Dane w firmie trzeba chronić ze względu na dbałość o reputację, wymogi przepisów prawa oraz konieczność utrzymania przewagi konkurencyjnej, np. w przypadku posiadania unikalnej receptury czy informacji o klientach. Wybór możliwych rozwiązań służących do kontroli dostępu do takich danych jest bardzo szeroki. Można wykorzystać szyfrowanie, pseudonimizację, zastosować systemy uwierzytelniania, kontroli tożsamości, blokowania nieuprawnionego dostępu, czy też zarządzania kontami uprzywilejowanymi. Przydatne może być stworzenie centralnej bazy użytkowników, co ułatwia sprawdzanie, kto ma dostęp do określonych informacji i w jaki sposób z nich korzysta.

Cele te można zrealizować za pomocą kilku rodzajów narzędzi. Rozwiązania typu single sign-on umożliwiają jednorazowe, centralne logowanie do wszystkich zasobów, systemów i usług sieciowych. Grupują w jednym miejscu informacje o przydzielonych użytkownikom prawach dostępu, najczęściej w łatwym do obsługi, a jednocześnie silnie chronionym portalu. Stworzony w ten sposób pojedynczy punkt dostępu ułatwia pracownikowi korzystanie z przydzielonych zasobów, zaś działowi IT czy administratorom bezpieczeństwa pozwala na skuteczniejszą, sprawniejszą kontrolę i ochronę firmowego środowiska.

OCHRONA Z MOCY PRAWA  

Przepisy polskiego prawa obejmują kilka rodzajów informacji, które są poddane ochronie. Ustawa o ochronie informacji niejawnych dotyczy danych zastrzeżonych, poufnych, tajnych i ściśle tajnych. Są też regulacje dotyczące zabezpieczania dostępu do informacji będących różnego rodzaju tajemnicą, np. państwową, służbową, przedsiębiorstwa (tej dotyczy ustawa o zwalczaniu nieuczciwej konkurencji) i zawodową (m.in. lekarską czy adwokacką). Osobne przepisy dotyczą zachowania tajemnicy w poszczególnych branżach, jak na przykład bankowej i telekomunikacyjnej. Do innych, prawnie chronionych, należą też: tajemnica statystyczna, korespondencji, negocjacji. W osobny sposób uregulowana została ochrona danych osobowych (RODO).

  

Systemy klasy Identity Management lub Identity and Access Management zapewniają z kolei tworzenie grup użytkowników o określonych uprawnieniach oraz nadawanie im ról, do których przypisane są możliwości korzystania z precyzyjnie określonych zasobów danych, koniecznych do wykonania konkretnej operacji. W dużych firmach można zastosować rozwiązanie klasy Privileged Access Management do monitorowania dostępu do zasobów przez użytkowników uprzywilejowanych. Jeszcze inne funkcje zapewniają narzędzia typu Network Access Control, służące do kontroli dostępu do sieci lokalnej. W każdym z tych przypadków warto zastosować mechanizmy wieloskładnikowej weryfikacji tożsamości.

Stale prowadzone są prace nad nowymi rozwiązaniami o innowacyjnym charakterze. Obecnie nakierowane są w dużej mierze na wykorzystanie algorytmów sztucznej inteligencji i uczenia maszynowego. Jedną z propozycji w tym zakresie jest biometria behawioralna. Daje ona możliwość zabezpieczenia dostępu do danych dzięki analizie tego jak użytkownik posługuje się komputerem – w jaki sposób z niego korzysta, a nie tego, co robi. Pod uwagę brana jest chociażby szybkość pisania na klawiaturze, siła nacisku na ekran dotykowy czy na touchpada, bądź trajektoria ruchów myszki komputerowej. Wszystkie te cechy są unikalne dla każdego użytkownika, sztuka jedynie w ich rozpoznaniu i matematycznym opisaniu.

Dane do analizy zbierane są z różnego rodzaju sensorów zintegrowanych ze sprzętem komputerowym lub możliwych do wbudowania w niego. Im więcej danych z różnych źródeł, tym uzyskany model będzie dokładniejszy. Co ważne, metoda ta daje możliwość ciągłej weryfikacji uprawnień użytkowników do korzystania z konkretnych zasobów czy usług, a nie tylko jednorazowo, w momencie logowania się.

Wymiar prawny i ekonomiczny

Wszystkie, nawet najbardziej zaawansowane technicznie rozwiązania do zarządzania dostępem będą bezużyteczne, gdy nie zostaną wyraźnie wskazane dane do zabezpieczenia. Dlatego też najważniejszą rzeczą w budowaniu systemu ochrony poufnych informacji jest ich identyfikacja oraz przypisanie do procesów, w których są lub mogą być wykorzystywane. To zadanie stanowi dla integratorów okazję do świadczenia klientom dodatkowych usług w postaci optymalnego zorganizowania zbiorów danych pod kątem możliwości ich ochrony.

