Immusec
PL | EN
Aktualności

System zgodny z RODO oraz odporna infrastruktura – procesy i technologie

23.04.2018
|
IMMUSEC
Udostępnij:

RODO zacznie obowiązywać już za miesiąc. Na rynku bezpieczeństwa IT zaczynają pojawiać się oferty systemów przetwarzających dane osobowe z plakietką „system zgodny z RODO”. Czy takie określenia są zgodne ze stanem faktycznym, czy są to tylko zabiegi działów handlowych? Warto pamiętać, że RODO nakłada na firmy wiele wymagań związanych z bezpiecznym przetwarzaniem danych osobowych oraz prawami osób fizycznych co do przetwarzania ich danych. Są to wymagania w zakresie warstwy ludzkiej, procesowej, technologicznej i prawnej.

Tekst ukazał się w magazynie ITWiz 11-12/2017.

System zgodny z RODO?

Czy system przetwarzający dane osobowe może być zgodny lub niezgodny z RODO? Odpowiedź na to pytanie należy rozpatrywać przez pryzmat atrybutów informacji (w przypadku RODO – danych osobowych), a więc poufności, integralności i dostępności danych w nim zawartych, czyli popularnej triady CIA (Confidentiality, Integrity, Availability). Te trzy pojęcia możemy jeszcze rozszerzyć m.in. o rozliczalność, wiarygodność, identyfikowalność, niezaprzeczalność (Accountability, Authenticity, Traceability, Non-repudation).

Istnienie funkcjonalności systemu w obszarze bezpieczeństwa informacji, takich jak uwierzytelnianie, szyfrowanie, logowanie aktywności użytkowników, nie pozwala stwierdzić, że system jest zgodny lub niezgodny z RODO. Nawet realizowanie wymagań prawnych RODO w formie możliwości udzielenia zgody na przetwarzanie danych osobowych, równie łatwego odwoływania takiej zgody oraz istnienia możliwości usunięcia danych osobowych bez utraty integralności bazy danych nie pozwala reklamować takiego systemu jako „GDPR Ready”. Dlaczego? – zapytają producenci i dostawcy systemów. Przecież spełnione są wymagania związane z poufnością, integralnością, rozliczalnością i wiarygodnością danych. Czy na pewno?

Jakie metody uwierzytelniania czy szyfrowania zastosować, powinno wynikać z analizy ryzyka przetwarzania danych osobowych, obejmującej prawdopodobieństwo i możliwe skutki takich zdarzeń, jak wyciek danych osobowych, ich utrata, kradzież czy nieuprawniona modyfikacja. Jeśli mamy do czynienia z krytycznymi systemami i szczególnie wrażliwymi danymi, to należy wdrożyć w nich wyższe standardy bezpieczeństwa niż dla systemów niekrytycznych. Mechanizmy powinny być adekwatne do skali przetwarzania danych i możliwości organizacji. Analiza ryzyka powinna wskazać, czy logowanie do systemu może być jednoczynnikowe, czy dwuczynnikowe, a jeśli to ostatnie, to czy drugim czynnikiem powinien być SMS, czy może należy wdrożyć token sprzętowy lub inny mechanizm wspierający kontrolę dostępu do systemu. Innymi słowy: dobór mechanizmów powinien odbyć się na podstawie zidentyfikowanych ryzyk, wiedzy o ich wpływie na bezpieczeństwo danych osobowych oraz skali przetwarzania i możliwości firmy.

Systemy działają w ramach infrastruktury, która powinna wspierać niezakłócone działanie systemu -dostępność, bezpieczeństwo środowiska pracy użytkowników systemu i bezpieczeństwo IT. O bezpieczeństwie systemu, zabezpieczeniu danych w nim zawartych, oprócz jego funkcjonalności, decyduje też wiele procesów, które powinny zachodzić w organizacji. Wynikają one nie tylko z RODO, ale z wielu uznanych, międzynarodowych standardów i praktyk zarządzania IT i bezpieczeństwem.

Kluczowe procesy mające wpływ na bezpieczeństwo to:
• rozwój oprogramowania i zarządzania zmianami – powinny uwzględniać wymagania Privacy by default oraz Privacy by design,
• zarządzanie dostępem użytkowników i uprawnieniami – winno brać pod uwagę cel i konieczny zakres dostępu do danych osobowych,
• administrowanie ciągłością działania – powinno uwzględniać wymaganą ochronę dostępności danych,
• zarządzanie dostawcami zewnętrznymi – winno brać pod uwagę wymagania w zakresie zlecania przetwarzania danych na zewnątrz i nadzór nad dostawcą,
• administrowanie retencją danych – powinno uwzględniać wymagania w zakresie prawa do zapomnienia,
• zarządzanie konfiguracją – winno brać pod uwagę wszystkie aspekty bezpieczeństwa i wymagania Privacy by default,
• zarządzanie bezpieczeństwem informacji – tworzące ramy dla ochrony danych osobowych,
• budowanie świadomości pracowników,
• przeglądy i audyty – pozwalające na sprawny nadzór nad dostawcami oraz nadzór nad realizacją zadań w zakresie ochrony danych osobowych,
•działania korygujące, zapobiegawcze i doskonalące – stwarzające możliwość poprawy poziomu bezpieczeństwa danych osobowych.

