Az új előírás (General Data Protection Regulation, GDPR) komoly hatással lesz minden, az Európai Unió területén működő cégre, illetve azok adatfeldolgozási és -tárolási módszereire. A NetIQ szakértői szerint ugyanakkor jó hír, hogy a felkészüléshez adottak az eszközök és az időkeret is.

A GDPR minden eddiginél szigorúbb feltételeket szab az adatok kezelése terén, és érvényes minden kis-, közepes méretű és nagyvállalatra, illetve közigazgatási szervezetre az EU-n belül. Sőt, még azokra a cégekre is kiterjed a szabályozás, amelyek székhelye nem az unión belül található, de EU-s állampolgárok adatait kezelik.

A rendelet számos fontos területet érint:

• például előírja, hogy minden felhasználónak jogában áll töröltetni az adatait egy adott vállalatnál, amennyiben már nem használja a cég szolgáltatását. Ez vonatkozhat az online regisztrációnál kitöltött adatlapra, de egy okoseszköz által felhalmozott információkra is.
• Emellett minden személynek joga lesz ahhoz is, hogy egy adott rendszerből átvigye adatait egy másik rendszerbe, és ebben az adatok kezelője nem akadályozhatja meg.
• További jelentős kötelezettsége lesz a vállalatoknak, hogy jelenteniük kell minden olyan biztonsági incidenst, amely veszélyeztetheti az adatokat.

Ez utóbbi kiterjed a legkomolyabb hackertámadásoktól kezdve egészen a legapróbb esetekig, beleértve akár egy elveszett vagy ellopott adathordozót is, amennyiben adatbiztonsági szempontból érzékeny információkat tartalmazott. A kötelezettség elmulasztását súlyos, több millió eurós bírsággal is sújthatják.

72 órán belül jelenteni kell

A NetIQ szakértői szerint az adatszivárgásról szóló értesítésekre vonatkozó szabályok betartása állítja majd a vállalkozásokat a legnagyobb kihívások elé technikai és szervezési szempontokból egyaránt. A szabályozás értelmében a cégeknek egy esetleges adatszivárgásnál az észlelést követő 72 órán belül értesíteniük kell a nemzeti adatvédelmi hatóságokat, valamint az érintett személyeket. Ezen kötelezettség alól csak akkor mentesülnek, ha az értesítés az érintettek jogait és szabadságát veszélyeztetné.

Egy ilyen feladat komoly technikai kihívást jelent azok számára, akiknek korábban nem kellett ilyen jellegű előírásokhoz igazodniuk. Fel kell ismerniük magát az adatszivárgást, majd azonosítaniuk kell az összes információs eszközt, amely érintett lehet, hogy ez alapján pontos értékelést tudjanak adni a kockázatokról a hatóságoknak és a fogyasztóknak.

A tömeges jelentéseknek is vannak kockázatai

A nagyobb átláthatóságnak és a szélesebb körű tájékoztatásnak kétségtelenül megvannak az előnyei, ugyanakkor a szakértők szerint az Egyesült Államok példájából azt a következtetést is levonták, hogy a szabályozásnak nem várt következményei is lehetnek, idetartozhat például az „adatszivárgási kimerültség”.

Ha ugyanis folyamatosan kapják az értesítéseket az adatszivárgásokról a legnagyobb incidensektől kezdve a legapróbbakig, a felhasználók idővel hozzászoknak az információáradathoz. Ez pedig egy idő után megnehezíti számukra, hogy megkülönböztessék a súlyos, valóban intézkedést igénylő biztonsági réseket a kisebb, figyelmen kívül hagyható értesítésektől.

Ezért a tájékoztatás során abban is nagy a vállalatok felelőssége, hogy az igazán súlyos eseteknél valóban jelezzék a probléma komolyságát, illetve az ügyfelek számára ajánlott teendőket is egyértelműen kommunikálják.

Ideje megkezdeni a felkészülést

Noha a rendelet csupán 2018 májusában lép életbe, a szervezeteknek már most érdemes elkezdeniük a felkészülést, hiszen több folyamatban és szemléletmódban gyökeres változtatást igényelnek az új előírások.

Mára már elavult a hagyományos védekezési módszer, amely csupán a peremvédelemre fókuszál, ezért a határvonalak mellett a belső eseményekre is nagy figyelmet kell fordítani. A hálózaton belül történő folyamatokat kontextusában kell vizsgálni, erre pedig az a hatékony megoldás, ha a biztonsági információ- és eseménykezelő (SIEM) rendszert összekapcsolják valamilyen személyazonosság- és jogosultságkezelő alkalmazással. Ezáltal könnyebben észlelhetők a gyanús tevékenységek, például ha egy alkalmazott vagy egy magát alkalmazottnak álcázó támadó olyan adatok között kutat, amelyre nem lenne szüksége a mindennapi munkájához – összegezte az információbiztonsági cég.