Скоро и кварталната бакалия ще трябва да се пази от хакери

Сърфиране в интернет и преглед на е-пощата, ходейки по улицата... Онлайн банкиране през телефона, електронни поръчки и плащания на стоки... В това ежедневие, чиято дигитализация върви към тотална свързаност на хора, финансови и административни системи и предмети, на преден план все повече излиза защитата на личните данни.

Обикновено потребителите с лека ръка се съгласяват информацията от телефоните за електронните им пощи и потребителските им навици да се използва от социалните мрежи, от фирмите, с които имат или все още нямат клиентски отношения и които, разбира се, са длъжни да пазят данните за банкови карти и сметки, от които се правят плащания. Но понякога идват хакерските атаки и тогава става ясно колко са уязвими и компаниите, и хората.

Защитата на личните данни обикновено се приема като задължение на финансовите институции, телекомите, държавната и общинска администрация, но от 25 май 2018 г. това изискване ще засегне буквално целия бизнес по света – дори и най-дребния. Тогава влиза в сила новият регламент на ЕС 2016/679/ЕС (GDPR), засягащ защитата и обработката на личните данни на гражданите на Евросъюза.

Редица консултантски фирми и адвокатски кантори видяха златен шанс да предлагат услугите си на компаниите, които са длъжни да прилагат новите изисквания.  Очевидно ще са нужни инвестиции, включително за наемане на персонал или обучение на наличния.

Такива оферти се предлагат и на българския бизнес. За тази цел в София беше Керси Порбундервала, генерален секретар на Института EUGDPR, и ръководител на консултантската организация Copenhagen Comliance, която е с над десетгодишен опит с практическата защита на личните данни и има за цел да помага на бизнеса да се справи с предизвикателствата на новия регламент.

"Този регламент ще трябва да се прилага и от глобални компании като "Гугъл", "Фейсбук", "Амазон", "Алибаба", които работят с данни на европейци... В САЩ, Австралия, Индонезия, Китай и навсякъде, където работят европейски граждани... Но и в кварталната бакалия или пекарна, ако приемат плащания през ПОС-терминал или имат сайт, но който могат да се разглеждат продукти и да се правят поръчки, и дори само ако разпращат по и-мейл на съседите информация за промоции", разказва пред Mediapool  Керси Порбундервала.

Засегнати от него са и рекламни и маркетингови агенции, онлайн медии, които трябва да защитават данните на потребителите си. "Единствено ако сте много дребен бизнес, който приема плащания само кеш и превежда заплати и осигуровки през банка, не трябва да правите нищо. Но пък ако такава фирма членува в браншова организация, пак е засегната от регламента и трябва да прилага изискванията му", допълва Порбундервала.

Той изчислява, че заради новите правила разходите на фирмите за информационни технологии ще нараснат от сегашните около 5.6 на сто от общия им бюджет, независимо от размера на компанията, до около 15 процента за внедряване и поддържане на системите за защита на личните данни на служителите и потребителите на съответната фирма.

"Така че започнете да идентифицирате потенциалните проблеми пред защитата на личните данни, с които работите, и да организирате изпълнението на всички изисквания по регламента", съветва експертът. По думите му такива могат да са както потенциални хакерски атаки при компании, работещи с голяма база данни, така и предстоящи сливания на информационни системи и дори на бизнеси, а също така и назначаването на нови ръководители на компанията.

"Създайте пътна карта за организацията на защитата на личните данни, преценете кой е правилният човек в организацията, който да е администратор на тези дейности, запознайте се с всички документи, които се изискват за покриване на задълженията по регламента, за да не изпаднете в ситуация, в която като почукат на вратата ви контролните органи, да сте заплашени от големи глоби", препоръчва Порбундервала.

Ръководеният от него институт EUGDPR и Европейският институт за риск политика (ERPI), вече започнаха обучения на българския бизнес как да се подготвят за прилагането на европейския регламент.

"Това е по-различно обучение от това, което предлагат юристи и специалисти по информационни технологии. Те разглеждат проблема със защитата на личните данни от правен и ИТ-аспект и обикновено целят да си продадат продуктите", обяснява Иван Савов, председател на Европейския институт за риск политика. "Продуктът сам по себе си не решава проблемите със защитата на личните данни, ако мениджърите на фирмите не знаят как да идентифицират проблемите си и да приложат всички изисквания на регламента. Важна е системата на организация на защитата на личните данни", допълва той.
  
От края на януари 2018 г. обученията, предлагани от ERPI, ще се провеждат отново. Участието в тях е в два варианта –  тип "слушаш и си тръгваш" с получената информация, или участие с полагане на изпит и сертифициране. Освен че ще е доказателство за придобита компетентност (знания и умения), полученият сертификат ще служи и за удостоверяване на тази компетентност и ще бъде голям плюс при проверките за прилагане на регламента. Започва и обучението и сертифицирането на DPO ( Data Protection Officers) – първият 3-дневен курс е обявен за 24 януари.

"Обучението не е евтино, но предоставя богата информация, всички документи за изпълнението на регламента, пълна интерпретация на различните аспекти на изискванията и образци за прилагане на системи за организация на защитата на личните данни. Освен това се предвижда всички обучени да се обединят в обща мрежа, в която да си сътрудничат при евентуални проблеми и да подпомагат други организации в подготовката им за прилагането на регламента", разказва Савов. Досега в обученията са се включвали мениджъри на финансови организации, телекоми, производствени организации, специалисти по информационни технологии. Предвижда се специалният фокус на следващите обучения да бъде насочен към общинските администрации.

"Времето за прилагане на нови изисквания никога не е достатъчно. Това е изпитание, което колкото по-рано започне, толкова по-успешно ще е планирането и изпълнението му", коментира Порбундервала. "Не чакайте последния момент за подготовка на документите за изпълнение на регламента. Дошъл е моментът, в който компаниите вече трябва да имат представа какво трябва да направят", допълва той.

По негова оценка от срещите с представителите на българския бизнес у нас по време на проведените вече обучения има компании, които са отчасти запознати с регламента, имат изградена някаква организация по защитата на личните данни, но имат нужда да разберат как да се справят с необходимата документация за удостоверяването ѝ. Други нищо не знаят.

Според Порбундервала компаниите не трябва да се паникьосват от новия регламент. "Нека да участват дори и в малки семинари по темата. Да са спокойни и да събират информация, да се запознаят с правилата, да си подготвят документите", препоръчва той.

По думите му няма никаква разлика в подготовката на различните по големина организации за защитата на личните данни. "Дали ще измиеш малък или голям прозорец – действието е едно и също, само мащабът е различен", шегува се той.

А прилагането на регламента Порбундервала сравни с научаването да се кара велосипед. Можеш и сам, но с повече падания и охлузвания. Но ако, както родителят първо държи седалката и постепенно оставя контрола на детето, бизнесът ползва помощта на обучения, крайният резултат ще се постигне по-бързо и без много сътресение, смее се експертът.