Mali dodatak Velikoj školi GDPR-a: Ne slušajte vendore – slušajte sebe!

Mali dodatak Velikoj školi GDPR-a: Ne slušajte vendore – slušajte sebe!

Foto: Fotolia

Gotovo da ne postoji proizvođač bilo kakvog informatičkog, a pogotovo infrastrukturnog proizvoda koji u GDPR-u nije uočio sjajnu priliku za povećanje prihoda. Gotovo svaki vendor razvio je posebne prodajne materijale za uvjeravanje korisnika kako je baš njihov proizvod gotovo svemoguće rješenje za GDPR probleme. Gotovo da nema vendora koji GDPR svojim distributerima i integratorima nije predstavio kao koku koja nosi zlatna jaja. Zato smo odlučili analizirati stvarne zahtjeve GDPR-a vezane uz enkripciju i pseudonimizaciju kao najčešće spominjane “obavezne“ elemente sigurnosti osobnih podataka neophodne za usklađivanje sa GDPR-om.

Enkripcija i pseudonimizacija su dobri, ali ne i obavezni

Pojam enkripcije se u Uredbi spominje četiri puta. U točci 83 uvodnog dijela, te članku 6, 32, i 34. Pseudonimizacija se spominje puno češće; čak 15 puta, i to u točkama 26, 28, 29, 78,85 i 156 uvodnog dijela, te člancima 4, 6, 25, 32, 40 i 89. Ni jedna ni druga metoda se nigdje ne navode kao obavezne, pa čak niti kao preporučene. Iako je primjena obje ove metode bez ikakve sumnje dobra praksa, one se u gotovo u svim slučajevima navode kao primjeri mogućeg pristupa zaštiti osobnih podataka, što i jesu. Točka 83 uvodnog dijela tako navodi ”…voditelj obrade ili izvršitelj obrade trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Tim bi se mjerama trebala osigurati odgovarajuća razina zaštite uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koji se trebaju zaštititi…“

Neki će reći da članak 26 koji definira zakonitost obrade zahtijeva implementaciju enkripcije i pseudonimizacije, no kao ni nigdje drugdje, GDPR ni ovdje to ne traži. Ono što se traži je ”…postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju.“. Cijela ideja GDPR-a se vrti oko učinkovitog upravljanja rizikom, temeljenog na procjeni učinka zaštite osobnih podataka koja je za razliku od pseudonimizacije i enkripcije i te kako obavezna, pa je cijeli odjeljak 3. Uredbe posvećen upravo njoj, a čak je Article 29 Working Party izdala posebni dokument “Guidelines on Data Protection Impact Assessment (DPIA)”. Pokaže li procjena rizika da postojeće mjere zaštite podataka nisu odgovarajuće, odabrat ćete mjere čiji će trošak i kompleksnost implemetacije i održavanja odgovarati riziku kojem su osobni podaci izloženi. Rizik ćete izračunati uzimajući u obzir utjecaj na pojedinca koji ćete gledati kroz količinu i osjetljivost podataka, te vjerojatnost nastanka incidenta. Za njen ćete izračun u obzir uzeti postojeće prijetnje i ranjivosti vašeg sustava zaštite, kao i povijesne podatke. Tada ćete odabrati zaštitne mjere s kojima ćete postići odgovarajuću razinu sigurnosti uz prihvatljiv trošak. Ako to nije moguće, uvijek se možete obratiti za savjet regulatoru, a tako uostalom i piše u članku 36. Uredbe. Kod tvrtki koje upravljaju velikim količinama osobnih podataka, pogotovo onih koje se snažno oslanjaju na komercijalna data warehouse i BI rješenja pseudonimizacija i enkripcija mogle bi biti pravo rješenje. Ovo pogotovo vrijedi za one koji su usvojili DevSecOps principe i snažno automatizirali procese razvoja, testiranja i puštanja novih sustava u rad koji će se vjerojatno opredijeliti za izradu vlastitih rješenja za pseudonimizaciju ili enkripciju. Ostali će s punim pravom odabrati neki drugi način zaštite osobnih podataka, primjeren njihovim potrebama i mogućnostima.

Još iz kategorije

KOMENTAR: Jako dobra godina za HT

KOMENTAR: Jako dobra godina za HT

21.02.2018. komentiraj

Najjači domaći telekom imao je zaista dobru prošlu poslovnu godinu jer su mu svi ključni pokazatelji pozitivni jer prihodu i EBITDA (dobit prije kamata, oporezivanja, amortizacije i deprecijacije) rasli su 11 odnosno 11,2 posto.  Tako je čak i ako se izuzme utjecaj kupnje Crnogorskog Telekoma početkom prošle godine, ali i pripajanja H1 Telekoma Optimi Telekomu koji je se dogodio sredinom prošle godine.

INOVACIJA … „use it or lose it!“ („Iskoristi ili izgubi!“)

INOVACIJA … „use it or lose it!“ („Iskoristi ili izgubi!“)

19.02.2018. komentiraj

Mnogo smo puta govorili o „frugal innovation“ („siromašna inovacija“) koju naročito u Indiji rade pod geslom: „Učini što trebaš  s onim što imaš!“. Pod tim se podrazumijeva napraviti nešto novo što rješava problem ili potrebu bez velikih troškova, u pravilu mnogo jeftinije od konkurencije ili sa sredstvima koje imamo pri ruci. To može biti auto bez električnih podizača prozora ili servo volana, ali za  cijenu od oko 3.000 $ (Tata Nano):

Zašto se cyber lopovi odmiču od kriptovaluta?

Zašto se cyber lopovi odmiču od kriptovaluta?

17.02.2018. komentiraj

Kriptovalute nisu bile posljednjih mjeseci zanimljive samo ulagačima na svim stranama svijeta već i hakerima, koji su uživali u činjenici što se trag tog digitalnog novca ne može pratiti pa je s plijenom lakše „pobjeći“. No, oni koji se bave ransomware vrstom cyber kriminala dozlogordilo je i odlučili su okrenuti leđa bitcoinu te se okrenuti alternativama.