28 мая 2018 г.
Вопреки расхожему мнению
Обсуждение регламента GDPR слишком сконцентрировано на максимально допустимых штрафах, последствиях для фирм финансовых услуг, а также на том, сколь сильно затрагивает он HR и финансовый отдел организаций и как подрезает крылья отделам маркетинга. Во всяком случае, так видят текущую ситуацию профессионалы отрасли, ответственные за управление идентификационными данными и защиту данных. Эта директива — Генеральный регламент о защите персональных данных (General Data Protection Regulation, GDPR) — была принята Евросоюзом в апреле 2016 года и вступила в силу в минувшую пятницу (25 мая 2018 г.). Цель Регламента — предоставить всем, проживающим в ЕС, больше контроля за тем, как используются их персональные данные.
Для граждан может стать неожиданностью, что право на стирание персональных данных применимо не во всех случаях, а организации обнаружат, что они ограничены в своих возможностях делиться информацией с третьими лицами, даже когда клиент дал согласие на обработку своих данных.
CRN/США помогает устранить недопонимание в связи с введенным Регламентом — это касается отсутствия «периода отсрочки», недостаточности разовой проверки на соответствие и других аспектов. Свои советы дают руководители и технические специалисты десяти компаний — вендоров и поставщиков решений.
1. Ущерб бизнеса от кражи данных перекрывает любые штрафы
Ущерб от кражи данных для репутации компании, отношений с клиентами и интеллектуальной собственности намного превышает любые меры наказания, какие могут применяться надзорными органами в рамках GDPR, считает Маркус Браун (Marcus Brown), вице-президент по глобальным каналам сбыта компании Digital Guardian (Уолтем, шт. Массачусетс).
Авторы Регламента вводят штрафы, чтобы стимулировать организации лучше защитить персональные данные граждан, говорит Браун. Но, несмотря на все разговоры о штрафах, сам риск, связанный с потерей данных и интеллектуальной собственностью, гораздо опаснее для бизнеса, сказал он.
Продуманные меры информационной безопасности помогут организациям защитить эти данные и обеспечить соответствие требованиям регламента GDPR, сказал Браун.
2. Законы о защите данных — это надолго
Поставить галочки в контрольном списке проверки на соответствие с вступлением в силу GDPR — этого еще недостаточно, говорит Тим Макинтайр (Tim McIntyre), помощник юрисконсульта и ответственный за защиту данных в компании Okta из Сан-Франциско.
«Это не разовая суровая диета, а изменение стиля жизни, — говорит он, — и нужно рассматривать его именно в этом разрезе».
Правильным будет сделать всё необходимое, чтобы поддерживать соответствие требованиям Регламента и после его вступления в силу, говорит Макинтайр. И ставки будут только повышаться в последующие годы по мере того, как другие юрисдикции во всем мире будут принимать аналогичное законодательство или расширяющее изложенные в GDPR ключевые принципы.
«Я думаю, это станет вехой в законодательных актах», — сказал Макинтайр.
3. Пункт о согласии клиента только улучшит дело для маркетологов
Отделы маркетинга опасаются, что строгое требование обязательного согласия клиента, требующее его разрешение на письма рекламного характера в его адрес, лишит их всякой возможности обратиться к потенциальному рынку, говорит Джим Каскейд (Jim Kaskade), главный управляющий компании Janrain (Портленд, шт. Орегон).
Но если клиент дал согласие на определенные рассылки, это позволит компаниям более точно учитывать именно его потребности, говорит Каскейд. Клиенты, получающие только те сообщения, на которые они согласились, будут больше доверять вендору и, скорее всего, будут более склонны иметь с ним дело, сказал он.
Да, компании больше не смогут апеллировать к некоторым из клиентов, данные которых есть в их распоряжении, говорит Каскейд, но те, о ком они больше всего пекутся, скорее всего, останутся на связи.
«Так что в итоге директора по маркетингу не потеряют», — заключил он.
4. Есть информация, которую можно собирать, но которой нельзя обмениваться
Требование стирания данных, когда они больше не нужны, на деле есть нечто иное для организаций, над чем им придется поломать голову, особенно когда эти данные находятся в хранилище, используемом совместно с третьими сторонами для добычи данных, говорит Мори Хабер (Morey Haber), директор по технологии компании BeyondTrust из Финикса.
К примеру, говорит Хабер, большинство супермаркетов используют карточки постоянного покупателя для сбора информации о том, что покупают их владельцы и когда они это покупают. Но когда дело доходит до обмена этими данными с производителем мясной продукции или бакалейных товаров, тут магазины, по-видимому, окажутся перед большими ограничениями, чем они предполагали, говорит Хабер.
Чтобы решить этот вопрос, организациям нужно провести переучет и тегирование всех имеющихся у них данных, чтобы точно знать, где находятся конфиденциальные данные и содержат ли они информацию, позволяющую идентифицировать личность (PII), на которую больше всего нацелен Регламент, говорит Хабер.
5. Медучреждения будут более соблазнительной целью для хакеров, чем финансовые организации
Если украдены данные кредитной карты и выложены где-то в теневой Сети, они стоят лишь сколько-то центов на доллар, говорит Джеймин Патель (Jaimin Patel), директор по предоставлению ресурсов в компании Imprivata (Лексингтон, шт. Массачусетс). Но если выкрадены данные медицинских карт пациентов из учреждения здравоохранения и выложены в теневой Интернет, каждая такая карта будет стоить десятки сотен долларов, сказал он.
Украденную кредитную карту можно использовать лишь сколько-то раз, пока недобросовестный пользователь не будет пойман, говорит Патель. Но записи медицинской карты могут указывать на то, что известная персона имеет проблему со здоровьем, которая сказывается на работоспособности, средствах к существованию или продолжительности жизни, давая возможность посторонним людям, например, продать акции компании, зная, что главный управляющий скоро уйдет из-за болезни, сказал Патель.
