Ustalenie stosownych uprawnień – kto z czego może korzystać, kto co może przetwarzać – jest jednym z zasadniczych elementów polityki bezpieczeństwa. To żadna nowość, że nie każdemu przysługują jednakowe prawa dysponowania informacjami i najcenniejszymi walorami firmy. Nowością jest to, że w zdigitalizowanym świecie zwiększają się możliwości kontroli dostępu i przybywa narzędzi informatycznych, które do tego służą. Zarządzania tą sferą w przedsiębiorstwie nie warto jednak zaczynać od wyboru narzędzi. Jest ich na rynku już tak dużo i są tak elastyczne, że integrator z pewnością znajdzie rozwiązanie dostosowane do potrzeb klienta.

W pierwszej kolejności należy uporządkować zasoby danych i oszacować ich wartość. Dopiero gdy wiadomo, czym klient dysponuje i co należy w szczególny sposób chronić, jest czas na wybór rozwiązań technicznych. Tylko z pozoru może to być wbrew interesom integratorów i resellerów prowadzących sprzedaż rozwiązań dostępowych. Usługa optymalnego organizowania zasobów informacji i opracowania efektywnych zasad dostępu do nich niejednokrotnie jest bardziej korzystna od sprzedaży urządzeń czy oprogramowania. Tym bardziej że korzystanie z wielu rodzajów danych, np. osobowych czy będących tajemnicą przedsiębiorstwa, podlega ścisłym przepisom.
Dobrym punktem wyjścia do uporządkowania bądź ustalenia na nowo zasad ochrony informacji w firmie klienta bywa wdrożenie wymogów RODO. To też dobra okazja do opracowania reguł dostępu do poszczególnych rodzajów danych przedsiębiorstwa i zasobów o kluczowym znaczeniu dla jego sprawnego funkcjonowania.

Zgodnie z artykułem 5. RODO dane muszą być przetwarzane „w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”. Przepisy nie precyzują jednak, w jaki sposób i za pomocą jakich narzędzi ma to być realizowane. Wybór rozwiązań pozostaje w gestii administratora danych. Rozporządzenie mówi jedynie o obowiązku zastosowania środków adekwatnych do oszacowanego ryzyka, zdefiniowanych zagrożeń i istniejących uwarunkowań, m.in. dostępnych rozwiązań technicznych.

 

Wprowadzenie unijnego rozporządzenia otworzyło przed integratorami i resellerami nowe perspektywy. I chociaż od wejścia w życie RODO minęło już ponad półtora roku, wciąż wiele firm poszukuje porady doświadczonych specjalistów, gdyż spełnianie wymogów unijnego rozporządzenia wymaga stałej aktualizacji przyjętych rozwiązań i dostosowywania ich do aktualnych wyzwań. To szansa dla firm IT na oferowanie nowych, adekwatnych do sytuacji klienta rozwiązań. W niektórych przypadkach konieczne okaże się stworzenie lub zmodyfikowanie polityki bezpieczeństwa, w czym też można klientowi pomóc za odpowiednią opłatą.

Klient ma wiele możliwości

Ze statystyk wynika, że ok. 60 proc. danych wypływa z przedsiębiorstw i instytucji w wyniku działań pracowników, a nie za sprawą włamań lub innych działań cyberprzestępców. To dowód, jak ważne dla bezpieczeństwa jest uporządkowanie zasad dostępu do danych przez poszczególnych użytkowników w firmie. I to niezaleznie od tego, czy chodzi o prawnie chronione dane osobowe, czy o inne informacje wymagające szczególnych zabezpieczeń ze względu na ich wartość dla firmy.
Gdy już takie zasady zostaną opracowane i wprowadzone w życie, narzędzia informatyczne pomogą je egzekwować. Istnieje wiele rozwiązań służących do kontroli dostępu do danych. Można posłużyć się szyfrowaniem, pseudonimizacją, zastosować systemy uwierzytelniania dostępu, kontroli tożsamości, blokowania nieuprawnionego dostępu, a także zarządzania kontami uprzywilejowanymi.

Dużym firmom integrator może zaproponować stworzenie centralnej bazy użytkowników. Dzięki niej łatwiej sprawdzać, kto do jakich danych ma dostęp i w jaki sposób z tego korzysta. W przypadku dużej liczby pracowników, co zazwyczaj pociąga za sobą nadawanie im różnych uprawnień w różnych systemach, z pomocą przyjdzie system zarządzania tożsamością. Systemy klasy Identity Management lub Identity and Access Management zapewniają przydzielanie użytkowników do określonych grup oraz nadawanie im ról, do których przypisane są określone zakresy dostępu do danych. Klientom korporacyjnym warto oferować systemy Privileged Access Management do monitorowania dostępu do zasobów przez użytkowników uprzywilejowanych oraz rozwiązania typu Network Access Control do kontroli dostępu do sieci lokalnej.

