CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR Dělat věci správně? Nebo dělat správné věci? Miloslav LUJKA, MSc, MBA Channel Team Leader +420 775 012 043 mlujka@checkpoint.com 2017 Check 2017 Point Check Software Point Technologies Software Technologies Ltd. Ltd. 1
V Í T E J T E 2
4 3
4% 4
GDPR Legislativní mezník z pohledu bezpečnosti v digitální éře Celosvětový Game changer v oblasti bezpečnosti dat 5
GDPR Summary Ochrana osobních údajů O úniku musí informovat do 72 hodin Právo na: odebrání souhlasu, výmaz, přenos dat 05/2018 4% z ročního obratu / 20 mio EUR 6
Summary Dělat správné věci vs. Dělat věci správně GDPR buzzword který má důvod End to End Security jako řešení Security dává smysl 7
Security jako pojištění Summary Taky si nejdete pojistit dům protože Vám to někdo nařídí, ale protože chcete klidně spát. 8
Chtít uspokojit sami sebe v oblasti bezpečnosti Summary protože to dává SMYSL a ne kvůli dalšímu nařízení EU. 9
GDPR Check Point Check Point compliance Blade pro GDPR Check Point DLP: Prevence proti zcizení osobních dat Check Point Capsule Docs: Klasifikace & Enkrypce dat Check Point SandBlast: Prevence proti zcizeni dat a neznámým hrozbám Check Point Compliance Blade: Udržitelné a pravidelné monitorování plnění regulačních nařízení End Point bezpečnost 10
ÚTOKY 11
Vlny ransomare 12
Incidenty s osobními daty 13
Incidenty s osobními daty - příklady Malware Ztráta NTB/USB Finanční ztráty Krádež dat Poškození značky DoS / DDoS Insider Narušení provozu Havárie Pokuty Zneužití identity 14
GDPR 15
Nařízení, vyhlášky,... Kdo se v tom má vyznat... ČR ZoKB (Zákon o kybernetické bezpečnosti, č. 181/2014 Sb.) EU Směrnice NIS (Network & Information Security, 2016/1148) ZoOOÚ (Zákon o ochraně osobních údajů, č. 101/2000 Sb.) Nařízení GDPR (General Data Protection Regulation, 2016/679) 16
Proč řešit GDPR? GDPR se týká každého zaměstnanci zákazníci / klienti / občané / pacienti Celá řada změn, náročné splnění požadavků Pokuty mohou být až likvidační 10 / 20 milionů EUR, 2 / 4 % celkového ročního obratu celosvětově Lhůta už běží, času je málo Vstoupilo v platnost 25. května 2016 Toto nařízení se použije ode dne 25. května 2018. 17
O čem je GDPR konkrétně? Regulovaná data (osobní údaje, citlivé OÚ, pseudonymizace) - technické údaje: IP adresy, cookies - genetická, biometrická data - Pseudonymizace vs. šifrování 18
O čem je GDPR konkrétně? Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas - Přísnější požadavky - Snadné odvolání souhlasu 19
O čem je GDPR konkrétně? Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas Posílená práva subjektů dat - Právo na opravu - Právo na výmaz - Právo na přenositelnost - Právo přístupu 20
O čem je GDPR konkrétně? Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas Posílená práva subjektů dat - Záměrná a standardní ochrana OÚ - S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům Požadavky na ochranu dat - zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování - proces pravidelného testování, posuzování a hodnocení účinnosti 21
O čem je GDPR konkrétně? Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas Posílená práva subjektů dat Požadavky na ochranu dat Zodpovědnost, řízení rizik a reporting - Posouzení vlivu na ochranu OÚ - Pověřenec pro ochranu OÚ - Záznamy o činnostech zpracování 22
