Digitala Era 2017 - IIZI - Lauris Kļaviņš - GDPR - Kādus izdevumus un riskus apdrošina?
•Download as PPTX, PDF•
0 likes•1,436 views
Jaunā Eiropas Savienības personas datu aizsardzības regula teju ikvienā uzņēmumā kļūst par arvien apspriestāku jautājumu, jo tās spēkā stāšanās termiņš (2018.gada 25.maijs) strauji tuvojas. Tādēļ jau ceturto gadu pēc kārtas, sadarbojoties ar “Latvijas Sertificēto Personas Datu Aizsardzības Speciālistu Asociāciju”, viens no vadošajiem kiberdrosības uzņēmumiem Baltijā “Data Security Solutions” 26.aprīlī rīko Latvijas lielāko personas datu aizsardzības regulas pasākumu (EU GDPR - General Data Protection Regulation) “Digitālā Ēra 2017”, kurā vadošie speciālisti no privātā un valsts sektora dalīsies pieredzē un zināšanās, aplūkojot jaunākos un inovatīvākos risinājumus, kā arī jaunākās tirgus tendences un regulatīvās normas kā Latvijā, tā visā Eiropas Savienībā. Vairāk: https://digitalaera.dss.lv/
Recommended
Recommended
More Related Content
What's hot
What's hot (9)
Similar to Digitala Era 2017 - IIZI - Lauris Kļaviņš - GDPR - Kādus izdevumus un riskus apdrošina?
Similar to Digitala Era 2017 - IIZI - Lauris Kļaviņš - GDPR - Kādus izdevumus un riskus apdrošina? (12)
More from Andris Soroka
More from Andris Soroka (13)
Digitala Era 2017 - IIZI - Lauris Kļaviņš - GDPR - Kādus izdevumus un riskus apdrošina?
- 1. GDPR prasības un saistītie izdevumi: kādus izdevumus apdrošina? Lauris Kļaviņš Pārdošanas un starptautiskā biznesa vadītājs IIZI Brokers, SIA DSS Digital Era 2017 Rīga 26.aprīlis 2017
- 2. 90% no mūsu datiem radīti pēdējos divos gados 90% datu 2 gados… Kā 2020? 10% no šodienas datiem ir radīti pirms 2014.g. Dati
- 3. Datu apjoms aug …līdz 2020.gadam datu apjoms pieaugs 50 reizes
- 5. GDPR (VDAR) 32.pants – Apstrādes drošība … • Šifrēšana • Datu konfidencialitāte, pieejamība, integritāte • Rezerves kopijas • Sistēmu testēšana …un izdevumi
- 6. Izdevumi • Procesos • Uzņēmuma struktūrā • Resursos • Reputācijā = investīcijas
- 7. Investīcijas • Ugunsgrēks • Zādzība • Kravas bojāeja = riski • Profesionālā darba kļūda • Klienta bankrots • Finanšu krīze • Aprīļa beigās saslimis galvenais grāmatvedis
- 8. RISKA VADĪBAS RĪKI PATURĒT IZVAIRĪTIES NOVIRZĪT SAMAZINĀTKONTROLE FINANSĒŠANA Ietekme (€) Iespējamība
- 9. Digitālo (investīciju) riski NOVIRZE NO VĒLAMĀ NEKĀ NEDARĪŠANA≠
- 10. Darbības kļūmes 30% Kriminālas darbības un ļaunprātības 41% Sistēmas kļūmes 29% DIGITĀLIE RISKI • Hakeru uzbrukums • DDoS uzbrukums • Ļaunatūra • Izspiešana • Sociālā inženērija • Kiberterorisms • Cilvēka kļūme • Darbinieka nolūks • Iekārtu zādzība vai pazaudēšana • Dokumentu zādzība vai pazaudēšana • Programmatūras kļūme • Kļūda kodā Skat. GDPR – 4:12
- 11. Cik izmaksā viens zudis datu ieraksts? Avots: Ponemon Institute, 2016 (Cost of data Breach Study: Global Analysis) Dati bāzēti uz rezultātiem no 383 uzņēmumiem 12 valstīs Vidēji: $158 E-pasta adrese: lauris.klavins@iizi.lv Adrese: Vienības gatve 109, Rīga Telefona numurs: 26337264 Bankas konta nr.: 12345678 IP adrese: 172.16.254.1
- 12. • Peļņas & biznesa apjomu kritums • Krīzes izmaksas - sistēmu un datu atjaunošana - kļūmes izpēte, ekspertu piesaiste - juridiskie pakalpojumi - reputācijas aizsardzības pakalpojumi Zaudējumi digitālo risku rezultātā + GDPR • Apziņošanas izmaksas • Civiltiesiskā atbildība - kompensāciju prasības no personām, kuru dati kompromitēti • Soda naudas