Skuteczne zabezpieczenie firmowych zasobów przed nieuprawnionym dostępem zależy w dużym stopniu od jednostkowych uwarunkowań i sposobu funkcjonowania przedsiębiorstwa. Każdy nowy, niestandardowy pomysł resellera i integratora, który zwiększy poziom bezpieczeństwa przetwarzanych danych, ma szanse wzbudzić zainteresowanie potencjalnego klienta. A zatem firmy IT mają spore pole do działania.

Bogdan Lontkowski
dyrektor regionalny Ivanti na Polskę, Czechy, Słowację i kraje bałtyckie

Mamy do czynienia z dwoma poziomami ochrony zasobów danych w firmach. Jeden – to ogólnie pojęta ochrona dostępu, natomiast drugi – to zarządzanie tożsamością. Wzajemnie się uzupełniają i jeden bez drugiego nie może istnieć. W przypadku dostępu do danych poufnych w grę wchodzą jeszcze osobne regulacje prawne, które określają warunki zapewnienia ich ochrony przed dostępem z zewnątrz. Najważniejsza jest jednak znajomość posiadanych zasobów, ich specyfiki i znaczenia dla przedsiębiorstwa. Często najcenniejsze z biznesowego punktu widzenia są inne dane, niż się na pozór wydaje. Także nie te, których ochronę regulują najostrzejsze rygory prawne. Dla przykładu, niejednokrotnie informacje patentowe i receptury składu produkowanych wyrobów są ważniejsze dla firmy niż dane osobowe. Jedne i drugie trzeba chronić, ale świadomość wagi poszczególnych zasobów pomaga w doborze rozwiązań. Umożliwia również stopniowanie zakresu odpowiedzialności poszczególnych pracowników i decydowanie, kto, do czego może mieć dostęp i w jaki sposób – przykładowo, kto ma prawo tylko odczytywać dane, a kto je modyfikować.

 

Klasyfikacja to podstawa

Nawet najlepsze narzędzia nie zapewnią jednak odpowiedniego poziomu ochrony bez określenia jasnych, precyzyjnych reguł korzystania z konkretnych rodzajów czy zbiorów danych przez poszczególnych użytkowników w określonych procesach biznesowych. Przykładowo, dostęp do systemu przetwarzającego dane osobowe może być nadany wyłącznie osobie posiadającej uprawnienia do przetwarzania danych osobowych, na dodatek w ściśle określonym zakresie.
I tu wracamy do punktu wyjścia, gdyż zapewnienie autoryzowanego dostępu do konkretnych danych wymaga przede wszystkim ich zidentyfikowania i ustalenia, gdzie się znajdują. Konieczne jest też wskazanie, w jakich procesach są wykorzystywane oraz kto i w jakim zakresie ma do nich dostęp. Przydatne do tego są systemy klasyfikacji danych. Obecnie wchodzą w skład systemów klasy Data Lost Prevention albo są stosowane jako niezależne oprogramowanie. Umożliwiają indeksowanie przetwarzanych zasobów pod kątem ich znaczenia dla bezpieczeństwa firmy, co pozwala wzmocnić ich ochronę. Zapewniają np. automatyczne blokowanie dostępu do pliku z danymi osobowymi pracownikowi, który nie jest upoważniony do ich przetwarzania (m.in. zostanie uniemożliwiony wydruk i załączenie pliku do wiadomości w poczcie elektronicznej). To samo dotyczy dokumentów z innymi rodzajami informacji niejawnych oraz newralgicznych dla danego przedsiębiorstwa.
Skuteczność rozwiązań DLP jest tym większa, im jaśniejsze i bardziej jednoznaczne zasady klasyfikacji danych wypracowano w firmie. Precyzyjna klasyfikacja zwiększa bowiem trafność podejmowanych przez system decyzji w zakresie udostępniania poszczególnych ich kategorii właściwym grupom użytkowników. System podpowiada otagowanie lub proponuje kategorie danych z gotowego zestawu. Nie oznacza to jednak zwolnienia korzystającej z niego osoby z wyboru opcji, zgodnie z przejrzystymi zasadami klasyfikacji posiadanych i przetwarzanych przez  określone przedsiębiorstwo zbiorów danych.

I właśnie zarządzanie informacją o przetwarzanych danych może być dla resellerów i integratorów kolejną okazją do rozwoju biznesu. To możliwość oferowania nie tylko nowych narzędzi i programów, ale również usług konsultingowych, szkoleń oraz projektów edukacyjnych. To też sposób na zwiększenie bezpieczeństwa przetwarzanych danych, czym z pewnością jest zainteresowanych wiele firm.

