Általános Adatvédelmi Rendelet (GDPR) Változó szabályozás, új kihívások Túl a jogon Hogyan álljak neki? Mások mit tesznek?
A GDPR csak jogi probléma? 95%-a a GDPR által érintett adatköröknek IT rendszerekben (is) található. 2
A GDPR szerint jogi és adatvédelmi megfeleléséhez elengedhetetlen az információbiztonság megfelelő kialakítása Személyes adatok biztonságos kezelése Nem adjuk ki senkinek Szabályozás, folyamatok, felelősök, adat-leltár Megbízható működési környezet IT és információbiztonság Van adatkezelési tájékoztatónk és adatvédelmi szabályzatunk Vajon a rendszereink és folyamataink tudják, amit vállaltunk? 3
A GDPR a nap végén az IT folyamatokon tud elbukni Adat térkép Incidens menedzsment Hozzáférések kezelése Biztonság tudatosság Adatok védelme 4
Adatvédelem területei szerteágazóak a jogon túl is DPO CISO IT HR Ügyfélszolgálat Marketing Szerződéses partnerek 5
Hogyan álljak neki? Adatvédelmi tisztviselő Új, átfogó biztonsági fejlesztések Adatfolyam feltérképezése és naprakészen tartása Adatkezelési stratégiák módosítása Szerződések, nyilatkozatok Széleskörű kockázatelemzés Incidenskezelés Kockázatarányos védelem kialakítása 6
A teljes projekt a felméréstől a folyamatos fenntartásig tart Felmérés GAP elemzés Akció tervezés Megvalósítás Fenntartás Adat felderítés és leltár GAP elemzés Akciótervezés Megvalósítás szakmai támogatása Oktatás DPO támogatás Folyamatos fenntartás folyamatai Projekt menedzsment támogatás 7
Adatvagyon leltár Avagy tudjuk mit kell védeni? Cél: Pontosan értsük milyen jellegű személyes adatköröket kezelünk és hogyan Eszközök: Adatvagyon leltár a személyes adatokról Adatfolyam térképek, az adatgyűjtéstől a tároláson és feldolgozáson át a megőrzésig vagy megsemmisítésig Adatok és folyamatok összerendelése Adatfelderítő eszközök, DLP-k Amire nem figyelünk: Hol az adat? Ki fér hozzá? Manuális lépések, exportálás? Honnan van az adat? 8
GAP elemzés és akciótervezés Avagy mik a javítandó területek? Cél: Meghatározzuk a hiányosságokat és a kiküszöbölésükhöz vezető utat Módszerek: Feltesszük, hogy a mostaninak megfelel Kontrollok felmérése Érettségi felmérés, kockázatelemzés, RAT Akciók súlyozása, megvalósíthatósága, kockázatarányos védelem Tipikus problémák: Adatok törlése mentések? Adathordozhatóság, exportálás Jogosultságok korlátozása Incidenskezelési folyamat hatékonysága Kiszervezett tevékenységek kezelése 9
Az incidensek legfőbb hatásai pont a GDPR terjedelmét jelentik GDPR! ÜGYFÉL ADATOK SÉRÜLÉSE MUNKAVÁLLALÓI ADATOK KOMPROMITTÁLÓDÁSA BELSŐ DOKUMENTUMOK ELVESZÉSE, SÉRÜLÉSE ÜZLETI LEVELEZÉS KOMPROMITTÁLÓDÁSA SZERZŐI JOG ELTULAJDONÍTÁSA (FOLYAMATOK, TUDÁSBÁZIS) PÉNZÜGYI VESZTESÉG SZERZŐI JOG ELTULAJDONÍTÁSA (BELSŐ DOKUMENTUMOK) "RANSOMWARE" VESZTESÉGEK JÓ HÍRNÉV ELVESZTÉSE, IMÁZS VESZTÉS FELHASZNÁLÓI VESZTESÉG PER, JOGI LÉPÉSEK 22% 32% 29% 31% 17% 26% 18% 26% 21% 23% 25% 23% 21% 22% 15% 17% 12% 16% 8% 13% 4% 8% 0% 5% 10% 15% 20% 25% 30% 35% EU Világ Forrás: GSISS 2017,, http://www.pwc.com/gsiss 10
