Krađa podataka može koštati firme 20 miliona eura
Piše: Sead Fadilpašić
Nedavno usvojena evropska regulativa diktira na koji način digitalne kompanije moraju štititi privatne podatke svojih korisnika iz EU.
Jedan od efekata hakerskih napada na multimilionske kompanije je krađa miliona privatnih podataka građana cijelog svijeta, uključujući građane Evropske unije, koji su koristili usluge tih kompanija. Kompanije često prikupljaju podatke svojih korisnika iz različitih razloga, bilo da bi sami pružili kvalitetniju uslugu, bilo da bi im pružali “personalizirane” reklamne poruke.
U posljednje vrijeme, tih hakerskih napada je sve više, a samo u posljednje tri sedmice je ukradeno ili stavljeno na prodaju 427 miliona naloga MySpacea, 32 miliona naloga Twittera I više od šest miliona naloga LinkedIna.
Čak je napravljena i stranica na kojoj možete provjeriti da li je vaša email adresa objavljena u nekom od ovih napada (https://haveibeenpwned.com/).
Podaci koji se najčešće ukradu mogu biti prodani na internetskom crnom tržištu, iskorišteni za krađu identiteta ili za krađu novca sa kreditnih kartica. Sigurnost korisničkih podataka na internetu postala je jedna od najbitnijih tema i jedan od najvećih izazova kompanija širom svijeta koje posluju online.
Očekivanja kompanije Symantec, koja se bavi zaštitom digitalnih sredstava, da će do 2019. svijetu nedostajati milion i po stručnjaka za mrežnu sigurnost, samo dodaje sol na ionako bolnu ranu.
Evropska unija je (relativno) brzo reagovala na ovaj problem, usvojivši 27. aprila ove godine General Data Protection Regulation (GDPR), direktivu koja mijenja 30 godina staru Data Protection Directive, što je ujedno i najveća promjena u isto toliko godina.
Šta je GDPR i zašto vas to treba zanimati
Ukratko, GDPR će, pod prijetnjom različitih kazni, forsirati kompanije koje koriste privatne podatke svojih korisnika, da primjenjuju standard industrije po pitanju zaštite podataka i njihove upotrebe. Na snagu stupa 25. maja 2018, što daje kompanijama sasvim dovoljno vremena da svoju praksu prilagode novom zakonu.
Digitalizacija poslovanja, odnosno praksa po kojoj kompanije koriste razne internetske alate da sebi olakšaju posao i smanje troškove, debelo je uzela maha. Cloud servisi (pohrana podataka na servere van kompanije, kojima se može pristupiti putem interneta), Shadow IT (korištenje aplikacija koje interne IT službe nisu odobrile) i korištenje ličnih mobilnih uređaja (mobiteli, tableti, laptopi) za obavljanje posla (inicijativa poznata i kao BYOD – Bring Your Own Device), omogućavaju kompanijama značajno smanjenje troškova, proširivanje poslovanja i ponudu mnogo kvalitetnije usluge. U svom jurišu ka profitu, kompanije često zanemare sigurnosni aspekt i ignorišu upozorenja stučnjaka.
To je jedna od stvari koja se kroz GDPR žele riješiti. Najveći problem je što mnoge kompanije čak i ne znaju da je ovaj zakon uveden. Naprimjer, u Velikoj Britaniji svega četiri posto malih i srednjih preduzeća zna šta je GDPR i zna šta treba uraditi da bi izbjeglo kažnjavanje.
Za regiju ovakvog istraživanja nema. Na upit poslan prema nekoliko bh. banaka, od pet izvršnih funkcionera, četiri nisu ni čula za GDPR.
Uglavnom čekaju svoje matice iz evropskih zemalja da promijene način rada i novu regulativu nametnu i njima. Ovu informaciju je potvrdio i stručnjak za mrežnu sigurnost iz Sarajeva, Aleksandar Jokić.
„Ima kompanija koje zbog samog poslovanja moraju biti podređene regulativama, ali ta inicijativa obično je dolazila od majke kompanije sa Zapada,“ kaže on.
