GDPR zásadne mení pohľad na riadenie rizík

Ako však vysvetľuje IGOR STRAKA, odborník na informačnú bezpečnosť spoločnosti TÜV SÜD Slovakia, najmä finančné inštitúcie by sa mali uchádzať aj o certifikát informačnej bezpečnosti ISO 27001. „Takáto firma je pre hackerov náročnejším cieľom,“ hovorí.

Nariadenie o ochrane osobných údajov, takzvané GDPR, je v platnosti už pol roka. Okrem neho však priniesli posledné dva roky aj ďalšie regulácie, ako smernica NIS, ktorá je včlenená pod kybernetický zákon. Prečo je práve GDPR tak masívne vnímané?

Po prvé, nariadenia GDPR má dopad na každú jednu spoločnosť na Slovensku, práve preto je takou masovou témou. Po druhé, je tu hrozba extrémnej pokuty až do výšky 20 miliónov eur alebo štyri percentá z ročného obratu, čo zmenilo pohľad firiem na riadenie rizík. Keď to porovnáme so zákonom o kybernetickej bezpečnosti, ten sa vzťahuje len na niektoré spoločnosti a sankcia za porušenie je maximálne do 300-tisíc eur, čo sú odlišné hodnoty. Práve výška sankcie pri porušení GDPR je dôvodom, prečo je táto téma diskutovaná viac ako iné regulácie.

Hovoríte, že pokuty za GDPR zmenilo pohľad na riadenie rizík firiem. Prečo? Ide o to, že ak by pokuta nebola taká extrémne vysoká, tak by si firmy povedali, že risknú nezavedenie smernice a ušetria?

V podstate áno. Doterajšia prax v dodržiavaní regulácií bola v niektorých spoločnostiach nasledovná. CEO v spoločnosti zistil, že za porušenie môže dostať pokutu 10-tisíc eur. Na opatrenia však musí uvoľniť 15-tisíc eur. Matematika hovorí jasne: spoločnosť radšej riskla pokutu, ktorá bola iba málo pravdepodobná, ako by investovala prostriedky do opatrení. To je jeden z dôvodov, prečo je úroveň informačnej bezpečnosti v slovenských firmách, diplomaticky povedané, nedostatočná. Z tohto pohľadu je výška pokút za GDPR skutočne motivujúca.  Predpokladám, že maximálne pokuty sú nastavené na spoločnosti ako Google, Yahoo, Facebook. Ale nie je tu žiadna miera istoty, že to tak skutočne je. Sankcia by mala predstavovať opatrenie za porušenia spracovania osobných údajov, ale v prípade nariadenia GDPR sa stáva sankcia tou najvyššou hrozbou. Pýtate sa prečo? Výsledok je ten, že spoločnosti si dávajú za cieľ nájsť spôsob, ako sa vyhnúť pokute, miesto toho, aby hľadali efektívny spôsob k zabezpečeniu ochrany spracovania údajov. To vidím ako zásadný problém.

Ako sú na tom spoločnosti na Slovensku?

Neuspokojivo. Je smutné, že najhoršie na tom sú inštitúcie v riadení štátu, ktoré sú najmasívnejším spracovateľom osobných údajov a mali by byť príkladom v zavedení regulácie. GDPR je regulácia, od ktorej štát nie je oslobodený. Napriek tomu, že smernica platí už pol roka, v štátnych inštitúciách len pripravujú obstarávania na zavedenie metodiky implementácie GDPR. Zvyšok Slovenska musí byť v súlade už dnes. Pre podnikateľskú verejnosť je to dosť mätúce. Ako keby existovali na dodržiavanie zákona dva metre. Je to ťažko pochopiteľné.

Ktoré spoločnosti by v rámci súkromného sektora mali v prvom rade implementovať GDPR?

Sú to tie, ktoré vykonávajú spracovanie osobných údajov vo veľkom rozsahu. Teda banky, poisťovne, telekomunikační operátori, obchodné reťazce a, samozrejme, spoločnosti, ktoré spracúvajú osobitnú kategóriu, predovšetkým poskytovatelia zdravotnej starostlivosti.

Je certifikácia na GDPR a certifikácia Informačnej bezpečnosti  ISO27001 tá istá vec?

Pri posudzovaní súladu s GDPR má certifikácia  ISO 27001 špecifické postavenie. Napríklad v Česku sa na základe vyhlášky považuje certifikovaná spoločnosť na ISO 27001 v súlade s GDPR v oblasti riadenia informačnej bezpečnosti, takže sa blíži k samotnej certifikácii GDPR.

U nás to neplatí?

Na Slovensku sa táto formulácia neuvádza, ale väčšina požiadaviek na technické a organizačné opatrenia kopírujú práve uvedený štandard.

Oplatí sa potom, aby mali banky certifikát na ISO 27001, teda informačnú bezpečnosť?

