Nadchodzą olbrzymie zmiany: czas na technologiczne przygotowanie do GDPR
25 maja 2018 to w ostatnich miesiącach data odmieniana przez wszystkie przypadki. Rozporządzenie o ochronie danych osobowych (RODO, z ang. General Data Protection Regulation, GDPR), to nowa dyrektywa unijna, której postanowienia wchodzą w życie już za 5 miesięcy. Zacznijmy zatem od najważniejszych zmian, które zaczną obowiązywać wraz z wejściem w życie unijnego rozporządzenia. Po pierwsze, ustawa zmienia definicję danych osobowych. Po drugie, od maja tego roku gromadzone dane osobowe muszą stanowić uporządkowanymi zbiór, które nie tylko musi być łatwy do zlokalizowania, ale również posiadać ograniczony do niego dostęp tylko dla upoważnionych wcześniej osób. Dodatkowo taki zbiór danych osobowych musi posiadać możliwość modyfikacji, a czasem trwałego usuwania część z danych. Po trzecie, rozporządzenie reguluje wszelkie kwestie związane z utratą danych osobowych. Firmy będą miały 72 godzin od stwierdzenia naruszenia na jego zgłoszenie do właściwego organu nadzorczego, a nieprzestrzeganie tych zasad grozi wysokimi karami.
Czy zatem czeka nas poważne trzęsienie ziemi? Czy należy się bać nadchodzących zmian? Niekoniecznie. Podjęcie odpowiednich kroków pozwoli nie tylko przygotować się przedsiębiorstwom do nowych przepisów, ale również postawi bezpieczeństwo w centrum zainteresowania, co powinno przełożyć się na uporządkowanie strategii firmy w zakresie bezpieczeństwa IT i tym samym pozwoli na lepszą ochronę. Najważniejsze to nie odkładać tego w czasie. 5 miesięcy to wbrew pozorom wcale nie jest dużo czasu. Już dziś przeanalizuj swoje systemy, ryzyka i strategię pod kątem nowych regulacji GDPR i dostosuj swój biznes do nowej ery przetwarzania danych osobowych. Podstawową i niepodważalną kwestią jest fakt, że regulacja sama w sobie nie jest zbiorem gotowych rozwiązań, które muszą zostać wdrożone w przedsiębiorstwie. Treść ustawy bardzo jasno informuje jak podejść do tematu od strony tworzenia procedur bezpieczeństwa przetwarzania danych, natomiast nie podaje konkretnych rozwiązań technologicznych, które są niezbędne do wdrożenia. Nie ma dziś na rynku jednego, kompleksowego rozwiązania technologicznego, które byłoby w stanie zabezpieczyć firmę całościowo i tym samym pozwolić nam wywiązać się z nowych regulacji. Warto jednak rozważyć wdrożenie kilku rozwiązań, które pozwolą nam znacząco przybliżyć się do stanu idealnego.
Przeczytaj o naszych rozwiązaniach dotyczących bezpieczeństwa IT
Wzmocnienie ochrony urządzeń przenośnych a RODO
Laptopy, smartphony czy też tablety to urządzenia, które najłatwiej przejąć fizycznie. W pamięci urządzeń bardzo często przechowujemy dokumenty zawierające dane osobowe. Zgodnie z rozporządzeniem UE takie urządzenie staje się nośnikiem, który powinien być odpowiednio zabezpieczony przed wyciekiem danych. Użytkownicy końcowi bardzo często nie ustawiają haseł uwierzytelniających, nie wykorzystują szyfrowanych kanałów transmisji danych, używają nieautoryzowanego oprogramowania przez centrum bezpieczeństwa firmy, a co najgorsze nie zawsze posiadają oprogramowanie antywirusowe.
Należy wiec taki sprzęt zabezpieczyć silnym hasłem, korzystać z nich zgodnie z procedurami dedykowanymi dla urządzeń mobilnych, regularnie sprawdzać stan oprogramowania antywirusowego.
