Pięć miesięcy to sporo na odcyfrowanie czteroliterowego skrótowca. Na dostosowanie firmowej polityki bezpieczeństwa do wymogów nowych wytycznych rozporządzenia o ochronie danych osobowych - już trochę mniej. Za obie te czynności warto zabrać się jak najszybciej - RODO wchodzi w życie 25 maja, a urządzenia, z których tajne dane osobowe mogą wyciec właściwie każdy pracownik ma... w swojej kieszeni.
REKLAMA
RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, weszło w życie na mocy uchwały Parlamentu Europejskiego i zacznie obowiązywać od 25 maja 2018 roku. Dla przedsiębiorcy, który przetwarza informacje o osobach fizycznych oznacza to, między innymi, konieczność wypracowania procedur, które pozwolą wspomniane informacje zabezpieczyć.
Obowiązki i kary
Jakie konkretnie informacje podlegają ochronie? Mówiąc najprościej, wszystkie te, które pozwalają ustalić tożsamość danej osoby. Ich lista, na przestrzeni ostatnich lat, nieco się wydłużyła:
Jakie konkretnie informacje podlegają ochronie? Mówiąc najprościej, wszystkie te, które pozwalają ustalić tożsamość danej osoby. Ich lista, na przestrzeni ostatnich lat, nieco się wydłużyła:
Dane osobowe to takie dane, które pozwalają zidentyfikować osobę fizyczną. Mogą to być informacje takie jak: imię, nazwisko, numer PESEL, płeć, adres e-mail, ale również mniej oczywiste jak numer IP, dane o lokalizacji, kod genetyczny, poglądy polityczne czy historia zakupów. Wszelkie informacje zbierane na temat osoby, które pozwalają na ustalenie jej tożsamości, są danymi osobowymi, niezależnie od tego, czy są przetwarzane w formie papierowej czy cyfrowej.
Problem w tym, że unijne przepisy nie precyzują, jak konkretnie należy chronić informacje o osobach trzecich, którymi operuje firma. Z punktu widzenia przedsiębiorcy to informacja zarówno dobra, jak i zła. Z jednej strony, sam decyduje, w jakim tempie i za pomocą jakich środków zabezpieczyć powierzone mu informacje. Z drugiej, jeśli do tej pory takich środków ostrożności nie stosował, w przepisach nie znajdzie konkretnych wytycznych, co do procedur, jakie w tym celu należy wdrożyć. Otrzyma natomiast informację, że jeśli tego zadania nie dopełni, czekają go spore kary.
Sankcje, jakie wiążą się z niedopełnieniem obowiązków uwzględnionych w RODO mogą sięgać 20 milionów euro lub 4 proc. rocznego obrotu przedsiębiorstwa. Biorąc pod uwagę, że danymi osobowymi operują zarówno wielkie banki, jak i średniej wielkości sklepy internetowe, jest to kara dotkliwa.
Obowiązek zgłaszania naruszeń i 72 godziny na reakcję
Oprócz obowiązku odpowiedniego zabezpieczenia danych, RODO nakłada na przedsiębiorców obowiązek zgłaszania “naruszeń” - nie tylko do odpowiednich organów, ale i osób, których dane naruszone zostały. Dokumentacja związana z utratą danych musi zostać sporządzona i zgłoszona - nie tylko do GIODO, ale i samym zainteresowanym - w ciągu 72 godzin od momentu stwierdzenia naruszenia.
Oprócz obowiązku odpowiedniego zabezpieczenia danych, RODO nakłada na przedsiębiorców obowiązek zgłaszania “naruszeń” - nie tylko do odpowiednich organów, ale i osób, których dane naruszone zostały. Dokumentacja związana z utratą danych musi zostać sporządzona i zgłoszona - nie tylko do GIODO, ale i samym zainteresowanym - w ciągu 72 godzin od momentu stwierdzenia naruszenia.
W informatorze przygotowanym przez Ministerstwo Cyfryzacji, jako przykład naruszenia podana została sytuacja z gatunku „analogowych”: „Kadrowa firmy X przekopiowała listę płac na niezaszyfrowanego pendrive’a, po czym zabrała go poza siedzibę firmy, by dokończyć pracę w domu. Niestety zgubiła go w drodze do domu”.
Scenariusz tego incydentu równie dobrze można osadzić w chmurze: „Kadrowa firmy X przekopiowała listę płac do dokumentu Google Docs, połączonego z jej prywatnym kontem pocztowym”. W przypadku drugiego scenariusza sytuacja robi się o tyle bardziej skomplikowana, że profesjonalny haker, który włamie się na skrzynkę stereotypowej kadrowej, raczej nie wyśle jej maila z zawiadomieniem o dokonaniu przestępstwa. Może za to nie pozostawić po sobie żadnych, widocznych dla laika śladów.
Podobnie nieuchwytny będzie ten cyberprzestępca, który zamiast pokonywać kolejne zabezpieczenia sieciowe, nakłoni księgową, aby na firmowym tablecie zainstalowała darmową aplikację. Program może, koniec końców, okazać się księgowej do niczego niepotrzebny. Przyda się natomiast hakerom, którzy za jego pośrednictwem uzyskają bieżący dostęp do zapisanych w pamięci urządzenia notatek listy płac.
