Od klasyfikacji do anonimizacji

Polskie prawo obejmuje ochroną kilka rodzajów informacji. Ustawa o ochronie informacji niejawnych określa zasady zabezpieczania czterech grup informacji: zastrzeżonych, poufnych, tajnych i ściśle tajnych. Są również przepisy dotyczące ochrony informacji będących różnego rodzaju tajemnicą: państwową, służbową i zawodową, czyli m.in. lekarską i adwokacką. Wyodrębnione zostały tajemnice związane z funkcjonowaniem poszczególnych branż i sektorów gospodarki, np. bankowa oraz telekomunikacyjna. Do innych, prawnie chronionych należą też: tajemnica korespondencji i negocjacji, statystyczna i geologiczna. Osobno uregulowano ochronę danych osobowych.

Zasady bezpiecznego przetwarzania danych osobowych określa obowiązujące od maja 2018 r. unijne rozporządzenie o ochronie danych osobowych (RODO). Zgodnie z jego art. 5 (ust. 1, lit. f), dane osobowe muszą być przetwarzane „w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”.

Rozporządzenie nie precyzuje jednak, w jaki konkretnie sposób i za pomocą jakich narzędzi ochrona ma być realizowana. Wybór, jak w przypadku wielu innych kwestii związanych z RODO, należy do administratora danych. Przepisy mówią jedynie o konieczności zastosowania środków adekwatnych do oszacowanego ryzyka i istniejących uwarunkowań, m.in. dostępnych rozwiązań technicznych.

Być może kryteria wyboru rozwiązań zabezpieczających zostaną w przyszłości doprecyzowane w branżowych kodeksach dobrych praktyk lub rekomendacjach zatwierdzanych przez prezesa Urzędu Ochrony Danych Osobowych. Na razie istnieje duża swoboda działania. Z perspektywy integratorów i resellerów otwiera to wiele możliwości biznesowych. Daje szansę proponowania nowych, adekwatnych dla sytuacji konkretnej firmy rozwiązań. Warunek jest jeden: trzeba dokonać analizy ryzyka i zastosować właściwe środki do ochrony. Być może w niektórych przypadkach będzie to wymagało stworzenia lub modyfikacji polityki bezpieczeństwa, w czym firmy informatyczne również mogą pomóc.

Klasyfikacja danych ułatwia ochronę

Zapewnienie autoryzowanego dostępu do danych osobowych wymaga przede wszystkim ich zidentyfikowania i określenia, gdzie się znajdują. Potrzebne też jest ustalenie, w jakich procesach mogą być wykorzystywane oraz kto i w jakim zakresie może mieć do nich dostęp. Potem trzeba opracować zasady dostępu, które będą obowiązywać w firmie, i konsekwentnie je egzekwować. Ważne jest m.in. wprowadzenie mechanizmów kontrolnych. Przydatne w tych wszystkich działaniach będą systemy do klasyfikacji danych obecnie oferowane jako składnik systemów klasy Data Loss Prevention albo jako osobne, niezależne oprogramowanie.

Zarządzanie informacją o przetwarzanych danych to mniej popularny, ale równie ważny aspekt gwarancji bezpieczeństwa. To również okazja dla resellerów i integratorów na rozwój biznesu w obszarach jeszcze mniej obleganych niż rynek rozwiązań do szyfrowania dysków, identyfikacji złośliwego oprogramowania czy ochrony dostępu. Klasyfikacja danych może też być zresztą znakomitym wsparciem procesów szyfrowania, uzupełnieniem systemów zapobiegających wyciekowi danych oraz wzbogaceniem innych rodzajów zabezpieczeń. Pomaga nie tylko w ochronie danych osobowych, ale też wszystkich innych, ważnych dla firmy informacji i dokumentów.

Systemy do klasyfikacji danych pozwalają indeksować przetwarzane zasoby pod kątem ich znaczenia dla bezpieczeństwa firmy. Dzięki temu wzmacnia się ich ochronę. W przypadku danych osobowych system może automatycznie zablokować dostęp pracownikowi, który nie jest upoważniony do ich przetwarzania (np. uniemożliwić wydruk lub wysłanie jako załącznika w poczcie elektronicznej). To samo dotyczy dokumentów z innymi rodzajami informacji niejawnych albo określonych jako newralgiczne dla danego przedsiębiorstwa i instytucji.

Zasadniczego znaczenia nabiera więc nie tylko kształtowanie nawyku bezpiecznych zachowań wśród pracowników, lecz także przekazywanie im wiedzy o kryteriach właściwego katalogowania przetwarzanych zasobów. Jednoznaczna, precyzyjna klasyfikacja zwiększa bowiem trafność podejmowanych przez system decyzji w zakresie udostępniania poszczególnych kategorii danych właściwym grupom użytkowników.

Każdemu według uprawnień

Każda firma powinna dysponować ogólnymi, powszechnie obowiązującymi zasadami uprawnionego, autoryzowanego korzystania z różnych, odpowiednio sklasyfikowanych rodzajów danych. Reguły te muszą mieć odzwierciedlenie w zatwierdzonej polityce bezpieczeństwa.

Zgodnie z wytycznymi ITIL, zarządzanie uprawnieniami do dostępu pomaga w kontrolowaniu poufności, integralności i dostępności zasobów. Daje gwarancję, że tylko upoważnieni użytkownicy będą z nich korzystać w określonym zakresie i je modyfikować. Chroni przed posługiwaniem się danymi w sposób nieuprawniony i przez nieuprawnione osoby.

