31.12.17

Bauk GDPR-a kruži Europom (a i šire)

Gledajući na događanja u informacijskoj sigurnosti s aspekta tematike ovog bloga, onda možemo reći da je uvođenje GDPR obilježio 2017. godinu u Hrvatskoj. Barem u zadnjih 4-5 mjeseci jer smo uvođenje GDPR još početkom godine vidjeli kao jednu veoma daleku obavezu koja se, k tomu, možda nas i ne tiče.

Pretpostavljam da se niste mogli oduprijeti stalnom podsjećanju na drastične novčane kazne kojim GDPR prijeti, niti pozivima na brojne seminare i konferencije na ovu temu, a nadam se da je to ostavilo pozitivan trag na vaš stav o GDPR-u. Ja ću se na ovim stranicama baviti GDPR-om iz druge vizure: primarno ću govoriti o ulozi CISO  u provedbi zahtjeva GDPR-a.    Iznijeti ću razmišljanja koje učestalo dijelim s kolegama, kao i pitanja/odgovore iz konzultantskih projekata o uvođenju GDPR u kojima sudjelujem. Napominjem da pod pojmom CISO, u ovim tekstovima, obuhvaćam ne samo osobe formalno nadležne za sigurnost informacijskog sustava već sve informatičke stručnjake uključene u sigurnosne procese.

Je li primjena GDPR zahtjeva uopće dio odgovornosti CISO funkcije?

Primjena GDPR-a je primarno odgovornost poslovnih funkcija i pravne službe, iako značajna uloga mora biti dodijeljena i informatičkim službama a posebno osoba nadležnim za informacijsku sigurnost. Ipak, iz višestrukih razloga, u mnogim se organizacijama smatra da je uvođenje GDPR primarno problem informatike i informacijske sigurnosti. Stoga, pokušati ću definirati crtu razgraničenja između poslovno/pravne i informatičko/sigurnosne funkcije kod uvođenja GDPR-a, pri čemu razmatranja o ulozi DPO i o naporima za očuvanje sukladnosti sa zahtjevima GDPR-a po okončanju procesa njegovog uvođenja ostavljam za drugu priliku.

Proces uvođenja GDPR-a podjelo sam, ne samo radi ovog teksta, na četiri glavne faze, a u svakoj od ovih faza moguće je identificirati ulogu CISO funkcije.

U prvoj fazi potrebno je uspostaviti okvir za uvođenje i upravljanje sukladnošću s GDPR-om, a naročito identificirati sve osobne podatke u poslovnom procesu i informacijskom sustavu. Krunski moment ove faze je procjena učinka na zaštitu podataka te specifikacija neophodnih mjera zaštite ovih podataka. Ključnu ulogu mora imati poslovna funkcija, no osobe iz redova informacijske sigurnosti koje imaju iskustvo na uvođenju regulatornih okvira ili sigurnosnih standarda (npr. PCI DSS, ISO 27001, pa, zašto ne, i Odluka HNB-a o primjerenom upravljanju informacijskim sustavom) mogu pružiti značajan doprinos uspješnoj provedbi ove faze, koja mora rezultirati, minimalno, kvalitetnom inventurom osobnih podataka i popisom mjera koje se nužno moraju provesti).

Druga faza mora rezultirati formalnom dokumentacijom (privole, ugovori s klijentima, interni pravilnici..) koji su u funkciji upoznavanja ispitanika o postupanju s osobnim podacima te pribavljanje njihove suglasnosti. U ovoj su fazi neophodni poznavanje poslovnog procesa i pravna kompetencija, a tehnički detalji će biti u drugom planu, iako ne i potpuno zanemarivi. Stoga smatram da sudjelovanje CISO u ovoj fazi nije nužno.

Treća faza uvođenja GDPR-a obuhvaća uvođenje “Data protection by design” mjera. Ove mjere se temelje na rezultatima procjene utjecaja na privatnost i procjenu rizika, no ne očekujem da će se nužno provoditi u svakoj organizaciji, a opseg primjene svakako će se razlikovati među organizacijama. Ova faza uglavnom obuhvaća primjenu različitih kontrolnih mjera, gotovo isključivo unutar aplikativnih sustava u kojima se obrađuju osobni podaci. Stoga, ključnu ulogu imati će razvojni timovi u informatičkim odjelima, a poslovne funkcije će sudjelovati u fazi dizajna i testiranja, kao što je praksa i u drugim razvojnim projektima. CISO neće nužno sudjelovati u ovoj fazi, no svakako predlažemo da bude konzultiran u postupku planiranja i testiranja predviđenih sigurnosnih mjera.  

Uloga CISO-a bit će ključna u četvrtoj fazi, a to je primjena općih sigurnosnih mjera koje ojačavaju otpornost informacijskog sustava i onemogućuju kompromitaciju osobnih podataka. Nažalost, GDPR je u svojem osnovnom tekstu veoma škrt oko specifikacije ovih mjera, no sadrži možda najznačajniji doprinos u promišljanju kvalitete sigurnosnih mjera: obavezu objave podataka o sigurnosnih proboja i to u roku od 72 sata od trenutka kada organizacija detektira takav događaj. Ovaj zahtjev povlači obavezu detaljne razrade plana odgovora na sigurnosne incidente i to će svakako biti tema jednog od sljedećih tekstova na ovim stranicama.

GDPR ne sadrži detaljnu specifikaciju općih kontrolnih mjera, no predviđena je mogućnost naknadne specifikacije ovih standarda koji bi mogli biti i podloga za certifikaciju. Iako bi se lako moglo zaključiti da je izostanak ovih mjera manjkavost GDPR-a, ja ne mislim tako. Sigurnosnim stručnjacima stoji na raspolaganju nekoliko veoma detaljnih sigurnosnih okvira, a moja preferencija su CIS Critical Security Controls. Također, uz malo truda, možete napraviti i derivaciju PCI DSS standarda i prilagoditi ga okruženju osobnih podataka.

Bez obzira što ovu fazu proglašavamo glavnim područjem odgovornosti CISO-a, treba jasno reći da završnu riječ u pravilu ima management. Naime, ove mjere često podrazumijevaju dodatan budžet kao i nova ograničenja za poslovne procese, što će se moći provesti isključivo uz autoritet managementa. Stoga, glavni rizik kojem CISO može biti izložen je eventualni pristup managementa koji bi se temeljio na principu zadovoljavanja tek nužnih zahtjeva GDPR-a. U tom slučaju kompetencija i iskustvo CISO-a bi se fokusirali na traženju rupa u GDPR uredbi, a ne u kreiranju sveobuhvatnog i učinkovitog sigurnosnog okvira, čime CISO nezasluženo preuzima značajnu odgovornost. Iz tog razloga svakako ohrabrujemo CISO-e i sve druge informatičke stručnjake da inzistiraju na punoj primjeni zahtjeva GDPR i da ovu uredbu iskoriste kao priliku za argumentiranu traženje suglasnosti managementa za primjenu sigurnosnih mjera.


Na koncu, nemojte zaboraviti na činjenicu da usklađenost s regulatornim standardima ne znači nužno i sigurnost sustava. To je tek prva postaja na složenom putu na kojem morate očekivati transformaciju GDPR od pravnih formulacija i strateških rezolucija ka dubinskim mjerama i kontinuiranom nadzoru ovih mjera.  Možemo, stoga, i zaključiti da uloga CISO u fazi uvođenja GDPR-a nije ključna (tek u četvrtoj gore opisanoj fazi), ali kad budu zaživjele mjere zaštite osobnih podataka, uloga CISO-a će biti ključna u održavanju ovih mjera.