Incidenseket jelenteni kell - de miből lesz incidens? Példa: elhagyott mobil adathordozó (laptop, telefon, pendrive, SD kártya, CD papír) Milyen adatokat tartalmazott? Volt rajta személyes adat, és mennyi? Milyen védelemmel volt ellátva? Reális eséllyel sérülnek az adatalanyok jogai?! Bejelentési kötelezettség! Biztonságtudatosság! Privacy-by-design 11
GDPR Light összevontan, támogatás és oktatás mellett hatékony Kidolgozott sablonok, kérdőívek Workshopok, oktatások Saját kitöltés Csoportosan hatékony 12
Megvalósítás jogi és IT folyamatok és módszerek összehangolt alkalmazására van szükség Gyakori feladatok: Szabályzatok frissítése Hozzájáruló nyilatkozatok Jogszabályi értelmezés támogatása (összekapcsolás, profilalkotás, adatkezelési jogcímek) Incidens kezelési folyamat harmonizáció Technikai megoldások összevetése Jogosultságkezelés, hozzáférés-kezelés Alapvető IT védelmi intézkedések Visszaellenőrzés! Stratégia Szabályzatok és dokumentumok Adatvédelem a tervezésben Információbiztonság Incidenskezelés Adat életciklusának kezelése Jogosultságkezelés 13
Kulcsfontosságú a biztonságtudatosság! Elhagyjuk! Feltöltjük, kipostoljuk, megosztjuk! Látni hagyjuk, felírjuk! Nem védjük, nem zárjuk be, nem titkosítjuk! Megkerüljük! Egyszerűsítjük 48% Tart biztonságtudatossági képzést (EU) Biztonságtudatosság!= Szabályzatok ismerete Forrás: GSISS 2018 14
Tréningek és DPO feladatok Csoportosan hatékony DPO feladatköri oktatás Tudatossági képzés: Releváns Adatvédelmi szabályzatok oktatása DPO támogatása: Tájékoztatás és tanácsadás Lehetőleg élő Gyakorlati események alapján Megfelelőség monitorozása Tesztelés, visszamérés Ismétlés Ismétlés Ismétlés Biztonságtudatossági oktatás Hatáselemzések utókövetése Kommunikáció Fejlesztések véleményezése 15
Egyre jobban tudni véljük, kik a támadók? JELENLEGI MUNKAVÁLLALÓK KORÁBBI MUNKAVÁLLALÓK ISMERETLEN HACKEREK VERSENYTÁRSAK JELENLEGI SZOLGÁLTATÓK, TANÁCSADÓK, PARTNEREK SZERVEZETT BŰNÖZÉS (H)AKTIVISTÁK, AKTIVISTA SZERVEZETEK KORÁBBI SZOLGÁLTATÓK, TANÁCSADÓK, PARTNEREK BESZÁLLÍTÓK, ÜZLETI PARTNEREK EGYÉB KÜLFÖLDI SZERVEZETEK ÜGYFELEK TERRORISTÁK KÜLFÖLDI ÁLLAMI SZERVEZETEK BELFÖLDI HÍRSZERZŐ SZOLGÁLAT ISMERETLEN 14% 13% 16% 16% 11% 13% 11% 13% 8% 10% 8% 9% 5% 7% 14% 13% 26% 29% 20% 28% 19% 26% 23% 19% 20% 20% 20% 19% 19% 18% 0% 5% 10% 15% 20% 25% 30% EU Világ Forrás: GSISS 2017,, http://www.pwc.com/gsiss 16
