O2 a jeho komplexní řešení pro nařízení GDPR Jiří Sedlák Director Security Expert Center
Predikce směru kyberútoků v roce 2017 Posun od špionáže ke kybernetické válce Zdravotnické organizace budou největším cílem kybernetických útoků IoT přinese doposud nepodchycená rizika Přichází nový pojem crime-as-a-service Důvěra a reputace značky budou hlavním cílem útoků 2
Významné úniky dat Jaké jsou motivátory business konkurenční boj politika špionáž Cena informací na webu Přihlašovací údaje: do 30 $ Údaje z kreditní karty: do 30 $ Přihlašovací účet k e-bankovnictví: 20 300 $ Zdravotnická dokumentace: až 4 700 $ Zdroj: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ Co mají společného Útočníci se neptají vlastníků, zpracovatelů ani správců dat, zda si je mohou vzít Získané informace plně vytěží multiplikační efekt 3
Kyberprostor vs. GDPR vs. Kyberzákon Legislativa GDPR jako další nástroj pro uplatnění a vymáhání kybernetické bezpečnosti v oblasti osobních údajů Ostatní národní a EU legislativa GDPR Kyberprostor Zákon o kybernetické bezpečnosti GDPR dotčené subjekty Komerční subjekty Neziskové organizace Vlastníci kritické a významné infrastruktury Orgány státní moci Kontrolní orgány Požadované výstupy Schopnost zajištění souladu Ochrana informací Schopnost prokázání chování Snížení rizika vydíratelnosti Zák O ochraně osobních údajů Jedná se o další článek mozaiky v kyberprostoru 4
Úspěšnost realizace požadavků GDPR ovlivňuje Strategické rozhodnutí vrcholového managementu o cílovém stavu reálné povýšení úrovně ochrany informací nebo formální naplnění požadavku nařízení vlastnictví problematiky GDPR Forma implementace požadavků GDPR projektová aktivita liniová aktivita Složení týmu průřezový tým složený z kompetentních zaměstnanců doplněný externími experty Vstupy pro analýzy a schopnost navrhovat alternativní řešení a opatření Schopnost integrace dílčích řešení Úroveň zapojení interního týmu při implementaci GDPR Změna firemní kultury 5
Co nabízí O2 pro úspěšné zvládání GDPR Technické nástroje SEC nabízí řadu detekčních a bezpečnostních nástrojů pro analýzy, monitoring, atd. SEC zajišťuje integraci nástrojů Znalosti, zkušenosti a důvěryhodnost Služba SEC poskytuje experty, analytiky, operátory, auditory, atd. Znalostní báze O2 jako jednoho z největších zpracovatelů a správců OÚ O2 jako důvěryhodný partner Schopnost rychlé reakce na události a incidenty SEC má jasně definován proces řízení incidentů SEC hledá řešení na základě vnímání kontextu událostí SEC komunikuje se zákazníkem a pomáhá hledat řešení Schopnost zdokumentování stavu SEC a jeho nástroje poskytují ucelené a přehledné reporty pro management SEC zajišťuje šetření bezpečnostních událostí a komunikaci na zákazníka a třetí strany (kontrolní a dohlížející organizace, ) SEC poskytuje kontinuální dohled 6
Realizační tým Potřebné kompetence pro řešení problematiky GDPR Projektový management Právní Personalistika IT Procesy Řídicí dokumentace Risk mngt. Obchod Marketing Bezpečnost Komunikace Externí týmy 1. tým pro pokrytí interní problematiky Projektový tým 7 2. tým pro pokrytí externí problematiky Naplnění souladu s GDPR je komplexní řešení bezpečnostních disciplín a vzdělávání účastníků!
Přístup O2 k realizaci souladu s GDPR 0. Etapa Plánování projektu 1. Etapa Právní analýza 2. Etapa Data discovery a technologický scan 3. Etapa Návrh opatření a jejich implementace 4. Etapa Provoz a rozvoj opatření Aktivace projektu Vlastník aktivity Adresná odpovědnost Projektový plán Projektový tým Komunikace Analýza AS-IS stavu Zpracování GAP analýz Právní Procesy a řídicí dokumentace Technologie Zmapování informačních aktiv Vytvoření mapy rizik Návrh opatření v jednotlivých oblastech Návrh služeb a jejich parametrů Zpracování základní sady řídicí dokumentace Úprava procesů a rolí Implementace opatření Školení Zajištění povinné komunikace na 3 strany Zajištění provozu a služeb Průběžná aktualizace 8
Základní stavební kameny úspěšného GDPR Funkční ochrana v reálném čase Preventivní opatření Řešení bezpečnostních událostí v reálném čase Prokazování souladu Dostupnost, důvěryhodnost a integrita důkazního materiálu Úspěšná implementace a nasazení GDPR Právní a procesní požadavky Naplnění regulatorních požadavků Změny interních procesů Změny nástrojů Business požadavky Zohlednění obchodních požadavků Realizace obchodních rozhodnutí Uplatnění přiměřenosti opatření 9
Hledáme odpovědi na klíčové otázky? Stačí zahájit realizaci 2018? Stačí implementace technologie? Stačí změna řídicí dokumentace? Umím vůbec detekovat únik? 72 hodin Stačí obsadit role? Stačí změna procesů a rolí? zákon č. 122/2013 Z. z. DNES Stačí čekat na pokyn? Směrnice 95/46/ES Nařízení 2016/679 (GDPR) Účinnost GDPR 25.5.2018 10
Děkuji za pozornost Jiří Sedlák Director Security Expert Center