WAF a DDoS vám pomohou na cestě k GDPR

Obecné nařízení o ochraně údajů (GDPR) je největší reforma v zákoně o ochraně údajů v posledních 20 letech. Cílem nové sady pravidel je předat zpět kontrolu občanům EU nad jejich osobními údaji a zjednodušení regulačního prostředí pro podnikání prostřednictvím sjednocení napříč členskými státy EU. Nařízení poskytuje ochranu o zpracování osobních údajů a o volném pohybu těchto údajů a bude platné od 25. května 2018.

Data jsou měnou dnešní digitální ekonomiky, ropou 21. století. Osobní údaje jsou považovány za naše ekonomická aktiva generující naši identitu, chování a my ji vyměňujeme za kvalitnější služby a produkty. On-line platformy působí jako prostředníci v oboustranném trhu sběrem dat od spotřebitelů a prodejem reklamních časů společnostem. Výměnou za naše shromážděná data dostaneme to, co se zdá být bezplatnou službou. 

Růst a tržní kapitalizace poskytovatelů sociálních platforem, jako je Facebook a vyhledávačů, jako je Google demonstruje hodnotu osobních údajů. Objevují se nové způsoby, jak pomocí osobních údajů zpeněžit služby, jakými jsou například odběry novinek, zprávy a dalšího obsahu. Organizace zjistily, že je obtížné získat „skutečné“ peníze za digitální zprávy, ale naopak není problém využít ochotu zaplatit za výběr zpráv „zdarma“ našimi osobními údaji. Každá třetí ze čtyř osob preferuje bezplatnou registraci se selektivním přístupem před placenou registrací s přístupem plným.

Příležitost dělá zloděje

Sdílení informací o čemkoliv na Facebooku, zveřejnění fotky se současnými GPS souřadnicemi v meta datech na Instagramu, využití Foursquare k najití místa, kde se dá dobře najíst a napít… Koupili jste si hezké nové auto, zveřejnili obrázek na Facebooku. Rozmazali jste předtím poznávací značku? Jiný příklad – rodinný snímek v restauraci, kreditní karta zachycena ležící na stole před vámi… To je jen několik příkladů úniku sociálních a osobních údajů, které mohou zloději využít.

Kyberzločin je na vzestupu, zneužití osobních údajů ať už k prodeji či vydírání se mnohonásobně vyplácí. Narušení a únik osobních záznamů může být zneužito jako strategie pro znehodnocení hodnoty firmy (útok na Yahoo!) nebo zničení důvěry zákazníka ve firmu. Jen v roce 2016 bylo nahlášeno 2,2 mld. ukradených záznamů při téměř 3 000 narušení bezpečnosti. Evidentně to není konec, jelikož od nového roku došlo k 1,5 milionům úniků uživatelských údajů poté, co ASEA (Esports Entertainment Association) odmítla zaplatit $100 000 výkupné.

GDPR

V lednu roku 2012 navrhla Evropská komise rozsáhlou reformu ochrany osobních dat v rámci Evropské unie. Obecné nařízení o ochraně osobních údajů (GDPR) je největší reformou za posledních 20 let. Předmětem nové sady pravidel je navrácení kontroly obyvatelům EU nad svými osobními údaji prostřednictvím sjednocení napříč členskými státy. Nařízení poskytuje ochranu zpracování osobních údajů a o volném pohybu těchto údajů a bude platné od 25. května 2018.

Vytváření obchodních příležitostí

Průzkum mezi zákazníky v posledních letech ukazuje pokles důvěry a zvýšení obav o ochranu a zpracování osobních údajů, a to je předpokladem pro vliv na růst digitálních technologií v budoucnu. Pro občany EU znamená GDPR posílení jejich individuálních práv, zatímco podniky obnoví důvěru svých zákazníků. GDPR vytváří obchodní příležitosti pro zavedené organizace, malé i velké, členské EU i zahraniční organizace a množství manévrovacího prostoru pro cloudové společnosti z EU pro schopnost konkurovat ve velkém měřítku zavedeným poskytovatelům cloudových služeb z celého světa v rámci trhu EU. Toto nové nařízení poskytne jednu zastávku v nákupu pro firmy podnikající v EU, s kterými se vypořádá jediný orgán dohledu. Jediný zákon, který ušetří peníze a podnítí obchod v rámci celé EU.