OLX.ba, online kompanija sa sjedištem u Sarajevu, koja je dijelom jedne šire, međunarodne grupacije, ne vjeruje da se GDPR može primjenjivati u zemljama van EU-a i stoga ne planira mijenjati poslovne prakse. Kažu, držat će se propisa BiH o zaštiti podataka.
„Iako GDPR neće stupiti na snagu na teritoriji BiH, s obzirom da se radi o uredbi prilagođenoj tržištu Evropske unije, mi sasvim legalno poslujemo i u potpunosti poštujemo Zakon o zaštiti ličnih/osobnih podataka BiH, koji se u umalo razlikuje od GDPR-a,“ kaže glasnogovornica ove kompanije.
Izvršni direktor kompanije za zaštitu digitalnih uređaja Code42, Nic Scott, kaže da će se zemlje van EU-a itekako morati pridržavati GDPR-a. Štaviše, tim zemljama bi moglo biti i teže, kaže on, dok vuče paralelu sa nadolazećim referendumom u Velikoj Britaniji o izlasku iz EU.
„Mislim da je GDPR goli minimum onog za šta bi se kompanije trebale spremati u ovo doba učestalih napada,“ kaže on. „Tačno je, ako zemlja izađe iz EU neće se morati aktivirati GDPR. Ali britanske kompanije će se morati pridržavati GDPR-a ukoliko budu koristile podatke iz EU. Ukoliko izađemo iz EU, ljestvica neće ići dole, već gore.
Koji su zahtjevi GDPR-a?
Zvanični dokument, kojeg možete pronaći na ovom linku (http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf) (PDF), još zvanično nije preveden ni na jedan od jezika koji se koriste u regiji. Najkraće rečeno, on forsira kompanije da se pridržavaju najnovijih standarda po pitanju zaštite korisničkih podataka, te da savjesno njima upravljaju. Ključne promjene su:
• Usaglašavanje zakona (zakon o zaštiti podataka će sada biti jednak u svim državama članicama EU)
• Snažnija primjena (kazne su veće i brže se primjenjuju)
• Kontrola kompanija van EU-a (kompanije koje rade van granica Evropske unije, ali koriste podatke njenih građana, potpadaju pod ovaj zakon, koji tako faktički postaje globalan)
• Pojačana odgovornost (kompanije od sada imaju veću odgovornost po pitanju zaštite i procesiranja podataka)
• Pristanak (korisnici sada moraju dati izričit pristanak da se njihovim podacima upravlja, umjesto da se to podrazumijeva, kao što je slučaj bio do sada)
• Transparentnost (kompanije će morati biti mnogo transparentnije po pitanju zaštite i upotrebe korisničkih podataka)
• Prenos podataka (kompanije moraju osigurati svojim korisnicima lagan prenos podataka u konkurentsku kompaniju, ukoliko korisnici to budu željeli uraditi)
• Pravo na zaborav (korisnici će imati pravo zahtijevati da se njihovi podaci izbrišu iz svih baza i prekine sa njihovom upotrebom)
• Obavezno upošljavanje Službenika za zaštitu podataka, koji će odgovarati najvišem menadžmentu kompanije
• Procjena efekta na privatnost (procjena će biti obavezna prije nego što kompanije budu mogle procesirati korisničke podatke)
• Privatnost se podrazumijeva (podrazumijeva se da digitalne usluge uzimaju apsolutni minimum podataka potrebnih za uspješan rad)
Na obavezu kompanija da u roku od 72 sata obavijeste javnost o hakerskom napadu, glasnogovornik OLX.ba prepoznaje širinu problema, ali ne vidi kako bi samo oni bili ti koji bi se trebali uhvatiti u koštac sa tim problemom:
„Da bismo došli do implementacije jedne takve uredbe, neophodno je zadovoljiti veliki broj drugih uvjeta, kojima je osnova formiranje timova za praćenje, edukacija kadrova koji bi bili sposobni odgovoriti na bilo kakav problem i reakciju. Kome biste vi, u ovom momentu, prijavili hakerski napad? Ko je uopće, od bh. institucija, sposoban detektovati jedan takav napad, locirati ‘napadače’, te ih procesuirati u razumnom roku? Za provođenje GDPR-a je potrebno da se svi dobro naradimo, educiramo i kreiramo povoljnu klimu, što je daleko od naših prioriteta.“
Izvor iz Federalne uprave policije, koji je želio ostati anoniman, kaže da postoji služba koja se bavi ovim poslovima. „To nije naročito velika jedinica, ali u kompjuterskom kriminalu smo prepoznali ozbiljan problem i radimo u skladu sa našim mogućnostima da taj poblem rješavamo“, kaže taj izvor.
