Să ne imaginăm un scenariu. Unul comun, în care posibilele situații de risc de expunere a datelor cu caracter personal sunt la tot pasul, însă cu tehnologia potrivită, toate aceste riscuri pot fi ameliorate, dacă nu chiar eliminate.
Să luăm exemplul unui agent de vânzări al unei bănci, care are un anume obiectiv de vânzări de credite ipotecare. Are o bază de clienți primită de la departamenul marketing, stocată sub forma unui fișier digital. Acești clienți au fost sunați de către o echipă de telemarketing a băncii și o parte din ei și-au exprimat interesul pentru produsele băncii. Agentul vine dimineață la sediul băncii, își copiază pe laptop lista de contacte din partea celor 10 clienți pe care îi va vizita în ziua respectivă, îi sună pe fiecare și își stabilește întâlniri. 5 dintre cei 10 clienți îi confirmă întâlnirea, așa că agentul nostru își ia laptopul și se îndreaptă către aceștia. Pentru că traficul e foarte aglomerat, decide să își lase mașina în parcare și să circule cu metroul. Laptopul e pus în siguranță în geantă și agentul nostru o păzește cât poate el de bine.
Până la acest moment, deja avem cel puțin două momente de expunere la risc a datelor: avea agentul dreptul să acceseze acele date? Probabil că da, având în vedere funcția, însă extrem de important este ca banca să fi implementat un sistem de administrare a accesului pe criterii legate de nevoia de business de a intra în anumite categorii de date în funcție de rol.
Odată urcat în metrou, riscul de furt sau pierdere a laptopului crește semnificativ. În situația în care se întâmplă acest risc, se pun următoarele întrebări: este dispozitivul mobil protejat prin criptare? Dacă este criptat, puteți chiar să vă puneți la adăpost de obligația de a notifica eventualii clienți ale căror date se aflau pe PC-ul respectiv. Similar, există soluții de protecție a credențialelor agentului, care salvează credențialele într-o mașină virtuală separată de sistemul principal.
De asemenea, care este sistemul de autentificare în domeniul băncii? Autentificarea cu o simplă parolă este considerată de specialiști extrem de riscantă - există studii care arată că 63% din incidentele de compromitere a datelor implică fie parole slabe, salvate automat ori pierdute (Verizon’s 2016 Data Breach Investigations Report). Printr-o soluție de autentificare multiplă (multi-factor authentification), încercarea de furt a credențialelor este mult îngreunată. Mai mult, cu o soluție de administrare a dispozitivelor mobile, banca are posibilitatea ca, în caz de furt sau pierdere, să șteargă cu totul contul agentului și datele atașate contului (remote wipe), astfel încât și dacă soluția de criptare nu a fost eficientă, datele să nu mai poată fi accesate.
Presupunem că agentul își continuă drumul și își vizitează primul client, îi introduce datele în aplicația de scoring a băncii, accesibilă online sau local, îi explică termenii și condițiile creditului, ratele pe care clientul urmează să le plătească și stabilesc să continue discuția în altă zi. Unul dintre clienți întreabă:
- De unde aveți datele mele, pentru că nu am lucrat niciodată cu banca dvs.?
Un răspuns de genul „de la colegii de la marketing, stați liniștit că nu cumpărăm baze de date” nu va satisface un client care și-a făcut temele. Sub imperiul noului Regulament, banca va trebui să dețină procedurile și sistemele necesare pentru a putea identifica sursa datelor cu caracter personal, baza legală în temeiul căreia utilizează acele date și scopurile aferente, terțele persoane cu care a partajat acele date și, la cererea persoanei fizice în cauză, chiar să șteargă datele personale din baza de date (cu anumite excepții, cum ar fi situația în care există o obligație legală de a păstra datele). În acest scop, un sistem de clasificare a datelor și de asociere a unor reguli diferite de acces și utilizare în funcție de caracterul lor, dar și de trasabilitate a datelor este extrem de util. Mai mult, există soluții tehnice care, în plus față de clasificare și restricționare acces, oferă posibilitatea de a retrage accesul la un document care conține date cu caracter personal în măsura în care din eroare documentul a ajuns la un alt destinatar decât cel intenționat.