Donucovací opatření

Odvrácenou stranou GDPR je celá řada nových regulačních pravidel a opatření k dodržování pro organizaci, která řídí nebo zpracovává jakoukoli formu osobních údajů. Osobní údaje jsou interpretovány v širokém slova smyslu a týkají se jakékoli informace o jednotlivci, ať už se týkají soukromého, profesního nebo veřejného života a může to být cokoliv, od jména, fotografie, e-mailová adresy, finančních detailů, příspěvků na sociálních sítích, nebo dokonce IP adresy počítače. Nedodržení GDPR se setká s nucenou akcí, včetně pokuty až do výše 20.000.000 € nebo 4 % ročního celosvětového výnosu společnosti, která čelí porušení pravidel ochrany osobních údajů. GDPR obsahuje ustanovení, které podporují odpovědnost a řízení, které může být předmětem auditu o nedodržování nařízení, což vede ke správní pokutě až do výše 10.000.000 € nebo 2 % z ročního celosvětového příjmu.

Globální rozsah působnosti

Kdykoliv bude chtít společnost obchodovat nebo podnikat s jedním nebo s několika členskými státy EU, bude muset prokázat přiměřenost – jinými slovy, její standardy ochrany údajů by měl být ekvivalentní s GDPR EU od května 2018. Toto nařízení prakticky udělá GDPR globální, celosvětovou regulací ovlivňující organizace a podniky po celém světě.

Co to znamená pro on-line podnikání a poskytovatele cloudových služeb?

Pro on-line podnikání a poskytovatele cloudových služeb dodržování GDPR znamená dodržování zásad "Privacy by Design"(ochrana soukromí již ve fázi přípravy zpracování) a "Data Protection by Design" v průběhu návrhu, vývoje, implementace a nasazení webových aplikací či služeb a všechny součásti nebo služby s nimi spojené. Vzhledem k rychlému přijetí cloudových služeb panuje zvýšená obava, pokud jde o připravenost těchto aplikací a služeb. Nedávná studie provedená společností Symantec / Bluecoat ukazuje, že 98 % dnešních cloudových aplikací se ani nepřibližuje k tomu být „GDPR-ready“.

WAF/DDoS a GDPR

Na základě bodu odůvodnění číslo 39 z GDPR by měly být osobní údaje zpracovávány způsobem, který zajistí náležitou bezpečnost a utajení, včetně zabránění neoprávněnému přístupu k nebo použití osobních údajů a zařízení používanému pro zpracování. Bod odůvodnění číslo 49 jde ještě dále a vyžaduje schopnost sítě nebo informačního systému odolávat náhodným událostem nebo nezákonným či škodlivým akcím, které narušují dostupnost, pravost, integritu a důvěrnost uchovávaných či přenášených osobních údajů a bezpečnost souvisejících služeb poskytovaných nebo přístupných prostřednictvím těchto sítí a systémů. Tento bod odůvodnění doslova říká: „Toto může například zahrnovat zabránění neoprávněného přístupu k sítím elektronických komunikací a šíření škodlivých kódů a zastavení útoků ‚denial of service‘ a škod na počítačových a elektronických komunikačních systémech."

Většina firem bude čelit naléhavé potřebě zvýšit ochranu publikovaných aplikací, služeb a prevenci úniku dat, Access Control, prevenci Web-based útoků a Denial-of-Service prevenci. Přední poskytovatelé cloudu a on-premise webové aplikace a služby na ochranu API, stejně jako on-demand, always on cloud a hybridní služby Denial-of-Service mitigace si zajistí adekvátní řešení pro akutní nouzi. Plně spravovaná služba WAF a DDoS Cloud poskytuje rychlou cestu k splnění jednoho z bodů regulačního nařízení a naplnění strategie GDPR.

 

Hledáte způsoby, jak se bránit DDoS útokům? Pak je tady pro Vás DDoS Handbook ke stažení v anglickém jazyce od společnosti Radware.

Publikováno: 2017 03 14    |     Zpět na seznam aktualit
Přejete si zasílat náš NEWSLETTER? ANO, mám zájem

Dokument

PRO VÁS
popup





Uděluji souhlas s tím, aby společnost VUMS DataCom, s.r.o. se sídlem Lužná 591, 16000 Praha 6, IČ: 48585611, zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 17811, shromažďovala a zpracovávala v souladu se zákonem č. 101/2000 Sb. v platném znění, moje jméno a emailovou adresu a další poskytnuté osobní údaje k zařazení do databáze za účelem nabízení výrobků, služeb a zasílání obchodních sdělení prostřednictvím elektronických prostředků dle platného zákona č. 480/2004 Sb., a to na dobu neurčitou do odvolání.