W badaniu przeprowadzonym przez One Identity jedna trzecia specjalistów ds. bezpieczeństwa IT uznała RODO za nieskuteczne.
Firma One Identity, globalny lider w zarządzaniu tożsamością i dostępem, przedstawiła raport z wynikami badania na temat naruszeń bezpieczeństwa w aspekcie zmian w organizacjach po wprowadzeniu RODO. Raport sporządzono w oparciu o ankiety przeprowadzone wśród ponad 300 specjalistów ds. bezpieczeństwa IT w czerwcu br.
Wyniki opublikowane przez One Identity pokazują, że większość organizacji (76%) przechowuje poufne dane, takie jak e-maile, szczegóły dotyczące wynagrodzeń, własność intelektualną, dane klientów lub HR w chmurze. Mimo to mają one nadal duże trudności z wykrywaniem naruszeń bezpieczeństwa. Ponad połowa respondentów przyznała, że wykrycie przejętego konta użytkownika w ich organizacjach zajęłoby godzinę lub dłużej albo w ogóle nie byłoby możliwe. Jest to niepokojące, zwłaszcza w świetle europejskiego rozporządzenia o ochronie danych osobowych (RODO), które obowiązuje już ponad rok i stanowi, że naruszenia danych należy zgłaszać w ciągu 48 godzin od ich wykrycia. W rzeczywistości może to zająć organizacjom dni, a nawet miesiące – jak stwierdza raport „2019 Data Breach Investigation Report” opracowany przez Verizon, w którym przeanalizowano ponad 40 tys. różnych incydentów bezpieczeństwa.
Badanie One Identity wykazało również, że RODO jest spornym tematem dla specjalistów ds. bezpieczeństwa. Prawie jedna trzecia respondentów (30%) uważa, że przepisy RODO są nieskuteczne, albo że naruszenia danych uległy pogorszeniu. Jedna trzecia odnotowanych cyberataków jest wynikiem nieoczekiwanych, wcześniej nieznanych metod hakowania. Wykrywanie sprawców naruszeń bezpieczeństwa w czasie rzeczywistym nadal stanowi problem dla co czwartej organizacji (26%). Równie dużym wyzwaniem dla 23% respondentów pozostaje wykrycie ataku z wykorzystaniem informacji poufnych (ang. insider attack) czy też zapobieganie atakom w czasie rzeczywistym (14%).
Większość naruszeń bezpieczeństwa związana jest z działaniami osób, które posiadają konta uprzywilejowane lub nadużywają swoich uprawnień. Organizacje nie są odpowiednio przygotowane na takie działania, nawet wiedząc o tym, z której strony należy się spodziewać ataku.
„RODO nigdy nie miało na celu ochrony danych przed włamaniami, a poczucie, że naruszenia danych wzrosły od czasu wprowadzenia rozporządzenia prawdopodobnie wynika z faktu, że wiele wycieków danych, które w przeciwnym razie pozostałyby niezauważone, należy teraz zgłosić odpowiednim organom regulacyjnym. RODO sprawiło jednak, że ludzie stali się bardziej świadomi ochrony danych i prywatności. Pokazało też firmom, jak istotne są informacji o tym, kto ma dostęp do wrażliwych danych i monitorowanie tego dostępu. To badanie dowodzi, że wciąż jest wiele do zrobienia w zakresie edukacji w branży, szczególnie w obszarze zapewnienia zgodność z regulacjami i przepisami (compliance) w połączeniu z bezpieczeństwem.” – powiedział Todd Peterson, ewangelista IAM, One Identity.