Το Ευρωπαϊκό Κοινοβούλιο ψήφισε, την Πέμπτη 14 Απριλίου, το νέο πακέτο κανονισμών σχετικά με την προστασία των δεδομένων, το οποίο περιλαμβάνει και το General Data Protection Regulation. Σε ανακοίνωσή της, η Ευρωπαϊκή Επιτροπή αναφέρει ότι «οι νέοι κανονισμοί συνάδουν με τα δεδομένα της ψηφιακής οικονομίας, υποστηρίζουν την τεχνολογική καινοτομία και τα big data analytics και βοηθούν στην ενίσχυση της εμπιστοσύνης των πολιτών προς τις επιχειρήσεις».

Ενόψει του Data Privacy & Protection Conference, το οποίο θα πραγματοποιηθεί στις 23 Ιουνίου, στο αμφιθέατρο Maroussi Plaza, οι ομιλητές του συνεδρίου μιλούν στο netweek για τις επιπτώσεις του νέου κανονισμού στο Information Security των οργανισμών, αλλά και στις σχέσεις τους με τους παρόχους τεχνολογικών υπηρεσιών.

Neira Jones: «Σημαντικές οι προκλήσεις για παρόχους Cloud, Big Data και Advanced Analytics»
Η Neira Jones, μέλος του «Info-Security Europe Hall of Fame» και International Speaker στο Data Privacy & Protection Conference, δίνει στο netweek τη «μεγάλη εικόνα» που συνθέτουν οι νέες οδηγίες, στο πλαίσιο του digitized economy. «Η προστασία των δεδομένων δεν αφορά μόνο στην Κανονιστική Συμμόρφωση.

Αρκεί να αναλογιστεί κανείς ότι η Gartner κάνει λόγο για 6,4 δις διασυνδεδεμένα «αντικείμενα» το 2016, σε παγκόσμιο πληθυσμό 7,4 δις ανθρώπων, για να συνειδητοποιήσει πόσο ψηλά ανεβαίνει το θέμα του privacy στην ατζέντα των διεθνών οργανισμών.

Ο κόσμος μας είναι πλέον mobile και digital. Νέα concepts όπως τα “Pay-By Fridge” ή το “Pay-by Car” ή η λειτουργικότητα Dash Replenishment για αυτόματη επαναπαραγγελία προϊόντων από την Amazon δημιουργούν νέες προκλήσεις για τα στελέχη privacy, security και fraud. Γιατί μπορεί οι επιχειρήσεις να ψηφιοποιούνται και ο κόσμος να ανταλλάσσει ολοένα και μεγαλύτερο όγκο πληροφοριών, το ίδιο όμως κάνουν και οι hackers, οι οποίοι εκσυγχρονίζονται συνεχώς.

Κι επειδή το digitization είναι ένας δρόμος χωρίς επιστροφή, οι οργανισμοί θα πρέπει να εξισορροπήσουν την ανάγκη για περισσότερο consumer convenience με καινοτόμες προσεγγίσεις στο privacy, το security και το authentication.

Τα ολοένα και συχνότερα data breaches και τάσεις όπως η αλματώδης ανάπτυξη του fintech φέρνουν την ψηφιακή ασφάλεια στις συνεδριάσεις των Διοικητικών Συμβουλίων. Σε συνδυασμό με τα νέα πλαίσια EU-GDPR και EU Payments Services Directive 2 (PSD 2), αλλά και το μη ολοκληρωμένο Privacy Shield, που θα διέπει τις μεταφορές δεδομένων εκατέρωθεν του Ατλαντικού, είναι φυσικό για τις επιχειρήσεις να μην μπορούν να προσδιορίσουν ποια είναι η βέλτιστη προσέγγιση στο θέμα του Data Privacy.