Istnieje cała gama rozwiązań zapewniających kontrolowany dostęp do danych. Można posłużyć się szyfrowaniem, pseudonimizacją, skorzystać z systemów uwierzytelniania dostępu, blokowania nieuprawnionego dostępu, zarządzania tożsamością i kontami uprzywilejowanymi. Podstawą efektywnego wykorzystania każdego z tych narzędzi jest określenie jasnych, precyzyjnych reguł korzystania z różnych rodzajów czy zbiorów danych przez poszczególnych użytkowników w określonych procesach biznesowych. Przykładowo, dostęp do bazy z danymi osobowymi lub do systemu przetwarzającego dane osobowe może być nadany wyłącznie osobie posiadającej upoważnienie do przetwarzania danych osobowych, na dodatek w odpowiednim zakresie, adekwatnym do funkcji danego systemu lub zawartości bazy danych.

Pomocne, szczególnie w dużych firmach, będą z pewnością centralne bazy użytkowników. Dzięki nim łatwiej kontrolować, kto do jakich danych powinien mieć dostęp i w jaki sposób z niego korzysta. W przypadku dużej liczby użytkowników i różnorodności nadawanych im uprawnień coraz większego znaczenia nabierają systemy zarządzania tożsamością użytkowników. Warto w tym zakresie korzystać z systemów klasy Identity Management lub Identity and Access Management. Pozwalają bowiem zarządzać dostępem przez przydzielenie użytkowników do określonych grup oraz wyznaczenie im indywidualnych ról. Można też za ich pomocą wyznaczać zakres dostępu do poszczególnych danych, zarządzać uprawnieniami do dostępu, administrować logami i hasłami użytkowników oraz innymi metodami ich uwierzytelniania.

Monitorowaniu dostępu uprzywilejowanych użytkowników służą systemy klasy Privileged Access Management. Można za ich pomocą m.in. generować jednorazowe hasła dostępu i kierować całą polityką haseł (wyznaczać poziom skomplikowania, częstotliwość zmiany itp.). Z kolei kontrolę nad dostępem do sieci lokalnej ułatwiają rozwiązania typu Network Access Control.

Zarządzanie dostępem jest tak rozległą dziedziną, że oprócz standardowych narzędzi na rynku cały czas jest miejsce na nowe rozwiązania. Tym bardziej że dobór sposobów zabezpieczenia firmowych zasobów przed nieuprawnionym wykorzystaniem zależy w dużej mierze od specyficznych uwarunkowań i właściwości działania poszczególnych przedsiębiorstw. Każda propozycja, która zwiększa bezpieczeństwo przetwarzanych danych, może liczyć na zainteresowanie ze strony potencjalnych nabywców. Wciąż nie traci aktualności założenie, że szanse sprzedaży rosną, gdy oferta wdrożenia konkretnego systemu czy oprogramowania wzbogacona jest projektem dostosowania jego funkcji do dobrze rozpoznanych potrzeb odbiorcy.

Anonimy poza ochroną

Szczególną formą ochrony danych osobowych jest anonimizacja. Zapewnia dostęp do informacji pozbawionych cech jednostkowych. Polega na usunięciu wszystkich danych, które umożliwiałyby identyfikację osoby, której dotyczą. Przykładem anonimizacji danych jest usunięcie identyfikatorów, np. imienia, nazwiska, adresu zamieszkania, numeru telefonu. Można się nią posłużyć, by zapewnić dostęp do danych statystycznych, a jednocześnie chronić dane osobowe. Jest więc przydatna w przypadku analizy trendów biznesowych, budowania strategii marketingowych, tworzenia programów lojalnościowych, planowania zakupów i określania celów sprzedażowych. Bywa też wykorzystywana w sytuacji, gdy z systemu informatycznego nie można usunąć całego rekordu.

Dane zanonimizowane nie są już danymi osobowymi, więc nie podlegają przepisom RODO. Anonimizację, w przeciwieństwie do pseudonimizacji, cechuje bowiem nieodwracalność. Zakłada się, że po jej wykonaniu nie da się już zidentyfikować konkretnych osób fizycznych. Natomiast dane speudonimizowane można, wykorzystując dodatkowe informacje, przypisać konkretnej osobie. Dlatego podlegają ochronie prawnej.

W RODO pseudonimizacja wymieniona jest jako jeden ze środków technicznych i organizacyjnych dla podwyższenia bezpieczeństwa danych. Rozporządzenie nie zawiera natomiast definicji anonimizacji. Pojęcie to występuje jednak w ustawie o świadczeniu usług drogą elektroniczną i oznacza nieodwracalne uniemożliwienie zidentyfikowania określonej osoby. Podobnie anonimizacja określona została również w normie PN-ISO/IEC 29100.

Istnieje wiele różnych technik anonimizacji danych: randomizacja, dodanie zakłóceń, permutacja, prywatność różnicowa, uogólnienie lub osłabienia atrybutów, agregacja, k-anonimizacja i będąca jej rozszerzeniem l-dywersyfikacja. Narzędzia do anonimizacji danych bywają częścią różnych systemów informatycznych, np. klasy ERP czy CRM. Mogą też być oferowane jako samodzielne programy.