- 9 Iulie 2019
[VIDEO] Despre securitate cibernetică pentru startups și regulamentul GDPR. Răspunsurile specialistului
În acest context, discuția noastră cu specialistul BizTool.ro, Alex Gheorghe, este cu atât mai utilă pentru voi. Nu uitați că pe BizTool.ro, marketplace-ul de servicii powered by start-up.ro, găsiți și alți experți GDPR care vă pot ajuta să vă aliniați prevederilor regulamentului european privind protecția datelor cu caracter personal.
Alexandru Gheorghe este consilier juridic și specialist GDPR. Totodată, Alex este fondatorul propriului startup, denumit Inperspective Business, fiind listat și în rândul specialiștilor de pe BizTool.ro.
Urmăriți înregistrarea video a webinarului sau citiți transcriptul discuției și veți afla detalii despre cum, ca manageri sau fondatori de business, este nevoie să construiți o cultură a discreției în cadrul organizației voastre, cum trebuie să vă aduceți aproape colegii din echipă în momentul în care întocmiți planurile de securitate online și să-i faceți parte din procesul de prevenție a riscurilor.
Claudiu Jojatu, specialist digital și cofondator al proiectului Viața de freelancer, alături de care am discutat în primul webinar despre cum îți faci strategia de business, a fost gazda acestui webinar.
De profesie consilier juridic, Alex Gheorghe este pasionat de business-uri online și în special de domeniul e-commerce. Este certificat ca și Data Protection Officer (Responsabil cu Protecția Datelor) de PECB Europe și este certificat ca și Formator de adulți (Trainer).
Alex are o experiență totală de 12 ani în calitate de consilier juridic in-house, oferind consultanță și suport juridic companiilor deținute la nivel internațional, atât din România cât și din interiorul Uniunii Europene.
În cariera sa profesională, a trecut prin trei experiențe de fuziune comercială. A format și condus departamentul juridic al companiei Fashion Days pentru mai bine de 6 ani, a avut și are în continuare colaborări cu mai multe companii online din România precum Miniprix, Best Value și Crew Shop, BusinessMark, Ollie Gang Shop, Modarena, Northfinder și Nooh Media, precum și cu un startup din Irlanda denumit PowerTiz.
În prezent, activează ca Data Protection Officer în cadrul mai multor companii din România și oferă consultanță și training în domeniul protecției datelor cu caracter personal (GDPR) și e-privacy în cadrul propriului startup, denumit Inperspective Business.
Video-ul integral al webinarului îl poți vedea sau asculta dând click pe clipul de mai sus de pe YouTube. Dacă vrei să citești o parte dinte sfaturile specialistului, le poți vedea mai jos.
Cine este Alexandru Gheorghe și cu ce se ocupă el?Sunt jurist, am experiență de 12 ani în corporații din România deținute la nivel internațional. Sunt în prezent fondatorul unui startup care oferă consultanță cu privire la protecția datelor cu caracter personal și securitatea datelor, se numește Inperspective Business.
În ultimii 9 ani m-am focusat pe domeniul ecommerce. Am fost șeful departamentului juridic al Fashion Days timp de 6 ani și jumătate, și de atunci am rămas în această sferă online pe care m-am specializat.
Cum se potrivește partea de juridic cu cea de cybersecurity?Nu vreau să iau felia IT-știlor, care fac parte din departamentul IT și nu sunt chiar cei mai populari oameni din organizație. În opinia mea, ei ar trebui să fie, să înceapă sp fie, pentru că vine acest val al cybrsecurity-ului și în Europa de Est, care încă discută despre GDPR, pe care l-a descoperit și începe din ce în ce mai mult să îi descopere sensul și utilitatea, și este, așa cum spuneam, cybersecurity este tortul, iar GDPR este felia din acest tort. Cred că ar trebui să ne aplecăm și mai mult asupra subiectului de cybersecurity, să îl discutăm în toate mediile posibile, pentru că securitatea în această lume virtuală este, din punctul meu de vedere, esența vieții noastre în viitor.
Dacă tot ne așteaptă un nou val, hai să vedem ce înseamnă acest termen de cybersecurity, în română, securitate cibernetică, securitate digitală. Ce înseamnă el?Cybersecurity este modul prin care asigurăm confidențialitatea, integritatea și disponibilitatea informației care există în acest spațiu virtual care se numește cyberspace.