Szyfrowanie danych
GDPR wymusza wdrożenie w środowisku firmowym rozwiązań szyfrujących dane, które zapewnią ich skuteczną ochronę – poczynając od komputerów, poprzez udziały sieciowe aż do zasobów klasy cloud. System szyfrowania danych powinien realizować działania na wielu poziomach od sprzętowego do plikowego, dzięki któremu organizacja, oprócz zabezpieczenia danych na dysku fizycznym przed zgubieniem bądź kradzieżą, jest w stanie wdrożyć polityki DLP (ang. Data Leak Prevention) czyli ochrony przed wyciekiem danych. Mają one kluczowe zastosowanie w przypadku wysyłania wiadomości email, zawierających dane osobowe poza organizację lub wykorzystywania w firmie przenośnych USB. Dzięki wdrożeniu odpowiedniego systemu szyfrowania danych jesteśmy chronieni przed odczytaniem danych przez osoby niepożądane podczas ewentualnego wycieku danych z przedsiębiorstwa. Warto dodać, że w przypadku utraty zaszyfrowanych danych firma nie jest zobowiązana do zgłaszania takiego incydentu!
UTM - Unified Threat Management
Unified Threat Management UTM jest to klasa urządzeń sieciowych odpowiadająca za kompletną ochronę, nadzorująca ruch w sieci wewnątrz firmowej oraz kontakt-dostęp do zasobów sieci internet. Urządzenia tej klasy pozwalają nam tworzyć polityki dostępów do dedykowanych zasobów – czyli zgodnie z GDPR pozwolą separować dane, a także ograniczać dostęp osób nieuprawnionych do przeglądania danych. Dzięki modułom kontroli pakietów, urządzenie pozwala odpowiednio blokować przepływ danych, tak aby w szczególności dane wrażliwe nie zostały udostępnione. Rozwiązanie tej klasy jest dedykowane dla małych i średnich firm ze względu na optymalną relację pomiędzy skalą firmy w możliwościami urządzenia.
SOC oparty o platformę klasy SIEM
SIEM są to rozwiązania, które zbierają dane i dostarczają pełną diagnostykę do płynnego analizowania oraz potwierdzania zdarzeń związanych z bezpieczeństwem. Systemy tej klasy stale monitorują całą sieć firmową pod względem bezpieczeństwa oraz rejestrują zdarzenia w niej zachodzące. Co ważne, wszystko odbywa się inline. Przedsiębiorstwo w momencie wystąpienia incydentu jest w posiadaniu wszystkich niezbędnych danych o potencjalnym ryzyku oraz może zareagować natychmiastowo, a także, jak wymagają tego nowe przepisy, zgłosić wyciek danych w odpowiednim czasie. Takie rozwiązanie dedykowane jest dużym przedsiębiorstwom.
Technologia Cloud
Rozwiązania chmurowe są bardzo dobrą alternatywą podczas próby dostosowania się do wymagań GDPR. W tych technologiach często jest zaimplementowana zgodność z oczekiwaniami regulacyjnymi. Rozwiązania chmurowe wpisują się w wymogi unijnego rozporządzenia GDPR, ze względu na gwarancję bardzo wysokiego poziomu ochrony danych osobowych, które gromadzą i przetwarzają firmy. Dlatego warto rozważyć przeniesienie swojego centrum przetwarza danych do firmy, która ma przygotowanie odpowiednie środowisko oraz kompetencje w świadczeniu usług. Ten model funkcjonowania pozwoli przenieść odpowiedzialność na dostawcę usług w razie ewentualnych wycieków danych.
Są to tylko propozycje rozwiązań technologicznych, które mogą ułatwić dostosowanie się do nowych wytycznych GDPR. Należy pamiętać, że są to tylko narzędzia, które mają za zadanie wspierać procesy ochrony danych wrażliwych oraz ich bezpiecznego przetwarzania. Należy pamiętać o prawidłowo stworzonych oraz wdrożonych procedurach, które pozwolą swobodnie realizować założenia GDPR. Wdrożenie nowych zapisów odnośnie przetwarzania danych osobowych pozwolą zapobiegać akcjom typu: telefon od nachalnego marketingu czy też dziwnym promocjom w skrzynkach pocztowych naszych domów. Jeżeli dojdzie do takiego incydentu wbrew naszej woli, będziemy mogli z dużą łatwością namierzyć osobę łamiącą prawo, a także złożyć odpowiednie zażalenia, czy też nasłać kontrole w celu zdyscyplinowania operatora danych. GDPR to mocny argument dla osób indywidualnych i ogromne zobowiązania dla firm, które zajmują się gromadzeniem lub w jakikolwiek sposób przetwarzają osobowe dane. Wychodzą na przeciw oczekiwaniom grupa Comarch ICT może weprzeć Cię w działaniach przygotowujących do zmian Twojego środowiska zgodnie nową ustawą UE dot. GDPR.
Autor Dariusz Wójcik
Comarch ICT