Folyamatos monitorozás Mert a megfelelés nem csak egyszeri feladat Cél: A megfelelés fenntarthatóságának érdekében megfelelős folyamatok és módszerek definiálása Módszerek: Megfelelőség és elvárások monitorozása Partnerek ellenőrzésének folyamatai Hiányosságok visszakövetése, újratesztelése Fejlesztési módszerek és keretrendszerek módosítása, kialakítása Kockázatelemzési módszerek frissítése Szerződés és nyilatkozat sablonok alkalmazása 17
Kiberbiztosítás amit nem tudok megvédeni, azt áthárítom De nem mentesít a felkészülés alól Kiberbűnözés: több, mint 400 millió USD kár évente, folyamatosan növekvő tendencia Kockázat-alapú árazás Nehéz a kitettséget meghatározni új termékek 53% rendelkezik kiberbiztosítással Főbb előnyök Kezelhetővé teszi a kiberbiztonsági kitettséget Monetizálja a kockázatot Növeli a tudatosságot 52 % 25 % Kiberbiztosítás által fedett területek GDPR! 24% 14% 39% 39% 40% 41% 36% 26% 25% 21% 45% 36% SZABÁLYOZÓI BÍRSÁGOK ÜZLETFOLYTONOSSÁG JÓHÍRNÉV ELVESZTÉSE Világ SZELLEMI TULAJDON/ÜZLETI TITOK EU BANKKÁRTYA ADATOK SZEMÉLYES ADATOK Forrás: GSISS 2017,, http://www.pwc.com/gsiss 18
Veszélyes gyakorlat az adatvédelmi védekezési módszerek hiánya ADATVÉDELMI TISZTVISELŐ KIJELÖLÉSE Jelenleg alkalmazza 57% 64% Nem tervezi 23% 31% SZEMÉLYES ADATOKRÓL PONTOS LELTÁR VEZETÉSE 35% 53% 21% 21% SZEMÉLYES ADATKEZELÉS MINIMUMRA KORLÁTOZÁSA 40% 53% 11% 19% OKTATÁS (SZABÁLYZATOKRÓL, BIZTONSÁGTUDATOSSÁGRÓL) 39% 53% 14% 19% ADATVÉDELMI SZABÁLYZAT BETARTATÁSA HARMADIK FELEKKEL 37% 49% 22% 24% SZEMÉLYES ADATOT KEZELŐ HARMADIK FELEK AUDITJA 32% 46% 24% 25% 0% 10% 20% 30% 40% 50% 60% 70% EU Világ 0% 10% 20% 30% 40% EU Világ Forrás: GSISS 2017,, http://www.pwc.com/gsiss 19
Általában véve nem járunk nagyon elől a megfelelési projektekkel Mennyire foglalkozik az Ön cége/vezetősége a GDPR-ral? Megoldásokat valósítunk meg a megfelelés érdekében 8% 7% Ránk nem vonatkozik, nem kezelünk személyes adatot Már ismerjük a hiányosságainkat, tervezzük a megoldásokat 17% 19% Már hallottam róla, de nem tettünk még semmit A felmérés elején járunk, azonosítottuk az adatokat 23% 26% Projektet indítottunk, a projektszervezet felállt Forrás: felmérés 2017 nyara 20
Alapvető elvárások is kemény fejtörést okoznak Melyik három elvárást tekinti a legkritikusabbnak, legnehezebbnek a cége számára? Forrás: felmérés 2017 nyara 21
Köszönöm a figyelmet! Gyimesi Csaba CISA, vezető menedzser, Vállalati kockázatkezelés +36 30 221 2210 csaba.gyimesi@hu.pwc.com Ez a kiadvány kizárólag általános tájékoztatásul szolgál és nem minősül szakmai tanácsadásnak. 2017 PricewaterhouseCoopers Könyvvizsgáló Kft. Minden jog fenntartva. Ebben a dokumentumban a kifejezés a PricewaterhouseCoopers Könyvvizsgáló Kft.-re utal, egyes esetekben pedig a hálózatra vonatkozik. Minden tagvállalat önálló jogi személy. További információért, kérjük keresse fel a http://www.pwc.com/structure weboldalt.