Ωστόσο, η πίεση είναι ακόμα μεγαλύτερη για τους παρόχους Cloud, Big Data και Advanced Analytics, καθώς δεν είναι σίγουρο εάν το νέο κανονιστικό πλαίσιο θα συμβάλλει στη δημιουργία καλύτερων συνεργασιών ή θα αποτελέσει το χρονικό μιας προδιαγεγραμμένης αποτυχίας».

Ηλίας Χάντζος: «To data privacy μπορεί να προσδώσει ανταγωνιστικό πλεονέκτημα στους οργανισμούς»
«Η προστασία των προσωπικών δεδομένων είναι ένα ζήτημα που βρίσκεται ψηλά στην θεματολογία των προκλήσεων που αντιμετωπίζουν εταιρείες τεχνολογίας.Έρευνες όπως “Η κατάσταση της ιδιωτικότητας” που εξέδωσε η Symantec δείχνουν ότι η προστασία της ιδιωτικότητας είναι το πρωταρχικό κριτήριο -σε ποσοστό 88%- βάσει του οποίου αποφασίζουν οι καταναλωτές για τις ηλεκτρονικές τους συναλλαγές», υπογραμμίζει ο Ηλίας Χάντζος, Senior Director, Symantec Government Affairs EMEA, Global CIP and Privacy Advisor και ομιλητής στο Data Privacy & Protection Conference.

Ο ίδιος υπογραμμίζει ότι «η προστασία της ιδιωτικότητας δεν είναι μια αφηρημένη νομική έννοια αλλά ένα δυνητικά πραγματικό ανταγωνιστικό πλεονέκτημα. Το General Data Protection Regulation είναι η εξέλιξη της νομοθεσίας από την προστασία των δεδομένων του καταναλωτή στην συνολική νομοθετική ρύθμιση του κύκλου ζωής της πληροφορίας.

Ο κανονισμός είναι ρηξικέλευθος και θα έχει συνέπειες στην πραγματική οικονομία καθώς επιφέρει βαρύτατες ποινές. Οι επιχειρήσεις πρέπει να ασχοληθούν σε βάθος με την διασφάλιση των δεδομένων αλλά και γενικότερα με τον τρόπο που τα προσωπικά δεδομένα, συλλέγονται, επεξεργάζονται και διαχειρίζονται».


Κώστας Παπαδάτος: «Να βιαστούν οι εταιρείες που έχουν μείνει πίσω στο cybersecurity»
Σχετικά με τα εξειδικευμένα IT Security μέτρα που πρέπει να ληφθούν υπό το νέο καθεστώς, ο Κώστας Παπαδάτος, Πρόεδρος του Hellenic ISC² Chapter και ομιλητής στο Data Privacy & Protection Conference αναφέρει ότι «θα πρέπει να περιμένουμε τη ανακοίνωση πιο αναλυτικών οδηγιών, αλλά ήδη γίνεται αναφορά για την υποχρεωτική εκπόνηση μελέτης Data Protection Impact Assessment καθώς και για την εφαρμογή τεχνολογιών προστασίας όπως κρυπτογράφησης, DLP, authentication, τεχνικών ψευδο-ανωνυμίας κτλ.».

Ως ένα από τα σημεία που χρήζουν ιδιαίτερης προσοχής στο νέο πλαίσιο είναι, σύμφωνα με τον ίδιο «η υποχρεωτική λεπτομερής αναφορά περιστατικούς ασφαλείας που έχει ως αποτέλεσμα τη διαρροή προσωπικών δεδομένων, εντός 72 ωρών από τη στιγμή που συνέβη, τόσο στην Ανεξάρτητη Αρχή όσο και στους πολίτες που έπεσαν θύματα της διαρροής.

