Ten artykuł czytasz w ramach bezpłatnego limitu

Ada Chojnowska: Wejście w życie RODO, czyli nowych przepisów o ochronie danych osobowych, już w maju. Przedsiębiorcy mają powody do paniki?

Grzegorz Szmigiel: Niekoniecznie. Może się bowiem okazać, że warunków do spełnienia wcale nie będzie tak wiele. Takie przynajmniej informacje płyną z Ministerstwa Cyfryzacji, które planuje wprowadzenie pewnych wyłączeń w wypadku małych firm. Do tego warto pamiętać, że lwia część przedsiębiorstw już teraz posiada wiele narzędzi stosowanych w celu ochrony danych. Konieczne będzie jedynie wdrożenie pewnych procedur, co i tak oznacza sporo pracy.

Ponoć polskie firmy są na zmiany całkiem nieźle przygotowane.

– Kłopot w tym, że RODO nie jest rodzajem specyfikacji czy certyfikatu, ale zbiorem dość ogólnych przepisów, co sprawia, że ciężko to jednoznacznie ocenić i chyba nikt nie jest w stanie powiedzieć: „Jestem w 100 proc. przygotowany”. Po prostu nie ma żadnych precyzyjnych wytycznych, które mówiłyby, w jaki sposób zapisy RODO realizować. Możemy jedynie dążyć do jak najlepszego ich wypełnienia. I poczekać, bo niedługo z pewnością powstaną swego rodzaju kodeksy dobrych praktyk. Ogólność przepisów to jednak także ich duży plus. Dzięki temu można je dopasować do różnych podmiotów gospodarczych.

To jak możemy ocenić, czy obrany przez nas kierunek jest słuszny? Mówi się przecież o bardzo wysokich karach, ponoć mogą sięgać nawet 20 mln euro...

– Kary z pewnością będą, ale mają wynikać ze skali naruszeń i nieprawidłowości. Być może w przypadku mniej istotnych zaniedbań audytor w pierwszym kroku wezwie podmiot do uzupełnienia procedur i środków teletechnicznych.

Jeśli natomiast w firmie nastąpi wyciek bazy klientów i zostaną stwierdzone istotne zaniedbania, prawdopodobnie będzie to podstawą do nałożenia naprawdę surowej kary.

Przejdźmy do praktyki. Co muszą zrobić firmy w kontekście RODO?

– Kluczowym wyzwaniem dla przedsiębiorstw jest bezpieczne przechowywanie danych osobowych. Do tego niezbędne są stabilne i wydajne serwery połączone z systemami gromadzenia, przesyłania i udostępniania danych, a także ich odtworzenia w przypadku awarii. Konieczna staje się wiedza o tym, jakie dane osobowe są wytwarzane oraz gdzie są one przechowywane. Z pomocą przychodzą nowoczesne rozwiązania zapewniające lokalizowanie, przeszukiwanie i monitorowanie danych osobowych znajdujących się w zasobach serwerowych oraz pamięci masowej. Zaawansowane raportowanie i wizualizacja umożliwiają zaś przedsiębiorcom zrozumienie tego, jakie dane przechowują i w jaki sposób są one wykorzystywane.

Wspomniał pan, że wiele firm już dysponuje potrzebnymi rozwiązaniami.

– Pamiętajmy, że temat bezpieczeństwa i ochrony danych nie pojawił się nagle. Firmy od dawna podejmowały kroki mające ochraniać ich sieci i ta infrastruktura jest ciągle modyfikowana. Analizujemy różne produkty na rynku i wiemy, że są w nich elementy, które można dodatkowo wykorzystać. Potrzebna jest tylko wiedza, jak posiadane mechanizmy prawidłowo zastosować, uzupełnić o procedury i w ten sposób zapewnić organizacji sprawnie działające narzędzia kontroli danych. Być może w niektórych przypadkach potrzebna będzie rozbudowa lub uzupełnienie systemów zabezpieczeń – i tu dużą rolę odgrywają konsultanci, którzy są w stanie ocenić posiadane rozwiązania i optymalnie dostosować je do potrzeb.

Od czego właściwie zacząć?