O čem je GDPR konkrétně? Regulovaná data (osobní údaj, citlivý údaj, pseudonymizace) Transparentnost a souhlas Posílená práva subjektů dat Požadavky na ochranu dat Zodpovědnost, řízení rizik a reporting Hlášení bezpečnostních incidentů - Jakékoli porušení zabezpečení OÚ, - Bez odkladu, do 72 hodin 23
GDPR Fáze projektu 24
GDPR Fáze projektu Analýza stavu, souladu a nedostatků Inventura dat - Jaká data vlastně zpracováváme? - Kde jsou uložena? - Co s nimi děláme? (uživatelé, procesy, toky dat) Procesní analýza - Podle jakých pravidel je zpracováváme? Byznysová analýza - Byznys důvody zpracování? - (vlastník, přínosy, rizika, ) Gap analýza (stav souladu) - Souhlasy, smlouvy, účelnost, přiměřenost, uživatelé, procesy, rizika Návrh opatření (roadmapa) - Seznam opatření, harmonogram, priority 25
GDPR Fáze projektu Implementace Procesní a smluvní opatření: - Zrušit sběr/zpracování, - Získat souhlasy, - Změnit procesy, směrnice, - Upravit smlouvy (zavést nové). PROCESSE S Technická a organizační opatření, vč. např.: TECHNOLOGI ES PEOPLE - šifrování a/nebo pseudonymizace dat, - zálohování PREDIKCE PREVENCE Security Intelligence USERS DATA APPS - školení, analýzy rizik, testy, - kontrola pomocí DLP, - řízení přístupu, REAKCE DETEKCE Perimeter Data Center High Availability Endpoint - monitoring a detekce incidentů Physical Security 26
Check Point GDPR 27
GDPR základní bezpečnostní stavební kameny ENKRYPCE INTEGRITA DOSTUPNOST SYSTÉMŮ A SLUŽEB RYCHLOST PŘI OBNOVĚ PŘÍSTUPŮ K DATŮM UDRŽITELNÁ EFEKTIVITY A VYHODNOCOVÁNÍ Pseudonymizace a šifrování osobních údajů Stávající důvěrnost, integrita, dostupnost a odolnost systémů a služeb zpracování Schopnost obnovit dostupnost a přístup k osobním údajům včas v případě fyzického nebo technického incidentu - aby byly v souladu s GDPR, musí organizace zavést dostatečné systémy a procesy pro zachování vysoké dostupnosti osobních údajů. Proces pravidelného testování, hodnocení a vyhodnocování efektivity technických a organizačních opatření pro zajištění bezpečnosti zpracování 28
Implementace bezpečnosti pro GDPR Vynucení Kontrola Management Rizika asociovaná s GDPR: - Ztráta osobních dat - Napadení sítě 29
Security Best Practices pro GDPR 30
GDPR Legislativní mezník v digitální éře Celosvětový Game changer v oblasti bezpečnosti dat 31
GDPR Summary Ochrana osobních údajů O úniku musí informovat do 72 hodin Právo na: odebrání souhlasu, výmaz, přenos dat 05/2018 4% z ročního obratu / 20 mio EUR 32
Summary Dělat správné věci vs. Dělat věci správně GDPR buzzword který má důvod End to End Security jako řešení Security dává smysl 33
Security jako pojištění Summary Taky si nejdete pojistit dům protože Vám to někdo nařídí, ale protože chcete klidně spát. 34
Chtít uspokojit sami sebe v oblasti bezpečnosti Summary protože to dává SMYSL a ne kvůli dalšímu nařízení EU. 35
GDPR Check Point Check Point compliance Blade pro GDPR Check Point DLP: Prevence proti zcizení osobních dat Check Point Capsule Docs: Klasifikace & Enkrypce dat Check Point SandBlast: Prevence proti zcizeni dat a neznámým hrozbám Check Point Compliance Blade: Udržitelné a pravidelné monitorování plnění regulačních nařízení End Point bezpečnost 36
D Ě K U J I Z A P O Z O R N O S T ŘEŠTE BEZPEČNOST PROTOŽE CHCETE A DÁVÁ TO SMYSL A NE JEN KVŮLI EU NAŘÍZENÍ! Miloslav LUJKA, MSc, MBA Channel Team Leader Miloslav LUJKA, MSc, MBA Channel Team Leader +420 775 012 043 mlujka@checkpoint.com 2017 Check 2017 Point Check Software Point Technologies Software Technologies Ltd. Ltd. 37