ESET: Zavedení GDPR pomohlo zlepšit informační zabezpečení firem, edukace zaměstnanců je však stále nedostatečná

Díky GDPR se zlepšila informační bezpečnost firem a povědomí o datové hygieně. Dalším krokem by měly být dlouhodobé investice do vzdělávání zaměstnanců, míní ESET.

Praha 24. května 2019 – Před rokem vstoupilo v Evropské unii v účinnost Obecné nařízení o ochraně osobních údajů, známé pod označením GDPR. Nařízení přineslo jednotný právní rámec, který nabídne všem občanům EU stejnou ochranu jejich osobních a citlivých údajů. Firmy reagovaly a investovaly do zabezpečení a ochrany citlivých dat. Stranou zůstala edukace zaměstnanců, která je pro účinné zabezpečení IT infrastruktury rovněž nezbytná.

Osobní údaje jsou v 21. století cenou komoditou, která je mezi útočníky žádaným zbožím. O to důležitější jsou mechanismy na jejich ochranu. Nařízení přeneslo ve velkém odpovědnost na firmy, aby ony, pakliže si jakýkoli osobní údaj vyžádají, zajistily jeho bezpečnost.

„Bohužel víc než racionální argumenty zaznívaly hrozby vysokých pokut, což řadu firemních zákazníků vystrašilo. Na trhu se tak objevily drahé a zbytečné audity a produkty, kterým ale chyběl kontext ochrany firemních dat,“ popisuje situaci před rokem v květnu 2018 Miroslav Dvořák, technický ředitel české pobočky firmy ESET. „To vše navzdory tomu, že česká legislativa byla velmi striktní již před přijetím GDPR,“ dodává Dvořák.

Impulz pro změny

Nařízení GDPR přesto mělo řadu pozitivních dopadů. Kromě jiného přimělo firmy provést vnitřní audity, které sledovaly, jak s citlivými daty zacházejí. Informační bezpečnosti, která často nemívá investiční prioritu v rámci firem, byla věnována pozornost. Řada firem při té příležitosti značně zmodernizovala vlastní datovou infrastrukturu.

„Nařízení GDPR pomohlo modernizovat firemní sítě a posílit je o nové technologie, které nejsou nijak náročné, ale výrazně zvyšují bezpečnost dat. Příkladem může být šifrování nebo dvou faktorová autentizace,“ vysvětluje Dvořák.

Často selhává ostražitost člověka

Sebelepší legislativa ale nevyřeší vzdělávání odpovědných zaměstnanců. Jedním z nejčastějších příčin úniku osobních dat je právě selhání člověka, který je spravuje. V tomto případě je podle Dvořáka nutné zaměstnance nejen poučit, jak data aktivně chránit, ale průběžně investovat čas a prostředky do jejich vzdělávání.

„Právě vzdělávání řadových zaměstnanců vnímám nyní jako největší slabinu. Nejen IT specialisté, ale zejména lidé působících na pozicí recepčních, účetních nebo personalisté musejí chápat, za jak cenné údaje jsou zodpovědní. Měli by vědět jak a proč je chránit. Navíc tyto skupiny patří mezi zaměstnance, kteří často přijímají e-maily od osob, které z logiky jejich funkce neznají a musí být co možná nejostražitější,“ říká Dvořák.

Bezpečnostní incidenty přetrvávají

Úniky dat představují i nadále reálnou hrozbu. Potvrzují to i statistiky Úřadu pro ochranu osobních údajů za rok 2018 zveřejněné ve výroční zprávě. Za toto období přijal úřad přes 3 600 podnětů k prošetření a celkem úřad udělil pokuty ve výši 7 202 360 Kč. K nejčastějším pochybením patří zákonnost zpracování, splnění informační povinnosti a zabezpečení dat. K zvýšení bezpečnosti dat doporučují experti zavedení šifrování disků a dvoufázové autentizace.

„Tyto programy samy o sobě data neochrání, jde takzvaně o nepřímou ochranu. Šifrování zmiňuje i samo nařízení. Výhodou je, že v případě úniku nebo odcizení počítače, nejsou data čitelná pro útočníka a není tak možné je zneužít,“ uzavírá Dvořák.

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Ten drží rekordní počet ocenění a díky němu může více než 100 milionů uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy včetně mobilních a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích. ESET se stal první společností, která díky dlouhodobě vysoké úrovni ochrany získala 100 ocenění prestižního magazínu Virus Bulletin VB100. Za těmito úspěchy stojí zejména dlouhodobé investice do vývoje. Jen v České republice nalezneme tři vývojová centra a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.