Management firem není připravený na GDPR

Průzkum společnosti Trend Micro potvrdil velmi dobré povědomí o principech GDPR, přičemž celých 95 % vedoucích představitelů firem ví o povinnosti toto nařízení dodržovat a 85 % dotázaných se již s požadavky nového právního předpisu pro ochranu osobních údajů seznámilo. O tom, že svá data chrání nejlepším možným způsobem, je přesvědčeno 79 % firem. Analytická firma Gartner navzdory tomu předpovídá, že do konce roku 2018 nedosáhne plného souladu s GDPR více než polovina společností, a doporučuje, aby se organizace začaly připravovat co nejdříve a zaměřily se přitom na pětici nejdůležitějších oblastí.

Bohužel i přes toto povědomí existují určité nejasnosti v tom, jaké osobní údaje musí být chráněné. Například 64 % dotázaných nevědělo, že mezi osobní údaje patří i datum narození zákazníka. Obdobně 42 % netušilo, že to platí i pro marketingové databáze s e‑mailovými adresami. Fyzickou adresu jako osobní údaj nevnímá 32 % respondentů a e‑mailovou adresu 21 % dotázaných. Výsledky průzkumu tedy ukazují, že firmy nejsou připravené nebo zabezpečené tak dobře, jak se jejich management domnívá. Ve skutečnosti mají hackeři v uvedených informacích vše potřebné k tomu, aby mohli zákazníky jednoznačně identifikovat, a jakékoli firmě, která tyto údaje dostatečně nechrání, tak hrozí vysoké pokuty.

Cena za nepřipravenost

Z průzkumu vyplývá, že ohromujících 66 % respondentů si neuvědomuje výši sankcí, kterým mohou firmy čelit v případě nesplnění nových bezpečnostních povinností – o pokutách až čtyři procenta z ročního obratu ví pouze 33 procent dotázaných. Nicméně za nejhorší problém spojený s případným únikem dat považují dvě třetiny firem poškození pověsti a dobrého jména organizace, přičemž 46 % účastníků průzkumu uvedlo, že největší dopad by to mělo na stávající zákazníky. Jde o velmi znepokojivá zjištění, protože důsledkem porušení povinností souvisejících s GDPR by mohl být i krach celé firmy.

Zodpovědnost jednotlivých rolí

Společnost Trend Micro z průzkumu dále zjistila, že firmy přesně neví, kdo je zodpovědný za případný únik dat podléhajících GDPR v případě, že využívají poskytovatele služeb na území Spojených států amerických. Pouze 14 % respondentů správně identifikovalo, že odpovědnost je za takové situace na obou stranách. Nadpoloviční většina – 51 % – se domnívá, že sankce jsou záležitostí pouze evropské firmy, zatímco o výhradní zodpovědnosti amerického poskytovatele je přesvědčeno 24 % dotázaných.

Průzkum navíc ukázal, že organizace nemají zcela jasno ani v tom, kdo ve firmě by měl být za zajištění souladu s GDPR zodpovědný. 31 % dotázaných se domnívá, že toto zajištění je v gesci generálních ředitelů, zatímco ředitelům pro zabezpečení IT a jejich bezpečnostním týmům tuto roli přisoudilo 27 % respondentů. Jenže vedoucí pozici, která by byla za GDPR opravdu zodpovědná, má v současnosti obsazenou pouze 21 % firem. Na IT oddělení se z tohoto pohledu spoléhá 65 % společností, kdežto na vrcholový management či na další vedoucí pracovníky pouze 22 % firem.

Technologické požadavky

Počítačové hrozby jsou dnes stále sofistikovanější a firmy často pro efektivní obranu postrádají dostatek odborných znalostí. Nařízení GDPR přitom přináší povinnost využívat technologie, které si poradí i s nejnovějšími bezpečnostními riziky. Ale jen 34 % implementovalo pokročilé funkce pro identifikaci útočníků, 33 % investovalo do technologií pro prevenci proti únikům dat a 31 % využívá nějakou formu šifrování.