- 14. GDPR & Digitālo risku apdrošināšanas izplatība • Paraugprakse • Apziņošanas un krīzes vadības pienākums • 79.pants – tiesāšanās tiesības • 82.pants – regresu tiesības • 83.pants – rūpības prasība & pienākumu ievērošana • Reputācija
- 15. Iekšējā digitālo risku vadība – kontrolētās izmaksas Ugunsmūris Antivīruss Specializēta programmatūra Novērošana Programmatūras atjauninājumi Šifrēšana Biznesa ilgtspējas plāni Krīzes atkopšanās plāni Starpgadījumu reakcijas plānošana Digitālo risku vadība Lietotāju apmācība Procedūras, procesi un vadlīnijas Ierīču kontrole Lietotāju tiesību vadība Paroles Ārpus ofisa darbības
- 16. Kopējā digitālo risku vadība – nezināmās izmaksas Atbildības Finansiālie zaudējumi Juridiskā pārstāvniecība Biznesa pārtraukums Virsstundu darbs Izspiešanas Privātuma atbildība Drošības atbildība Intelektuālā īpašuma atbildība Krīzes vadība Atjaunošanas izmaksas Apziņošanas izmaksas IT izmeklēšana PR izdevumi Kredītu/ ID monitorings Krāpniecības novēršanas konsultācijas Digitālo risku vadība
- 17. Kopējā digitālo risku vadība Digitālo risku vadība Nezināmās izmaksasDigitālo risku apdrošināšanas polise • Paredzams kopējās risku vadības budžets • Finansiāla aizsardzība no nezināmām izmaksām • Speciālistu atbalsts krīzes situācijās • Salīdzinoši maza izmaksu pozīcija, kopējā risku vadības budžetā.
- 18. GDPR prasības un saistītie izdevumi: kādus izdevumus apdrošina? Lauris Kļaviņš Pārdošanas un starptautiskā biznesa vadītājs IIZI Brokers, SIA E-pasts: lauris.klavins@iizi.lv Biroja t.: +371 675 000 63 Mob. t.: +371 263 772 64 Adrese: Vienības gatve 109, Rīga, LV-1058 Tīmekļa lapa: www.iizi.lv DSS Digital Era 2017 Rīga 26.aprīlis 2017
Editor's Notes
- Labdien! Man ir divas ziņas – labā un sliktā. Sliktā ziņa – runāšu par datu drošības regulu, dažādiem izdevumiem un apdrošināšanu. Labā ziņa – šī ir pēdējā prezentācija šodien.
- Sākšu ar klasisko atziņu - dati mums ir visapkārt, mēs tos radām arvien vairāk un vairāk. 90% no datiem, kas ir pasaulē, esam radījuši pēdējos divos gados.
- Līdz 2020.g. datu apjoms pieaugs vēl 50 reizes.
- Datu apjoms ir liels, un ja kaut kas ir liels un daudz, iespējams jārūpējas, lai ar to būtu kārtība, lai nerodas kādas problēmas.
- Par to arī ir GDPR vai VDAR – starp citu nevarēju saprast kādu saīsinājumu lietot, tas VDAR tāds neskanīgs, varbūt IT nozare varētu izveidot šai regulai kādu skanīgu jaunvārdu, kā parasti. Bet ok, skaidrs, ka lai ieviestu kārtību, uzņēmumiem jāveic zināmas darbības, procesi ar svarīgajiem datiem GDPR izpratnē. Un grozies kā gribi, lai veiktu šīs darbības, kaut kādu naudiņu tam vajadzēs – principā sanāk izdevumi.
- Bet izdevumus var nosaukt arī par investīcijām. Uzreiz oma uzlabojas Investīcijas darbības procesos, uzņēmuma struktūras izmaiņās, drošības resursos, uzņēmuma reputācijā – kā nekā, klientu datu drošība – tā ir uzņēmuma reputācija.
- Bet priecīgajām investīcijām līdzi nāk, kas? Jā, riski…. Jeb nevēlama novirze, no vēlamā scenārija, kura iestāšanās iespējama nākotnē. Un riski attiecas gan uz taustāmām investīcijām: Māja var nodegt Mašīnu var nozagt Krava var nogrimt ar visu kuģi (starp citu – pirmās investīcijas, ko sen sen atpakaļ sāka apdrošināt bija tieši kravas) Gan ne tik taustāmām, bet vienalga, sāpīgām biznesam Tavu labi nostādīto biznesu var iedragāt kļūda aprēķinos vai citā profesionālā darbībā, kas rada kādam zaudējumu Nemaz nerunājot par situācijām, kad – klients bankrotē, iestājas kāda vispārēja finanšu krīze vai vienkārši atslēgas cilvēks saslimst kritiskā brīdī. Ko tad ar to visu, lai normāls uzņēmējs iesāk?
