Bezpieczniej w cyberprzestrzeni? Nowe unijne prawo – jak bat na banki i ubezpieczycieli

Nowelizacja przepisów wejdzie w życie już maju 2018 roku. Dla wielu instytucji to mało czasu na podniesienie poziomu baz danych osobowych, którymi dysponują. W sposób szczególny dotyczy to banków, które – jak żaden inny sektor w przestrzeni publicznej – narażone są na ataki hakerskie. Jeśli do maja przyszłego roku nie zdążą z należytym zabezpieczeniem baz danych, nie zastosuj…ą się do znowelizowanego prawa, czekają je kary. Szacuje się, że mogą zapłacić łącznie 4,7 mld euro takich kar. I to tylko w ciągu trzech pierwszych lat obowiązywania nowych regulacji prawnych.

Sektor finansowy znalazł się w centrum zainteresowania unijnych regulatorów prawnych, bo też dysponuje nie tylko danymi osobowymi swoich klientów, ale także ich pieniędzmi. Tymczasem w ciągu minionej dekady tylko największe europejskie banki padły ofiarą ataków co najmniej 27 razy, z czego niektóre więcej niż jednokrotnie. Raport Capgemini, międzynarodowej firmy, oferującej usługi konsultingowe, technologie informatyczne i outsourcing wynika, że naruszenia bezpieczeństwa dotyczą nawet 1 na 4 instytucje z sektora finansowego. Jednocześnie, tylko co drugi bank lub ubezpieczyciel posiada dziś odpowiednią politykę bezpieczeństwa.
Jak pokazują badania, ataki, których celem są przechowywane przez instytucje finansowe dane osób fizycznych, stanowią realne zagrożenie biznesowe. Jeden na czterech przedstawicieli banków i firm ubezpieczeniowych przyznał, że jego instytucja padła ofiarą ataku hakerskiego – wynika z badań Copgemini.
Z kolei firma AllClear ID, firma IT, zajmująca się bezpieczeństwem w cybersieci, na podstawie częstotliwości, z jaką przestępcy dokonywali ataków na bazy danych sektora finansowego obliczyli, że przy takiej częstotliwości banki w ciągu 3 lat będą musiały (zobowiązane nowymi przepisami unijnymi) wypłacić sumę 4,7 mln euro kar. Już nie tylko taka prognoza, ale wizja nadszarpniętego prestiżu banku czy ubezpieczyciela powinny skłonić sektor finansowy do podniesienie poziomu ochrony baz danych osobowych.

Czego im nie wolno, a co muszą
Nowe regulacje przewidują, że właściciel takiej bazy będzie miał obowiązek poinformowania o naruszeniu bezpieczeństwa danych w ciągu 72 godzin od incydentu. Karane będzie m.in. użycie danych do innych celów niż te, na które użytkownik wyraził zgodę w momencie ich gromadzenia. Bowiem wedle nowego prawa, zakres wykorzystania danych zbieranych od użytkownika powinien zostać szczegółowo określony. Na przykład: instytucja finansowa, która pobiera dane od osoby wnioskującej o kredyt, nie może ich użyć do innych działań, np. do oceny wiarygodności klienta w innym obszarze. Ograniczeniom może podlegać także profilowanie i segmentowanie klientów i usług pod kątem wybranych danych, na wykorzystanie których nie została udzielona osobna zgoda.

Nowe regulacje w zakresie bezpieczeństwa danych osobowych wprowadzają na tyle rozległe zmiany, że instytucje finansowe obawiają się o nakłady finansowe potrzebne do ich wdrożenia. I niepokoi je krótki czas na wprowadzenie takich zmian.
– Zanim instytucja zdecyduje się na inwestycje w konkretny produkt związany z nową infrastrukturą zarządzania danymi, powinna zacząć od zmiany swojego dotychczasowego podejścia do prowadzenia biznesu, w szczególności obrotu danymi osób fizycznych - komentuje Marek Najmajer, ekspert Linux Polska. - Pierwszym krokiem powinien być audyt tego, w jaki sposób pozyskiwane i przechowywane są dane, do czego są później wykorzystywane, a także, jak zminimalizować ilość przetwarzanych informacji. Inwestycje w narzędzia IT, które pozwolą spełnić wymogi stawiane przez regulację, to dopiero kolejny etap przygotowań.

Nasz klient – nasz pan
Przede wszystkim – pan swoich danych osobowych. Dotychczasowe przepisy, a i praktyka też, ustalały, że instytucjom finansowym wystarczała ogólna zgoda na wykorzystanie danych osobowych pobieranych od klientów. Administrator tych danych pozostawał prawnie chroniony, jeśli wdrożył ogólne zasady bezpieczeństwa. Nowe regulacje oznaczają, że wiele systemów IT stosowanych w bankach i instytucjach od wielu lat i działających bez zarzutu, teraz przestanie spełniać swoje funkcje. Nawet dla dużego i dobrze prosperującego przedsiębiorstwa, kompletna zmiana dotychczas używanej infrastruktury IT i wymiana oprogramowania dbającego o bezpieczeństwo baz danych osobowych, byłaby niezmiernie kosztowna. Eksperci sugerują podejście minimalizujące koszty zmian w systemach, ale zapewniające wywiązanie się z nowych obowiązków. Takie rozwiązanie polega na ograniczeniu zmian w istniejących już, trudnych do modyfikacji, aplikacjach i otoczeniu ich rozwiązaniami czuwającymi nad przepływem danych.
– Pozwoliłyby na śledzenie nieupoważnionych prób pozyskania danych osobowych i rejestrację takich działań. Te systemy powinny z kolei współpracować z rozwiązaniami takimi jak platformy SIEM (Security Information and Event Management), które służą do zaawansowanej analityki zdarzeń i powinny zostać poszerzone o analizę zachowań użytkownika. Takie rozwiązanie pozwala z jednej strony na ochronę przed incydentami złamania bezpieczeństwa, z drugiej dostarcza dodatkowych informacji o wszystkich udostępnieniach, odczytach, zapisach, przekazaniach danych. Pozwala też na zweryfikowanie, czy na każde z tych udostępnień, została udzielona zgoda właściciela danych. Dodatkowo umożliwia sprawdzenie, czy dane nie zostały nielegalnie pobrane – wyjaśnia Marek Najmajer, Linux Polska.

Eksperci twierdzą, że maj przyszłego roku, to dla wielu firm może być zbyt mało czasu na wprowadzenie zmian. Te, które wcześniej nie podjęły działań nad podniesieniem bezpieczeństwa swoich baz danych, mogą z tymi modyfikacjami nie zdążyć. A wtedy czekają je kary. I mało pocieszający jest fakt, że nie ma jeszcze wykładni prawnej, na jakich zasadach miałoby odbywać się egzekwowanie takiej kary.