Prawidłowe wdrożenie wymienionych procesów, opartych na cyklu Deminga, zwanym również modelem PDCA (Plan Do-Check-Act), zapewni procesowe podejście do ochrony informacji i ciągłe doskonalenie. Uchroni to firmę przed wyrywkowym adresowaniem ryzyka przetwarzania danych osobowych. Aby stwierdzić, czy spełnione są wymogi RODO, należy więc przeprowadzić analizę ryzyka, zweryfikować stosowane zabezpieczenia oraz odpowiednio je udoskonalić, o ile to konieczne. Dopiero stosowanie adekwatnych zabezpieczeń, które są utrzymywane w ramach dobrze zaprojektowanych procesów, daje podstawę do stwierdzenia, że dane osobowe są przetwarzane zgodnie z RODO.

W podejściu IMMUSEC pierwszy etap wdrożenia zgodności z RODO obejmuje inwentaryzację danych osobowych oraz procesów i systemów, w ramach których są one przetwarzane. Na tym etapie sprawdzane są także mechanizmy bezpieczeństwa oraz analizowane jest ryzyko dla bezpieczeństwa danych osobowych. W obszarze prawnym weryfikowane są podstawy przetwarzania danych osobowych, stosowane klauzule oraz procedury i umowy współpracy z podwykonawcami. Na końcu przedstawiamy rekomendacje działań w celu obniżenia poziomu ryzyka i uzyskania zgodności z wymaganiami, które powinny zostać wdrożone w kolejnym etapie prac.
Jarosław Mazek, IMMUSEC

RODO i odporna infrastruktura

Wymagania RODO powinny zostać uwzględnione od samego początku, już na etapie jej planowania, na bazie ryzyka określonego dla danej organizacji. Ze względu na coraz bardziej wyrafinowane metody działania cyberprzestępców do ochrony danych może nie wystarczać już ani klasyczny firewall, ani antywirus. W celu kompleksowej ochrony przed zagrożeniami nowej generacji warto zatem rozważyć zastosowanie rozwiązań klasy anti-malware, anti-phishing, zero-day.

Do ochrony sieci wewnętrznej przed atakami z internetu stosuje się tzw. zapory sieciowe nowej generacji (NG-Firewall). Natomiast analizę ruchu sieciowego i pocztowego, w celu poszukiwania ruchu o charakterze ataku ukierunkowanego, spamu, phishingu i innych wektorów ataku, wykonują rozwiązania UBA (User Behaviour Analysis) z wykorzystaniem uczenia maszynowego (machine learning). Nowoczesne oprogramowanie do ochrony stacji roboczych ma dużo większy zakres funkcjonalności, niż poszukiwanie wirusów na podstawie sygnatur. Pozwala przesłać nieznany plik do specjalnego środowiska, aby sprawdzić, czy nie próbuje on wykonać na komputerze czynności, które mogą być podejrzane (SandBox), jest w stanie monitorować aktywność użytkownika, tj. uruchomione przez niego oprogramowanie, operacje wykonywane na plikach (np. odnotowanie usunięcia pliku), stan innych programów czy stan aktualizacji systemu operacyjnego (FIM).

Informacje o działaniach systemów i ich użytkowników mogą zostać przesłane do rozwiązania typu SIEM (Security Information and Event Management) w celu zbierania bądź korelacji danych i analizy, czy dana stacja robocza nie padła ofiarą cyberprzestępcy, albo czy użytkownik nie ma oprogramowania, które nie jest dopuszczone przez organizację. W razie incydentu bezpieczeństwa pozwala to na określenie jego źródeł, co umożliwia reakcję i ograniczenie skutków. Zgodnie z wymogiem nałożonym przez RODO firma, która padła ofiarą ataku, ma obowiązek zgłoszenia takiego incydentu w ciągu 72 godzin od jego wykrycia, o ile dotyczył on danych osobowych. Tymczasem obecny czas wykrycia incydentów wynosi w polskich firmach średnio ponad 200 dni!