W ramach działań porządkujących w pierwszej kolejności należy oszacować wartość zbiorów danych. Chodzi o to, żeby wiedzieć, czym klient dysponuje, co ma dla niego kluczowe znaczenie i gdzie poszczególne rodzaje danych są przetwarzane. Dopiero na tej podstawie można określić reguły dostępu do danych poufnych i wówczas jest moment na wybór konkretnych rozwiązań zabezpieczających.

Precyzyjne wskazanie informacji podlegających ochronie jest ważne również z tego powodu, że wykorzystanie wielu z nich, w tym danych osobowych, finansowo-księgowych czy tajemnic przedsiębiorstwa, podlega regulacjom prawnym. Żeby firma mogła wykazać, że postępuje zgodnie z wymogami prawa, musi przede wszystkim wiedzieć, których zasobów dotyczą określone przepisy. Wydaje się to niby oczywiste, ale doświadczenia z implementacji RODO pokazują, że w praktyce nie jest to wcale takie proste. Realnym ryzykiem w procesie tworzenia systemu ochrony pozostaje pominięcie danych, które nie zostały odpowiednio sklasyfikowane.

Zdaniem integratora  

Patryk Pieczko, Cybersecurity Director, Integrity Partners

Zmiana trybu pracy w związku z pandemią nie spowodowała istotnych zmian w samej naturze zagrożeń. Każdy z nas nadal może być celem ataku, jak i wpływać na potencjalną podatność całego systemu informacyjnego firmy. Chcąc zapewnić ciągłość działania klienci szukają głównie kompleksowych rozwiązań, które wspierają pracę zdalną, zapewniając jednocześnie bezpieczny i rozliczalny dostęp użytkowników do przydzielonych zasobów oraz minimalizują ryzyko wycieku poufnych danych. Wszystkie te rozwiązania bazują na identyfikacji tożsamości użytkownika. Nie istnieje jednak jeden, skuteczny mechanizm ochrony. Do zagadnień bezpieczeństwa najlepiej podejść w sposób kompleksowy poprzez identyfikację i klasyfikację zasobów oraz analizę ryzyka, która pozwoli wybrać rozwiązania adekwatne do potrzeb.

  

Dokładna identyfikacja danych poufnych i wrażliwych ma też wymiar ekonomiczny. Pozwala na zastosowanie wobec nich precyzyjnie dobranych narzędzi i zabezpieczeń. Dzięki temu nie trzeba ponosić kosztów jednakowej ochrony wszystkich danych. Tym bardziej, że często cenniejsze okazują się być informacje inne niż te, które powszechnie za takie uważano.

To firma musi określić, które dane, poza wskazanymi konkretnie w przepisach prawa, są dla niej poufne i powinny być objęte ochroną. Zgodnie z ustawą o zwalczaniu nieuczciwej konkurencji do tajemnicy przedsiębiorstwa zaliczają się informacje: techniczne, technologiczne, organizacyjne lub inne, posiadające wartość gospodarczą, ale które nie są powszechnie znane albo nie są łatwo dostępne dla osób nimi zainteresowanych. Chodzi tu głównie o dane związane z prowadzoną działalnością gospodarczą, o konkretnej wartości biznesowej, jak receptury, informacje o kontrahentach, plany produkcji, informacje o rynkach zbytu.

PODOBNE, ALE NIE TAKIE SAME  

Do ochrony danych osobowych można wykorzystać pseudonimizację lub anonimizację. Są to jednak dwa różne mechanizmy. Anonimizacja polega na usunięciu wszystkich informacji, które umożliwiałyby identyfikację określonej osoby. Można się nią posłużyć, by uzyskać dostęp do danych statystycznych lub gdy z systemu nie można usunąć całego rekordu. Dane zanonimizowane nie są już danymi osobowymi, więc nie podlegają regulacjom RODO. Anonimizację, w przeciwieństwie do pseudonimizacji, cechuje bowiem nieodwracalność. Funkcje anonimizacji danych wchodzą w skład różnych systemów informatycznych, np. ERP czy CRM. Bywają też oferowane w samodzielnych aplikacjach przeznaczonych specjalnie do tego celu. Natomiast pseudonimizacja, jako proces odwracalny, zwiększa jedynie bezpieczeństwo danych, które nadal w myśl prawa pozostają danymi osobowymi.

  

Dokładniej, a więc skuteczniej

Do wprowadzenia i utrzymania porządku w zbiorach informacji pomocne mogą być narzędzia do ich klasyfikacji. Wchodzą one w skład systemów klasy Data Lost Prevention (DLP) lub są dostępne jako osobne oprogramowanie. Pozwalają indeksować przetwarzane dane pod kątem ich znaczenia dla bezpieczeństwa firmy oraz automatycznie blokować dostęp do pliku z danymi osobowymi nieuprawnionemu pracownikowi. To samo dotyczy dokumentów z innymi rodzajami informacji poufnych czy newralgicznych dla przedsiębiorstwa.

Skuteczność działania systemów DLP jest tym większa, im bardziej jednoznaczne i precyzyjne zasady klasyfikacji danych przeznaczonych do ochrony zostały wypracowane w firmie. Im dokładniej jest ona przeprowadzona, tym większa jest trafność podejmowanych przez system decyzji w zakresie udostępniania danych poszczególnych kategorii właściwym grupom użytkowników. Z pomocą może tu przyjść automatyzacja procesów klasyfikowania czy etykietowania danych, bazująca np. na sztucznej inteligencji.

