Z szacunków AllClear ID[1] wynika, że europejskie banki mogą zapłacić nawet 4,7 miliarda euro kar w ciągu pierwszych trzech lat od momentu obowiązywania nowej unijnej regulacji o ochronie danych (GDPR), czyli od maja 2018 r., jeżeli nie zastosują się do wprowadzonych zmian. W ciągu minionej dekady tylko największe europejskie banki padły ofiarą ataków co najmniej 27 razy[2], z czego niektóre więcej niż jednokrotnie. Z raportu Capgemini wynika, że naruszenia bezpieczeństwa dotyczą nawet 1 na 4 instytucje z sektora finansowego. Jednocześnie, tylko co drugi bank lub ubezpieczyciel posiada dziś adekwatną politykę bezpieczeństwa.
Jak pokazują badania, ataki, których celem są przechowywane przez instytucje finansowe dane osób fizycznych, stanowią realne zagrożenie biznesowe. Jeden na czterech przedstawicieli banków i firm ubezpieczeniowych, który brał udział w tegorocznym badaniu Capgemini przyznał, że jego instytucja padła ofiarą ataku hakerskiego. Z kolei firma AllClear ID przeanalizowała średnią częstotliwość takich incydentów. Na jej podstawie obliczyła, że z momentem obowiązywania nowych przepisów, europejskie banki mogą się liczyć z koniecznością zapłacenia nawet 4,7 mld euro kar, jeśli nie spełnią wymogów stawianych przez nowe prawo.
Ważnym wyzwaniem jest nowy obowiązek poinformowania o naruszeniu bezpieczeństwa danych w ciągu 72 godzin od incydentu. Sankcjom podlega także m.in. użycie danych do innych celów niż te, na które użytkownik wyraził zgodę w momencie ich gromadzenia. Bowiem wedle nowego prawa, zakres wykorzystania danych zbieranych od użytkownika powinien zostać szczegółowo określony – instytucja finansowa, która pobiera dane od osoby wnioskującej o kredyt, nie może ich użyć do innych działań, np. do oceny wiarygodności klienta w innym obszarze. Ograniczeniom może podlegać także profilowanie i segmentowanie klientów i usług pod kątem wybranych danych, na wykorzystanie których nie została udzielona osobna zgoda.
Najpierw zmiana podejścia, potem inwestycje
Nowe regulacje w zakresie bezpieczeństwa danych osobowych wprowadzają na tyle rozległe zmiany, że instytucje finansowe obawiają się o nakłady finansowe potrzebne do ich wdrożenia.
– Zanim instytucja zdecyduje się na inwestycje w konkretny produkt związany z nową infrastrukturą zarządzania danymi, powinna zacząć od zmiany swojego dotychczasowego podejścia do prowadzenia biznesu, w szczególności obrotu danymi osób fizycznych. Pierwszym krokiem powinien być audyt tego, w jaki sposób pozyskiwane i przechowywane są dane, do czego są później wykorzystywane, a także, jak zminimalizować ilość przetwarzanych informacji. Inwestycje w narzędzia IT, które pozwolą spełnić wymogi stawiane przez regulację, to dopiero kolejny etap przygotowań – komentuje Marek Najmajer, ekspert Linux Polska.
W świetle dotychczasowych przepisów instytucjom finansowym wystarczała ogólna zgoda na wykorzystanie danych osobowych pobieranych od klientów. Administrator tych danych pozostawał prawnie chroniony, jeśli wdrożył ogólne zasady bezpieczeństwa. Nowe regulacje oznaczają, że wiele systemów IT stosowanych w bankach i instytucjach od wielu lat i działających bez zarzutu, teraz przestanie spełniać swoje funkcje. Nawet dla dużego i dobrze prosperującego przedsiębiorstwa, kompletna zmiana dotychczas używanej infrastruktury IT i wymiana oprogramowania dbającego o bezpieczeństwo baz danych osobowych, byłaby niezmiernie kosztowna. Eksperci sugerują podejście minimalizujące koszty zmian w systemach, zapewniające szybkie korzyści ze wdrożenia. Takie rozwiązanie polega na ograniczeniu zmian w istniejących już, trudnych do modyfikacji, aplikacjach i otoczeniu ich rozwiązaniami czuwającymi nad przepływem danych.
– Zmiany regulacyjne wymagają uzupełnienia infrastruktury IT, która pozwoli na śledzenie nieupoważnionych prób pozyskania danych osobowych i rejestrację takich działań. Te systemy powinny z kolei współpracować z rozwiązaniami takimi jak platformy SIEM (Security Information and Event Management), które służą do zaawansowanej analityki zdarzeń i powinny zostać poszerzone o analizę zachowań użytkownika. Takie rozwiązanie pozwala z jednej strony na ochronę przed incydentami złamania bezpieczeństwa, z drugiej dostarcza dodatkowych informacji o wszystkich udostępnieniach, odczytach, zapisach, przekazaniach danych. Pozwala też na zweryfikowanie, czy na każde z tych udostępnień, została udzielona zgoda właściciela danych. Dodatkowo umożliwia sprawdzenie, czy dane nie zostały nielegalnie pobrane – wyjaśnia Marek Najmajer, Linux Polska.
Zdążyć na czas
Jednym z ważniejszych wyzwań związanych z przystosowaniem się przez instytucje finansowe do wprowadzenia GDPR jest krótki czas pozostały do momentu, kiedy zaczną obowiązywać regulacje (maj 2018), przy jednoczesnych wątpliwościach związanych z interpretacją przepisów.
– Firmy, które do tego momentu nie rozpoczęły jakichkolwiek działań, już są spóźnione. Jeżeli chodzi o czekające je kary, jeszcze nie ma wykładni prawnej, więc nie ma pewności, jak będzie wyglądało w praktyce egzekwowanie nowego prawa. Dopiero pierwszy wyrok skazujący będzie wskazówką dla sądów, jak rozpatrywać takie sprawy. Wydaje się, że pomóc w uniknięciu lub ograniczeniu kar tym firmom, które jeszcze nie zaczęły przygotowań do wdrożenia nowych regulacji może rzetelna ocena ryzyka i analiza tych aplikacji i oprogramowania, którym dysponują obecnie oraz realny i wdrażany plan działań zmierzających do ograniczenia tego ryzyka – dodaje Marek Najmajer, Linux Polska.
[1] https://www.allclearid.com/business/resource/banks-breaches-billion-euro-fines/
[2] Według danych Consult Hyperion.