W czasach coraz powszechniejszego modelu pracy zdalnej i polityki używania komputerów prywatnych w pracy BYOD (Bring Your Own Device) ważne jest wdrożenie środków zapewniających bezpieczeństwo pracy zdalnej i stosowania urządzeń mobilnych. Z pomocą przychodzą tutaj sieci VPN (Virtual Private Network) z odpowiednim poziomem szyfrowania danych oraz narzędzia Mobile Device Management (MDM), służące do zdalnego zarządzania urządzeniami przenośnymi pracowników, np. na wypadek zgubienia czy kradzieży telefonu.

Kolejny obszar bezpiecznego środowiska pracy to kwestie dostępu i wymiany danych za pomocą nośników wymiennych, np. pendrive czy dyski zewnętrzne. Pamięć przenośna jest bardzo podatna na przenoszenie wirusów i zarażanie komputerów. Dlatego należy stworzyć procedury uwzględniające adekwatne zabezpieczenia w zależności od tego, jak krytyczne dane będą przechowywane na tych nośnikach. Ważne dla organizacji dane mogą zostać również wysłane poza firmę – celowo lub nieintencjonalnie – np. w wiadomości e-mail. Aby zapobiec tego typu wyciekom, warto wdrożyć system DLP (Data Leak Protection), który przeszukuje wzorce danych i blokuje możliwość wysłania albo skopiowania dokumentów, które mogą zawierać dane osobowe.

Bezpieczny dostęp do infrastruktury

Kolejne procesy bezpieczeństwa w organizacji, które wymagają zaadresowania poprzez konkretne rozwiązania technologiczne, to nadawanie dostępu użytkownikom systemów IT oraz zasady stosowania loginów i haseł. Monitorowanie dostępu do infrastruktury uprzywilejowanych użytkowników, zarządzanie dostępami i hasłami użytkowników wspierają systemy klasy PAM (Privileged Access Management). Systemy PAM mają również takie funkcje, jak generowanie jednorazowego hasła dostępu, nagrywanie sesji i wprowadzenie polityk haseł, tj. poziom skomplikowania, częstotliwość ich zmiany.

Warto także kontrolować dostęp do sieci lokalnej, aby wykluczyć ataki bezpośrednie, polegające na dostępie do sieci lokalnej np. przez osoby spoza firmy. Rozwiązania typu NAC (Network Access Control) ułatwiają kontrolę nad dostępem do sieci i powinny zostać wdrożone w celu przejrzystości dostępów do sieci – zarówno przewodowej, jak i bezprzewodowej.

Aplikacje dostępne jako usługi poprzez internet (np. poczta e-mail, systemy CRM, CMS) są narażone na próby wykradania danych, dlatego powinny być zabezpieczone w szczególny sposób, a ich aktywność kontrolowana na bieżąco za pomocą rozwiązań WAF (Web Application Firewall), które analizują ruch w poszukiwaniu komunikacji mogącej być atakiem na aplikację sieciową. Ponadto rekomendowane jest, aby obok aplikacji stał serwer typu honeypot (fragment sieci udający sieć produkcyjną), mający za zadanie rejestrować próby włamania do serwera głównego, przez przekierowanie ruchu na honeypot.
Warto zadbać, aby wszystkie dane dostępne na komputerach wykorzystywanych do przetwarzania danych chronionych były zaszyfrowane. Utrudni to zdobycie danych znajdujących się na komputerze, gdzie atakujący może mieć bezpośredni dostęp do konkretnego komputera. Rozwiązania zapewniające poufność danych, dzięki pełnemu szyfrowaniu dysków i plików, i zarządzanie uprawnieniami to IRM (Information Right Management).

Trzeba dodać, że nawet jeśli organizacja sama wdroży zabezpieczenia, to często najsłabszym ogniwem są podwykonawcy, którzy przetwarzają dane osobowe klientów na zlecenie. W tym przypadku nie wystarczą zapisy prawne w umowach, ale podwykonawcy w uzgodnieniu z firmą zlecającą powinni wdrożyć kompletne rozwiązania do ochrony danych osobowych oraz poddawać się regularnym audytom.

Niezależnie od działań polskiego legislatora, organizacje już teraz powinny przyjrzeć się procedurom bezpieczeństwa oraz stosowanym zabezpieczeniom. Pozwoli to nie tylko uniknąć problemów, lecz także zyskać zaufanie klientów i zbudować przewagę konkurencyjną na podstawie przemyślanego modelu ochrony danych klientów i pracowników.

Udostępnij:

Twitter @IMMUSEC

Nasze biura

offices

Kontakt:

ul. Mokotowska 1
00-640 Warszawa, Polska
Tel. +48 22 3797470
Fax. +48 22 3797479
Email: biuro@immusec.com

Posiadamy certyfikat ISO