Federalna istražna služba kriminalističke policije se, između ostalog, bavi borbom protiv “organiziranog i međukantonalnog kriminala, terorizma, korupcije i pranja novca, kompjuterskog kriminala i trgovine narkoticima”. Napad se može prijaviti i kantonalnim uredima, koji mogu zatražiti pomoć više instance ukoliko ga sami ne mogu riješiti.
Kakve su kazne za nepoštivanje GDPR-a?
Kazne za nepoštivanje GDPR-a su diskutabilno – drakonske, zbog čega se mnoge kompanije širom svijeta “hvataju za glavu”.
Postoje dva nivoa kažnjavanja – do 10 miliona eura, ili dva posto ukupne globalne zarade (u zavisnosti koja je cifra veća – i uvijek se ide na veću); i do 20 miliona eura, odnosno četiri posto ukupne globalne zarade, u zavisnosti koja je cifra veća. Kazna se primjenjuje u zavisnosti od toga koji član GDPR-a je povrijeđen, od ukupno 42 koliko ih zakon ima.
Kazne jesu velike, ali postoji dobar razlog zbog kojeg su ovako osmišljene, kaže Jokić.
„Zanimljivo je da su te regulative rezultat zrelog tržišta, što u prethodnim godinama na Balkanu nije bio slučaj. Tek prije nekoliko godina su doneseni zakoni za određene grane industrije gdje su se definisali minimalni sigurnosni uslovi za kompanije. Neke od institucija su čak i pristale da plaćaju kazne s obzirom na cijene implementacije sigurnosnih kontrola.“
Jeftinije je bilo plaćati kazne, nego se prilagoditi zakonu.
Juriš ispred zakona
Biznisi kojima je najveći cilj ‘juriti’ za profitom, će biti prvi koji će iskoristiti nove tehnologije. Često će, u svojoj trci, zanemariti činjenicu da na taj način možda stavljaju u opasnost podatke svojih korisnika, a nerijetko i rizikuju značajne finansijske gubitke i urušavanje imidža.
Međutim, takav juriš ostavlja stražnja vrata tih kompanija širom otvorena, a cyber-kriminalne grupe, prepune dobro potkovanim stručnjacima u tom polju, jedva čekaju da iskoriste tu priliku za vlastitu zaradu.
„Kompanije na teritoriji EU će definitivno morati obratiti pažnju na ovaj zakon,“ kaže Jokić.
„Ostaje da se vidi kako će članice reagovati na ovo isključivo sa svojim vladinim institucijama, te je za očekivati da će one prve krenuti u unapređenje kontrola. Ostale firme će vjerovatno slijediti prema konceptu minimalnih ulaganja, kao što je i bilo do sada. Za tržiste sigurnosti to je svakako nova prilika.“
Kompanije u Evropskoj uniji, ali i one van nje, čije usluge koriste stanovnici te Unije, imaju nešto manje od dvije godine da se prilagode, inače rizikuju drakonske kazne. Vrijeme je da se povuče digitalna “ručna” i ujednači sigurnost sa naredbama iz EU. A zemlje van EU-a, koje pretenduju da postanu članice Unije, imat će još jedan opsežan zakon kojeg će se morati pridržavati ukoliko žele ući.
Izvor: Al Jazeera