Agentul de vânzări revine în sucursală, se conectează în domeniu și începe să introducă mai multe date despre clienții pe care tocmai i-a vizitat, astfel încât departamenul Marketing să poată rula campanii adaptate situației specifice a clienților în cauză. Completează datele în Soluția CRM a băncii, apoi își dă seama că e târziu și ar prefera să lucreze de acasă, așa că își copiază o serie de date ale clienților la care fusese cu câteva săptămâni în urmă și de la care aștepta un răspuns, și le trimite pe emailul personal ca să îi fie mai ușor când lucrează de acasă. Pentru companiile mai sofisticate, care permit accesul în domeniul băncii prin VPN, acesta poate părea un scenariu necredibil, însă un studiu IDC (U.S. Mobile Worker Population Forecast, 2016–2020 ) a arătat că 87% dintre managerii seniori ai marilor companii admit că încarcă cu regularitate documente sau date de business în emailul personal sau servicii cloud personale. Sunt multiple porțile de risc care se deschid în astfel de situații: încălcarea politicilor băncii de gestionare a informației, expunerea datelor care constituie secret bancar, creșterea semnificativă a vulnerabilității acelor date la furt cibernetic (aplicațiile și emailul personal sunt de obicei mult mai puțin protejate decât cele de business!). Mai mult, odată ajunse în domeniul personal, este imposibil pentru bancă să mai determine locurile în care au ajuns acestea, pierzând controlul asupra lor. Din nou, tehnologia vă poate ajuta prin soluții de control și restricționare a transferului de date în alte sisteme și blocarea copierii datelor din sisteme de business în aplicații de uz personal. Mai mult, documentele și alte tipuri de informații pot fi protejate cu soluții de management a informației (RMS) care să facă informația inteligibilă numai pentru anumite categorii de destinatari.
Revenind la agentul nostru de vânzări, după încă 3 luni, unul dintre clienții vizitați de acesta contactează banca și își exprimă nemulțumirea pentru faptul că datele lui sunt în posesia băncii, solicită ștergerea lor și confirmarea ștergerii lor de pe toate dispozitivele și din toate sursele. Cum știe banca faptul că aceste date se află și pe emailul personal al agentului de vânzări care, între timp, nu mai lucrează la bancă? Soluțiile de clasificare și trasabilitate a datelor sunt din nou importante în acest context.
Acestea sunt doar câteva exemple de soluții pe care tehnologia le poate oferi companiilor cu o activitate mai complexă pentru a răspunde cerințelor de conformitate impuse de noul Regulament. Din experiența companiei noastre, este foarte posibil ca multe dintre companii să aibă deja aceste soluții sau funcționalități în propriile programe de licențiere, dar ele să nu fie încă activate sau implementate la nivelul întregii companii. De aceea, în cadrul unui proces de evaluare a nivelului actual al companiei dvs față de cerințele Regulamentului, este absolut necesar să verificați ce anume sisteme sau funcționalități de protecție aveți deja la dispoziție și nu sunt activate, dar și ce sisteme, proceduri, procese trebuie să implementați în plus pentru a asigura un nivel adecvat de securitate a sistemelor, bazelor de date, PC-urilor și identității utilizatorilor dvs.
Articol scris în colaborare cu: Oana Terteleac, Windows Business Group Lead, și Alex Negrea, Technology Solutions Professional, Microsoft România.
Urmăriți Republica pe Google News
Urmăriți Republica pe Threads
Urmăriți Republica pe canalul de WhatsApp
Alătură-te comunității noastre. Scrie bine și argumentat și poți fi unul dintre editorialiștii platformei noastre.
De fiecare data cand primesc o scrisoare sau un pachet, postasul copiaza cu sarguinta aceste date intr-un carnetel zdentuit, pe care il poarta in buzunar. Pentru ca nu poate sa scrie pe genunchi, imi intra in casa.
