Интервю с Валентин Русалийски, бизнесконсултант, експерт по киберсигурност и представител на АПИС за Бургас
Разговора води Ирина ГЕНОВА
Валентин Русалийски е по образование е инженер телекомуникации, възпитаник е на ВМЕИ Варна (сега ТУ).
Преминал е самостоятелно преди повече от 20 години от хардуера към софтуера. Специализирал много години в разработката и поддръжката на бизнес софтеур.
Той е бизнесконсултант, експерт по киберсигурност и представител на АПИС за Бургас
С Валентин Русалийски разговаряме след края на 40-та Международна конференция на органите по защита на личните данни и неприкосновеността, която се проведе едновременно в Брюксел и София.
Форумът се проведе от 22 до 26 октомври, като в София бе в зала 8 на НДК.
***
- Г-н Русалийски кои бяха за Вас най-интересните моменти от 40-та Международна конференция на органите по защита на личните данни и неприкосновеността?
- Цялата конференция беше един низ от перфектно организирани изяви, всяка от който може да се нарече по-интересна от останалите. Няма да правя цялостна ретроспекция, ще отбележа само няколко, които чисто субективно, от моята лична гледна точка съм отделил от останалите, но преди това искам да почертая изключително високото и разнообразно българско и международно участие, което беше много полезно, както и това, че конфренцията беше открита от министъра на транспорта, информационните технологии и съобщенията – Росен Желязков и председателя на комисията за защита на личните данни и зам.председател на Европеиският комитет за защита на данните – Венцислав Караджов.
Ще започна с дискусионния панел модериран от Пламен Ангелов – директор на Дирекция „Нормативна дейност, международно сътрудничество, планиране и обучение”. Панелът беше посветен на конвенция 108 от 1981 г., която е предшественик и на директива 46 от 1995 г. и на Регламент (ЕС) 679/2016.
Оказва се, че тази конвенция се модернизира и към нея се присъединяват десетки нови страни извън ЕС. Неслучайно в панела участваха гости от Русия, Япония, САЩ. Участваха и представители на Съвета на Европа и началник отдел в Европейската комисия. Запознаването с работа по защита на личните данни в тяхните страни и органицации беше извънредно интересно.
За мен полезно беше участието в следващият панел на Даниел Дрюър, длъжностно лице по защита на данните и ръководител на звеното за защита на данните в Европол. Неговото изложение беше интересно, най-малкото заради огромното количество лична информация, с която организацията, към която принадлежи работи и точно за това споделяното от него за работата му беше много полезно. Аз запомних една идея за процедура, за която не бях помислял до този момент - относно отношенията Администратор-ДЛЗД.
Не мога да не отбележа обявената от Филип Генов - основател и ръководител на Sophia Lab инициатива - RegTech Sandbox, по която тепърва ще се работи и имаща пряко отношение към защитата на данните в FINTECH областта то IT технологиите.
Пропускам много интересни моменти, но участието на Хоакин Перез Каталан от Международения отдел на Испанската агенция за защита на данните, който е живял повече от година в София за да съдейства при „прохождането“ на нашата комисия по защита на данните преди години, също беше впечатляващо с цялостния му поглед върху GDPR проблематиката.
Един въпрос зададен от специалист по защита на данните в япоска компания, обаче не намери адкватен отговор от участниците в панела, към който беше зададен. Въпросът беше как можем да се предпазим от нелоялен сисадмин или такъв решил да предаде или продаде лични данни от администрираните от него сървъри на компанията.
Отговорът беше „Обучение, обучение, обучение“, почти единодушно даден от всички участници в панела. На пръв поглед е така – където има човешки фактор, обучението е единственият способ за защита.
В случая със сисадмин обаче това не е така. Решението е споменато и в регламента, техническите подробности са описани отдавна източници от големите компаниии в бранша. В opensource сферата също има посочени решения и всички те работят ефективно.Друго изложение,много интересено и предизвикало дискусии и в кулоарите беше на тема „Застраховане в сферата на киберсигурността - изграждане на съответствие с GDPR“.
Бързам да „попаря“ тези, които се наредиха на опашката - „Плащам си на застраховател и той поема рисковете и глобите на GDPR“. Недопустимо е Администраторът на лични данни да прехвърли по какъвто и да е начин отговорността си за опазването на данните.
Да се ползва обаче опита и експертизата на застрахователните агенти и тяхните специалисти по киберсигурност при изграждането на GDPR – съответствието, не е никак лоша идея за тези който могат да си го позволят.
Още повече, че пробивите в киберсигурността не винаги засягат лични данни. Могат да бъдат засегнати чувстителни за бизнеса данни който не попадат в обхвата на GDPR и загубите от това да са съизмерими с глобите по Регламента. Въпрос на труден баланс на итереси е избора на такава застраховка.