- Esmu no apdrošināšanas, droši vien teikšu, ka viss jāapdrošina Īstenībā izvēles iespējas ir divas – riskus var vai nu kontrolēt - t.i. veikt aktīvas darbības riska iespējamības mazināšanai, vai finansēt, tb maksāt, ja tie iestājas, vai preventīvi maksāt, lai kāds cits tos finansētu, ja riski iestājas. Un klasiski, atbilstoši tam kāda ir riska iestāšanās iespējamība un potenciālā ietekme (parasti to mēra naudā), arī izvēlas stratēģiju: Pieņemsim, Jums ir līgumi ar klientiem, bet viņi sāk kavēt maksājumus un kā izrādās, līgumu nepilnību dēļ. Kā mazināt šo risku – vienkārši noalgot juristu, lai sakārto līgumus uz priekšdienām. Tāpat lielākoties cilvēkiem ir skaidrs, ka nevajag darīt bīstamas lietas, kā braukt reibumā vai ar slaidu lēcienu uzsākt peldējumu nepazīstamā ūdenstilpnē – tā ir izvairīšanās stratēģija. Kamēr par kaut ko tik niecīgu kā, piemēram, pildspalvas pazušana, kas notika ar mani šodien – forša pildspalva bija, bet kopumā par to iespringt nevajadzētu – un ja godīgi, šī ir vispopulārākā un stratēģija ļoti daudzās dzīves situācijās, Un, jā, ir riski, kuri iestājas gana reti, bet var atstāt pietiekami būtisku ietekmi uz Jūsu investīcijām, kā, piemēram, nozagts auto - tos derētu novirzīt jeb apdrošināt.
- Tas no apdrošināšanas teorijas, bet turpinot digitālo tēmu – noteikti Jums ir jautājums kā un vai var apdrošināt iepriekš minētās investīcijas un riskus saistībā ar digitālo vidi? Jā, ja paturam prātā, ka jānotiek šai ārēju faktoru izraisītai novirzei no vēlamā scenārija un tas nav tas pats, kas neko nedarīšu un būšu aizsargāts. Māja taču arī jāaizslēdz, lai zādzības risks darbotos.
- Un riski, kas var kaitēt biznesa investīcijām digitālajā vidē ir pietiekami dažādi – no ļaunprātīgas rīcības, līdz nevainīgām kļūmēm. Protams– var jau salikt visus antivīrusus un paredzēt vispilnīgākās procedūras, bet kamēr cilvēku pie datora pielaidīsi, pilnība drošs nebūsi un ja kāds ļoti ļoti ļoti gribēs pie Taviem datiem tikt – tad visticamāk tas izdosies. Šajā sakarā iesaku paskatīties 4.pantu “Definīcijas” 12- punktu – visi šeit minētie riski nozīmētu “personas datu aizsardzības pārkāpumu” GDPR izpratnē. Tātad šo risku “cena” ar GDPR ieviešanu, tikai pieaugs.
- Un nevarētu teikt, ka tā šobrīd ir ļoti zema. Šeit grafiks no publiski pieejama pētījuma, kuru katru gadu par IBM naudu veic Ponemon institūts. Viens datu ieraksts = ieraksts, kas ļauj identificēt fizisku personu, piemēram: Un līdz ar GDPR ieviešanu, šis ierakstu saraksts kļūst arvien garāks. Nav pārāk patīkams grafiks veselības aprūpes iestādēm.
- Kā tad tie cipari veidojas – tipiski zaudējumi būtu peļņas, biznesa apjomu kritums, kā arī dažādas krīzes novēršanas izmaksas. GDPR liek uzsvaru uz vēl trim komponentēm – apziņošanas izmaksām, atbildības prasībām un jā – slavenās soda naudas. Tas viss veido zaudējumus un taisnības labad, iepriekšējā grafikā rēķinātie cipari ir bez soda naudu ietekmes. Tomēr nevar teikt, ka tāpēc GDPR ir slikta regula. Mēs taču esam gatavi maksāt par drošiem bērnu sēdeklīšiem un ķiverēm, kāpēc tad nedot tiesības līdzpilsoņu datiem būt lielākā drošībā un pie atbildīgākiem uzņēmumiem? BET… Tikai šīs 4 sadaļas ir apdrošināmas ar kiberrisku apdrošināšanas polisi.
- Tas ir pret Latvijas likumdošanu (un jā, ir likumdošanas, kurās sodus var apdrošināt, bet ne Latvijā). Galu galā naudas būtība ir sodīt par noteiktu pārkāpumu tieši pārkāpēju, nevis apdrošinātāju. Cita lieta, ja pie tā, ka dabūjāt sodu, vainīgs ir kāds cits. Tad Jums principā ir tiesības prasīt zaudējumu kompensāciju un ja tam citam ir normāla polise, tā šo prasību un Jūsu zaudējumu pat varētu segt.
