawdopodobnie będzie wymagać wprowadzenia wielu poważnych zmian w procesach biznesowych oraz wiązać się z trudnościami technicznymi i proceduralnymi. Wiele firm musi wdrożyć specjalne procesy i techniczne mechanizmy kontrolne w celu zapewnienia ochrony i poufności danych klientów. Konieczne są proaktywne działania pomagające przygotować się na zmiany. Przegapienie właściwego momentu może spowodować trudności z dostosowaniem zasad i procedur do nowych wymogów. Kluczowe jest nawiązanie relacji z odpowiednimi partnerami dostarczającymi rozwiązania z zakresu zabezpieczeń oraz znalezienie odpowiednich narzędzi, które można zintegrować z istniejącymi mechanizmami kontrolnymi i kulturą firmy. Jak chronić dane? Zaawansowane, ukierunkowane ataki wymagają czasu zwykle składają się z szeregu działań i wielu etapów rozłożonych w czasie. Zawodowi cyberprzestępcy potrafią po mistrzowsku ukrywać swoje działania. Często pozostają niezauważeni przez długie miesiące, a nawet lata. Stosują złożone techniki wywiadowcze, a w razie konieczności tworzą specjalne luki w zabezpieczeniach, które pozwalają im przeniknąć do sieci firmowej i wykraść poufne dane, własność intelektualną, plany biznesowe oraz informacje osobowe. Firmy nie są jednak skazane na trwanie w stanie ciągłego zagrożenia. Fidelis Cybersecurity oferuje bogaty wachlarz produktów, usług doradczych i autorskich mechanizmów analiz zagrożeń, dzięki którym można być zawsze o krok przed przestępcami, uniemożliwiając im osiągnięcie celu. Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_

15 Proaktywna, zaawansowana obrona przed zagrożeniami Rozwiązania Fidelis Cybersecurity pozwalają na szybsze wykrywanie, analizowanie i powstrzymywanie ataków na poziomie sieci i punktów końcowych na każdym etapie ataku. z Wykrywanie ataków na każdym etapie. Wykrywamy ataki nie tylko na podstawie używanych narzędzi. Analizujemy także zachowania hakerów. Gdy wykryjemy atak, udostępniamy informacje pozwalające prześledzić działania atakującego i określić miejsca jego aktywności nawet jeśli korzystał z urządzeń takich jak laptopy czy urządzenia mobilne, których nie ma już w sieci. z Analizowanie i priorytetyzowanie potencjalnych incydentów. Dzięki rozwiązaniom Fidelis można skupić się na naprawdę poważnych zagrożeniach. Automatycznie klasyfikujemy i analizujemy wykryte incydenty, umożliwiając szybką identyfikację rodzaju zagrożenia. z Powstrzymywanie ataków i zapobieganie kradzieży danych. Po wykryciu trwającego ataku w środowisku klienta nasze produkty w czasie rzeczywistym próbują różnymi sposobami go zablokować i uniemożliwić atakującemu działanie w sieci. Mniejsze ryzyko, większa skuteczność Dzięki kilkunastoletniemu doświadczeniu w ochronie najbardziej poufnych sieci na świecie wiemy, że tylko sprawne monitorowanie sieci (nieograniczające się do prób wykrycia szkodliwego oprogramowania z zewnątrz) pozwala na wykrycie zagrożeń i uniemożliwienie kradzieży danych. Koncentrując się na wykrywaniu zagrożeń w czasie rzeczywistym, zapobieganiu im i ciągłemu reagowaniu, rozwiązania Fidelis zapewniają firmom następujące możliwości: z Skuteczniejsza ochrona zasobów i danych przed kradzieżą. Wykrywanie i powstrzymywanie ukierunkowanych ataków jest możliwe na każdym ich etapie. Pomagamy zespołom operacyjnym ds. zabezpieczeń w analizowaniu i ocenianiu potencjalnych incydentów związanych z bezpieczeństwem chwilę po otrzymaniu alertu bez względu na to, czy pochodzi on z rozwiązania Fidelis, systemu SIEM czy innego systemu bezpieczeństwa. z Lepszy zwrot z inwestycji w zabezpieczenia. Nasze rozwiązania umożliwiają optymalne wykorzystanie dotychczasowych inwestycji w zabezpieczenia, a jednocześnie koncentrację na najistotniejszych zagrożeniach. Pomagamy klientom zintegrować infrastrukturę sieciową z rozwiązaniami zabezpieczającymi na hoście, dzięki czemu można korzystać z alertów generowanych przez posiadane narzędzia. z Poprawa skuteczności analiz zabezpieczeń. Analitycy zajmujący się pierwszą linią zabezpieczeń mogą podejmować lepsze i szybsze decyzje w związku z potencjalnymi incydentami oraz szybciej analizować zdarzenia. z Niższe koszty reagowania na incydenty. Pomagamy zmniejszyć liczbę incydentów i skrócić czas ich blokowania przy minimalnych przestojach w działaniu firmy. Umożliwiamy także szybsze reagowanie na istotne alerty. z Niższe ryzyko dla reputacji. Zapewnienie prywatności danych klientów pomaga zachować wiarygodność. Przewaga doświadczenia Narzędzia i techniki wykorzystywane przez cyberprzestępców rozwijają się niezwykle szybko. Aby za nimi nadążyć, zespoły ds. bezpieczeństwa muszą odejść od reagowania na zaistniałe zagrożenia na rzecz podejścia prewencyjnego. Wymaga to ustalenia zasad i procedur, infrastruktury umożliwiającej wykrywanie i likwidację zagrożeń oraz wykwalifikowanego personelu przeszkolonego w zakresie wykrywania, badania i powstrzymywania ataków. Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_

