Poduzeća još uvijek zanemaruju zaštitu privatnosti podataka

Manje od polovice ispitanih (49%) u istraživanju o globalnoj informacijskoj sigurnosti izjavilo je da je njihova organizacija svela prikupljanje, zadržavanje i pristup osobnim podacima na minimum koji je nužan za ostvarenje opravdane svrhe u koju se podaci prikupljaju

u 20:06 Zadnja izmjena: 16.03.2018 u 20:06
144
zaštita privatnosti podataka
  • Samo 51 posto rukovoditelja raspolaže točnim popisom osobnih podataka zaposlenika i klijenata
  • 53 posto ih provodi revizije usklađenosti trećih strana koje obrađuju podatke o klijentima i zaposlenicima
  • 48 posto rukovoditelja tvrdi kako je napredna autentifikacija pomogla smanjiti prijevare, dok ih 46 posto planira pojačati ulaganja na ovom području u 2018. godini
  • Samo 31posto ih izjavljuje da uprava izravno sudjeluje u pregledu aktualnih sigurnosnih rizika te rizika vezanih uz zaštitu privatnosti
  • 32 postop ispitanika započelo je s procjenom usklađenosti s Općom uredbom o zaštiti osobnih podataka (GDPR) u 2017. godini

U današnjem društvu koje se temelji na podacima, značaj privatnosti, sigurnosti i povjerenja te njihove međusobne povezanosti veći je nego ikada prije. Usprkos tome, brojne organizacije ne čine sve što je u njihovoj moći kako bi zaštitile privatnost podataka.

Potvrđuje to i posljednje istraživanje pod nazivom Globalno stanje informacijske sigurnosti za 2018. (2018 Global State of Information Security® Survey – GSISS) koje je provela konzultantska kuća PwC. Manje od polovice ispitanih (49%) izjavilo je da je njihova organizacija svela prikupljanje, zadržavanje i pristup osobnim podacima na minimum koji je nužan za ostvarenje opravdane svrhe u koju se podaci prikupljaju. Tek 51 posto ispitanika raspolaže točnim informacijama o tome gdje se sve prikupljaju, prenose i pohranjuju osobni podaci njihovih zaposlenika i klijenata. K tome, samo 53 posto poduzeća od svojih zaposlenika zahtijeva da završe edukaciju o politikama i praksi na području zaštite privatnosti.

U slučaju trećih strana koje obrađuju osobne podatke klijenata i zaposlenika, manje od polovice (46%) ispitanih provodi revizije usklađenosti kako bi osigurali kapacitete za zaštitu takvih podataka. Gotovo jednak broj ispitanih (46%) izjavilo je da njihova organizacija zahtijeva od trećih strana da se pridržavaju njihovih politika o zaštiti privatnosti.

Istraživanje se temelji na odgovorima 9500 viših poslovnih i tehnoloških rukovoditelja iz 122 zemlje.

Više prilika, više rizika

“Korištenje podataka na inovativnije načine otvara vrata za sve više prilika, ali istovremeno i sve više rizika. Vrlo je malo društava koja u svoj proces digitalne transformacije ugrađuju upravljanje rizicima vezano za kibernetičke aspekte i zaštitu privatnosti. Razumijevanje najčešćih rizika, kao i nedovoljna razina osviještenosti o prikupljanju i zadržavanju podataka, temelj je za razvoj okvira za upravljanje korištenjem podataka”, rekao je Sean Joyce, PwC-ov voditelj kibernetičke sigurnosti i zaštite privatnosti za Sjedinjene Američke Države.

Prema rezultatima istraživanja GSISS za 2018., društva u Europi i na Bliskom Istoku načelno zaostaju za onima u Aziji, Sjevernoj i Južnoj Americi u razvoju opće strategije informacijske sigurnosti, kao i u provedbi prakse na području upravljanja obradom podataka.

Sjeverna Amerika Azija Južna Amerika Europa Bliski Istok
Opća strategija informacijske sigurnosti 59% 59% 54% 52% 31%
Edukacija zaposlenika o zaštiti privatnosti 58% 57% 50% 47% 29%
Točne informacije o osobnim podacima 53% 55% 52% 47% 20%
Ograničeno prikupljanje, zadržavanje i pristup podacima 53% 53% 47% 44% 19%
Revizije usklađenosti s trećim stranama 47% 49% 50% 42% 26%
Potrebno pridržavanje trećih strana 47% 47% 50% 44% 26%

 

Kibernetički napad među najvećim prijetnjama ekonomskom rastu

Viši rukovoditelji prepoznali su sve veće rizike kibernetičke nesigurnosti. U istraživanju mišljenja predsjednika uprava pod nazivom PwC 21st Global CEO Survey, prijetnje kibernetičkoj sigurnosti već su treći puta zauzele mjesto među 5 najvećih prijetnji rastu, pri čemu je 40 posto predsjednika uprava izjavilo da ih to pitanje izuzetno brine. Prošle godine izuzetnu zabrinutost iskazalo je 25 posto ispitranih predsjednika uprava.

