· ב- 57% מהארגונים שהשתתפו במחקר, המנהלים הבכירים מתנערים מאחריותם ליישום תקנות GDPR

· ב- 42% מהארגונים לא ידעו שבסיסי הנתונים שנצברים מקמפיינים שווקים של מיילים כוללים מידע מזהה PII (Personal Identifiable Information)

· ב- 22% מהארגונים טענו שקנסות הפרה " לא יטרידו אותנו"

עם כניסת תקני אבטחת המידע החדשים ( GDPR) לתוקף ב25 למאי 2018, עסקים בכל העולם צריכים להיות מוכנים להטמעתם. אולם לאור תוצאות מחקר שעשתה מחלקת המחקר של Trend Micro, מובילה עולמית לפתרונות סייבר ואבטחת מידע , מנהלי ארגונים אינם מתייחסים ברצינות יתרה לרגולציה המעודכנת ובשל כך לא יהיו מוכנים לעמוד בתקינה החדשה.

מודעות ל GDPR

המחקר של Trend Micro מגלה כי ישנה מודעות לתקני GDPR החדשים עם 95% מהמנהלים העסקיים שדיווחו כי הם יודעים שעליהם להתאים את הארגון שהם מובילים לתקנות החדשות ו-85% מהם בדקו מה נדרש מהם. בנוסף, 79% מהעסקים דיווחו כי הם בטוחים שהמידע שלהם בטוח ככל שניתן.

למרות המודעות הכללית לתקינה קיים חוסר בהירות לגבי סוג המידע אישי מזהה PII) ) עליו יש להגן. 64% מהנשאלים לא היו מודעים לכך שתאריך הלידה של לקוח נחשב למידע אישי מזהה הזקוק להגנה. בנוסף, 42% מהנשאלים לא סיווגו בסיס נתונים שמקורו בקמפיין אי מיילים שיווקי כמידע אישי מזהה הזקוק להגנה. 32% מהנשאלים לא ראו בכתובת פיזית מידע אישי מזהה ו-21% לא החשיבו כתובת מייל של לקוחות כמידע אישי מזהה הזקוק להגנה. תוצאות אלו מצביעות על העובדה שארגונים אינם מוכנים למתקפות ואינם מוגנים כפי שהם חושבים שהם מוגנים.

המחיר שנשלם עבור חוסר המוכנות

על פי המחקר, 66% מהנשאלים נראים אדישים למחיר שישלמו עבור חוסר המוכנות שלהם ואי העמידה בתקנות. רק 33% מודעים לכך שישלמו עד 4% מההכנסה השנתית שלהם עבור חוסר המוכנות שלהם. בנוסף, 66% מהנשאלים מאמינים כי הנזק המשמעותי שיגרם להם במקרה של פריצה זדונית הוא הנזק למוניטין ולמותג שלהם, ו-46% מהם טוענים שזה יהיה הנזק הגדול בקרב לקוחות קיימים שלהם. גישה זו בעייתית מאוד לנוכח העובדה כי עסקים יכולים להסגר כליל בעקבות פריצה זדונית.

"השקעה באמצעי ההגנה הטובים ביותר והפעלה של מדיניות הגנה על המידע הרגיש של הארגון, צריכים להיחשב כדבר החכם לעשותו ולא כעול תפעולי" אמר ריק פרגוסון, סגן נשיא למחקר ב-Trend Micro. " כשותף אבטחה אסטרטגי אנו רואים זאת כחלק שלנו בעזרה ללקוחותינו לעמוד בתקני GDPRהחדשים."

שותפים אחראים

ממצאים נוספים של המחקר מראים כי ארגונים לא יודעים מי אחראי על אובדן מידע אירופאי על ידי ספק פתרונות אמריקאי. רק 14% יכלו לזהות נכונה כי האחריות לאובדן המידע מושתתת על שני הצדדים. 51% סברו כי הקנס צריך להיות מוגש לאירופאים ו-24% חשבו כי ספק השרות האמריקאי אשם.

בנוסף, התברר כי ארגונים אינם בטוחים מי צריך להיות אחראי על התאמת הארגון לתקנות. 31% מהנשאלים השיבו כי זאת האחריות של המנכ"ל לעומתם 27% סברו כי זאת האחריות של מנהל אבטחת המידע ( CISO) וצוותו. רק 21% השיבו כי יש בארגונם מנהל בכיר שמעורב בהתאמת הארגון לתקנות החדשות. 65% השיבו כי מחלקת ה-IT לקחה את ההובלה בפרויקט ו-22% ארגונים בלבד השיבו כי חבר הנהלה או מנהל בכיר מעורב.

הדרישות הטכנולוגיות

כאשר כמות ורמת תחכום האיומים מתגברות, חסר לרוב לארגונים הניסיון הידע להתמודד איתם ולכן נדרשת הגנה מרובת שכבות. התקנות החדשות ( GDPR) קובעות כי ארגונים חייבים ליישם את ההגנה הטובה והמקיפה ביותר המתאימה לרמת האיומים. למרות זאת רק 34% התקינו יכולות מתקדמות לגילוי פריצות 33% השקיעו בטכנולוגיות למניעת זליגת מידע ו-31% הטמיעו טכנולוגיות הצפנה על פי המחקר של Trend Micro.