GDPR: a vezetőknek is felelősséget kell vállalniuk?

​Egyes országokban úgy látják a döntéshozók, hogy addig nem lesz rend az adatvédelem terén, amíg a vezetőket nem lehet felelősségre vonni egy-egy incidens után.
 

A koronavírus-járvány következtében még nagyobb jelentősége lett a GDPR betartásának, hiszen az otthoni munkavégzés elterjedésével több kiberbiztonsági kihívással nézünk szembe, mint korábban. De vajon kinek a felelőssége, ha adatbiztonsági incidens történik egy cégnél? Személyesen is felelősségre vonhatók a vezetők? A Kingston Technology Bill Mew technológiai és adatvédelmi szakértővel ennek járt utána.
 
Kollektív és egyéni felelősségvállalás
 
Sok szervezetnél az az általános nézet, hogy az információbiztonság egyedül a CISO feladata, az adatvédelem pedig a megfelelési (compliance) osztály hatáskörébe tartozik. Az ilyen vállalatoknál gyakorta a felsővezetés még mindig nem veszi kellően komolyan a kiberbiztonságot és az adatvédelmet, így nem csoda, ha ez az attitűd a szervezet minden szintjére kiterjed. Egy felelős cégnél azonban elengedhetetlen, hogy a munkatársak közösen vállaljanak felelősséget ezekért a területekért, máskülönben a vállalati adatok nem lesznek biztonságban.
 
A szervezeteknek át kell gondolniuk, hogy milyen kockázatokkal járhatnak számukra, ha a titkosítatlan USB-meghajtók, SSD-k vagy IoT-eszközök beszerzésével kapcsolatos döntések pusztán ár alapján dőlnek el, és nem veszik figyelembe az eszközök biztonságát vagy a hardvertitkosítás lehetőségét. Mérlegelniük kell, hogy mivel jár, ha a munkatársak nem követik az alapvető biztonsági szabályokat, gondatlanul bánnak a jelszavakkal és az e-mail mellékletekkel. De adatvédelmi kérdéseket vet fel az is, ha a marketing osztály nem veszi figyelembe például a GDPR előírásokat, és nem megfelelően gyűjti, illetve osztja meg az adatokat.
 
"Ilyen esetekben a szervezetnek és a munkatársaknak egyénileg is felelősséget kell vállalniuk. Ha például valaki azt látja, hogy a cégnél titkosítatlan USB-meghajtókat, SSD-ket vagy védelem nélküli IoT-eszközöket használnak, szólnia kell róla. Ha észreveszi, hogy a kollégák nem tartják be a kibervédelmi alapszabályokat, úgyszintén. Ez a helyzet akkor is, ha a marketingosztály valamelyik munkatársa kifogásolható módon használja fel az ügyféladatokat" - hangsúlyozta Bill Mew.
 
Elengedhetetlen a kultúraváltás

Ha a vállalatvezetők meg akarják változtatni a dolgozók hozzáállását, és el akarják érni, hogy a vállalat minden szintjén komolyan vegyék az internetes biztonságot, valamint az adatvédelmet, akkor át kell alakítaniuk a szervezeti kultúrára jellemző gondolkodásmódot. A képzések kiemelt része, hogy ismertessük a szabályok mögötti szándékot, személyes példákkal alátámasztva magyarázzuk el az adatbiztonság fontosságát, és tudatosítsuk az egyéni felelősséget a kollégákban.
 
Mew úgy látja, hogy számos egyéb tényező van, ami meggyőzheti a szervezeteket az adatvédelem fontosságáról. Például a GDPR-hez kapcsolód büntetési tételek, vagy éppen az incidensek utáni helyreállítási költségek. Egyes országok már olyan szabályokat vezettek be, amelyek a felelős személyeket is szankcionálják. Például az USA-ban a közelmúltban egy internetes biztonsági incidens kapcsán az igazgatósági tagokat és a CISO-t is vádlottként nevezték meg. A Gartner elemzőcég szerint hamarosan a vezérigazgatók is személyes felelősségre vonásra számíthatnak kibertámadás esetén, legalábbis egyes államokban.