Kas Euroopa andmekaitsereformi nõuded on täidetud ?

Jaanuari algus tähistab uue aasta algust, järgmise aasta sisse jääb ka kuupäev, mis tähistab uue ajastu algust Euroopa äritegevuses. 25.mai 2018 läheneb kiiresti. See on päev, mil EU Andmekaitse Reform (GDPR) jõustub täies mahus.

Viimasel ajal on palju juttu olnud GDPR’ist ning mitmed ettevõtted on selleks valmistunud juba mõnda aega. Uue regulatsiooni nõuete kohta on paljud küsinud konsultatsioone advokaadibüroodelt ning on asutud paigaldama tipptasemel küberturbelahendusi. See on hea algus, kuid siiski leidub veel aspekte, millele tasuks tähelepanu pöörata.

Esiteks, kliendi andmete kaitsmiseks on vaja 360 kraadilist lähenemist. Et olla kooskõlas GDPR tingimustega, peab organisatsioon teadma, kus nad töötlevad personaalseid andmeid, mis on andmete eluiga kogumisest kustutamiseni ja kuidas on andmed kogu elutsükli vältel kaitstud. Lisaks muutustele tehnilistes lahendustes toob see endaga kaasa ka muutusi protsessides ning täiendavaid koolitusvajadusi. Lisaks rõhutab GDPR projekteerimise tähtsust nii ärirakendustes, teenustes, võrkudes, andmebaasides pidades silmas privaatsust, mis nõuab arendajatelt spetsiifilist tehnilist- ja infoturbeteadlikkust. Turvalisus ei tohiks olla teisejärguline, vaid peaks olema tugevalt seotud organisatsiooni erinevate äriprotsessidega.

Teiseks, ettevõtte infosüsteemi vastu toimunud rünnakud avastatakse tavaliselt kuid, kui mitte aastaid peale intsidendi toimumist. Uus regulatsioon näeb ette, et iga ettevõte on kohustatud andmete lekkest teada andma 72 tunni jooksul. Reaalsuses tähendab see seda, et ettevõtted peaksid lekkeriski võtma väga tõsiselt ning investeerima 24/7 avastuse ning reageerimisvõimalustesse ja tagama, et sissetungist on teatatud. Meie kogemused näitavad, et sellise võimekuse tagamine nõuab kombinatsiooni nii inimesest kui arvutist. Pea kõiki rünnakuid on nüüdseks võimalik avastada vähem kui 30 minutiga.

Toetudes Allianz Risk Baromeetrile on küberrünnakud suuruselt kolmandad äririskid maailmas. See on kõrgem looduskatastroofidest, mille vastu korporatsioonid on tugevalt kindlustatud. Sissetung küberkurjategija poolt on palju tõenäosem, kui tulekahju või maavärin. Siin on ettevaatusabinõud, mis päästavad sind nii küberkatastroofi kui ka GDPR eest:

  1. Kaalu võimalust teostada ettevõttes laiaulatuslik audit, selgitamaks ettevõtte riske privaatsete andmete lekkeks. Audit peab kombineerima tehnilise ning äriportsesside vaate üheks tervikuks.
  2. Tegele ennetusega, et hoida ära, avastada ning reageerida erinevatele intsidentidele. See nõuab nii kvaliteetset tehnoloogiat kui ka inimese panust.
  3. Loo ning juuruta ettevõttes tegevuskava, kuidas toimub intsidentidele reageerimine ning nendest teatamine.
  4. Analüüsi põhjalikult iga rünnakut kui ka rünnakukatset.
  5. Kaalu võimalust kindlustada ettevõte küberrünnakute vastu. Lisaks trahvidele, mida küberrünnak võib teie ettevõttele tuua, võib rünnak põhjustada suuri kahjusid ka klientidele ning koostööpartneritele.

Eelnevad USA Presidendivalimised ja ka Sony leke enne seda peaks olema äratuskell kõigile, et küberturvalisus pole enam vähese tähtsusega - see on keskpunkt maailma poliitikas, majanduses ja tulevikus. Põhjalik ettevalmistus on esimene samm ennetamaks ettevõtte ja ettevõtte töötajate vastu suunatud küberrünnakuid.

 

 Täiendavate küsimustega pöörduge infoturbekeskus@bcs.ee poole. 

Karel Prave
BCS Infoturbekeskus
ENNETA / KAITSE / AVASTA / REAGEERI / TAASTA




Sulge