Pe scurt, securitatea cibernetică este un set de standarde. Un set de protocoale de securitate care sunt construite de fiecare industrie în parte, de fiecare organizație în parte, și acestea sunt instrumente tehnice, asigurări, trainingul angajaților face parte din aceste protocoale, și scopul este acela de a preveni atacurile cibernetice, atacurile care sunt destinate marilor sau micilor organizații care într-o anumită modalitate prelucrează date cu caracter personal.
Se aplică și are vreun impact, pentru că ai vorbit de companii mari, medii, mici, și la utilizatorul final? Influențează și omul de rând?Da. În special despre utilizatorul final este vorba. Utilizatorul final este obișnuit să distribuie totul. Chiar se spune că suntem generația care share-uiește tot. Nu există o cultură a discreției. Opinia mea este că ar trebui să dea de gândit faptul că, publicând orice aspect al vieții noastre, ne expunem și devenim foarte foarte vulnerabili.
Cu cât organizația este mai mică, riscurile sunt mai mici pentru că sunt gestionate mai puține informații, sunt mai puține mijloace prin care aceste informații sunt utilizate, mai puține platforme, mai puține sisteme informatice prin care sunt distribuite aceste informații.
Este vorba și despre tipurile de atacuri care sunt generate spre o companie, spre deosebire de o alta.
Amenințările cibernetice sunt clasificate în multe categorii, însă putem vorbi despre două mari categorii.
Sunt cele fundamentale, de bază, care pot să fie acoeprite dacă urmezi niște standarde de securitate publicate, cum este standardul ISO 27032, standardul privind securitatea informației. Eu cred că ar trebui să fie citit de orice nou antreprenor, de orice om care dorește să aibă o idee de business și dorește să o lanseze sub forma unei companii, o structură cu personalitate juridică.
Acolo este un ghid care oferă recomandări care trebuie integrate în activitatea pe care antreprenorul urmează să o aibă, pentru a se pune la adăpost.
Este și a doua categorie, aceea a atacurilor ultra-sofisticate. Bineînțeles că în anumite țări care au o economie cibernetică foarte bine dezvoltată, cum ar fi SUA, aceste ultra-sophisticated attacks devin un fel de average attacks. Ceea ce înseamnă că ei ar trebui să-și asigure alte resulte, altă investiție pentru a putea să facă față atacurilor cibernetice.
Iată că organizația cu cât este mai mare, cu atât este mai nesigură.
În ceea ce privește utilizatorul final, telefonul este un ”fast food tehnologic”. Termenul nu-mi aparține, l-am împrumutat în urma unei discuții. Este vorba despre faptul că telefonul mobile devine o destinație completă a tot ceea ce dorești să faci pe internet.
Practic, acest singur device devine o sursă foarte vulnerabilă și dacă atentezi la securitatea acestuia poți, practic, să obții o paletă foarte largă de informații pe care le poți folosi, dacă ești rău intenționat, în scopuri infracționale.
Spuneai de acest ghid ISO pe care ar trebui să-l citească fiecare antreprenor. Am încercat să citesc diverse ghiduri de acest gen și terminologia de acolo este destul de greu de înțeles. Ce recomanzi unui om care vrea să citească, dar nu înțelege?Limbajul specific nu ar trebui să reprezinte o barieră. Aș face apel la persoana care dorește să afle, cu adevărat, informații despre riscurile la care se supune, să nu se dea bătută, să continue să aprofundeze informația și să obțină păreri de la oameni avizați.
Ce exemple ai putea să dai dintr-un astfel de ghid?Ghidul este destul de mare, este un ghid aplicat care are conexuni cu alte ghiduri. Cum spuneam, cred că firul roșu este acela că, până la urmă, tu ești persoana care poate să controleze potențialul vulnerabil pe care îl are prin felul în care te comporți în spațiul virtual.
Este vorba despre această cultură a discreției. Nu mergem în nicio vacanță fără check-in, fără să punem poze peste poze. Au fost multe cazuri de oameni care șiau dat check-in din vacanță, au pus multe poze și când s-au întors acasă au găsit apartamentul spart. Sunt oameni care fac doar asta: speculează astfel de situații, de momente.
De asemenea există și un site care se numește ”I know where your cat lives”. Este un tip care a construit această rețea interconectată care preia pozele cu pisici postate de oameni și prin informațiile de localizare el a interconectat pozele de pe această pagină și transmite informațiile cu poza pisicii și cu locația exactă la care această pisică locuiește.
Mesajul nu este despre pisică, că el știe unde locuiește aceasta, e despre persoanele fizice care postează lucrurile astea.
