Gledajući na događanja u informacijskoj sigurnosti s aspekta
tematike ovog bloga, onda možemo reći da je uvođenje GDPR obilježio 2017.
godinu u Hrvatskoj. Barem u zadnjih 4-5 mjeseci jer smo uvođenje GDPR još
početkom godine vidjeli kao jednu veoma daleku obavezu koja se, k tomu, možda
nas i ne tiče.
Pretpostavljam da se niste mogli oduprijeti stalnom
podsjećanju na drastične novčane kazne kojim GDPR prijeti, niti pozivima na
brojne seminare i konferencije na ovu temu, a nadam se da je to ostavilo
pozitivan trag na vaš stav o GDPR-u. Ja ću se na ovim stranicama baviti GDPR-om
iz druge vizure: primarno ću govoriti o ulozi CISO u provedbi zahtjeva GDPR-a. Iznijeti ću razmišljanja koje učestalo
dijelim s kolegama, kao i pitanja/odgovore iz konzultantskih projekata o
uvođenju GDPR u kojima sudjelujem. Napominjem da pod pojmom CISO, u ovim
tekstovima, obuhvaćam ne samo osobe formalno nadležne za sigurnost
informacijskog sustava već sve informatičke stručnjake uključene u sigurnosne
procese.
Je li primjena GDPR zahtjeva uopće dio odgovornosti CISO
funkcije?
Primjena GDPR-a je primarno odgovornost poslovnih funkcija i
pravne službe, iako značajna uloga mora biti dodijeljena i informatičkim
službama a posebno osoba nadležnim za informacijsku sigurnost. Ipak, iz
višestrukih razloga, u mnogim se organizacijama smatra da je uvođenje GDPR
primarno problem informatike i informacijske sigurnosti. Stoga, pokušati ću
definirati crtu razgraničenja između poslovno/pravne i informatičko/sigurnosne
funkcije kod uvođenja GDPR-a, pri čemu razmatranja o ulozi DPO i o naporima za
očuvanje sukladnosti sa zahtjevima GDPR-a po okončanju procesa njegovog
uvođenja ostavljam za drugu priliku.
Proces uvođenja GDPR-a podjelo sam, ne samo radi ovog
teksta, na četiri glavne faze, a u svakoj od ovih faza moguće je identificirati
ulogu CISO funkcije.
U prvoj fazi potrebno je uspostaviti okvir za uvođenje i
upravljanje sukladnošću s GDPR-om, a naročito identificirati sve osobne podatke
u poslovnom procesu i informacijskom sustavu. Krunski moment ove faze je
procjena učinka na zaštitu podataka te specifikacija neophodnih mjera zaštite
ovih podataka. Ključnu ulogu mora imati poslovna funkcija, no osobe iz redova
informacijske sigurnosti koje imaju iskustvo na uvođenju regulatornih okvira
ili sigurnosnih standarda (npr. PCI DSS, ISO 27001, pa, zašto ne, i Odluka
HNB-a o primjerenom upravljanju informacijskim sustavom) mogu pružiti značajan
doprinos uspješnoj provedbi ove faze, koja mora rezultirati, minimalno,
kvalitetnom inventurom osobnih podataka i popisom mjera koje se nužno moraju
provesti).
Druga faza mora rezultirati formalnom dokumentacijom
(privole, ugovori s klijentima, interni pravilnici..) koji su u funkciji
upoznavanja ispitanika o postupanju s osobnim podacima te pribavljanje njihove
suglasnosti. U ovoj su fazi neophodni poznavanje poslovnog procesa i pravna
kompetencija, a tehnički detalji će biti u drugom planu, iako ne i potpuno
zanemarivi. Stoga smatram da sudjelovanje CISO u ovoj fazi nije nužno.
