Ha meghalljuk a GDPR mozaikszót, az üzleti szférában ma már jó eséllyel mindenki tudja, hogy mit jelent. A vállalatvezetőknek és az informatikai szakembereknek pedig óriási összegek lebegnek a szemük előtt, ha a cégeket fenyegető bírságokra gondolnak. A koronavírus-járvány következtében még nagyobb jelentősége lett az általános adatvédelmi rendelet betartásának, hiszen az otthoni munkavégzés elterjedésével több és többféle kiberbiztonsági kihívással nézünk szembe, mint korábban.
De vajon kinek a felelőssége, ha adatbiztonsági incidens történik egy cégnél? Személyesen is felelősségre vonhatók a vezetők? A Kingston Technology Bill Mew technológiai és adatvédelmi szakértővel együttműködésben ennek járt utána, továbbá bemutat néhány olyan esetet, amelyek adatbiztonsági kockázatokkal járhatnak, ha az alkalmazottak nem megfelelően járnak el.
Kollektív és egyéni felelősségvállalás
Sok szervezetnél az az általános nézet, hogy az információbiztonság egyedül a CISO (az informatikai biztonsági vezető) feladata, az adatvédelem pedig a megfelelési (compliance) osztály hatáskörébe tartozik. Az ilyen vállalatoknál a felsővezetés még mindig nem veszi kellően komolyan a kiberbiztonságot és az adatvédelmet, így nem csoda, ha ez az attitűd a szervezet minden szintjére kiterjed. Egy felelős cégnél azonban elengedhetetlen, hogy a munkatársak közösen vállaljanak felelősséget ezekért a területekért, máskülönben a vállalati adatok nem lesznek teljes biztonságban, és probléma esetén mindenkit felelősségre vonnak – közösen és egyénileg is.
A szervezeteknek át kell gondolniuk, milyen kockázatokkal járhatnak számukra az alábbi esetek:
1. Ha a beszerzési vezető titkosítatlan eszközöket vásárol
Ha a titkosítatlan USB-meghajtók, SSD-k vagy IoT-eszközök beszerzésével kapcsolatos döntések pusztán ár alapján dőlnek el, és nem veszik figyelembe az eszközök biztonságát vagy a hardvertitkosítás lehetőségét, a titkosítatlan eszközök használata sérülékenységhez vezet. Ez pedig a szervezet egészét adatvesztés kockázatának teszi ki.
2. Ha a munkatársak több helyen használják ugyanazt a jelszót, vagy kiskapukon keresztül megkerülik a biztonsági intézkedéseket
Ha a munkatársak nem követik az alapvető biztonsági szabályokat, gondatlanul bánnak a jelszavakkal és az e-mail mellékletekkel, a teljes szervezet biztonságát kockáztatják. A kiberbűnözők aktívan támadják a gyenge vagy gyakori jelszavakat, és adathalász taktikákkal használják ki áldozataik gyenge pontjait. Ezek az internetes biztonsági incidensek leggyakoribb támadási felületei.
3. Ha a marketingvezető „kreatív módon” kezeli a személyes adatokat
A GDPR előírja, hogy csak beleegyezés birtokában, meghatározott célra lehet személyes adatokat gyűjteni. Ha azonban a marketing osztály ezt nem veszi figyelembe, és törvénytelen módon gyűjti, illetve osztja meg az adatokat, az komoly bírságokat és pereket vonhat maga után.
„Ilyen esetekben a szervezetnek és a munkatársaknak egyénileg is felelősséget kell vállalniuk. Ha például valaki azt látja, hogy a cégnél titkosítatlan USB-meghajtókat, SSD-ket vagy védelem nélküli IoT-eszközöket használnak, szólnia kell róla. Ha észreveszi, hogy a kollégák nem tartják be a kibervédelmi alapszabályokat, úgyszintén. Ez a helyzet akkor is, ha a marketingosztály valamelyik munkatársa kifogásolható módon használja fel az ügyféladatokat” – hangsúlyozta Bill Mew.
Elengedhetetlen a kultúraváltás
Ha a vállalatvezetők meg akarják változtatni a dolgozók hozzáállását, és el akarják érni, hogy a vállalat minden szintjén komolyan vegyék az internetes biztonságot és az adatvédelmet, át kell alakítaniuk a szervezeti kultúrára jellemző gondolkodásmódot. Az edukáció kiemelt része, hogy ismertessük a szabályok mögötti szándékot, személyes példákkal alátámasztva magyarázzuk el az adatbiztonság fontosságát, és tudatosítsuk az egyéni felelősséget a kollégákban. A vállalatokat rengeteg dolog ösztönzi erre, hiszen minden cégnek kiemelten kell törekednie az ügyfelek bizalmának fenntartására és az azt aláásó kiberbiztonsági incidensek elkerülésére. Nyilvánvaló, hogy az ügyfelek szívesebben fordulnak olyan cégekhez, amelyek tudomásuk szerint gondosan kezelik az adataikat, és kevésbé kötnek üzletet olyanokkal, amelyek nem.
„Ezenkívül számos egyéb tényező van, ami meggyőzheti a szervezeteket az adatvédelem fontosságáról. Például a GDPR minden egyes incidens esetében 20 millió eurós vagy a globális árbevétel 4 százalékának megfelelő bírság kivetését teszi lehetővé (attól függően, hogy melyik a magasabb összeg). Az eset utáni helyreállítás költsége is milliókba kerülhet, továbbá zsarolóvírus-támadás esetén a bűnözők ezen felül még több millió eurós váltságdíjat követelhetnek a vállalattól. Ráadásul azok a magánszemélyek is beperelhetik a szervezetet, akiket érintett az adatlopás. Sőt, a legújabb szabályozás értelmében már a felelős személyeket is szankcionálják. Például az USA-ban a közelmúltban egy internetes biztonsági incidens kapcsán az igazgatósági tagokat és a CISO-t is vádlottként nevezték meg. A Gartner elemzőcég jelentése szerint pedig hamarosan a vezérigazgatók is személyes felelősségre vonásra számíthatnak kibertámadás esetén” – hangsúlyozta Bill Mew technológiai és adatvédelmi szakértő.