BIG DATA
РИСКОВЕ, КАСАЕЩИ КИБЕР СИГУРНОСТТА И ВЪЗМОЖНИТЕ РЕШЕНИЯ
Big data – новата реалност.
С напредването на технологиите и безпрецедентния икономически растеж на света през последния половин век, размяната и използването на огромни масиви от информация стана нещо нормално. Съдържанието на тази информация е също толкова разнообразно, колкото и голямо. От информация, която може да се нарече безвредна до информация като имена, адреси, ЕГН, банкови сметки и други лични данни. Ползите от това са ясни и всеки един от нас, малко или много използва услуги на фирми изпозлващи Big Data.
Нови технологии и нови проблеми.
Днес, течовете на информация са едни от най-големите заплахи стоящи пред съвременните корпоративни структури. За един управител или изпълнителен директор няма нищо по-неприятно от телефонно обаждане посред вечер, информиращо го, че е налице пробив в базата данни. Такова компрометиране поставя хиляди, а в някой случай дори милиони потребители в опасност и тяхната лична информация да стане публична и общодостъпна. Затова повече и повече съвременни компании започват да инвестират голяма част от приходите си в подсигуряването на сигурността на тези база данни. Да излиза сравнително скъпо, но за много бизнес структури това е малка цена, с оглед на спокойствието което си осигуряват.
Кутията на Пандора, стояща зад такъв теч на данни.
Коментирайки щетите, които да могат да възникнат трябва да кажем, че те могат да бъдат разнообразни и еднакво толкова сериозни. На първо място, доверието на потребителите е първата и много често най-голяма щета. Компании, жертви на такива течове, често понасят най-големия удар под формата на спад в доверието и следователно интереса на консуматорите към продуктите и услугите, които предлагат. На второ място допускането на подобни течове може да доведе до редица дела на засегнатите против фирмите, че са допуснали такова неправомерно действие. На трето място подобни течове могат да привлекат санкции от страна на държавни/европейски органи, които постепенно започват да налагат по-строг контрол в тази сфера (особено след приемането на GDPR). Досега държавните санкции не бяха приемани като толкова голям проблем, но последните 10 години регулацията в тази сфера започна да става по-строга и по-строга под формата на сегашното GDPR законодателство.
Практически съвети свързани с навигирането през GDPR законодателството.
Погледнато от легална гледна точка, едно от първите неща, които трябва да бъдат свършени от структури използващи такива масиви, е да се запознаят подробно от юридически специалисти относно законовата рамка и изискванията, които трябва да се спазват. Във всеки случай незнанието на законите никога не се считало като оправдание в случай, че някой реализира закононарушение.
Налице са приблизително 40 стандарта, които дават детайлна подготовка и напътствия относно това какви мерки може една фирма да предприеме, за да отговаря на изискванията, които GDPR поставя. Те са включени в ISO/IEC 27000 (това е пакет от информация и препоръки относно изискванията за GDPR). Нужно е да се обърне много сериозно внимание на тези изисквания. Санкциите при потенциален теч и неизпълнение на задълженията по GDPR могат да доведат до високи глоби, които в един случай стигат 10 милиона или 2 процента от годишния оборот на компанията. Тази глоба се налага когато надлежните органи не са информирани за теча в законоустановения срок, а именно 72 часа..
Tук нуждата от добри специалисти в юридическата сфера е ясна.
Определянето на „точния момент“ от който този срок започва да тече (имайки предвид, че такива течове на информация не се разбират веднага) е доста сложна задача като цяло. По-често в рамките на няколко дни се създава чиста картина относно ситуацията. В такива моменти помощта на добре подготвен юридически специалист в тази сфера е безценна. Освен да даде адекватна консултация, той може и да защити интересите на компанията (която може да е обвинена в неспазване на срока, а реално да не е имала възможност да го направи, поради обективни причини). Друга заплаха за интересите на е уведомяването на надлежните органи за предполагаем теч на информация. Дори и това уведомяване да се опровергае по-късно и да стане ясно, че не е имало теч на информация, щетите по репутацията за бизнеса остават. Друг проблем е срещаното незнание от различни служители на проверяващите държавни служители, относно чисто техническата част от справянето с теч на информация. Често надзорните органи считат определени забавяния като неприемливи, но тази оценка е лишена от обективност, поради липсата на информираност. От намирането на някакъв проблем в базата данни, до установяване на характера му и най-накрая изчисление на реално нанесените щети отнема време. Подобен пример може да се види в САЩ, където известна корпорация пое широка критика и атаки от регулатора затова, че е оповестила теч на информация 6 седмици след първите данни за това. Тук излиза на преден план компетентната юридическа подкрепа, която да защити интересите на бизнес структурата пред твърде амбицирани и педантични държавни органи. Принципно за много компании, би се сторило непрактично да наемат юридически специалисти в сферата, за дълъг срок от време, но посочените по горе примери дават да се разбере, че липсата на такъв експерт, в ключов момент, значително влошава шансовете компания, претърпяла такъв инцидент, да защити адекватно интересите си. Всичко се крие в адекватната и най-вече бърза реакция.
Заключителен коментар
В края на краищата когато говорим за мениджмънт на големи бази данни, различните рискове свързани с тях (като започнем от пробив в базата данни или санкции от различни регулаторни органи) са просто твърде разнообразни. Би било грешка за която и да е компания, обработваща значителни масиви от данни, да не се възползва от юридически специалист в тази сфера. Наистина, такива проблеми са сравнително редки, но санкциите и репутационните вреди са толкова значителни, че са достатъчни да бъдат края на компанията. Много бизнеси наемат такива специалисти именно заради това, че разходите по поддръжка на такъв персонал се оказват релативно в десетки пъти по-малко от възможните финансови загуби и санкции, които могат да настъпят без тях.