- Bet nekavēsimies pie šī skumjā secinājuma, ka soda naudu apdrošināt nevarēs un kam tad tāda apdrošināšana tāpēc būtu vajadzīga… esmu apkopojis dažus GDPR punktus, kas, manuprāt, jebkurā gadījumā veicinās pieprasījumu pēc digitālo risku apdrošināšanas un … tādā veidā ietekmēs biznesus visā Eiropā. GDPR vairākās vietās atsaucas uz paraugpraksi. Grūti spriest, kur paraugpraksi meklēt, bet ja mēs paskatāmies, kur datu aizsardzības normas un attiecīgi, digitālo risku apdrošināšana ir vissenāk – ASV (nu jau >15 gadi), tad redzam, ka tur šo apdrošināšanu pērk gan cietumi, gan baznīcas, gan slimnīcas, gan valsts iestādes, nemaz nerunājot par finanšu sektoru. Tātad – iespējams, to varētu saukt par paraugpraksi. GDPR padara stingrākus apziņošanas un krīzes vadības pasākumus – tie ir ne pārāk paredzami izdevumi, kurus būtu racionāli novirzīt. Daudzi teiks, ka Latvijā jau neviens netiesājas. Tā tiešām ir, bet citās Eiropas Savienības valstīs tiesājas gan un pat pastāv juridisko izdevumu apdrošināšanas produkti, kas līdzīgi kā masāžas segums Jūsu veselības polisēs, tā vien aicina tos izmantot. Tā kā ja cietušais datu subjekts būs ar šādu polisi vai no citas valsts – būs vien jātiesājas, jo GDPR ļauj prasību celt subjekta mītnes zemē. Tāpat, 82.pants runā par regresa tiesībām. Ja cietušajai pusei būs polise, kas nosegs zaudējumu, kurš radies citas personas vainas dēļ – diezgan garantēts regress no cietušās puses apdrošinātāja. Un, protams, 83.pants, kas aicina regulatoru vērtēt, cik tad rūpīgi un kārtīgi ir ievēroti GDPR noteiktie pienākumi. Var interpretēt, ka rūpīgs un kārtīgs saimnieks apdrošina nekustamo īpašumu un komercsektorā tā ir normāla prakse. Ja tā, tad kāpēc neapdrošina riskus saistībā ar datiem? Kuri, kā atceramies no grafika dažus slaidus iepriekš, var būt diezgan dārgi. ASV ir arī novērots, ka uzņēmumiem, kas ir pirkuši digitālo risku apdrošināšanu, regulators piemēro mazāku sodu. Katrā ziņā, pieņemu, ka arī reputācijas arguments kļūs arvien nopietnāks dažādās biznesa sarunās – droši dati, tas tomēr kaut ko liecina par biznesa nopietnību un apdrošināšana ir papildu garants un jā, arī pārdošanas arguments. Tātad par to runās.
- Noslēdzot, aicinu padomāt par digitālo risku vadības tēmu plašāk – ir noteikti procesi, kuru veikšanu un tātad arī izmaksas varat kontrolēt un tiem jābūt Jūsu risku vadības stratēģijas pamatos. Turklāt man šķiet diezgan neizbēgami, ka līdz ar GDPR ieviešanu darba iespējas palielināsies, ne tikai datu šifrēšanas, aizsardzības, dublēšanas un tamlīdzīgu noderīgu un vērtīgu pakalpojumu sniedzējiem, bet arī personām, kuru ne pārāk likumīgo darbību dēļ mēs visus šos pasākumus veicam. Galu galā – likmes ir paceltas.
- Kādas šīs likmes būs – kas to lai zina. Daudz būs atkarīgs no vietējo regulatoru prakses krīzes situācijās. Taču skaidrs, ka vienmēr būs jārēķinās ar potenciāli nezināmām izmaksām.
- GDPR ietekmē, digitālo risku apdrošināšana noteikti kļūs izplatītāka, jo tā palīdzēs ierobežot nezināmo izmaksu ietekmi uz uzņēmumiem. Ļauj plānot budžetu, nodrošina aizsardzību un atbalstu, un īstenībā, nemaksā ļoti daudz. Apdrošināšana, protams, nav visaptveroša, vai risinājums visiem scenārijiem – līdzīgi, kā kasko, īpašuma vai veselības apdrošināšana, bet tai ir pietiekami plašs segums, kas kļūst arvien plašāks.
- Noslēdzot, jāatzīst, ka arī pašai apdrošināšanas industrijai GDPR ir izaicinājums. Līdz pat anekdotiskam piemēram kādā ietekmes analīzes dokumentā, ka varbūt lētāk ir tos datus izdzēst un vispār neturēt. Tas arī viss no manis šodien, ceru, ka bija noderīgi.