Имаше и момент, в който се заговори за облачните услуги и трансферите на данни при тях, тук съм запомнил участието на Петър Иванов - изпълнителен директор на Американска търговска камара в България (AmCham Bulgaria) и особенно ценните отговори на въпроси от публиката на Петър Кирков - мениджър, бизнес решения за киберсигурност в Телелинк.
Запомняща се за мнозина беше срещата за въпроси и отговори с екип на КЗЛД воден от Десислава Тошкова-Николова, главен секретар на Комисията за защита на личните данни. Личните разяснения на секретаря на комисията бяха много полезни на многото ДЛЗД-та от различни организации който имах конкретни въпроси от своята вече няколко месечна практика.
В един момент като демнострация на сложността на проблема със защитата на личните данни и дори защитат на личното пространство в залата полетя минидрон управляван от пилот печелил международни състезания с дронове. Оборудван с камера и предващ в реално време изображение към екран в залата, дрона се „поразходи“ над главите на участниците и между лампионите на зала 8 на НДК без разбира се до се докосне до нищо – пилотът беше перфектен.
Посещението в Лабораторията по киберсигурност и Лаборатория "Изкуствен интелект и CAD системи" в София Тех Парк и лекциите и демонстрациите там бяха неописуемо интересни за участниците в конференцията с какъвто и профил да бяха те.
- Какви са впечатленията Ви от участниците в конференцията?
- Онова което ме озадачи донякъде беше, че на конференцията присъстваха голям брой ДЛЗД от големи организации и ведомства и много малко такива от реалния сектор.
Имаше от банки, от застрахователи, от общинска и държавна администрация(вкл. на ниво министерства), но не видях производството, транспорта, хотелиерството и търговията и др. такива. Особено ясно си пролича това на срещата за въпроси и отговори с представителите на КЗЛД.
Разбира се сред участниците разбираемо имаше и множество юристи. Правните кантори, за мое учудване бяха представени само от юристите си, като не присъстваха тяхните икономисти и киберспециалисти, без които решаването на въпроса със GDPR съответствието е немислимо.
- Вие сте и представител на АПИС за региона, вашите изпълнителни директори ни разказаха за продуктите на компанията по отношение на постигане на съответствия с изискванията на Регламент (ЕС) 679/2018, но какво се прави тук в Бургас по въпроса?
- Свъвсем наскоро преди конференцията в една от залите на окръжния съд в Бургас се проведе обучение на което бяха демонстрирани и разяснявани възможностите и характеристиките на на АПИС- GDPR Наръчник състоящ се от две части: GDPR Info и GDPR Асистент.
Ирина Радоева и Христо Константинов подробно описаха продуктите в отговор на вашите въпроси, аз само ще допълня че GDPR Асистент съхранява информациата си през нашия сайт в облачните структури за данни на Microsoft, притежаващи най-високия сертификат ICO 27018 за киберзащита както и такива за управление на риска.
Г-н Константинов спомена че в документите обосноваващи регистрите и самите регистри се съдържа понякога чувстителна по отношение на интересите на бизнеса информация и нейното надеждно съхраняване - не в пръснати файлове из дисковата система на фирмената мрежова конфигурация или на отделни компютри, за разлика от надеждно защитените облачни структури , може да предизвика проблеми при изтичането на информация.
Нека сме наясно, стопроцентова защита няма при свързани с интернет мрежи. Нови и нови вектори на атака се появят ежедневни почти и този процес е безкраен, но може и трябва да се направи така че дори при пробив, правата, интересите и свободите на субектите на лични данни да не се накърняват.
Всъщност това не е първото обучение, което се провежда от АПИС в Бургас. Предстоят и други. Демонстрации са правени и се правят по желание на фирми и организации. АПИС въведе и предоставянето на услуги по използването на продуктите и отделни аспекти на изгарждането на съответствие с изискванията на Регламента.
В скоро време ще се приеме на второ четене и закона за изменение и допълнение на закона за защита на личните данни у нас и това ще предостави на КЗЛД допълнително ресурси за дейността им. Предстоят изменения и в други европейски директиви и регламенти касаещи защита на личното пространство в интернет и защитата на правата и свободите на гражданите на ЕС в киберпространството, които ще рефлектират и при GDPR.
Работата по защитата на личните данни не се свежда до една папка или до еднократно обучение. Тя ще съпътства бизнеса и администрациите от тук нататък постояно. Юридическата рамка и фактическата среда в която ще се работи също ще се менят, а от там и необходимостта от допълване и изменение на мерките по привеждане на дейностите на бизнеса в съответствие с Регламента.
Доколкото виждам и усилията на АПИС са насочени към това да е постоянно в помощ на длъжностните лица по защита на данните и на Администраторите на лични данни.
Търсете ни – ние сме на ваше разположение.
***
Телефон за връзка: 0888 206 819