«Когда кто-то задумывает кражу данных, его цель только одна — это деньги, — сказал Патель. — Ничто другое их не интересует».
6. ИТ-администраторы окажутся в перекрестии прицела регуляторов
Главное внимание Регламента направлено на конечных пользователей, так как именно они выполняют обработку информации в организациях, говорит Дэвид Хиггинс (David Higgins), директор по развитию потребительского спроса в регионе EMEA компании CyberArk (Ньютон, шт. Массачусетс).
Но в каждой организации есть «скрытый уровень» — это ИТ-администраторы, имеющие привилегированный доступ к данным, который необходим для того, чтобы всё «продолжало крутиться» и системы работали, говорит Хиггинс. И поэтому злоумышленники, собираясь украсть данные, чаще всего берут прицел на ИТ-администраторов, а не руководителя отдела кадров или финансового отдела, поскольку именно администратор имеет доступ к самым ценным для них данным, сказал Хиггинс.
К примеру, администратор СУБД, очевидно, будет иметь доступ к нескольким базам данных, которые содержат информацию, позволяющую идентифицировать личность, о которой и идет речь в Регламенте, сказал Хиггинс. Организациям следует отказаться от практики, когда такая возможность доступа не управляется или не контролируется, и обеспечить, чтобы ИТ-администратор имел доступ лишь когда это необходимо и действительно обоснованно.
7. Регуляторы не ставят целью взыскать максимальный штраф за любую провинность
Такое нагнетание страха было связано с максимальным штрафом GDPR — 20 млн. евро, или 4% от годового дохода, — что многие компании теперь ошибочно полагают, что цель регуляторов это прийти, отыскать любое малейшее несоблюдение Регламента и влепить самый большой штраф, какой только можно, говорит Джереми Уитткоп (Jeremy Wittkop), директор по технологии компании InteliSecure (Гринвуд-Виллидж, шт. Колорадо).
Но Комиссия, контролирующая исполнение GDPR, с самого начала заявила, что эти действительно большие штрафы предназначены для тех компаний, которые даже не собираются соблюдать требования, сказал Уитткоп. Те, кто старается, вероятно, отделаются гораздо меньшим штрафом и даже получат содействие в том, чтобы достичь соответствия, говорит он.
Поэтому организациям, отстающим в исполнении требований Регламента, следует проделать несложную работу по получению согласия [на сбор информации о клиентах] с помощью веб-форм, а затем выявить все недоработки, какие есть в их экосистеме, и составить документированный план устранения этих пробелов, сказал Уитткоп.
8. Один лишь «список проверки» недостаточен
Единожды принятый контрольный список проверки на соответствие требованиям GDPR в условиях динамичной ИТ-среды и ландшафта безопасности, который меняется ежедневно, не отвечает реальности, говорит Мэтт Смит (Matt Smith), вице-президент по глобальным каналам сбыта компании Duo Security (Анн-Арбор, шт. Мичиган).
Правильнее будет принять схему на основе рисков, которая учитывает, как осуществляется доступ к критически важным приложениям, и оценивает степень риска для приложений, пользователей и устройств, говорит он. Это дает организациям более целостную картину безопасности, управления доступом и помогает найти универсальный способ, как поддерживать соответствие Регламенту, не перестраивая всю работу компании каждые три месяца, сказал Смит.
Поэтому организациям следует воспринимать Регламент как стимул для серьезного обсуждения того, как обеспечить требуемую конфиденциальность и безопасность данных внутри компании, добавляет Кендра Митчелл (Kendra Mitchell), помощник юрисконсульта Duo Security.
9. Период отсрочки уже был — с апреля 2016 года
Многие организации полагают, что GDPR вводится лишь с 25 мая, но это не так, говорит Пол Кендалл (Paul Kendall), руководитель отдела консультативного обслуживания компании Accudata Systems из Хьюстона (№ 200 в списке CRN «Solution Provider 500» 2017 года). Регламент GDPR действует уже с апреля 2016 года, сказал он, и организациям был дан двухлетний срок, чтобы решить проблемы с несоответствием.
Однако многие компании в США полагают, что будет предоставлен период отсрочки после 25 мая, хотя ЕС прямо заявил об обратном, говорит Кендалл. Тем не менее, маловероятно, что какая-нибудь мелкая фирма сразу же попадет под удар регуляторов — разве что произойдет кража данных, считает он.
Скорее всего, регуляторы из Евросоюза начнут с проверок крупных американских компаний, которые навлекли на себя их гнев, считает Кендалл.
10. Регламент потребует удаления данных в отраслях с высокой степенью регулирования?
Регламент GDPR вводится во взаимосвязи с другими действующими законами, требующими долгосрочного хранения данных, говорит Грег Уолфонд (Greg Wolfond), учредитель и главный управляющий компании SecureKey Technologies из Торонто. В частности, GDPR не будет требовать от банков или телекоммуникационных компаний избавиться от пользовательских данных, поскольку эти вопросы уже регулируются другими принятыми законами, сказал он.
GDPR прежде всего нацелен на то, как организация использует данные о клиентах и кому их предоставляет, а также какую информацию им разрешается предоставлять с согласия или без согласия пользователя. К примеру, банки по закону обязаны хранить информацию в течение определенного срока даже на тех клиентов, которые закрыли свои счета, поскольку ее могут затребовать налоговые или другие органы, сказал Уолфонд.
Регламент больше нацелен на то, чтобы получать согласие клиента на предоставление информации о нем третьим сторонам, сказал Уолфонд.
© 2018. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США