Jak informuje portal Newseria Biznes, eksperci szacują, że jeśli banki nie wzmocnią systemów zabezpieczeń przed cyberatakami, w pierwszych trzech latach od momentu wejścia nowych przepisów banki mogą zapłacić karę nawet w wysokości 4,7 mld euro.
Jeśli banki nie będą robić nic w kierunku realizacji RODO, jest bardzo prawdopodobne, że kary będą bardzo wysokie. Jeżeli żaden z banków, ubezpieczycieli i innych firm, którzy mają do czynienia z dużą ilością danych osobowych, jak choćby sieci energetyczne czy służba zdrowia, nie podejmą działań w kierunku zbliżenia się do realizacji zaleceń RODO, jest ryzyko, że będą musieli zapłacić naprawdę wysokie kary – mówił w rozmowie z portalem Newseria Biznes Marek Najmajer, dyrektor ds. sprzedaży w Linux Polska.
Nowe przepisy RODO będą obowiązywać od maja przyszłego roku. Zgodnie z nimi za przetwarzanie danych przez osobę nieuprawnioną, udostępnianie danych takim osobom czy naruszenie obowiązku zabezpieczenia danych firma będzie musiała liczyć się z karą w wysokości 20 mln euro lub 4% światowego obrotu firmy. AllClear ID przewiduje karę 4,7 mld w ciągu pierwszych trzech lat dla banków, które do tych zmian się nie dostosują.
Polski rynek jest o wiele mniejszy. Biorąc pod uwagę udział PKB Polski w PKB UE, możemy szacować, że kary na polskim rynku mogą sięgać kilkuset milionów euro, ale też dużo zależy od regulatorów wewnętrznych – tłumaczy Marek Najmajer.
Z kolei firma Consut Hyperion podaje, że w ciągu minionej dekady największe banki padły ofiarą cyberataku 27 razy. Niektóre z nich nawet kilka razy. Firma Digital Transformation Institute Capgemini w swoim raporcie informuje, że 1 na 4 firmy z branży finansowej spotkała się już z naruszeniem cyberbezpieczeństwa.
Maksymalny wymiar kary będzie wtedy, gdy dojdzie do wycieku danych wszystkich klientów przy braku jakichkolwiek dodatkowych zabezpieczeń. Obecnie duże instytucje mają już tzw. systemy SIEM (Security Information and Event Management),, które są w stanie analizować i wykrywać ataki hakerskie, to jednak wciąż za mało. Istniejące rozwiązania należałoby wzbogacić o dodatkową warstwę informacji o np. zakresie zgody podmiotu do udostępnienia danych osobowych, kwestii przekazania danych osobowych do stron trzecich – wyjaśnia Marek Najmajer.
Przepisy zaczną obowiązywać za mniej niż rok, zarządcom firm nie pozostało więc zbyt wiele czasu. Co więcej, szanse na wyciek danych wciąż pozostają duże. Nawet pomimo wprowadzania odpowiednich zabezpieczeń i przekazywania na ten cel sporej ilości funduszy, firma nie może mieć nigdy pewności. Charakter takich ataków często się zmienia, przez co każdy system zabezpieczeń może okazać się niewystarczający. Marek Najmajer obawia się, że niektóre firmy mogą nie zdążyć ze zmianą zabezpieczeń przed nadejściem nowych przepisów. W jego ocenie, wiele jednostek jeszcze nie rozpoczęło przygotowań.
Capgemini podaje, że 32% firm określiło się jako te, które dokonały dużych postępów w zakresie zmiany systemu zabezpieczeń przed cyberatakami.
Nowe przepisy będą obowiązywać każdą firmę, która przetwarza dane osobowe obywateli z Europy. Mogą one mieć wpływ także na banki i ubezpieczycieli z USA czy Azji.
Można zinwentaryzować wszystkie zbiory danych osobowych oraz dokonać przeglądu procesów biznesowych, w których posługujemy się tymi danymi. Po analizie trzeba sklasyfikować dane – w zależności od tego, czy są to dane wrażliwe, jest też kwestia dodatkowej ochrony: szyfrowanie czy pseudonimizacja tak, aby nieupoważniony analityk miał tylko podstawowe informacje, ale bez imienia i nazwiska oraz dodatkowych danych identyfikujących. Następnie jest kwestia retencji, czyli przez jaki czas dane mają być przechowywane, jak długo po skończeniu świadczenia usługi, co z klientami, którym wprawdzie skończyła się usługa, ale za chwilę chcemy mu sprzedać coś innego – mówi Marek Najmajer.
Źródło: Newseria Biznes