Cateodata, pentru ca se simte prieten de familie (nu este), imi cere apa minerala (rece, si daca nu am rece, nu am macar gheata?) sau se duce la toaleta. In primul caz, eu trebuie sa parasesc camera, in al doilea o paraseste el, lasand carnetelul pe masa.
De cate secunde are nevoie pentru a-mi fotografia cartea de identitate cu telefonul? De cate secunde am nevoie EU pentru a fotografia macar cinci pagini cu datele personale ale vecinilor?
De ce este necesara prezentarea cartii de identitate la Posta Romana, atunci cand marile servicii de curierat (DHL, FedEX, UPS, chiar si ai nostri Cargus et all) nu au nevoie decat de o semnatura de primire?
Un mister.
Alt mister sunt operatorii de telefonie; am patit-o cu un operator de telefonie mobila, atunci cand nu imi functiona contul pentru plati online, iar tipa de la customer service mi-a cerut nici mai mult, nici mai putin decat parola contului. IN CLAR.
Bineinteles ca i-am spus ca nu am de gand sa i-o dau, iar ea s-a ratoit la mine ca altfel nu are cum sa-mi verifice contul. (?) Am cerut sa discut cu un manager, mai politicos decat domnisoara din first line, caruia i-am explicat din nou ca accesul la contul meu ii da acces in clar la datele mele bancare, deci nu ii voi da parola niciodata. Mi-a spus ca n-are ce face, asta e procedura, iar eu i-am spus ca e bine ca aceasta conversatie este inregistrata, pentru ca asa va ramane inregistrat, pentru posteritate, faptul ca pana nu isi schimba 'procedura' nu imi voi plati facturile.
In mod straniu, 'procedura' a fost schimbata in trei zile, sau nu existase, de fapt niciodata. Intr-o situatie din aceasta poti sa fii generos si sa banuiesti ca aveau back-end-ul blocat, si nu voiau sa recunoasca, sau sa nu fii generos si sa banuiesti altceva.
Ma rog.
--------------------
In rest, artcolul este bun, cu doua precizari - in general laptop-ul 'de serviciu' este criptat pana la Dumnezeu. Pana si laptopurile pentru public sunt acum protejate de recunoastere faciala si/sau amprente. Orice masina pe care ruleaza Windows 7+ este protejata de parola si pin.
De asemenea, un agent de vanzari al unei banci nu are acces propiu-zis la datele unui cont specific. In sistemul bancar, fiecare persoana care a lucrat cu o banca, sau mai multe, are o 'nota', care este semi-publica, adica bancile si-o comunica intre ele. Banca X nu stie cati bani ai la Banca Y, dar stie daca esti bun sau rau platnic, daca mai ai credite la alte banci, carduri de credit supra-expuse, etc.
Asta pentru ca BNR (si multe alte banci nationale) incearca sa tina sub control nivelul de indatorare privata, si cred ca curs multa cerneala la inceputul anilor 2000, cand incepuse nebunia de credit cu buletinul, si BNR a spus, clar, sa suma ratelor la creditele contractate de o familie nu trebuie sa depaseasca o treime din venitul lunar. Bancile comerciale au marait mult (limitarea creditarii nu este in mod necesar benefica cresterii economice bazate pe ciclul productie-consum-productie), si este evident o masura care reduce profitul din dobanzi al bancilor.
Dupa 2007, insa, masura respectiva si-a dovedit viablitatea; bancile comerciale romanesti nu au cazut, pe capete, asa cum s-a intamplat in alte parti. E adevarat ca au folosit momentul, si ca sucursalele romanesti ale marilor banci europene si-au cam acoperit pierderile din patria muma cu banii din sucursalele mai mici si mai sanatoase - dar regula a ramas in vigoare.
S-a vazut clar cine a 'cazut' atunci cand a venit criza - cei care isi facusera un sistem paralel de creditare sub-prime: constructorii de apartamente pe credit, marile lanturi de electrocasnice, care continuau sa crediteze cu buletinul, etc.
