RODO w teorii i praktyce
UODO do lutego bieżącego roku otrzymał ponad dwa tysiące zgłoszeń w kwestii RODO. Wydał jedynie 18 decyzji, w tym jedną z nałożeniem kary. W tej sytuacji wielu potencjalnych klientów firm IT wstrzymuje zakupy, chcąc zobaczyć, jaką linię postępowania obierze regulator rynku.
Urząd Ochrony Danych Osobowych skorzystał ostatnio ze swoich nowych kompetencji w stu procentach. Mowa tu oczywiście o głośnej medialnie historii Bisnode oraz karze w wysokości 1 mln zł za niedopełnienie obowiązku informacyjnego. Sprawa wywołała dużo kontrowersji i burzliwą dyskusję wokół zasadności wyboru tego właśnie przypadku na pierwszą „demonstrację siły” RODO, chociażby przez wzgląd na fakt, że dane przetwarzane przez Bisnode były publicznie dostępne. Więcej światła na interpretację nowego prawa rzuci zapewne złożona przez firmę apelacja. Ponieważ w ubiegłym roku nie brakowało incydentów, które skutkowały masowymi wyciekami danych osób prywatnych (chociażby przypadek Morele.net), przedsiębiorcy zadają sobie pytanie, dlaczego nie zajęto się właśnie nimi w pierwszej kolejności. A jednocześnie większość z nich czeka z niezbędnymi inwestycjami na rozwój wydarzeń.
Jednak wielu przedsiębiorców zdecydowało się na „plan minimum” w zakresie wdrażania konkretnych rozwiązań, co mimo wszystko należy uznać za zjawisko pozytywne z punktu widzenia producentów, dystrybutorów i integratorów działających w sektorze cyberbezpieczeństwa. Według specjalistów z katowickiej Dagmy większą wagę do wymagań rozporządzenia przykłada m.in. branża telemarketingowa, którą prezes UODO wziął na celownik w pierwszej kolejności, włączając w to zjawisko profilowania w sektorze bankowym i ubezpieczeniowym. Z polecanych i niezbędnych działań należałoby w tym (ale nie tylko) kontekście wymienić DLP, szyfrowanie i audyty.
Audyt: na dobry początek
Godną polecenia praktyką jest przeprowadzenie audytu, który wskaże, gdzie i w jaki sposób przetwarzane są w firmie dane, a następnie umożliwi objęcie polityką bezpieczeństwa oprócz danych „fizycznych” także ich elektroniczne odpowiedniki. Po dokładnej analizie możliwe jest skuteczne wdrożenie polityki bezpieczeństwa. Dopiero przy kompleksowym podejściu (dbałość o dane fizyczne i zapewnienie ochrony danym zapisanym w cyfrowy sposób) można uznać, że przedsiębiorstwo zastosowało „adekwatne środki bezpieczeństwa”. Dzięki temu w razie kontroli UODO firma udowodni, że zrobiono wszystko, co w jej mocy, aby odpowiednio zabezpieczyć przetwarzane dane.
Kompleksową usługę audytu dla swojego klienta (w tym audyt konfiguracji ESET) można zlecić specjalistom z Dagmy. Dystrybutor dysponuje kadrą specjalistów posiadających prestiżową certyfikację Certified Ethical Hacker. Świadectwo CEH zapewnia, że audytor używa tej samej wiedzy i narzędzi co cyberprzestępca, ale w odróżnieniu od niego – w legalny i zgodny z prawem sposób. Dzięki temu wykonywane przez niego kontrole, testy penetracyjne i socjotechniczne jeszcze skuteczniej weryfikują, jak w sytuacji realnego zagrożenia zachowują się nie tylko zabezpieczenia, ale też sami pracownicy audytowanej firmy.
DLP: gwarancja dobrej woli
Zabezpieczenie danych fizycznych bez zabezpieczenia klasy DLP, które ochroni dane cyfrowe przed wyciekiem, nie powinno i nie zostanie uznane za wystarczający środek ochrony. Nie można jednak z góry założyć, że posiadanie oprogramowania klasy DLP gwarantuje uniknięcie kar związanych z RODO. Jeśli reguły polityki bezpieczeństwa w firmie czy instytucji nie zostaną wdrożone, a dane wrażliwe w formie wydrukowanej przechowywane będą bez zachowania odpowiednich środków ostrożności – z pewnością rozwiązanie DLP nie uchroni przed karami.
Szyfrowanie: nie ma zmiłuj!
Jednym z obowiązków wynikających z art. 32 RODO jest szyfrowanie danych. Przy czym rozporządzenie nie precyzuje technicznych szczegółów dotyczących wykorzystywanych zabezpieczeń. To, jakie rozwiązania ochronne zostaną zastosowane w przedsiębiorstwie, powinno wynikać z analizy ryzyka, która musi uwzględniać każdy aspekt jego działalności. RODO, bazując na normie ISO/IEC 27 001, nakazuje takie zabezpieczenie danych, które zapewni im ochronę w zakresie tzw. triady CIA (Confidentiality, Integrity, Availability).
Przykładem firmy, która sprostała wymogom RODO jest Wielka Orkiestra Świątecznej Pomocy. Fundacji zależało na wdrożeniu rozwiązania szyfrującego zdolnego zabezpieczyć dane będące w jej posiadaniu, by ich przechowywanie oraz korzystanie z nich było zgodne z zapisami rozporządzenia. Kluczowym wymogiem okazała się przy tym możliwość centralnego zarządzania rozwiązaniem szyfrującym, które z założenia miało być również proste we wdrożeniu i codziennej administracji (wybór padł na ESET Endpoint Encryption).
