Már egy átlagos magyar kis- és középvállalkozás informatikai környezetében is mellbevágó mennyiségben akadnak olyan műveletek, amelyek a GDPR előírások által érzékenynek tartott adatokat érintenek. Az IT biztonság több területén is védelmet nyújtó Panda Security mintaként két egymástól eltérő feladatkörű és tevékenységet végző szervezet informatikai hálózatának féléves tevékenységét monitorozta adatvédelmi szempontok alapján.
Egy informatikai profilú vállalkozás 25 gépből álló rendszerében, 2019. július és 2020. január közepe között több mint 270 ezer „GDPR-érzékeny”, vagyis személyes adatokat tartalmazó, fájlműveletet hajtottak végre. A kiválasztott egészségügyi intézménynél egy 80 gépes rendszerben jóval alacsonyabb volt ugyan az aktivitás, ám az adatbiztonsági szempontok szerint említendő lépések száma itt is megközelítette a 63,5 ezret. A legnagyobb arányban mindkét szervezetnél dokumentumok megnyitására volt példa, ám bőven végeztek tartalommódosítást, adattörlést, átnevezést és persze másolást is. A vizsgált időszak alatt a vállalkozásnál több mint 1500, míg a kórházban csaknem 3000 új fájl keletkezett.
Egy átlagos hazai társaság hálózatában éves szinten prognosztizálható több százezres adatérzékeny fájlművelet is arra utal, hogy már egy közepes, de akár egy kicsiny vállalkozásnál is roppant kényes feladat a GDPR előírásoknak való teljes körű megfelelés. A szóban forgó műveletek gyakorisága és mennyisége ugyanis hetek alatt könnyedén olyan mértékűre duzzadhat, amit erre fejlesztett informatikai eszközök segítsége nélkül szinte lehetetlen nyomon követni.
Az unió általános adatvédelmi rendelete lassan két éve hatályos, ezek az adatok viszont arra utalnak; hiába a bevezetés óta eltelt idő és a társaságoknál ezzel kapcsolatban azóta felhalmozott tapasztalat, hatékony informatikai megoldások nélkül a szabályozásnak való megfelelés embert próbáló feladat. Sokat kockáztatnak, akik ezen a területen nem eléggé tájékozottak, vagy szeretnének spórolni a költségeken.
“Ilyen nagyságrendű, adatvédelmi szempontból érzékeny művelet mellett megfelelő kontroll nélkül bármikor történhet nem kívánt incidens, ami akár komoly bírsággal is járhat. A büntetés maximális mértéke ugyanis az éves globális árbevétel 4 százaléka is lehet. Még a büntetésnél is nagyobb kockázat, s jelentősebb kárt okozhat az imázsvesztés, hiszen szinte minden iparágban az ügyféladat a legnagyobb érték. Ez egy kisvállalkozásnak különösen fájhat, sőt, akár a fennmaradását is veszélyeztetheti” – mondta Gölcz Dénes, a Panda Security hazai ügyvezető igazgatója.
Ennek tükrében nem meglepő a tavaly ősszel 260 magyarországi kis- és nagyvállalat informatikai szakemberének körében végzett felmérés eredménye: a válaszadók szerint az IT biztonság területén a GDPR előírásoknak megfelelő adatvédelem biztosítása a következő 12 hónap legnagyobb feladata. A megkérdezettek 43 százaléka azt is megjegyezte, hogy idén olyan technológiai eszközt szereznek be, ami támogatja a GDPR előírásoknak való megfelelést. Az unió általános adatvédelmi rendeletének kiemelt szerepét mutatja a cégeknél, hogy az ügyféladatok, a szerződéses számlák és a pénzügyi adatok mellett az email címek védelmét is a legkritikusabb informatikai adatvédelmi feladatok között tartják számon.