16 Czy Twoja firma jest przygotowana na nowe przepisy? Skorzystaj ze wskazówek doświadczonego zespołu. Fidelis Security Consulting oferuje kompleksowe usługi w zakresie bezpieczeństwa: od oceny rozwiązań do ochrony proaktywnej przez przypadki naruszenia zabezpieczeń po wsparcie w postępowaniu sądowym. Nasi eksperci ds. bezpieczeństwa od dziesięcioleci gromadzą bezcenne doświadczenie, pomagając setkom małych i wielkich organizacji przygotowywać się na incydenty i reagować na nie. Zespół tworzą najlepsi eksperci w dziedzinie kryminalistyki, inżynierowie informatycy z doświadczeniem w dziedzinie bezpieczeństwa sieci oraz specjaliści w zakresie odtwarzania kodu źródłowego szkodliwego oprogramowania. Mają oni dogłębną wiedzę na temat taktyk, technik i motywów działania zaawansowanych cyberprzestępców, dzięki której mogą blokować im dostęp do chronionych sieci. z Proaktywne oceny zabezpieczeń. Fidelis oferuje różnorodne usługi oceny zabezpieczeń, które wykrywają luki i informują o sposobach ograniczenia ryzyka oraz usprawnienia reagowania na incydenty w firmie. Ponadto jesteśmy w stanie wykryć, czy przestępcy są w danej chwili obecni w środowisku. Do oferowanych przez nas usług należą: Oceny naruszenia zabezpieczeń w celu wykrycia potencjalnych czynników ryzyka w sieci Oceny gotowości do reagowania na incydenty w celu zweryfikowania skuteczności planu Ocena programu bezpieczeństwa w celu weryfikacji wdrożenia odpowiednich środków i mechanizmów kontrolnych zabezpieczeń z Usługi PCI. Firma Fidelis uzyskała tytuł Qualified Security Assessor (wykwalifikowany ekspert ds. zabezpieczeń) przyznawany przez PCI Security Standards Council. Nasi specjaliści mają uprawnienia do kontroli i weryfikacji zgodności ze standardem PCI-DSS w firmach. W ramach kontroli szczegółowo badamy konkretne wymogi stojące przed firmą lub instytucją, wynikające zarówno z przepisów prawa, jak i standardów branżowych. z Usługi rozbudowy operacyjnego centrum bezpieczeństwa (SOC). Eksperci Fidelis do spraw bezpieczeństwa pomagali w budowie najdłużej działających operacyjnych centrów bezpieczeństwa (security operations center SOC) i mogą pochwalić się bogatym doświadczeniem w reagowaniu na incydenty. Dlatego wiedzą, jak działać skutecznie. Możemy pomóc w przeniesieniu operacyjnego centrum bezpieczeństwa klientów na wyższy poziom lub zbudowaniu go od podstaw. z Wsparcie w postępowaniu sądowym. Nasi specjaliści w zakresie bezpieczeństwa mają certyfikaty w dziedzinie informatyki śledczej oraz rozległe doświadczenie w zbieraniu, analizowaniu i zabezpieczaniu danych na potrzeby składania zeznań (w tym pod przysięgą), prowadzenia dochodzeń i operacji e-discovery. Świadczymy m.in. następujące usługi tego rodzaju: Analiza czynu pod kątem zgodności z prawem przy użyciu technik informatyki śledczej Opinie i ekspertyzy niezależnych rzeczoznawców Przedstawianie złożonych zagadnień w formie zrozumiałej dla odbiorców bez odpowiedniej wiedzy technicznej Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_

17 Zapobieganie włamaniom to cel, do którego dążymy nieustannie. Bez względu na to, czy ktoś próbuje znaleźć słaby punkt, aby użyć go do dalszych ataków w sieci, czy wykraść poufne dane z laptopów i serwerów, oprogramowanie Fidelis wykryje te próby. Następnie przekazujemy wszystkie informacje niezbędne do znalezienia i powstrzymania ataku w czasie liczonym w minutach (nie po kilku dniach czy tygodniach). To zupełnie nowa jakość w dziedzinie zapobiegania włamaniom. Jesteśmy pierwszą i jedyną firmą świadczącą tego typu usługi w chmurze i lokalnie. To właśnie dlatego 40% najcenniejszych marek świata powierza firmie Fidelis ochronę swoich najważniejszych zasobów. Więcej informacji na temat produktów i usług reagowania na incydenty Fidelis Cybersecurity można uzyskać pod adresem oraz na Fidelis Cybersecurity WP_Fidelis_EUDataReform_PL_1604