GDPR hrozí stamilionovými pokutami. Máte už svá data zabezpečená?

Ochrana osobních údajů prochází v posledních letech turbulentními změnami. Zvyšující se množství kybernetických útoků a nedbalé jednání zaměstnanců vytváří časovanou bombu, která dokáže znepříjemnit život milionům lidí.

Pro příklad není třeba chodit daleko – plně stačí aktuální kauza společnosti Cambridge Analytica, která od roku 2014 zneužívala osobní údaje uživatelů Facebooku. V době, kdy se společnosti po celém světě připravují na zavedení nové regulace pro ochranu osobních údajů, působí kauza největší sociální sítě jako špatný vtip. Následkem neuváženého nakládání s osobními daty ztrácí Facebook uživatele, přízeň velkých společností i obrovské částky. Během necelého měsíce klesla hodnota sociální sítě o 75,5 miliardy dolarů.

A nejde jen o zámoří; únik citlivých informací je problémem i v Česku. Stačí vzpomenout na případ z roku 2016, kdy zaměstnanec společnosti T-Mobile prodal k marketingovým účelům osobní údaje o 1,5 milionu klientů. Vedle ztráty důvěry vlastních zákazníků čelil telefonní operátor také šetření Úřadu pro ochranu osobních údajů. Z něj vyšel s pokutou 3,6 milionu korun.

Podobným případům má do budoucna zamezit nařízení „o ochraně fyzických osob v souvislosti se zpracováním osobních údajů“ z pera Evropské unie. Předpis, známý spíše pod zkratkou GDPR (General Data Protection Regulation), přináší firmám od 25. května 2018 mj. povinnost zabezpečit osobní údaje obyvatel EU proti krádeži a zneužití.

Nedostatky v zabezpečení vás vyjdou draho. Za každé vynesení osobních údajů hrozí vaší společnosti pokuta 20 milionů euro (asi 507 milionů Kč), sankce ale mohou dosáhnout až 4 % celosvětového obratu firmy.

Zavedení GDPR opatření? Včera bylo pozdě

I proto by společnosti nakládající s osobními údaji měly mít implementaci technických opatření dávno za sebou. Praxe je ale jiná. „Spousta firem o GDPR vlastně moc neví. S rodnými čísly nebo e-mailovými adresami svých zákazníků operují každý den, nemají ale žádná opatření proti úniku osobních dat. Bohužel se s tím setkáváme poměrně často. Od letošního května to bude rozhodně problém,“ tvrdí Michal Konderla Network, Security konzultant společnosti ComSource.

Jako řešení palčivého problému uvádí opatření Data Loss Prevention. DLP řešení zabezpečuje firemní síť před únikem informací – ať už cíleným, nebo vinou nedopatření. S vynesením interních dat se přitom podle výzkumné společnosti Ponemon Research setká každá třetí společnost; o bezpečnostním incidentu se v průměru dozví po více než 6 měsících. „Podle GDPR musí společnost každý únik ohlásit do 72 hodin. Bez příslušných opatření se ale o vynesení zkrátka včas nedozvíte a budete čelit hrozbě astronomických pokut.“

DLP – záruka klidného spánku

Data Loss Prevention zabezpečí vaše firemní data před vynesením z lokálních sítí, koncových zařízení (počítačů, smartphonů) i cloudových uložišť. Mezi nejčastější způsoby úniku patří:

• odeslání souboru e-mailem (data zůstanou uložena na externím serveru),
• sdílení přes cloud,
• vynesení externím zařízením (smartphone, tablet, externí disk),
• tisk dokumentů.

„Zavedení DLP řešení do firemní sítě sestává ze čtyř navazujících kroků. Nejprve si s klientem určíme, jaké osobní údaje a obecně citlivá data na svých serverech mají. Vedle rodných čísel nebo jmen se často jedná o smlouvy se zákazníky, patentované výrobní postupy a další. I tyto informace Data Loss Prevention chrání.“

„V další fázi se rozhodujeme, jaké perimetry zabezpečíme. Je totiž možné zajistit data před únikem z koncového zařízení i ze sítě jako celku,“ přibližuje implementaci Konderla. Díky tomu je možné povolit např. přeposílání dokumentů mezi zaměstnanci v rámci firemní sítě – ale už ne mimo ni.

Technologie na stráži

Osobní a citlivá data je možné identifikovat několika způsoby. Jedním ze základních je pátrání po informacích s pevně daným formátem – sem patří např. rodná čísla (jsou vždy desetimístná) nebo e-mailové adresy (obsahují zavináč).

Pokročilý software využívá i strojové učení. Díky němu dokáže s velkou přesností vyhledat citlivé informace i v novém balíku dat – např. ve chvíli, kdy do databáze zadáte údaje o novém klientovi. Problémem nebývá ani prověření naskenovaných dokumentů, které umožňuje technologie optického rozeznávání znaků (Optical Character Recognition – OCR).

DLP aplikace nalezená data zaindexuje a při pokusu o přesun mimo vymezený perimetr software celý proces okamžitě detekuje a zastaví. S osobními údaji mohou nakládat jen vybraní uživatelé – a až po zadání hesla. Některé soubory v důsledku zašifrování dokonce mimo firemní síť ani neotevřete. Totožná metoda brání úniku citlivých dat z cloudů a dalších externích uložišť.

Připravte sebe i své zaměstnance

Osobní a citlivá data je možné identifikovat několika způsoby. Jedním ze základních je pátrání po informacích s pevně daným formátem – sem patří např. rodná čísla (jsou vždy desetimístná) nebo e-mailové adresy (obsahují zavináč).

Pokročilý software využívá i strojové učení. Díky němu dokáže s velkou přesností vyhledat citlivé informace i v novém balíku dat – např. ve chvíli, kdy do databáze zadáte údaje o novém klientovi. Problémem nebývá ani prověření naskenovaných dokumentů, které umožňuje technologie optického rozeznávání znaků (Optical Character Recognition – OCR).

DLP aplikace nalezená data zaindexuje a při pokusu o přesun mimo vymezený perimetr software celý proces okamžitě detekuje a zastaví. S osobními údaji mohou nakládat jen vybraní uživatelé – a až po zadání hesla. Některé soubory v důsledku zašifrování dokonce mimo firemní síť ani neotevřete. Totožná metoda brání úniku citlivých dat z cloudů a dalších externích uložišť.