Evropská směrnice GDPR začne platit již brzy

comsource logoObecné nařízení o ochraně osobních údajů (GDPR) má za cíl výrazně zvýšit ochranu osobních dat občanů v rámci Evropské unie. Na subjekty, které tato data zpracovávají, však klade řadu nároků – od personálních až po ryze technické.

Cihelka malýZa porušení přísných pravidel vycházejících z této směrnice hrozí vysoké sankce, které mohou být pro některé subjekty i likvidační. Jak se vyrovnat s novou evropskou legislativou a jak si zároveň výběrem vhodného technického řešení ulehčit práci, si přečtete v rozhovoru s Jaroslavem Cihelkou, obchodním ředitelem společnosti ComSource.

Evropská směrnice GDPR začne platit již brzy. Mnozí však nejsou připraveni…

Nová legislativa stanovuje širokému spektru subjektů řadu povinností v rámci ochrany osobních dat a navyšuje tak jejich administrativní zátěž, a to pod hrozbou vysokých pokut za jejich porušení. „Naštěstí existuje řada nástrojů, které mohou naplňování požadavků této nové směrnice výrazně ulehčit, a to automatizací některých procesů,“ říká Jaroslav Cihelka, obchodní ředitel společnosti ComSource. „Jako systémový integrátor, který se specializuje na problematiku kybernetické bezpečnosti, máme v této oblasti rozsáhlé zkušenosti.“

Jaká řešení v oblasti obrany proti únikům osobních dat nabízíte?

V oblasti zabezpečení informačních systémů proti úniku osobních dat nabízíme v principu dvě základní řady produktů. První z nich – FlowGuard DLP, je naše vlastní řešení, které je rozšiřujícím modulem bezpečnostního systému FlowGuard. Ten sice primárně představuje službu obrany kritické síťové infrastruktury proti útokům typu DDoS, ale po doplnění o rozšiřující moduly, které výrazným způsobem rozšiřují jeho funkcionalitu, nabízí široké možnosti využití i pro eliminaci dalších bezpečnostních hrozeb. Dalším z nabízených modulů je např. FlowGuard WAF, který slouží k ochraně webových aplikací a eliminuje útoky popsané v OWASP TOP10. Druhou produktovou řadou, kterou v této oblasti nabízíme, jsou sofistikovaná řešení společnosti Forcepoint, která se na ochranu proti únikům osobních dat a duševního vlastnictví úzce specializuje.

Jakou funkcionalitu nabízí FlowGuard DLP a co řeší produkty společnosti Forcepoint?

FlowGuard DLP je výkonný nástroj pro řešení problematiky úniku citlivých (osobních) dat jak z interních, tak externích serverů. Dá se říci, že pro společnosti, které nabízí libovolné on-line služby, představuje jako součást komplexního řešení, ekonomicky výhodnou alternativu k ostatním produktům podobného typu. Mezi základní funkce FlowGuard DLP patří např. automatická pseudonymizace osobních údajů a propracovaný systém informování oprávněných osob na potenciální bezpečnostní incidenty. Produkty společnosti Forcepoint řeší problematiku úniku osobních dat a ochrany duševního vlastnictví mnohem komplexněji. Produkty této společnosti patří mezi absolutní špičku a prakticky nemají srovnatelnou konkurenci.

Můžete být konkrétnější?

Produkty společnosti Forcepoint řeší prakticky všechny komunikační kanály a lze je nasadit jak na lokální, tak na síťové či cloudové úrovni. Mezi základní funkcionalitu patří identifikace citlivých dat a jejich vyhledání na různých typech úložišť s tím, že tyto produkty dokáží zabránit i jejich neautorizovaným výskytům či přesunům a provádět v tomto smyslu i bezpečnostní audit. Ačkoliv hlavní důraz je kladen na ochranu dat umožňují produkty společnosti Forcepoint i analýzu podezřelého chování uživatelů, která napomáhá identifikaci rizikových skupin zaměstnanců. Existuje množství různých příkladů rizikového chování uživatele, jako je např. rozesílání životopisů, zasílání zpráv na vlastní soukromé e-mailové adresy, či očerňování nadřízených. Analýza rizikového chování může pomoci identifikovat nespokojeného zaměstnance dříve, než provede pokus o zcizení dat. Obecně se dá konstatovat, že produkty řady Forcepoint DLP zaznamenávají veškerou práci se soubory, sbírají o nich statistické informace, a to se specifickým zaměřením na důvěrné informace. Zaznamenávány jsou veškeré aktivní operace, především operace přenosu souborů mimo definované prostředí. Tyto nástroje jsou schopny určit bezpečnostní klasifikaci souboru a na základě předem stanovených pravidel umožnit přenos, zablokovat jej, nebo si vyžádat po uživateli doplňující informace k přenosu.

Jak se od sebe jednotlivé produkty řady Forcepoint DLP liší?

Forcepoint DLP Endpoint chrání data na koncových zařízeních, a to i v případě, že jsou mimo firemní síť. Brání nejen jejich odeslání pomocí e-mailu, formulářů webového prohlížeče, kopírování na USB a tisku, ale také dalším rizikovým operacím, a to na platformě operačních systémů Windows a MacOS. Zákazníci většinou implementují DLP Endpoint jako první, protože jej lze nasadit v řádu několika hodin. Tento produkt lze implementovat i v prostředí Citrix. Forcepoint DLP Discovery zjišťuje, kde jsou ve firemní infrastruktuře uložena citlivá data, přičemž kontroluje síťové disky, databáze, servery Exchange / SharePoint, a to včetně on-line verzí. V kombinaci s modulem Forcepoint DLP Endpoint je Forcepoint DLP Discovery rozšiřitelný i na koncová zařízení v rámci firemní sítě i mimo ni. Forcepoint DLP Network pak umožňuje zabránit odcizení dat, prostřednictvím e-mailu nebo webových kanálů, což je důležitým faktorem pro všechny společnosti. Forcepoint DLP Network identifikuje rizika a předchází ztrátám dat, a to ať již se jedná o úmyslné či náhodné incidenty. Pro detekci citlivých dat využívá mimo jiné i technologii OCR (Optical Character Recognition), tj. najde chráněná data i v obrázku, což je důležité pro případ, kdy se někdo snaží odeslat citlivá data např. jako screenshot. Forcepoint DLP Cloud Apps aplikuje stanovenou DLP politiku pro soubory uložené na cloudových platformách OneDrive for Business, SharePoint Online a Box.

Na které firmy a instituce dopadnou směrnice GDPR asi nejvíce?

S touto směrnicí se budou muset vyrovnat všechny subjekty provádějící systematické vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, a to včetně profilování. Typickým příkladem jsou banky, pojišťovny a leasingové společnosti, které algoritmickým posouzením informací o klientovi vyhodnocují jeho situaci za účelem nabídky služeb. Významnou skupinou firem, která bude muset čelit této administrativní povinnosti, jsou také společnosti poskytující věrnostní programy, on-line a telekomunikační služby, které jsou založeny na využití lokalizačních dat, nebo společnosti nabízející cílenou behaviorální reklamu. Obdobnou povinnost pak budou mít všechny společnosti nebo instituce, které v rozsáhlém objemu zpracovávají citlivé osobní údaje, což jsou např. zdravotní pojišťovny nebo nemocnice.

-LiM


Nejčtenější