8 listopada 2024

loader

Kto zapłaci za bezpieczeństwo?

Instytucje finansowe coraz częściej padają ofiarami hakerów, wykradających wrażliwe dane osobowe ich klientów.

W przyszłym roku zacznie obowiązywać unijna regulacja o ochronie danych. Celem wprowadzonych zmian ma być zwiększenie bezpieczeństwa, zwłaszcza w korzystaniu z bankowości elektronicznej.
Będą o to musiały zadbać – pod groźbą sankcji finansowych – głównie instytucje finansowe przechowujące tzw. drażliwe dane, czyli dane osobowe swoich klientów.

Bez odpowiedniej ochrony

W ciągu minionej dekady tylko największe europejskie banki padły ofiarą ataków co najmniej 27 razy, z czego niektóre więcej niż raz. Jednocześnie, zaledwie co drugi bank lub towarzystwo ubezpieczeniowe prowadzi dziś odpowiednią politykę bezpieczeństwa.
Co powinny zrobić przedsiębiorstwa finansowe, aby dostosować dotychczasowe zabezpieczenia obrotu danymi osobowymi do przyszłego europejskiego prawa?
Jak wskazuje ekspert Marek Najmajer, pierwszym krokiem powinien być audyt dotyczący tego, w jaki sposób pozyskiwane i przechowywane są dane w firmie, do czego są później wykorzystywane, a także, jak zminimalizować ilość przetwarzanych informacji. Im więcej bowiem takich operacji, tym częściej pojawiają się zagrożenia ze strony hakerów.
Niezbędne będą też niemałe inwestycje w narzędzia internetowe, które pozwolą spełnić wymogi stawiane przez regulację europejską.

Co czwarty jest atakowany

Jak pokazują wszystkie badania, ataki internetowe, których celem są przechowywane przez instytucje finansowe dane osób fizycznych, stanowią realne zagrożenie.
Jeden na czterech przedstawicieli banków i firm ubezpieczeniowych, który brał udział w tegorocznym badaniu (przeprowadzonym przez firmę Capgemini) przyznał, że jego firma padła ofiarą ataku hakerskiego.
Po przeanalizowaniu średniej częstotliwości takich incydentów obliczono, że od momentu obowiązywania nowych przepisów, europejskie banki mogą się liczyć z koniecznością zapłacenia nawet 4,7 mld euro kar, jeśli skutecznie nie spełnią wymogów stawianych przez nowe prawo.
Ważnym wyzwaniem dla przedsiębiorstw finansowych jest nowy obowiązek poinformowania o naruszeniu bezpieczeństwa danych w ciągu 72 godzin od incydentu.
Sankcjom podlegać będzie także między innymi użycie informacji osobowych do innych celów niż te, na które użytkownik (czyli każdy z nas, kto podaje w internecie swe dane) wyraził zgodę w momencie ich gromadzenia.

Zmienić podejście do biznesu

Wedle wprowadzanego w przyszłym roku nowego prawa europejskiego, zakres wykorzystania danych zbieranych od użytkownika powinien zostać szczegółowo określony. Tak więc, instytucja finansowa, która pobiera dane od osoby wnioskującej o kredyt, nie może ich użyć do innych działań, na przykład do oceny wiarygodności klienta w innym obszarze biznesowym.
Ograniczeniom będzie podlegać także profilowanie klientów, pod kątem wybranych danych, które można wykorzystać przy handlu różnymi towarami i usługami, jeżeli na ich wykorzystanie nie została udzielona osobna zgoda. 
Nowe regulacje w zakresie bezpieczeństwa danych osobowych będą z pewnością wymagały nakładów finansowych potrzebnych do ich wdrożenia. 
– Zanim instytucja finansowa zdecyduje się na inwestycje w konkretny produkt służący poprawie bezpieczeństwa zarządzania danymi, powinna zacząć od zmiany swojego dotychczasowego podejścia do prowadzenia biznesu, a zwłaszcza do ochrony danych osób fizycznych. Pierwszym krokiem powinna być analiza tego, w jaki sposób pozyskiwane i przechowywane są dane, do czego są później wykorzystywane, a także, jak zminimalizować ilość przetwarzanych informacji. Inwestycje w narzędzia, które pozwolą spełnić wymogi stawiane przez regulacje europejskie to kolejny etap – mówi Marek Najmajer.

Potrzebna większa staranność

W świetle dotychczasowych przepisów, instytucjom finansowym wystarcza ogólna zgoda na wykorzystanie danych osobowych pobieranych od klientów. Administrator tych danych pozostawał prawnie chroniony, jeśli wdrożył ogólne zasady bezpieczeństwa.
Nowe regulacje oznaczają, że wiele systemów technologii informacyjnych stosowanych w bankach i instytucjach od wielu lat i działających bez zarzutu, teraz przestanie spełniać swoje funkcje.
Nawet dla dużego i dobrze prosperującego przedsiębiorstwa, kompletna zmiana dotychczas używanej infrastruktury i wymiana oprogramowania dbającego o bezpieczeństwo baz danych osobowych, byłaby niezmiernie kosztowna.
– Zmiany regulacyjne wymagają zainstalowania technologii informacyjnych, które pozwolą na śledzenie nieupoważnionych prób pozyskania danych osobowych oraz na rejestrację takich działań. Te systemy powinny z kolei współpracować z rozwiązaniami, które zostaną poszerzone o analizę zachowań użytkownika. Takie rozwiązanie pozwala z jednej strony na ochronę przed incydentami złamania bezpieczeństwa, a z drugiej dostarcza dodatkowych informacji o wszystkich udostępnieniach, odczytach, zapisach czy przekazaniach danych. Pozwala też na zweryfikowanie, czy na każde z tych udostępnień, została udzielona zgoda właściciela danych – i umożliwia sprawdzenie, czy dane nie zostały nielegalnie pobrane – wyjaśnia M. Najmajer.

Do pierwszego wyroku

Jednym z najważniejszych wyzwań związanych z przystosowaniem się przez instytucje finansowe do wprowadzenia nowych wymogów bezpieczeństwa, jest krótki czas pozostały do chwili, kiedy zaczną obowiązywać nowe regulacje (początek maja przyszłego roku). A jednocześnie, nie brak wątpliwości związanych z interpretacją przepisów.
– Firmy, które do tego momentu nie rozpoczęły jakichkolwiek działań, już są spóźnione. Jeżeli chodzi o kary, jeszcze nie ma wykładni prawnej, więc nie ma pewności, jak będzie wyglądało w praktyce egzekwowanie nowego prawa. Dopiero pierwszy wyrok skazujący będzie wskazówką dla sądów, jak rozpatrywać takie sprawy – dodaje M. Najmajer.
Z pewnością najlepiej poradzą sobie te instytucje finansowe, które będą w stanie rzetelnie ocenić ryzyko własne oraz swoich klientów – i szybko wdrożyć działania, zmierzające do ograniczenia tego ryzyka.
Ciekawe, jak z tym wszystkim dadzą sobie radę polskie przedsiębiorstwa. Można być jednak niestety pewnym tego, że koszty koniecznych działań zechcą przerzucić na swoich klientów.

trybuna.info

Poprzedni

Potrzebne trzecie dziecko

Następny

Przeciw faszyzmowi