Treća faza uvođenja GDPR-a obuhvaća uvođenje “Data
protection by design” mjera. Ove mjere se temelje na rezultatima procjene
utjecaja na privatnost i procjenu rizika, no ne očekujem da će se nužno
provoditi u svakoj organizaciji, a opseg primjene svakako će se razlikovati
među organizacijama. Ova faza uglavnom obuhvaća primjenu različitih kontrolnih
mjera, gotovo isključivo unutar aplikativnih sustava u kojima se obrađuju
osobni podaci. Stoga, ključnu ulogu imati će razvojni timovi u informatičkim
odjelima, a poslovne funkcije će sudjelovati u fazi dizajna i testiranja, kao
što je praksa i u drugim razvojnim projektima. CISO neće nužno sudjelovati u
ovoj fazi, no svakako predlažemo da bude konzultiran u postupku planiranja i
testiranja predviđenih sigurnosnih mjera.
Uloga CISO-a bit će ključna u četvrtoj fazi, a to je
primjena općih sigurnosnih mjera koje ojačavaju otpornost informacijskog
sustava i onemogućuju kompromitaciju osobnih podataka. Nažalost, GDPR je u
svojem osnovnom tekstu veoma škrt oko specifikacije ovih mjera, no sadrži možda
najznačajniji doprinos u promišljanju kvalitete sigurnosnih mjera: obavezu
objave podataka o sigurnosnih proboja i to u roku od 72 sata od trenutka kada
organizacija detektira takav događaj. Ovaj zahtjev povlači obavezu detaljne
razrade plana odgovora na sigurnosne incidente i to će svakako biti tema jednog
od sljedećih tekstova na ovim stranicama.
GDPR ne sadrži detaljnu specifikaciju općih kontrolnih
mjera, no predviđena je mogućnost naknadne specifikacije ovih standarda koji bi
mogli biti i podloga za certifikaciju. Iako bi se lako moglo zaključiti da je
izostanak ovih mjera manjkavost GDPR-a, ja ne mislim tako. Sigurnosnim
stručnjacima stoji na raspolaganju nekoliko veoma detaljnih sigurnosnih okvira,
a moja preferencija su CIS Critical Security Controls. Također, uz malo truda, možete napraviti i
derivaciju PCI DSS standarda i prilagoditi ga okruženju osobnih podataka.
Bez obzira što ovu fazu proglašavamo glavnim područjem
odgovornosti CISO-a, treba jasno reći da završnu riječ u pravilu ima
management. Naime, ove mjere često podrazumijevaju dodatan budžet kao i nova
ograničenja za poslovne procese, što će se moći provesti isključivo uz
autoritet managementa. Stoga, glavni rizik kojem CISO može biti izložen je
eventualni pristup managementa koji bi se temeljio na principu zadovoljavanja
tek nužnih zahtjeva GDPR-a. U tom slučaju kompetencija i iskustvo CISO-a bi se
fokusirali na traženju rupa u GDPR uredbi, a ne u kreiranju sveobuhvatnog i
učinkovitog sigurnosnog okvira, čime CISO nezasluženo preuzima značajnu
odgovornost. Iz tog razloga svakako ohrabrujemo CISO-e i sve druge informatičke
stručnjake da inzistiraju na punoj primjeni zahtjeva GDPR i da ovu uredbu
iskoriste kao priliku za argumentiranu traženje suglasnosti managementa za
primjenu sigurnosnih mjera.
Na koncu, nemojte zaboraviti na činjenicu da usklađenost s
regulatornim standardima ne znači nužno i sigurnost sustava. To je tek prva
postaja na složenom putu na kojem morate očekivati transformaciju GDPR od
pravnih formulacija i strateških rezolucija ka dubinskim mjerama i
kontinuiranom nadzoru ovih mjera.
Možemo, stoga, i zaključiti da uloga CISO u fazi uvođenja GDPR-a nije
ključna (tek u četvrtoj gore opisanoj fazi), ali kad budu zaživjele mjere
zaštite osobnih podataka, uloga CISO-a će biti ključna u održavanju ovih mjera.