– W każdej firmie mamy do czynienia z różnymi jednostkami organizacyjnymi typu księgowość czy dział marketingu. Każda z nich sięga do najróżniejszych informacji, czy to dotyczących klientów, czy takich, które precyzyjnie identyfikują pracownika danej firmy. Dlatego to, od czego powinniśmy zacząć, to kwestia zlokalizowania, gdzie w środowisku teleinformatycznym znajdują się tego rodzaju informacje, a następnie wprowadzenia pewnej segmentacji, separując użytkowników zgodnie z kategorią ich pracy – tworząc tym samym zasady kontroli dostępu do zasobów sieciowych i przechowywanych na nich informacji. Wiele firm już takie rozwiązania u siebie ma, wykluczając możliwość przypadkowego połączenia z serwerem i uzyskania dostępu do plików przez osoby niepożądane. Następnie możemy rozbudować te mechanizmy o elementy związane z uwierzytelnieniem użytkownika.

Login, hasło?

– Jeśli uwierzytelnienie nie odbywa się na poziomie sprzętu, to tak, może to być hasło, choć większą ochronę zapewnia certyfikat lub jednorazowy kod, taki jak otrzymujemy SMS-em przy wykonywaniu przelewu. Może on być generowany również przy wykorzystaniu tokena sprzętowego lub aplikacji instalowanej w telefonie. Jeśli chodzi o uwierzytelnienie na poziomie sprzętu – np. stosuje się rozwiązanie, dzięki któremu infrastruktura teleinformatyczna precyzyjnie identyfikuje mój komputer po przyjściu do pracy. Jest to jeden z podstawowych mechanizmów dostępnych w urządzeniach sieciowych już od wielu lat, a zapobiega wpinaniu do sieci nieznanych urządzeń. Wdrożenie przedstawionych rozwiązań nie wymaga dużych nakładów finansowych ani pracy. Ponadto w wielu projektach zakładamy pełne śledzenie aktywności urządzenia/użytkownika od momentu podłączenia do sieci poprzez identyfikację użytkownika, zastosowanie precyzyjnych zasad kontroli informacji, na automatyzacji reakcji na zdarzenia kończąc.

Z pewnością to jednak nie wszystko.

– To prawda. Na tej solidnej już podstawie możemy wdrażać całą gamę elementów, choćby wprowadzić analizę informacji w powszechnie wykorzystywanych kanałach komunikacyjnych. Jasne, żadna firma nie będzie w stanie w stu procentach zabezpieczyć się np. przed zrobieniem zdjęcia danych na ekranie czyjegoś komputera, jednak zdecydowana większość incydentów wynika z nieumyślnego działania. Np. przypadkiem wyślemy arkusz kalkulacyjny, w którym są dane kontaktowe klientów. By się przed tym zabezpieczyć, musimy zidentyfikować kanały komunikacyjne (np. przeglądarka, poczta, komunikatory), a następnie pozwolić na ich używanie z zastrzeżeniem, że mamy środki techniczne, by je analizować. Niezależnie, czy informacje będą wysyłane otwartym tekstem, czy w sposób szyfrowany. Dzięki temu możemy też zweryfikować, czy przesyłane w sieci informacje nie zawierają złośliwego kodu, który pobierze dostępne na naszych komputerach czy w przeglądarkach dane. Na rynku dostępne są dedykowane rozwiązania do ochrony przed wyciekiem informacji (Data Leak Prevention), które jednak z uwagi na wyższy koszt i czasochłonność implementacji niekoniecznie będą stosowane w mniejszych organizacjach. Ale takie mechanizmy zostały też zaimplementowane w pewnym zakresie na wielu systemach zintegrowanych, określanych mianem Next Generation Firewall lub UTM. Administrator czy osoba odpowiedzialna za bezpieczeństwo informacji są w stanie definiować wzorce, np. poszukując numerów PESEL, adresów czy jakiejkolwiek innej struktury danych. Tym sposobem znowu, nie ponosząc nowych kosztów, przy niewielkim nakładzie pracy jesteśmy w stanie zaimplementować coś, co prawdopodobnie zablokuje zdecydowaną większość nieumyślnych incydentów.

Jak chronić same bazy danych?

– Poza tym, że administratorzy weryfikują integralność bazy danych, dbają o ich sprawne działanie, mają też mechanizmy do ich monitorowania. Audytorzy jednak zainteresowani są raportami, które będą weryfikowały nie tylko działania użytkowników na bazie, ale i działania samych administratorów. Oznacza to np. alarm w momencie, kiedy któryś z pracowników próbuje wyciągnąć z bazy zbyt dużą ilość informacji.