Nietrudno wyobrazić sobie również sytuację, w której kolega księgowej z działu sprzedaży, pomiędzy jednym spotkaniem z klientem, a drugim, postanawia policzyć zrealizowane w tym miesiącu zlecenia. Ściąga więc na smartfona arkusz transakcji. Jako, że korzysta z ogólnodostępnego hotspota, wgląd w listę klientów firmy może teoretycznie uzyskać również haker, który obserwuje ten właśnie punkt dostępowy.
Z możliwości wystąpienia przedstawionych wyżej scenariuszy większość przedsiębiorców doskonale zdaje sobie sprawę. Do tej pory jednak zabezpieczenie urządzeń mobilnych było wyrazem przezorności i zdrowego rozsądku. Od połowy roku, w przypadku wielu firm, będzie regulowaną ustawowo koniecznością.
Jak chronić urządzenia mobilne przed wyciekiem danych osobowych?
Prowadzenie firmy z poziomu desktopu trudno sobie dzisiaj wyobrazić. RODO zmusza jednak przedsiębiorców, aby kwestie związane z mobilnym bezpieczeństwem potraktować priorytetowo. Niezwykle istotna jest zwłaszcza zmiana myślenia o urządzeniach mobilnych jako “pół prywatnych”. Kwestie te muszą przemyśleć zwłaszcza ci przedsiębiorcy, którzy dopuszczają możliwość korzystania z prywatnych komórek, tabletów i laptopów do celów służbowych, bo to właśnie w takich przypadkach pojawia się największe niebezpieczeństwo wystąpienia naruszeń.
Prowadzenie firmy z poziomu desktopu trudno sobie dzisiaj wyobrazić. RODO zmusza jednak przedsiębiorców, aby kwestie związane z mobilnym bezpieczeństwem potraktować priorytetowo. Niezwykle istotna jest zwłaszcza zmiana myślenia o urządzeniach mobilnych jako “pół prywatnych”. Kwestie te muszą przemyśleć zwłaszcza ci przedsiębiorcy, którzy dopuszczają możliwość korzystania z prywatnych komórek, tabletów i laptopów do celów służbowych, bo to właśnie w takich przypadkach pojawia się największe niebezpieczeństwo wystąpienia naruszeń.
RODO nie narzuca konkretnych rozwiązań, jakie należy wprowadzić, aby zabezpieczyć się przed wyciekiem danych - każdy przedsiębiorca może więc wybrać rozwiązanie pasujące do charakteru i skali jego działalności. W firmach, w których panuje więc zasada: „Bring Your Own Device” wystarczającym rozwiązaniem może być więc wydzielenie na smartfonach pracowników swego rodzaju “bezpiecznej przestrzeni”, dostęp do której będzie dodatkowo chroniony. Takie możliwości daje na przykład KNOX. Aplikacja zamyka firmowe dane w wirtualnym sejfie i ustawia zaporę, uniemożliwiającą niepożądany dostęp - zarówno manualny, jak i zdalny. Dostępu nie uzyska więc ani przypadkowa osoba, która zdoła odblokować urządzenie, ani haker, usiłujący sforsować zapory części systemu zaszyfrowanej w ramach KNOX.
Skala możliwości ochrony danych jest oczywiście znacznie szersza w przypadku urządzeń firmowych. Wdrożenie odpowiedniej platformy do monitoringu pozwala na bieżąco kontrolować transfer danych, stan aktualizacji poszczególnych urządzeń, czy nadawać lub odbierać zdalnie uprawnienia dostępowe. Takie rozwiązania dla biznesu ma już w swojej ofercie Plus, który proponuje swoim użytkownikom dostęp do platformy FAMOC.
Urządzenia połączone w ramach FAMOC są chronione przed standardowymi zagrożeniami środowisk mobilnych. Firmowe dane można więc szyfrować i dodatkowo zabezpieczyć hasłami. System zabezpiecza również pocztę oraz przeglądarkę oraz pozwala wdrożyć konfigurowany zdalnie program antywirusowy.
Oprócz standardowych zabezpieczeń, FAMOC staje się swego rodzaju bazą danych o wszystkich firmowych urządzeniach: generuje monity dotyczące aktualizacji, raporty na temat stanu technicznego, czy nawet bieżący podgląd poziomu baterii.
Klienci Plusa mają też możliwość korzystania z prywatnych APN-ów. W kontekście RODO jest to o tyle istotne, że zabezpiecza nie tylko dane nie tylko podczas magazynowania ich na urządzeniu, ale również w trakcie przesyłu. Firma korzystająca z tej usługi zyskuje bowiem własną, wydzieloną sieć VPN dla mobilnej transmisji danych. Sieć, dodajmy, która działa niezależnie od technologii LTE czy 3G i tym samym stanowi “bezpieczny korytarz”, którym możemy przesyłać zarówno dane objęte obostrzeniami RODO, jak i wszystkie inne, nie mniej w kontekście cyberbezpieczeństwa firmy ważnych.
Wprowadzenie w życie wytycznych RODO może być sporym wyzwaniem - szczególnie dla tych firm, w których temat bezpiecznego przechowywania i przetwarzania danych nie był do tej pory traktowany priorytetowo. Z drugiej strony, mimo że narzucony odgórnie, nakaz ten stanowi pozytywny bodziec do pochylenia się nad tematem cyberbezpieczeństwa i załatania ewentualnych luk w systemach, co w dłuższej perspektywie opłaci się zarówno firmom, jak i ich klientom.
Artykuł powstał we współpracy z Plus.
Nie przegap żadnej ważnej wiadomości i obserwuj nas w Google News!