Zdaniem integratora

Michał Malczewski, Sales Director, Integrity Partners
Dla skutecznej ochrony ważna jest identyfikacja danych wrażliwych. Współczesne techniki pomagają firmom znacząco zredukować bazę danych i monitorować działania migracyjne w chmurze. Mogą także ułatwiać procesy zabezpieczania wcześniej niesklasyfikowanych danych, by uniknąć naruszenia prawa, co jest szczególnie istotne, m.in. w przypadku RODO.

 

Anonimizacja: bez możliwości odwrotu

Szczególnym rodzajem ochrony danych osobowych jest anonimizacja. Zapewnia dostęp do informacji pozbawionych cech jednostkowych. Polega na usunięciu wszystkich informacji, które w jakiś sposób umożliwiałyby identyfikację określonej osoby. Można się nią posłużyć, by uzyskać dostęp do danych statystycznych, chroniąc przy tym dane osobowe, a także wtedy, gdy z systemu informatycznego nie można usunąć całego rekordu. Co ważne, dane zanonimizowane nie są już danymi osobowymi, więc nie podlegają regulacjom RODO. Anonimizację, w przeciwieństwie do pseudonimizacji, cechuje bowiem nieodwracalność. Po jej wykonaniu nie da się już zidentyfikować konkretnych osób.
Istnieje wiele różnych technik anonimizacji danych: randomizacja, dodanie zakłóceń, permutacja, prywatność różnicowa, uogólnienie lub osłabienia atrybutów, agregacja i k-anonimizacja oraz będąca jej rozszerzeniem l-dywersyfikacja. Narzędzia do anonimizacji danych wchodzą w skład różnych systemów informatycznych, np. ERP czy CRM. Bywają też oferowane jako samodzielne programy przeznaczone specjalnie do tego celu. 
 

Trzy pytania do…

Katarzyny Gorzkowskiej, prawnika w kancelarii APLaw

Z jakimi obowiązkami wiąże się przetwarzanie danych należących do poufnych? Jakie jeszcze dane, oprócz osobowych, wymagają szczególnej ochrony?

Na gruncie RODO termin „poufność” odnosi się do zabezpieczania danych osobowych przed ich ujawnieniem osobom nieuprawnionym. Powinny być przetwarzane w sposób zapewniający im bezpieczeństwo, m.in. ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Dane poufne mogą także zawierać tajemnice przedsiębiorstwa. W rozumieniu ustawy o zwalczaniu nieuczciwej konkurencji zaliczamy do nich informacje: techniczne, technologiczne, organizacyjne lub inne posiadające wartość gospodarczą, które nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób.

Co decyduje o tym, że dane stają się tajemnicą przedsiębiorstwa?

Warunkiem uznania danych za tajemnicę firmy jest dążenie przez przedsiębiorcę do utrzymania ich poufności. Podobnie jak w przypadku RODO, sprowadza się to do zabezpieczenia informacji przed ujawnieniem osobom nieuprawnionym. Przedsiębiorca musi podjąć stosowne działania, aby informacje w ogóle podlegały ochronie. Powinien określić, które dotychczas niepodane do wiadomości publicznej informacje chce objąć ochroną. Przede wszystkim powinny być to dane związane z prowadzoną działalnością gospodarczą, mające wartość biznesową, których ujawnienie mogłoby spowodować szkodę. Chodzi między innymi o bazy danych klientów, receptury, informacje o kontrahentach, plany produkcji, informacje o rynkach zbytu. Przedsiębiorca powinien podjąć starania w celu zapewnienia ich poufności, przy czym nie muszą być to środki nadzwyczajne. Należy także poinformować pracowników mających dostęp do informacji o tym, że zostały objęte poufnością.

Czy nie wystarczą same przepisy kodeksu pracy, który obliguje pracowników do zachowania tajemnicy?

Przepisy kodeksu pracy nakładają na pracownika obowiązek zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Zdarza się jednak, że pracownicy nieświadomi negatywnych skutków swojego postępowania ujawniają informacje, do których mają na co dzień dostęp. Na podstawie kodeksu pracy pracownik jest również zobowiązany do przestrzegania tajemnic, musi jednak wiedzieć o objęciu danych poufnością. Brak takiej wiedzy z jego strony pozbawia pracodawcę ochrony prawnej. Zgodnie z wyrokiem Sądu Najwyższego z 3 października 2000 r. wykorzystanie przez pracownika we własnej działalności gospodarczej informacji, co do których poufności pracodawca nie podjął niezbędnych działań, należy traktować jako wykorzystanie powszechnej wiedzy, do której przedsiębiorca nie ma żadnych ustawowych uprawnień.