Cine ar trebui să fie interesat și să abordeze partea asta de cybersecurity?În primul și primul rând, utilizatorul final. Fiecare persoană fizică ar trebui să fie conștientă de anumite aspecte legate de securitate, siguranța pe internet.
Un mare punct pe care eu aș merge este asigurarea transmiterii unei informații complete în rândul copiilor pentru că ei sunt foarte vulnerabili pe internet, în special cei care se joacă.
Jocurile nu mai arată așa cum arătau pe vremea mea și dacă eram conectat cu câțiva băieți din cartier, ne cunoșteam toți și nu exista cyberbullying în cadrul jocului sau link-uri introduse în cadrul jocului pe care le accesezi. Ne jucam cu oameni pe care-i cunoșteam.
Ei bine, acum, copiii se joacă internațional și cred că ei ar trebui să primească o educație cu privire la securitatea pe internet, însă, de asemenea, ar trebui să fim și foarte conștienți pe cine educăm. Cred că înainte de a aplica orice măsură educativă, trebuie să mergem între ei, să-i întrebăm pe ei, apropo de a-i face parte din procesul de educare.
Ce alt fel de amenințări mai există? Ai zis despre cyberbullying, e un subiect destul de fierbinte în perioada aceasta. Pe partea cealaltă sunt cele light, de genul spamming, phishing....Până la urmă, orice tip de utilizator trebuie făcut parte din procesul de educare. Chiar și angajații din companii.
Phishing depinde cât de dur, care este rezultatul....
...că dacă ți-a luat datele de card și toate datele de care are nevoie, atunci nu mai e light.Da, exact. Iar dacă suma preluată este 100-200 de lei, atunci mai e cum mai e. Dacă vorbim despre sume mai mari de bani, phishing-ul devine o rețea infracțională.
La alte tipuri de amențări mai intră furtul de identitate, este tot o componentă a phishing-ului, șantajul virtual, jaful virtual, ransomeware-ul (când sistemul este preluat de un black hacker care intră în rețea și preia toate sau o parte din informații și apoi îți transmite suma pentru care le poți primi înapoi), denial of service attack (momentul în care un server este populat cu un trafic neobișnuit, asta înseamnă că-i preiau controlul).
Industria de cyber attack este una de miliarde de euro în care hackerii investesc continuu. Este un business profitabil în care ei continuă să investească și sunt cu aproape o generație înaintea măsurilor de securitate.
Nu mai sunt puștii din garaj. Sunt rețele sofisticate și investesc în asta. Distribuie între ele mult mai multă informație decât o fac organizațiile care nu lucrează împreună.
Să revenim la partea de management în relație cu angajatul și niște exemple de bune practici?Angajații sunt cel mai mare activ al companiei dar pot fi și cel mai mare risc chiar dacă nu sunt rău-voitori.
Totuși, nu prea poți să arăți cu degetul când tu, ca organizație, ai o problemă. Și prin organizație mă refer la management. Dacă managementul companiei are o abordare de dezinteres față de aceste aspecte, atunci angajatul o va prelua. Este atât de simplu.
Modul cel mai eficient prin care poate fi gestionată o situație de risc este de a te pune în acea situație, ca un exercițiu, în mod repetat, stabilind o recurență, iar anagajții se obișnuiesc cu această atmosferă în care riscul poate să apară. Cam asta vrei să faci într-o organizație: să-ți pui problema.
Ce ar trebui să facă antreprenorul la început de drum, care are resurse limitate pentru a se securiza din punct de vedere tehnologic? Ce recomandări concrete ai pentru ei?Nu există o probabilitate că vei fi atacat. Vei fi atacat în mod sigur. Diferența este dată de modul în care ești pregătit să faci față acestui atac, să-l gestionezi.
Ar trebui să aibă o atenția sporită cu privire la ceea ce publică pe internet prin intermediul aplicațiilor și serviciilor oferite.
Ar trebui să selecteze cu atenție întrebările de securitate pe care le alege pentru a-și proteja datele.
Ar trebui să-și activeze setările de privacy și să citească politica de privacy a acestor platforme pe care le utilizează pentru a înțelege cum se pune problema, chiar dacă este o lectură plicticoasă. Trebuie să înțelegi despre ce este vorba.
Nu în ultimul rând, ar trebui să aloci timp pentru a asigura un backup al informațiilor. Iar aici nu mă refer doar la cloud. Mă refer și la faptul că ar putea exista informații importante pentru tine, cele pentru care ai putea fi atacat cu un ransomware, pe care să le ai și într-un mediu extern. Spre exemplu, pe un hard extern.