Jednoznačne. Bankový sektor je prísne regulovaný. Za posledné obdobie banky zaznamenali nové regulácie GDPR, PSD2, NIS a ďalšie špecifické pritvrdenia, napríklad regulácia SWIFTu. Väčšina týchto regulácií je zameraná na posilnenie informačnej bezpečnosti a ako základ v sebe obsahujú práve prvky ISO 27001. Je komfortné tieto regulácie napojiť na požiadavky normy ISO a vznikne synergický efekt, keď riadením jedného štandardu riadime súčasne niekoľko regulačných požiadaviek. Samozrejme, v praxi je to mierne komplikovanejšie. Každopádne to však prináša zníženie požiadaviek na samostatné riadenie jednotlivých regulácií, šetrí to zdroje. Benefitom certifikácie ISO 2701 je nezávislé potvrdenie o systematickom prístupe riadenia rizík a zabezpečenia kontinuity podnikania a minimalizovania strát z podnikateľskej činnosti. Najviac zo všetkého prináša dôveryhodnosť, motivuje vedenie a tiež podporu pocitu bezpečnosti smerom k zákazníkom.

Ak má finančná inštitúcia certifikát na ISO 27001, znamená to, že už nepotrebuje ďalšie?

Jeden z argumentov, prečo ísť v prípade banky do certifikácie, je plnenie požiadavky NBS. Každoročne vykonať audit informačnej bezpečnosti v rozsahu ISO 27001. Takže, pokiaľ banka prejde certifikáciou  ISO 2701, má preverený certifikovaný systém riadenia bezpečnosti a zároveň naplní požiadavky NBS. Potom nie je  potrebné zabezpečiť samostatný audit pre NBS. Možno ešte na motiváciu - Európska centrálna banka je tiež certifikovaná na ISO 27001, zhodou okolností spoločnosťou TÜV SUD.

A ako sú na tom slovenské finančné domy v rámci certifikácie na informačnú bezpečnosť?

Zdá sa, že po stupňujúcom sa tlaku regulácií ako GDPR, PSD2, NIS sa aktivizuje aj finančný sektor, kde sme zaregistrovali záujem o certifikáciu informačnej bezpečnosti, a to jednak bánk, ale aj ich dodávateľov. To je dobrým signálom. Vlani bola certifikovaná VÚB Banka, následne spoločnosť Prefis, ktorá vykonáva  podporné služby pre Wall Street, tento mesiac bola vykonaná certifikácia pre Tatra Billing, ktorá zabezpečuje tlačoviny a výpisy z účtov pre väčšinu bánk a registrujeme ďalšie požiadavky. Takže vidieť posun.

Má certifikovaná spoločnosť oveľa menšiu pravdepodobnosť úniku informácií?

Výhoda riadenia informačnej bezpečnosti podľa ISO 27001 spočíva v tom, že ide o komplexné riadenie bezpečnosti. Pozostáva z 18 bezpečnostných domén, ktoré musí organizácia plniť, sú povinné. V prípade, ak sú splnené všetky domény bezpečnosti, je možné priznať certifikát. Najväčšia sila je v komplexnosti. Napríklad, ak si niektorá spoločnosť obstará najnovší firewall, nemusí to znamenať,  že zásadným spôsobom zvýšila úroveň bezpečnosti. Pokiaľ tá istá spoločnosť má deravé iné domény, v podstate zvýšenie úrovne je minimálne a tým využitá investícia je neefektívna. Presne toto je filozofia útočníkov. Mapujú si nepokryté oblasti ochrany a udrú práve cez identifikované zraniteľnosti.  Útočníci v podstate využívajú ten istý model ako ISO. Zistia, ktorá doména nie je aplikovaná v spoločnosti, a cez ňu vykonajú prienik. Takže odpoveď na otázku je jednoznačná, pravdepodobnosť úniku je minimalizovaná komplexným riadením informačnej bezpečnosti a to je práve štandard ISO 27001.

Keď má firma aplikované celé ISO, hacker nemá vrátka?

Ako som povedal, útočník to má komplikovanejšie a vysoko pravdepodobne bude hľadať iný cieľ. Otázka, či niekto bude hacknutý alebo nie, už nie je aktuálna. Je to možné vždy. Zavádza sa skôr nový pojem kybernetická odolnosť. To je schopnosť zotavenia sa po hackerskom útoku do času, aby to fatálne neohrozilo spoločnosť ako takú. A práve oblasť kontinuita podnikania je jedna z nosných domén štandardu ISO 27001.

Sú teda ekonomické straty v prípade nezavedenia ISO na informačnú bezpečnosť výrazne vyššie?

V prípade zavedenia ISO 27001 sú investície do informačnej bezpečnosti  cielené efektívne. Centrálna myšlienka štandardu ISO je riadenie rizík. Riadenie rizík nám identifikuje riziká, ktoré sú pre spoločnosť kritické. Obyčajne nie sú rovnaké, ale majú svoju váhu. A práve tu sa treba zamerať na postupné znižovanie rizík od tých najväčších cez menšie až po tie, ktoré môžeme prijať. To je efektívny spôsob riadenia investícií, obzvlášť, keď je rozpočet na bezpečnosť limitovaný. Tu máme istotu, že sa prostriedky skutočne poskytujú tam, kde treba. Tento prístup majú radi hlavne CFO, lebo nemusia byť špecialisti na informačnú bezpečnosť, ale stále vedia posúdiť, čo je nevyhnutné pre spoločnosť.