Επειδή η αναφορά του περιστατικού πρέπει να είναι άμεση αλλά και αναλυτική (πως έγινε, γιατί έγινε, τι έκταση είχε, πώς αντιμετωπίστηκε, κτλ), αυτό συνεπάγεται όχι μόνο τη χρήση εξειδικευμένων λύσεων / υπηρεσιών που σχετίζονται με τη συνεχή παρακολούθηση ασφάλειας των υποδομών της εταιρείας (SIEM, MSS κλπ.) αλλά και την ενεργοποίηση διαδικασιών και εξειδικευμένων ομάδων που θα αναλάβουν την έγκαιρη Ανίχνευση και Αντιμετώπιση Περιστατικών Ασφάλειας».

Το EU-GDPR θα τεθεί σε πλήρη εφαρμογή τον Μάιο του 2018. Σύμφωνα με τον Κ. Παπαδάτο «για πολλές εταιρείες που έχουν ήδη εφαρμόσει τις βέλτιστες πρακτικές ασφάλειας, τα δύο χρόνια επαρκούν ώστε να συμμορφωθούν πλήρως με τις νέες απαιτήσεις.

Όσες εταιρείες έχουν μείνει πίσω στην εφαρμογή αυτών των βέλτιστων πρακτικών, θα πρέπει να βιαστούν καθώς, όπως προαναφέρθηκε, απαιτείται η ενεργοποίηση αρκετών διοικητικών αλλά και τεχνολογικών μηχανισμών ασφάλειας. Δεδομένου ότι η μη-συμμόρφωση με το νόμο μπορεί να αποφέρει πρόστιμο 20.000.000 ευρώ ή 4% του ετήσιου παγκόσμιου τζίρου χρειάζεται επαγρύπνηση, προσοχή και άμεση ενεργοποίηση όλων των εταιρειών».

Robert Bond: «Αναγκαία η σύσφιξη των σχέσεων μεταξύ Legal και ΙΤ»
Ο Robert Bond είναι μέλος της μονάδας των Ηνωμένων Εθνών για το Privacy, ένας από τους πλέον αναγνωρισμένους νομικούς στην Ευρώπη, σε θέματα data privacy και International Speaker στο Data Privacy & Protection Conference.

Σχετικά με τη συνεργασία IT και Legal, για την καλύτερη προστασία των δεδομένων, ο R. Bond επισημαίνει ότι «το GDPR αποτελεί εξόχως σημαντική πρόκληση για το compliance των οργανισμών και καθιστά αναγκαία τα Privacy Impact Assessments, Privacy by Design και Data Breach notifications.

Σε αυτό το πλαίσιο, η αγαστή συνεργασία μεταξύ legal και IT είναι αναγκαία, σε ότι αφορά την ανάπτυξη λύσεων και στρατηγικών κανονιστικής συμμόρφωσης.

Άλλωστε, η νέα νομοθεσία προτείνει σχεδόν επιτακτικά -όταν δεν επιβάλλει- τη δημιουργία θέσης Data Protection Officer, ο οποίος θα πρέπει να συνεργάζεται άμεσα τόσο με τα τμήματα Legal και IT, όσο και με το Marketing, το HR και την Εταιρική Επικοινωνία.

Η αξιολόγηση του κανονιστικού κινδύνου, των εταιρικών δηλώσεων ιδιωτικότητας αλλά και των συμβολαίων με τους data processors αποτελεί ευθύνη του νομικού τμήματος. Οι CISOs θα πρέπει να επανεξετάσουν τις διαδικασίες και πολιτικές ψηφιακής ασφάλειας, και να συνεργαστούν με τους νομικούς συμβούλους ώστε να λάβουν τα εφαρμόσουν τις απαραίτητες λύσεις, αλλά και να εκπαιδεύσουν κατάλληλα το προσωπικό.

Πάνω απ’ όλα, η σημαντικότερη παράμετρος στη συνεργασία μεταξύ Legal και IT αφορά στην ενημέρωση της Ανώτατης Διοίκησης για τη λήψη μέτρων, τη διοχέτευση κονδυλίων στην προστασία των δεδομένων και για το (υψηλό) κόστος της μη-συμμόρφωσης».