40 milioane de date despre carduri bancare și 70 milioane de date cu caracter personal au fost raportate în 2014 de Home Depot drept compromise în urma unui atac cu malware, același malware care în 2013 a atacat sistemele marelui retailer american Target, accesând sistemele companiei prin credențialele furate de la un furnizor de servicii care le asigura mentenanța aparatelor de aer condiționat.



Costul trimestrial suportat de Target ca urmare a acestui incident a fost estimat la 150 milioane de dolari americani. De altfel, un raport al Ponemon Institute estima costul mediu per incident de securitate cu compromiterea de date cu caracter personal la 3,79 milioane de dolari americani la nivelul anului 2015. Sunt doar câteva exemple de companii mari care, din lipsa unor măsuri minime de securitate și protectie a informației, au ajuns să piardă nu numai date cu caracter personal ale clienților și valoarea acțiunilor lor la bursă, dar în special credibilitate și bunul nume pe care și-l construiseră în zeci de ani de activitate.

Din această perspectivă, activitățile de evaluare și măsurare a riscului cu privire la prelucrarea și protecția datelor cu caracter personal necesare în pregătirea conformității cu noul Regulament General privind Protecția Datelor cu Caracter Personal trebuie privite în primul rând ca o oportunitate. În articolele anterioare, din 13 martie și din 27 martie, am sumarizat și exemplificat doar câteva dintre cerințele și efectele noului Regulament, care își produce efecte începând cu 25 mai 2018. Poate părea cinic să vorbești de oportunitate în condițiile în care Regulamentul prevede amenzi de până la 20 milioane de euro sau 4% din cifra de afaceri globală a unei companii, dar în realitate este un moment în care companiile, în special cele de dimensiuni medii și mari, ori cele care prelucrează în mod constant și la scară largă date cu caracter personal, ar trebui să ia foarte în serios această „curățenie de primăvară" în propriile sisteme și proceduri.

Este nevoie de un proces planificat și structurat pentru a identifica ce tipuri de date colectează, pe ce baze legale, unde sunt stocate, care sunt sistemele de prelucrare a acestora, cum sunt administrate și protejate aceste date, cât de sigure sunt sistemele, rețele și PC-urile utilizate în prelucrarea lor, cum sunt administrate datele și accesul la acestea din interior sau exterior. Evaluarea stadiului actual al companiei față de cerințele Regulamentului este o etapă absolut necesară pentru a descoperi „găurile” din această matrice de conformitate, după care urmează implementarea acelor politici, procese, soluții legale și tehnice necesare pentru a atinge un nivel satisfăcător de conformitate cu cerințele Regulamentului și, nu în ultimul rând, sesiuni serioase de training a personalului. Periodic, toate acestea trebuie testate pentru a se asigura eficiența lor.

Un rol esențial atât în aceste etape pregătitoare, cât și în implementarea conformității îl joacă tehnologia. Regulamentul însuși face numeroase referiri directe sau indirecte la tehnologie în cadrul celor 97 articole. De exemplu, unul dintre principiile statuate în articolul 5 al regulamentului este acela ca datele cu caracter personal să fie prelucrate într-un mod care asigură securitatea adecvată, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale, prin luarea de măsuri tehnice și organizatorice corespunzătoare. Aspectul este mai departe detaliat în art 32 din Regulament care vorbește foarte clar de obligația operatorilor de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare, dar și capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul unui incident de natură fizică sau tehnică. Articolul 25 vorbește despre „privacy by default and by design”, cu obligația de a pune în aplicare măsuri tehnice și organizatorice adecvate, precum pseudonimizare și criptare pentru reducerea la minim a datelor cu caracter personal prelucrate și a impactului în cazul în care acestea sunt accesate de persoane neautorizate. Accesul restricționat la date „on a need basis” pare evident pentru toți cei care se gândesc la accesul datelor, însă sunt multe exemple în care baze de date cu informațiile a milioane de clienți erau complet neprotejate sau foloseau credențiale standard, iar contul de administrator era partajat de către toți cei care accesau datele dinspre aplicații.

Nu în ultimul rând, utilizarea tehnologiei ar putea fi extrem de relevantă în a răspunde cerințelor de testare periodică a sistemelor și măsurilor organizatorice, precum și la obligațiilor de a documenta respectarea cerințelor de securitate și protectie. În momentul în care crește vizibilitatea asupra infrastructurii IT și a proceselor prin care datele sunt prelucrate, se pot defini rapoarte automatizate, reducându-se astfel atât timpul necesar obținerii informațiilor, cât și costurile asociate.

Articol scris în colaborare cu: Oana Terteleac, Windows Business Group Lead, și Alex Negrea, Technology Solutions Professional, Microsoft România.