Urząd Ochrony Danych Osobowych skorzystał ostatnio ze swoich nowych kompetencji w stu procentach. Mowa tu oczywiście o głośnej medialnie historii Bisnode oraz karze w wysokości 1 mln zł za niedopełnienie obowiązku informacyjnego. Sprawa wywołała dużo kontrowersji i burzliwą dyskusję wokół zasadności wyboru tego właśnie przypadku na pierwszą „demonstrację siły” RODO, chociażby przez wzgląd na fakt, że dane przetwarzane przez Bisnode były publicznie dostępne. Więcej światła na interpretację nowego prawa rzuci zapewne złożona przez firmę apelacja. Ponieważ w ubiegłym roku nie brakowało incydentów, które skutkowały masowymi wyciekami danych osób prywatnych (chociażby przypadek Morele.net), przedsiębiorcy zadają sobie pytanie, dlaczego nie zajęto się właśnie nimi w pierwszej kolejności. A jednocześnie większość z nich czeka z niezbędnymi inwestycjami na rozwój wydarzeń.

Jednak wielu przedsiębiorców zdecydowało się na „plan minimum” w zakresie wdrażania konkretnych rozwiązań, co mimo wszystko należy uznać za zjawisko pozytywne z punktu widzenia producentów, dystrybutorów i integratorów działających w sektorze cyberbezpieczeństwa. Według specjalistów z katowickiej Dagmy większą wagę do wymagań rozporządzenia przykłada m.in. branża telemarketingowa, którą prezes UODO wziął na celownik w pierwszej kolejności, włączając w to zjawisko profilowania w sektorze bankowym i ubezpieczeniowym. Z polecanych i niezbędnych działań należałoby w tym (ale nie tylko) kontekście wymienić DLP, szyfrowanie i audyty.

Audyt: na dobry początek

Godną polecenia praktyką jest przeprowadzenie audytu, który wskaże, gdzie i w jaki sposób przetwarzane są w firmie dane, a następnie umożliwi objęcie polityką bezpieczeństwa oprócz danych „fizycznych” także ich elektroniczne odpowiedniki. Po dokładnej analizie możliwe jest skuteczne wdrożenie polityki bezpieczeństwa. Dopiero przy kompleksowym podejściu (dbałość o dane fizyczne i zapewnienie ochrony danym zapisanym w cyfrowy sposób) można uznać, że przedsiębiorstwo zastosowało „adekwatne środki bezpieczeństwa”. Dzięki temu w razie kontroli UODO firma udowodni, że zrobiono wszystko, co w jej mocy, aby odpowiednio zabezpieczyć przetwarzane dane.

Kompleksową usługę audytu dla swojego klienta (w tym audyt konfiguracji ESET) można zlecić specjalistom z Dagmy. Dystrybutor dysponuje kadrą specjalistów posiadających prestiżową certyfikację Certified Ethical Hacker. Świadectwo CEH zapewnia, że audytor używa tej samej wiedzy i narzędzi co cyberprzestępca, ale w odróżnieniu od niego – w legalny i zgodny z prawem sposób. Dzięki temu wykonywane przez niego kontrole, testy penetracyjne i socjotechniczne jeszcze skuteczniej weryfikują, jak w sytuacji realnego zagrożenia zachowują się nie tylko zabezpieczenia, ale też sami pracownicy audytowanej firmy.

DLP: gwarancja dobrej woli

Zabezpieczenie danych fizycznych bez zabezpieczenia klasy DLP, które ochroni dane cyfrowe przed wyciekiem, nie powinno i nie zostanie uznane za wystarczający środek ochrony. Nie można jednak z góry założyć, że posiadanie oprogramowania klasy DLP gwarantuje uniknięcie kar związanych z RODO. Jeśli reguły polityki bezpieczeństwa w firmie czy instytucji nie zostaną wdrożone, a dane wrażliwe w formie wydrukowanej przechowywane będą bez zachowania odpowiednich środków ostrożności – z pewnością rozwiązanie DLP nie uchroni przed karami.

Szyfrowanie: nie ma zmiłuj!

Jednym z obowiązków wynikających z art. 32 RODO jest szyfrowanie danych. Przy czym rozporządzenie nie precyzuje technicznych szczegółów dotyczących wykorzystywanych zabezpieczeń. To, jakie rozwiązania ochronne zostaną zastosowane w przedsiębiorstwie, powinno wynikać z analizy ryzyka, która musi uwzględniać każdy aspekt jego działalności. RODO, bazując na normie ISO/IEC 27 001, nakazuje takie zabezpieczenie danych, które zapewni im ochronę w zakresie tzw. triady CIA (Confidentiality, Integrity, Availability).

Przykładem firmy, która sprostała wymogom RODO jest Wielka Orkiestra Świątecznej Pomocy. Fundacji zależało na wdrożeniu rozwiązania szyfrującego zdolnego zabezpieczyć dane będące w jej posiadaniu, by ich przechowywanie oraz korzystanie z nich było zgodne z zapisami rozporządzenia. Kluczowym wymogiem okazała się przy tym możliwość centralnego zarządzania rozwiązaniem szyfrującym, które z założenia miało być również proste we wdrożeniu i codziennej administracji (wybór padł na ESET Endpoint Encryption).