Banca Y este de fapt obligata sa ii spuna bancii X (si banca X e nu numai obligata, dar este si in interesul ei sa ceara aceste date) daca te apropii de pragul de indatorare. Nu in cifre, si nu ii va spune bancii X numarul tau de cont. Ii va comunica insa un calificativ, pe care agentul de vanzari al bancii X va stil sa il interpreteze, dar care nu inseamna nimic pentru un hacker.
ps: Fisele contin si CNP-ul fetitei noastre.
În vara anului trecut am primit un mesaj de la fi-miu ca să-i încarc cartela. Fi-miu este pe banii lui și nu mi-ar cere niciodată să-i încarc cartela... pentru că are abonament. :))
Ce au în comun cele două situații? Nici în primul caz și nici în al doilea n-am știut unde să sun pentru reclamație. Dacă m-ar putea ajuta cineva... i-aș fi recunoscător! Probabil și alții. Mulțam!
NU mai pierdeți vremea cu Poliția, nu va face nimic, vă faceți iluzii, veți avea stress, e păcat. Viața e, la urma urmelor, scurtă și frumoasă, nu vă pierdeți vremea cu instituții care nu fac nimic pentru a preveni infracțiuni ori cu infracțiuni mărunte, să zicem. Ei fac ceva doar dacă e o vreo crimă, mai ales dacă e un recidivist pe care l-au scăpat de 3-4-5 ori și, în final, nu au avut încotro și chiar l-au arestat. Diupă ce a omorât vreo 3-4 și a violat vreo 3-4-5 femei.
NU mai pierdeți vremea cu Poliția, nu va face nimic, vă faceți iluzii, veți avea stress, e păcat. Viața e, la urma urmelor, scurtă și frumoasă, nu vă pierdeți vremea cu instituții care nu fac nimic pentru a preveni infracțiuni ori cu infracțiuni mărunte, să zicem. Ei fac ceva doar dacă e o vreo crimă, mai ales dacă e un recidivist pe care l-au scăpat de 3-4-5 ori și, în final, nu au avut încotro și chiar l-au arestat. Diupă ce a omorât vreo 3-4 și a violat vreo 3-4-5 femei.
NU mai pierdeți vremea cu Poliția, nu va face nimic, vă faceți iluzii, veți avea stress, e păcat. Viața e, la urma urmelor, scurtă și frumoasă, nu vă pierdeți vremea cu instituții care nu fac nimic pentru a preveni infracțiuni ori cu infracțiuni mărunte, să zicem. Ei fac ceva doar dacă e o vreo crimă, mai ales dacă e un recidivist pe care l-au scăpat de 3-4-5 ori și, în final, nu au avut încotro și chiar l-au arestat. Diupă ce a omorât vreo 3-4 și a violat vreo 3-4-5 femei.
Nu trebuie sa uitam ca celularul lui A Merkel era inregistrat de NSA (ori CIA) in timp ce cel al lui Obama era copiat de serviciile Germane, ambii oameni de stat avand in fiecare dimineata pe birouri un rezumat a ceea ce era demn de remarcat din inregistrarile tuturor celor pe care-i doreau spionati. Nu trebuie sa uitam de un Snowden, Panama Papers, etc...
Uzand de resurse modice, oricine poate afla orice despre oricine, atata timp cat acel "orice" are oarecare semnificatie, a fost comunicat intr-un fel sau altul in ultimii 20 de ani ori, la extrem, exista consemnat pe o hartie care a fost vazuta de mai mult de o pereche de ochi.
Birocratiile din toata lumea consuma bugete enorme "prapadindu-se" de grija noastra, imaginand si instrumentand legislatii care "sanchi" ne asigura confidentialitatea datelor. Dincolo de populismul propogandei lor, probabil ca printre ei exista suficienti prosti care chiar sa creada ca macar propriile persoane vor fi ferite de hackerii profesionisti ori de ocazie. Absolut gretos!