Ще има още проверки и глоби за личните данни

Спас Иванов – експерт по киберсигурност в компанията IT Baseline, Бизнес старт, 03.09.2019 г.

Спас Иванов Спас Иванов

Регулаторите натрупаха опит за това, как да се проверяват компаниите, а самите компании претендират, че са въвели достатъчно мерки, и разминаването в тях води до тези тежки санкции. Това ще е само първата вълна санкции, защото когато Регламента по GDPR влезе в сила на 25 май 2018 г., имаше негласно съгласие компаниите да бъдат оставени „на мира“ за да могат да се адаптират и никъде в Европа не се правеха проверки. Този период явно свърши, каза Спас Иванов – експерт по киберсигурност в компанията IT Baseline, в предаването Бизнес старт с водещ Христо Николов.

"Този Регламент беше въведен от ЕС, за да защити своите граждани. Когато някой не опазва данните им, ще бъде санкциониран, и то сериозно. Сегашните глоби са по повод на някакви инциденти, които са станали известни. Очаквам тепърва в Европа контролните органи да правят някакви проверки проактивно, т.е. преди да се случват каквито и да е инциденти, те да проверяват администратори на лични данни, които имат твърде голям обем на обработка или има съмнения за работата им", каза Иванов.

Тези компании, които смятат, че Регламента ще отпадне, няма да се случи в България, няма да има проверки и глоби, е крайно време да се замислят дали подхода им е правилен, допълни той.

Ако НАП остане само с глобата и не бъде потърсена отговорност от хората, които са извършили или неизвършили конкретни действия, няма да има особен резултат. Но пък глобата има чисто психологически ефект върху останалия български бизнес, на който трябва да му светне една голяма червена лампа - „Ако НАП ги глобяват с пет милиона лева, какво остава за мен?“  Когато имаме действащ закон и орган, който да глобява за настъпили вреди, то тази санкция към НАП трябваше да бъде наложена. Оттук въпроса е какво следва? Ако нещата останат по-старому, и нищо не се промени, и България като държава може да бъде санкционирана, затова че не прилага въпросния регламент както трябва, посочи експертът.

"Това, което ние като бизнес виждаме е, че нашите клиенти не разполагат с достатъчно информация, за да могат да съобщят на контролния орган за инцидент с информационната сигурност. Нямат механизми, с които да докладват – ето го проблема, дайте да видим какво можем да направим. Тогава санкцията би трябвало да е нищожна или дори да я няма", каза Иванов.

Санкцията срещу ДСК е наложена поради същата причина – не са приложени подходящи технически мерки. Не се мониторира инфраструктурата на дадена организация.

В официалното становище на ДСК се говори за подхвърлен диск върху чистачките на определен субект, който се опитвал после да ги предаде на банката – цялата история прилича малко на филм, но в крайна сметка банката няма да обжалва санкцията и ще я плати. Оттук следват изводите за самата организация, в случая ДСК, какво да предприеме. Тя още не е уведомила персонално засегнатите потребители, съобщението на сайта не значи, че са си свършили работата, посочи експертът.

Още по темата

Банка ДСК трябва да има Длъжностно лице за личните данни, т.нар. DPO, чиито контакти трябва да са на сайта. Всеки, който се почувства засегнат или притеснен, следва да пише на съответния човек и да поиска информация какви данни са изтекли за него, кога и как са изтекли. Въз основа на тази информация после всеки човек може да прецени дали да отиде и да потърси правата си в съда, обясни Иванов.

"Аз не съм виждал „натопяване“ в този бизнес, но явно ТАД груп ще използват всички методи за защита, които могат да измислят. С оглед на това, което сме видели като доказателства дотук (ако то не е манипулирано, разбира се) категорично считам, че те сами са забъркали тази каша", каза той.

В сегашния НК трактовката киберпрестъпления е доста неясна. Тук обаче възниква казуса, когато се опитваш да докладваш на друга компания или на държавата за слабост която ти си открил, да не бъдеш вкаран в затвора. В много държави има програми, които възнаграждават хората, които помагат за откриване на подобни бъгове и слабости. Такова нещо тепърва трябва да се обсъди в България. Един киберпрестъпник може без да става от компютъра си да нанесе щети на изключително много хора, докато при физическите престъпления пострадалите са един-двама-трима обикновено. Категорично трябват тежки наказания, които да възпрат всеки „млад герой“, който иска да тръгне по този път, заключи Николов.


Повече вижте във видеото

Последни новини
Още от България