Și mai atac aici un subiect, acela de business continuity.
Ce înseamnă acest concept de business continuity?Sunt politici de asigurare a continuității afacerii, a continuității activității, în situații de criză. De cele mai multe ori vorbim despre calamități, vorbim despre intemperii, incendiu sau inundații. Ar trebui să fie niște asigurări în acest sens, și de asemenea, în orice politică de business continuity ar trebui să existe acea valiză în care orice antreprenor mai are încă un laptop ca backup, în care există aceleași informații care există și pe laptopul pe care el lucrează în mod obișnuit, există al doilea set de chei de la birou. Acea valiză care-i asigură continuitatea de zi cu zi în cazul în cea cea pe care o poartă cu el este furată. Cam ăsta este conceptul.
Și tot ca un concept de business continuity, angajații care lucrează cu volume mari de informații, care lucrează de foarte mult timp într-o organizație și, din anumite motive urmează să părăsească acel loc de muncă, asigurarea faptului că această persoană transferă toate informațiile către o alta care urmează să-i ia locul pentru a continua activitatea este absolut necesară.
Aș vrea să vorbim și despre GDPR. Suntem la un an distanță. Cum simți că stăm în termeni de protejare a datelor cu caracter personal?În opinia mea, interes este, ceea ce nu poate decât să mă bucure, însă interesul este limitat la modalitatea românească de a face lucrurile, de genul ”am prefera să fim implicați cât mai puțin, zi-ne cât face, purtăm o discuție și apoi să iasă actele”.
Mai durează până atingem un anume nivel al mentalității pentru a putea discuta productiv despre GDPR și despre datele cu caracter personal.
Sunt foarte mulțumit că nu mai prelucrăm frenetic CNP-ul. Aveam o adevărată manie să cerem CNP-ul peste tot.
Încă interesul de business primează, dar mergând între oameni și explicând faptul că au drepturi, au control asupra datelor personale, cred că lucrurile nu pot să meargă decât spre atingerea acestui scop al regulamentului GDPR.
Ce facem cu acele companii atât de speriate încât nu mai prelucrează deloc date?Unul dintre principiile care dau de furcă este cel al transparenței, iar problema care se pune este ”cât de transparent să fiu?! Să nu fiu prea transparent”. GDPR-ul, așa cum este interpretat, spune că nu există un anumit nivel al transparenței, pur și simplu, trebuie să fii transparent. Asta înseamnă că trebuie să asiguri o informare completă și corectă a persoanei fizice, a utilizatorului serviciului tău, a modului în care prelucrezi datele cu caracter personal, a faptului că el le deține în continuare, tu nu ești decât un detentor al acestor date, le deții temporar pentru că el ți le acordă într-un anume scop expres indicat.
Este bine că le este teamă pentru că legiuitorul GDPR s-a gândit că nicio organizație nu va introduce de bună voie, înțelegând conceptele sau alocând resursele pentru a le înțelege, în activitatea sa de zi cu zi. Era clar că le vor introduce forțat, ca exemplu și cuantumul acestor amenzi. Nu e joacă. De data asta te joci pe mulți bani. Cam ăsta este mesajul.
Au, însă, la dispoziție resursele necesare pentru a înțelege aceste prevederi și a le aplica.
Ce-am învățat noi ca piață în ultimul an de când este musai?Nu știu ce-am învățat, dar știu ce-ar fi trebuit să învățăm. Companiile știu că urmează să vină un val, dar îl ignoră până în momentul în care devine de ne-ignorat. Și atunci începe panica, începe degringolada, nu știi pe cine să contactezi mai întâi.
În 2017 eu am locuit în Irlanda și am decis să mă întorc în țară și să deschid această companie tocmai pentru că am văzut valul venind de acolo.
În Irlanda și în Marea Britanie, pentru că Marea Britanie este un reper permanent pentru Irlanda, ei organizau foarte multe emisiuni TV care aveau rol educativ pentru întreaga populație, fie ei antreprenori sau persoane fizice, cu privire la modul de aplicare al GDPR. Explicau noțiuni iar reprezentanți ai autorităților din ambele țări erau invitați permanenți ai acestor emisiuni și erau foarte accesibili. Organizau chiar workshop-uri gratuite, la care oricine putea să participe, și la care nu se făcea nimic altceva decât să se facă discuții aplicate asupra acestui regulament.