Dagma: krótko i na temat
Jak RODO wpłynęło na sprzedaż rozwiązań IT?
Paweł Jurek
wicedyrektor ds. rozwoju
Wprowadzenie RODO spowodowało duże poruszenie w branży bezpieczeństwa IT. Klienci bardziej zainteresowali się politykami bezpieczeństwa, wielu z nich zauważyło, że ich firmy nie budują własnych strategii zabezpieczeń w należyty sposób. Biorąc pod uwagę konkretne produkty – w ubiegłym roku wręcz eksplodowało zainteresowanie użytkowników rozwiązaniami szyfrującymi, ale także tymi do zapobiegania wyciekom danych (DLP), których sprzedaż rośnie w wyjątkowo szybkim tempie. Większość naszych klientów, którzy decydują się na bliższe poznanie dystrybuowanego przez nas rozwiązania Safetica, przyznaje, że rozważa zakup zabezpieczenia tego typu po raz pierwszy i nie ma żadnych doświadczeń z produktami konkurencyjnymi. O ile bowiem na rynku antywirusowym każda sprzedaż to wyparcie konkurenta, to na rynku DLP sprzedaż jest zwykle efektem wcześniejszego braku tego typu rozwiązania.
Co wprowadzenie RODO zmieniło w mentalności polskich przedsiębiorców?
Mateusz Piątek
Product Manager rozwiązań Safetica
Wprowadzenie RODO miało wpływ nie tylko na przedsiębiorców, którzy z zasady starali się chronić wartości intelektualne swoich firm, ale również dane klientów. Każdy z nas zaczął zastanawiać się nad tym, kto właściwie dysponuje jego danymi i jak je przetwarza. Świadomość klientów oraz regulacje prawne niejako postawiły przedsiębiorców pod ścianą i sprowokowały ich do wdrożenia w swoich firmach zabezpieczeń, które minimalizują ryzyko wycieku danych. Nie wprowadzając rozwiązań DLP, ryzykują nie tylko stratą potencjalnego klienta, ale również narażają własną reputację. Generalnie jednak nie można powiedzieć, że wejście w życie unijnych przepisów automatycznie spowodowało diametralną zmianę mentalności uczestników rynku i wszyscy są już uświadomieni i zabezpieczeni w 100 proc. Ale z całą pewnością RODO wskazuje właściwy kierunek.
Czy nakładane kary są współmierne do wysiłków podejmowanych przez przedsiębiorstwa?
Karolina Kraśniewska
inspektor ochrony danych
Owiane złą sławą rozporządzenie o ochronie danych osobowych sprawia, że w każdym obszarze działalności dochodzi do absurdów podczas prób wprowadzania w życie jego zapisów. Z obawy przed wysokimi karami wiele przedsiębiorstw stosuje praktyki „wygórowane”, które często nie mają uzasadnienia. RODO dla wielu firm stało się raczej piątym kołem u wozu niż narzędziem służącym do ochrony praw i wolności osób fizycznych. Z drugiej strony słyszy się o przedsiębiorstwach, które ignorują jego zapisy. Warto uświadamiać klientów, że to, w jaki sposób i w jakim zakresie wywiążą się z obowiązków nałożonych na każdego administratora danych, powinno wynikać z przeprowadzonej analizy ryzyka. A konkretnie odpowiedzieć na pytanie: ile mogą dzięki niej zyskać, a co im grozi, jeśli w przypadku kontroli organ nadzorczy nie zgodzi się z ich sposobem działania.
Czy szyfrowanie danych i zabezpieczanie przed wyciekiem wystarczy, żeby uniknąć kar?
Jarosław Mackiewicz
kierownik zespołu ds. audytów bezpieczeństwa IT
Jednym słowem – nie. Czy zatem można sobie odpuścić inwestycje w takie rozwiązania? Również pudło. O co tu więc chodzi? Przede wszystkim o ciągłą ocenę ryzyka związanego z przetwarzaniem danych i dopasowywanie na bieżąco modelu biznesowego przedsiębiorstwa do zmiennego środowiska na rynku. Punktem wyjścia powinna być świadomość procesów zachodzących w firmie, rodzajów i ilości przetwarzanych danych czy w końcu związanych z nimi zagrożeń. To również budowanie świadomości pracowników – że każdy z nich jest odpowiedzialny za bezpieczeństwo przedsiębiorstwa i ochronę posiadanych przez nie danych. Edukujmy użytkowników, żeby uwzględniali bezpieczeństwo informacji w swojej strategii biznesowej, wprowadzajmy adekwatne do przeanalizowanego ryzyka rozwiązania (organizacyjne i techniczne) oraz regularnie testujmy ich działanie w praktyce, a nikt nie zarzuci nam niedochowania „należytej staranności”.
Podobne artykuły
Z czym na NIS2?
Jakie produkty, rozwiązania i usługi powinny szczególnie zainteresować klientów w kontekście wchodzącej w życie w październiku tego roku dyrektywy?
DAGMA Top Partner Summit 2024: jak dopieścić klientów
DAGMA Bezpieczeństwo IT rozpoczęła nowy rok od spotkania z partnerami. Firma podczas wydarzenia odbywającego się w Muzeum Śląskim w Katowicach poinformowała o zmianach w dziale technicznym, strategii sprzedaży produktów, a także nagrodziła wyróżniających się resellerów.
Cyberbezpieczeństwo: koniec obietnic, czas na dowody
Na przestrzeni kilku ostatnich lat w segmencie produktów do ochrony urządzeń końcowych zaszły istotne zmiany. Nowoczesne narzędzia otwierają nowe możliwości w zakresie zabezpieczania sprzętu, ale niosą też ze sobą pewne wyzwania.