Z pewnością każda firma posiada jakieś wewnętrzne aplikacje obiegu dokumentów, systemy CRM-owe i inne – spora ich część jest udostępniana w sieci i tym samym narażona na zagrożenia ze świata zewnętrznego. Tu z pomocą przychodzi kolejna grupa urządzeń, które chronią przed atakami na bazy danych, aplikacje i serwery – mam tu na myśli systemy ochrony przed atakami (IPS). Jednak o ile chronią one przed czymś, co jest już znane i zdefiniowane, rozumieją protokoły i najczęściej spotykane aplikacje, nie rozumieją ich struktury. Dlatego naturalną konsekwencją rozbudowy zabezpieczeń w firmach stały się aplikacyjne firewalle (Web Application Firewall), czyli urządzenia zaprojektowane w taki sposób, by „rozumieć”, jak wygląda struktura dowolnej aplikacji, aby na tej podstawie zastosować adekwatne do tego metody zabezpieczenia.

Jest jeszcze coś?

– Z perspektywy osób zajmujących się bezpieczeństwem informacji czy administratorów bardzo ważne jest, by mogli w sposób ciągły weryfikować, jak wyglądają działania użytkowników w firmie. Mam tu na myśli elementy logowania, raportowania i ewentualnie korelacji zdarzeń. Jeżeli administrator jest w stanie w sposób szczegółowy przyjrzeć się, kto uzyskuje dostęp do serwerów, jakimi metodami pyta o dane i jak często nawiązuje połączenia, może na tej podstawie zdefiniować pewien bazowy model działania sieci. Wszystko, co będzie od niego odbiegało, można potraktować jako działanie, na które potencjalnie należałoby zwrócić uwagę.

Poza elementami ochrony na poziomie sieci, niezwykle istotne jest też zabezpieczenie samej stacji. Bo pamiętajmy, że pozostawiając laptop bez zaszyfrowania dysków, narażamy naszą firmę na stratę, jeśli ktoś nam go np. ukradnie. Standardowe rozwiązania, które stosujemy na co dzień w urządzeniach mobilnych, powinny więc być zdecydowanie rozbudowane o elementy szyfrowania. Ale to nie wszystko. Ochrona stacji to szereg mechanizmów: filtrowanie treści www, kontrola aplikacji, ochrona przed znanymi zagrożeniami i rozpoznawanie aktywności nieznanego, potencjalnie złośliwego oprogramowania.

Wspomniane powyżej różne typy systemów zabezpieczeń mogą działać niezależnie, jednak ich skuteczność znacznie rośnie, kiedy są ze sobą zintegrowane i opatrzone w procedury. Powstaje w ten sposób ekosystem bezpieczeństwa, w którym wynik analizy jednego z elementów spowoduje reakcję pozostałych. Czyli, innymi słowy, jeśli użytkownik np. z działu serwisu będzie próbował odwołać się do danych księgowych, administrator może zaplanować takie działanie, gdzie jego stacja jest wyizolowana z sieci, a on będzie mógł zweryfikować, czy było to celowe działanie, pomyłka, czy np. efekt złośliwego oprogramowania.

Czy przedsiębiorcy wykorzystujący większość tych rozwiązań mogą być pewni, że to wystarczy?

– Podobnie jak nigdzie nie ma dokładnie wypisanych kryteriów do spełnienia, tak i my nie możemy na to pytanie udzielić jednoznacznej odpowiedzi. Możemy jednak – według naszej najlepszej wiedzy – zweryfikować to, co przedsiębiorcy posiadają w elementach swojej infrastruktury i doradzić, co można poprawić oraz jakie to przyniesie korzyści. Na stronie Veracomp.pl/rodo można znaleźć więcej informacji na temat rozwiązań oraz nawiązać kontakt z naszymi inżynierami.

Czytaj ten tekst i setki innych dzięki prenumeracie

Wybierz prenumeratę, by czytać to, co Cię ciekawi

Wyborcza.pl to zawsze sprawdzone informacje, szczere wywiady, zaskakujące reportaże i porady ekspertów w sprawach, którymi żyjemy na co dzień. Do tego magazyny o książkach, historii i teksty z mediów europejskich. Zrezygnować możesz w każdej chwili.