Zacząć od danych osobowych

Punktem wyjścia do zbudowania systemu skutecznej ochrony poufnych danych w różnych obszarach przedsiębiorstwa mogą być doświadczenia wyniesione z wdrażania rozwiązań zapewniających zgodność z RODO. Od wejścia rozporządzenia w życie minęło sporo czasu, ale wyzwania z tym związane pozostają wciąż aktualne.

Art. 5. RODO mówi, że dane muszą być przetwarzane „w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”.

Przepisy nie precyzują jednak, w jaki sposób i za pomocą jakich narzędzi ma to być realizowane. Wybór zostaje w gestii administratora danych i ma być adekwatny do oszacowanego ryzyka, zdefiniowanych zagrożeń i istniejących uwarunkowań, w tym technicznych. I tu znowu widać, że do podjęcia optymalnej decyzji potrzebna jest przede wszystkim wiedza na temat tego, jakimi zbiorami danych firma dysponuje, które z nich podlegają szczególnej ochronie, w jaki sposób i przez kogo są wykorzystywane oraz w jakich procesach są przetwarzane. Na tej podstawie można określić skalę podatności na zagrożenia i zaprojektować mechanizmy zabezpieczające. Identyfikacja chronionych danych i wskazanie procesów, w których są wykorzystywane, stanowią podstawę do zapewnienia zgodności z prawem.

Spełnienie zapisów RODO wymaga stałego aktualizowania przyjętych rozwiązań i dostosowywania ich do aktualnych uwarunkowań. To podejście sprawdza się również w odniesieniu do innych obszarów danych podlegających szczególnej ochronie. Integratorom, którzy będą „trzymać rękę na pulsie”, daje szansę na stały kontakt z klientem i oferowanie mu rozwiązań adekwatnych do aktualnej sytuacji – wewnątrz firmy, jak i w jej otoczeniu biznesowo-technologicznym. Na przykład w momencie pojawienia się pandemii COVID-19 firmy dysponujące opracowanymi regułami polityki bezpieczeństwa z określonymi zasadami ochrony danych poufnych i dostępu do nich, łatwiej przeszły na model pracy zdalnej niż te, które musiały wszystko tworzyć od początku.

Trzy pytania do… Trzy pytania do…  

Pawła Ellerika, Head of Sales w Lex Digital

 

 

 

  1. Jak sytuacja związana z pandemią wpłynęła na ochronę danych w firmach?  W związku z koniecznością przejścia z dnia na dzień na pracę zdalną wiele firm musiało nagle zdigitalizować swoje procesy. Rozwiązania, które miały temu służyć, były często dobierane w pośpiechu. To jednak, jak się ostatecznie okazało, nie stanowiło największego problemu. Najważniejsze było zbudowanie scenariuszy określających, co ma być dalej – co wolno osobie pracującej z domu, a czego nie. Z tym wiele firm jeszcze sobie nie poradziło. Nie jest bowiem problemem np. zainstalowanie programu do telekonferencji, ale ustalenie i przekazanie pracownikom zasad bezpiecznego korzystania z niego. Bo często przecież podczas takich zdalnych spotkań są omawiane kwestie poufne, kluczowe dla funkcjonowania przedsiębiorstwa.
  2. Co firmy powinny zrobić, żeby poprawić sytuację w tym zakresie? Najważniejszym wyzwaniem jest budowanie świadomości i kompetencji cyfrowych, a nie wdrożenie narzędzi informatycznych. Chodzi o to, żeby procesy te były poprzedzone określeniem zasad korzystania z poszczególnych rozwiązań, a także aby były chociażby zidentyfikowane i wskazane zasoby danych, które mogą być w określonym procesie przetwarzane. Zgłaszają się do nas firmy z wdrożonymi już systemami, co do których nie określono wciąż zasad dostępu, warunków korzystania poprzez nie ze zbiorów danych czy realizacji procesów. To często dotyczy również obszaru ochrony informacji osobowych.
  3. Skąd się biorą te problemy? Dla wielu firm wciąż wyzwaniem jest inwentaryzacja kluczowych danych, w tym osobowych oraz procesów, w których one funkcjonują. Często brakuje świadomości jakie dane i do czego są wykorzystywane. Zarządy niektórych firm nie są na przykład pewne, czy w ich procesach marketingowych jest dokonywane profilowanie klientów. W takiej sytuacji nie można sprawić, by było ono robione zgodnie z wymogami prawa. Uzyskanie tej wiedzy nie jest łatwe, szczególnie w dużych podmiotach, gdzie dane są przetwarzane w wielu miejscach, w wielu procesach i wielu systemach, ale z pewnością jest niezbędne. Identyfikacja danych i procesów przetwarzania to podstawa wszelkich działań związanych z ochroną – bez względu na to, czy są prowadzone w okresie pandemii, czy w każdym innym czasie.