>>Dezintegracija interneta mogla bi ugroziti svjetsko gospodarstvo

Međutim, ima razloga za optimizam. Čak 87 posto predsjednika uprava diljem svijeta tvrdi da ulažu u kibernetičku sigurnost kako bi s klijentima izgradili odnos povjerenja. Gotovo  jednak broj (81%) ih tvrdi da uspostavljaju transparentnost u korištenju i pohrani podataka. No manje od polovice ih je izjavilo da ove aktivnosti provode “u velikoj mjeri”.

Još više zabrinjava činjenica da je manje od trećine afričkih predsjednika uprava te gotovo četvrtina predsjednika uprava na području Sjeverne Amerike (22%) izjavilo kako “uopće ne uspostavljaju” transparentnost u korištenju i pohrani podataka.

Kako graditi povjerenje

Potrošači imaju razmjerno malo povjerenja u to da će društva njihove osobne podatke koristiti na odgovoran način. U SAD-u, primjerice, samo 25 posto potrošača vjeruje kako većina društava s osjetljivim osobnim podacima postupa odgovorno (PwC-ovo istraživanje 2017 US Consumer Intelligence Series survey).

PwC očekuje da će sve veći napredak na području tehnologije autentifikacije, uključujući biometriju i enkripciju, biti od sve veće pomoći poslovnim liderima u izgradnji sigurnih mreža.

Polovica ispitanika tvrdi da je korištenjem napredne autentifikacije poraslo povjerenje klijenata i poslovnih partnera u sposobnosti organizacije za održavanje informacijske sigurnosti i zaštitu privatnosti. Također, 48 posto ispitanih izjavilo je da se naprednom autentifikacijom smanjio broj prijevara, a 41 posto ih drži da je ona unaprijedila iskustvo klijenta. K tome, 46 posto ih je navelo da planiraju pojačati ulaganja u biometriju i naprednu autentifikaciju još tijekom ove godine.

Međutim, korištenje biometrije kreira vlastitu podložnost regulativi o zaštiti privatnosti i javnog interesa, budući da je riječ o društvima koja imaju potrebu pratiti biometrijske podatke. Oslanjanje na autentifikaciju na temelju podataka – na primjer, kada korisnici navode djevojačko ime majke – organizaciju potencijalno čini ranjivom ako je takav podatak ukraden u odvojenoj povredi.

Ulaganja u enkripciju

PwC također očekuje pojačani pritisak na industriju u smislu obveze enkripcije podataka kako bi ih se zaštitilo, što će potaknuti povezana ulaganja. Nadalje, 46 posto ispitanika u financijskom sektoru izjavilo je kako planira pojačati ulaganja u enkripciju tijekom ove godine.

Manje od trećine (31%) ispitanika istraživanja GSISS za 2018. navelo je kako njihova uprava izravno sudjeluje u pregledu aktualnih rizika u pogledu sigurnosti i zaštite privatnosti. U organizacijama čija vrijednost premašuje 25 milijardi dolara taj postotak je tek malo veći (36%).

“Organizacije svih veličina trebale bi ojačati angažman uprava u nadzoru nad upravljanjem rizicima kibernetičke sigurnosti i zaštite privatnosti. Bez solidnog razumijevanja rizika, uprave nisu u mogućnosti izvršavati svoje odgovornosti nadzora po pitanju zaštite podataka i privatnosti”, smatra Paul O’Rourke, PwC-ov Voditelj računalne sigurnosti i zaštite privatnosti za regiju Azije i Pacifika.

GDPR i NIS kao prilika

Opća uredba o zaštiti osobnih podataka (GDPR) Europske unije koja se primjenjuje na sve organizacije koje posluju u Europskoj uniji stupa na snagu u svibnju 2018. godine. Neki ispitanici uključeni u globalno istraživanje GSISS za 2018. tvrde kako su već obavili neke pripreme za GDPR u prvoj polovici 2017. – godinu dana prije roka za usklađenost s uredbom. Otprilike trećina ispitanika (32%) već je započela s GDPR procjenom, s time da je ovaj postotak nešto veći u Aziji (37%) nego u drugim područjima.

Direktiva Europske unije o sigurnosti mrežnih i informacijskih sustava (tzv. NIS Direktiva), čiji je cilj jačanje kibernetičke otpornosti, također stupa na snagu u svibnju 2018. godine. Prema direktivi, poduzeća koja su države članice utvrdile kao operatere ključnih usluga (kritična infrastruktura) te pružatelji digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta) suočit će se s novim zahtjevima sigurnosti i podnošenjem izvještaja o incidentima nadležnim nacionalnim tijelima. Na temelju GDPR-a društva bi mogle snositi ozbiljne posljedice u slučaju nepoštivanja odredbi navedene uredbe.

Grant Waterfall, PwC-ov voditelj za kibernetičku sigurnost i zaštitu privatnosti za regiju Europe, Bliskog Istoka i Afrike, smatra:

„Predsjednici uprava ne bi smjeli GDPR i NIS direktivu shvatiti kao vježbu usklađenosti već kao stratešku priliku za usklađivanje svog poslovanja u cilju ostvarenja uspjeha u svijetu koji se temelji na podacima”, smatra Grant Waterfall, PwC-ov voditelj za kibernetičku sigurnost i zaštitu privatnosti za regiju Europe, Bliskog Istoka i Afrike. “Osim toga”, dodaje, “društva bi trebala uložiti u izgradnju odnosa i linija komunikacije s regulatornim tijelima prije konačnog roka za usklađenost s uredbom”.