Kdo ima v lasti naše podatke?

Seveda bi morali biti lastniki svojih podatkov mi sami. Pa je temu res tako?

Pred nekaj dnevi sem se med odmorom za kavo pogovarjal s prijateljem, ki se je takrat pravkar selil v novo stanovanje. Ravno je zaključil z urejanjem papirjev in dobil ključe novega domovanja, njegova družina pa je bila medtem še vedno v drugi državi. Čakali so, da uredi vse potrebno, da se bodo lahko kar se da nemoteno preselili tudi sami. Ker jih je hotel presenetiti, je bil poleg podjetij za javne storitve, tj. dobaviteljev vode, električne energije, komunalnih storitev ipd., edini, ki je poznal novi naslov.

Ob prihodu v nov dom jih je pričakal že poln poštni nabiralnik, čeprav o svojem naslovu niso obvestili nikogar. V njem je bilo veliko promocijskega gradiva, ki je bilo pravilno naslovljeno na vse štiri člane družine. Čeprav je bilo lepo vedeti, kje sta najbližja telovadnica in igrišče za sina ali kje lahko hčerka izpopolnjuje spretnosti igranja na violino, je bilo še vedno precej zastrašujoče dejstvo, da so omenjena podjetja toliko vedela o družini in da so vse te informacije pridobila brez njihovega soglasja.

Očitno je, da so v tem primeru komunalna podjetja njihove podatke »prodala« marketinškim agencijam kot tretjim osebam.

Vprašanje, ki se tu poraja, je, ali je podobne primere mogoče zaslediti tudi v digitalnem, kibernetskem svetu. Večina nas je gotovo imela vsaj enkrat v življenju možnost prenesti aplikacijo na svoj pametni telefon ali tablični računalnik. Ste se pri prenosu BREZPLAČNE igrice ali raznovrstnih aplikacij, s katerimi se lahko med drugim recimo naučite pravilno zavezati kravato, kdaj vprašali, zakaj aplikacija potrebuje dostop do vašega imenika in podatkov o lokaciji ali celo do vaših slik in video posnetkov? Odgovor na to vprašanje je, da nič na tem svetu ni BREZPLAČNO. Če je aplikacija BREZPLAČNA, to pomeni le, da blago ni aplikacija, temveč ste blago vi, ali natančneje, vaši podatki, ki se znajdejo v prodaji.

To pa je šele začetek. Vsak dan se zgodi, da nas kdo vpraša, ali mu lahko posredujemo svoje osebne identifikacijske podatke oziroma »personal identifiable information« ali PII – od različnih vladnih in javnih subjektov do zasebnih družb in komunalnih podjetij. Da me ne bi narobe razumeli – obstajajo seveda primeri, v katerih te organizacije potrebujejo nekatere informacije od vas in imajo tudi pravico do njihove pridobitve. Vendar pa je tudi veliko primerov, ko ljudi prosijo, da zagotovijo veliko več podatkov, kot jih v resnici potrebujejo. Še vedno pa nekaj vprašanj ostaja odprtih, in sicer, ali smo lahko stoodstotno prepričani o tem, kako nameravajo uporabiti te informacije. Kako varni so pri njih naši podatki? Kako jih varujejo? Ali smo lahko prepričani, da podjetja nadzirajo ali vsaj spremljajo, kdo ima dostop do naših podatkov in kaj z njim počne?

Dobra novica je, da državljani vsaj na papirju uživamo zaščito z nacionalno zakonodajo o varnosti podatkov, torej z zakoni o varstvu osebnih identifikacijskih podatkov ipd., na ravni EU pa je to zagotovljeno s Splošno uredbo o varstvu podatkov (GDPR), ki bo stopila v veljavo 25. maja 2018.

V pogovorih s strankami podjetja IBM v zadnjih letih opažam, da se te še vedno soočajo z različnimi težavami, kot so osnovno vodenje dnevnikov, uporaba dodatnih orodij, neupoštevanje dovoljenj, nezmožnost prepoznavanja ključnih podatkov, nezmožnost pridobivanja vrednosti uporabljenih orodij, odsotnost načrta odzivanja v primeru incidentov itd.

Zakaj je to tako težko? Za tako stanje obstaja nekaj razlogov

• Prvi je ta, da so podjetja preobremenjena s podatki, zato za odkritje kršitve običajno potrebujejo več kot 200 dni.
• Drugi razlog je ta, da je treba upoštevati vrzeli. Skupna težava večine podjetij je vrzel, ki nastane pri pomanjkanju usposobljenih varnostnih virov. Do leta 2020 naj bi bilo na področju kibernetske varnosti kar 1,8 milijona nezasedenih delovnih mest!
• Zadnja težava, s katero se soočajo podjetja, pa je kompleksnost orodij. V neki banki sem recimo opazil, da uporabljajo kar 85 različnih orodij, ki jih je dobavilo 45 različnih dobaviteljev varnostne opreme.

Ni presenetljivo, da vsako novo orodje prinese dodatne stroške namestitve, konfiguracije, upravljanja, nadgradenj in izboljšav. Glede na to, da se panoga srečuje z vrzeljo v znanju in veščinah, potrebno strokovno znanje ni vedno na voljo. Z naraščajočim številom groženj se poraja vedno večje število prodajalcev in orodij, kar povzroča še več sivih las.

Rezultat širjenja nabora varnostne opreme z razdeljenimi, med seboj nepovezanimi izdelki je tako še večja raven kompleksnosti, ne pa tudi izboljšanje splošne varnosti v organizaciji. In kakšen je rezultat vsega tega? Napihnjena infrastruktura, ki otežuje nadzor celotnega omrežja.

Zato trdimo, da je napočil čas, da privzamete bolj holističen pristop k vašemu naboru varnostne opreme. IBM Security Immune System je popolnoma integriran pristop, ki njegovim elementom omogoča rast in prilagoditev znotraj infrastrukture, v kateri delujejo vzajemno, s čimer skušajo izboljšati njihovo učinkovitost, inteligenco in preglednost ter zagotoviti pomembne vpoglede v celoten sistem.

IBM za 17.500 naročnikov v več kot 133 državah vsak dan spremlja kar 35 milijard varnostnih dogodkov. Z združitvijo sistema, imunega na težave z varnostjo, in naprednega kognitivnega računalništva organizacijam omogočamo nemoteno odkrivanje inovacij, medtem ko so njihovi najpomembnejši podatki in procesi ustrezno zaščiteni.

Tu se moramo vrniti na začetno vprašanje, saj se zdi, da je to tudi najbolj pomembno. Kako so naši podatki zaščiteni?

Avtor: Dejan Vuković, Vodja oddelka za varnost podatkov, IBM SEE