 

Dagma: krótko i na temat

Jak RODO wpłynęło na sprzedaż rozwiązań IT?

Paweł Jurek
wicedyrektor ds. rozwoju

Wprowadzenie RODO spowodowało duże poruszenie w branży bezpieczeństwa IT. Klienci bardziej zainteresowali się politykami bezpieczeństwa, wielu z nich zauważyło, że ich firmy nie budują własnych strategii zabezpieczeń w należyty sposób. Biorąc pod uwagę konkretne produkty – w ubiegłym roku wręcz eksplodowało zainteresowanie użytkowników rozwiązaniami szyfrującymi, ale także tymi do zapobiegania wyciekom danych (DLP), których sprzedaż rośnie w wyjątkowo szybkim tempie. Większość naszych klientów, którzy decydują się na bliższe poznanie dystrybuowanego przez nas rozwiązania Safetica, przyznaje, że rozważa zakup zabezpieczenia tego typu po raz pierwszy i nie ma żadnych doświadczeń z produktami konkurencyjnymi. O ile bowiem na rynku antywirusowym każda sprzedaż to wyparcie konkurenta, to na rynku DLP sprzedaż jest zwykle efektem wcześniejszego braku tego typu rozwiązania.

Co wprowadzenie RODO zmieniło w mentalności polskich przedsiębiorców?

Mateusz Piątek
Product Manager rozwiązań Safetica

Wprowadzenie RODO miało wpływ nie tylko na przedsiębiorców, którzy z zasady starali się chronić wartości intelektualne swoich firm, ale również dane klientów. Każdy z nas zaczął zastanawiać się nad tym, kto właściwie dysponuje jego danymi i jak je przetwarza. Świadomość klientów oraz regulacje prawne niejako postawiły przedsiębiorców pod ścianą i sprowokowały ich do wdrożenia w swoich firmach zabezpieczeń, które minimalizują ryzyko wycieku danych. Nie wprowadzając rozwiązań DLP, ryzykują nie tylko stratą potencjalnego klienta, ale również narażają własną reputację. Generalnie jednak nie można powiedzieć, że wejście w życie unijnych przepisów automatycznie spowodowało diametralną zmianę mentalności uczestników rynku i wszyscy są już uświadomieni i zabezpieczeni w 100 proc. Ale z całą pewnością RODO wskazuje właściwy kierunek.

Czy nakładane kary są współmierne do wysiłków podejmowanych przez przedsiębiorstwa?

Karolina Kraśniewska
inspektor ochrony danych

Owiane złą sławą rozporządzenie o ochronie danych osobowych sprawia, że w każdym obszarze działalności dochodzi do absurdów podczas prób wprowadzania w życie jego zapisów. Z obawy przed wysokimi karami wiele przedsiębiorstw stosuje praktyki „wygórowane”, które często nie mają uzasadnienia. RODO dla wielu firm stało się raczej piątym kołem u wozu niż narzędziem służącym do ochrony praw i wolności osób fizycznych. Z drugiej strony słyszy się o przedsiębiorstwach, które ignorują jego zapisy. Warto uświadamiać klientów, że to, w jaki sposób i w jakim zakresie wywiążą się z obowiązków nałożonych na każdego administratora danych, powinno wynikać z przeprowadzonej analizy ryzyka. A konkretnie odpowiedzieć na pytanie: ile mogą dzięki niej zyskać, a co im grozi, jeśli w przypadku kontroli organ nadzorczy nie zgodzi się z ich sposobem działania.

Czy szyfrowanie danych i zabezpieczanie przed wyciekiem wystarczy, żeby uniknąć kar?

Jarosław Mackiewicz
kierownik zespołu ds. audytów bezpieczeństwa IT

Jednym słowem – nie. Czy zatem można sobie odpuścić inwestycje w takie rozwiązania? Również pudło. O co tu więc chodzi? Przede wszystkim o ciągłą ocenę ryzyka związanego z przetwarzaniem danych i dopasowywanie na bieżąco modelu biznesowego przedsiębiorstwa do zmiennego środowiska na rynku. Punktem wyjścia powinna być świadomość procesów zachodzących w firmie, rodzajów i ilości przetwarzanych danych czy w końcu związanych z nimi zagrożeń. To również budowanie świadomości pracowników – że każdy z nich jest odpowiedzialny za bezpieczeństwo przedsiębiorstwa i ochronę posiadanych przez nie danych. Edukujmy użytkowników, żeby uwzględniali bezpieczeństwo informacji w swojej strategii biznesowej, wprowadzajmy adekwatne do przeanalizowanego ryzyka rozwiązania (organizacyjne i techniczne) oraz regularnie testujmy ich działanie w praktyce, a nikt nie zarzuci nam niedochowania „należytej staranności”.