Ponad połowa firm w Polsce nie słyszała o GDPR

Unijne przepisy o ochronie GDPR, które wejdą w życie w maju 2018 r., oznaczają prawdziwą rewolucję w dziedzinie przetwarzania danych osobowych. Chodzi nie tylko o gromadzone numery PESEL czy adresy zamieszkania, lecz także o wszystkie informacje, które umożliwiają identyfikację osób fizycznych, w tym również adresy IP czy identyfikatory zamieszczone w plikach cookies. Według danych przedstawionych przez SAS Institute tylko 3 proc. przedsiębiorstw jest przygotowanych na nadchodzące zmiany.

Przedsiębiorcy niedoinformowani

– Realizacja nowych wytycznych może okazać się problematyczna, zwłaszcza dla przedsiębiorstw z sektora MŚP – twierdzi Tomasz Rozdżestwieński z Atmana, firmy działającej na rynku centrów danych.

Według niego problemem jest fakt, że przepisy wymagają specjalistycznego podejścia do zmiany polityki bezpieczeństwa informacji. – Mowa tutaj choćby o konieczności oceny ochrony danych osobowych już na etapie projektowania rozwiązań, czyli tzw. privacy by design, czy też konieczności przeprowadzenia analizy ryzyka utraty prywatności (privacy impact assessment – red.) oraz stworzenia planu reakcji na incydent zagrażający bezpieczeństwu (breach response plan – red.), które nie zostały do końca jasno sprecyzowane przez regulatora – dodaje ekspert.

Jego zdaniem w efekcie organizacje, które nie mają w swoim zespole doświadczonych specjalistów w zakresie cyberbezpieczeństwa, mogą mieć ogromne problemy z przygotowaniem swojej infrastruktury tak, by nie narazić się na ewentualne sankcje. – Związane jest to również z nakładami finansowymi, które dla sektora MŚP mogą okazać się barierą przy wdrażaniu bezpiecznych rozwiązań – tłumaczy Tomasz Rozdżestwieński.

W naszym kraju problemem jest również niedoinformowanie społeczeństwa w kwestii nowego aktu prawnego. Z badania przeprowadzonego przez instytut badawczy ARC Rynek i Opinia wynika, że nie słyszało o nim aż 52 proc. polskich przedsiębiorstw, połowa nie dysponuje procedurami i narzędziami gwarantującymi konsumentowi prawo do całkowitego usunięcia jego danych osobowych z systemu, a 42 proc. nie wdrożyło procedur informowania właściwego organu o naruszeniach prywatności cyfrowych profili osobowych.

Jak pokazuje raport Trend Micro oraz VMware, aż 67 proc. przedsiębiorców nie wie, ile czasu pozostało do wdrożenia nowych przepisów. Wielu badanych nie jest nawet świadomych tego, że nowe rozporządzenie dotyczy wszystkich firm – niezależnie od wielkości (w tym mikroprzedsiębiorstw i firm jednoosobowych).

Trzeba zmienić sposób myślenia o danych

Według Intel Security 95 proc. firm na co dzień doświadcza skutków ataków cyberprzestępców, a tylko 35 proc. jeszcze niedawno było w stanie zgłosić naruszenie danych w ciągu trzech dni, czyli w czasie, który wymagany jest przez wchodzącą w życie 25 maja 2018 r. ustawę GDPR.

Dane Intel Security i Vanson Bourne wskazują, że w 2015 r. od wykrycia naruszenia do jego zgłoszenia upływało średnio osiem dni, przy czym 1/5 badanych przedsiębiorstw zajmowało to aż dwa tygodnie.

Kolejna ankieta wśród 2,5 tys. ekspertów IT pokazała, że w 2016 r. ok. 54 proc. organizacji nadal nie zwiększyło gotowości do wprowadzenia i przestrzegania zapisów nowego rozporządzenia. – Przed firmami, ale i przed producentami oraz dostawcami rozwiązań bezpieczeństwa dużo pracy, której efektem będzie przygotowanie przedsiębiorstw do wdrożenia nowych regulacji. Naszą wspólną odpowiedzialnością jest szerzenie wiedzy na temat cyberbezpieczeństwa, działań hakerów i sposobów ochrony – komentuje Arkadiusz Krawczyk, country manager w Intel Security Poland. – Wiemy, że firmy nie informują o naruszeniach danych z wielu powodów, także dlatego, że jest to dla nich kosztowne lub grozi im utratą reputacji. Musimy zmienić sposób myślenia o bezpieczeństwie danych osobowych – ono jest ważniejsze niż ewentualne straty firmy – podkreśla.

Według niego odpowiednie rozwiązania technologiczne umożliwiają organizacjom podniesienie ogólnego poziomu bezpieczeństwa i skuteczniejszą ochronę cennych danych. Globalne badanie Dell z 2016 r. pokazuje jednak, że 97 proc. przedsiębiorstw nie ma planu przygotowań do spełnienia wymogów GDPR, a tylko 9 proc. uważa, że ich firmy będą w pełni gotowe do spełnienia nowych wymogów w chwili wejścia w życie rozporządzenia GDPR.

Jednocześnie 82 proc. osób odpowiedzialnych za bezpieczeństwo danych w firmach – zarówno w małych i średnich, jak i dużych korporacjach – jest zaniepokojonych kwestią spełnienia wymogów nowych regulacji. 70 proc. ankietowanych twierdzi, że nie jest jeszcze przygotowanych na GDPR lub nie wie nic o stanie przygotowania swojej firmy. Tylko 3 proc. ma stosowny plan wdrożeń.