Zapraszamy do kontaktu: tel. +48 579 647 639 lub kontakt@fortecait.pl

Przystosowanie się do RODO (Rozporządzenie o Ochronie Danych Osobowych) sprawia przedsiębiorcom dużo kłopotów.

Warto zacząć od zdefiniowania z czego te problemy wynikają.

Na najogólniejszym poziomie możemy stwierdzić, że RODO wymusza zmianę wielu procesów biznesowych, wprowadzenie nowych narzędzi oraz nowej dokumentacji. To oznacza istotne zaburzenie dotychczasowej pracy. Jak zawsze w takich przypadkach oznacza to dodatkową pracę, koszty, jak również komplikacje związane z przemodelowaniem dotychczasowych procesów, oraz w konieczności wprowadzania nowych procesów, których jedynym celem jest wypełnieniem nowych wymagań wynikających z przepisów (np. pozyskiwanie nowych zgód na przetwarzanie danych osobowych)

Jeśli zejdziemy poziom głębiej zobaczymy, że problemem jest ogólność zapisów RODO. Każdy przedsiębiorca ma samodzielnie oszacować ryzyko związane z przetwarzaniem danych osobowych i przedsięwziąć adekwatne środki zabezpieczające. Powoduje to wysoką niepewność oraz obawę, ze nawet w przypadku zaangażowania sił i środków w celu wypełnienia zapisów RODO, w przypadku kontroli inspektor może stwierdzić, że on szacuje poziom ryzyka zupełnie inaczej, lub też uznaje zastosowane środki zabezpieczenia za niewystarczające. W rozmowach z przedsiębiorcami często słyszę stwierdzenie, że to takie przepisy, które władzy dają możliwość „ukarania” lub wręcz zniszczenia dowolnego przedsiębiorstwa – jeśli nie karą pieniężną to choćby uprawnieniem naprawczym w postaci wprowadzenia czasowego lub całkowitego ograniczenia przetwarzania danych, w tym zakazu przetwarzania, do czasu wyeliminowania nieprawidłowości wykazanych w czasie kontroli.

Jeśli już zaakceptujemy wysoki poziom ogólności przepisów i przejdziemy na poziom ich wdrożenia w organizacji – pojawia się kolejny problem. RODO wymaga skoordynowania i spójnych zmian w trzech obszarach organizacji, które zwyczajowo, współpracują z wieloma tarciami:

1.      Zarządzania – procesów biznesowych, wykorzystywanych systemów, uprawnień pracowników, organizacji pracy

2.      Obszaru formalno-prawnego i wewnętrznych regulacji i dokumentacji – umów z pracownikami, klientami i kontrahentami, instrukcji stanowiskowych, procedur wewnętrznych, regulaminów instrukcji stanowiskowych itp.

3.      IT – narzędzi teleinformatycznych umożliwiających realizację zadań narzuconych przez (1) Zarządzanie w ramach wyznaczonych przez (2) wymogi formalno-prawne

Ten przydługi wstęp był niezbędny aby móc wyraźnie powiedzieć jedną rzecz.

Narzędzia informatyczne nie są magiczną różdżką, która pozwoli nam „załatwić” RODO. Często spotykam się z takim podejściem, które wynika bodaj z tego, że akurat w przypadku wymagań stawianych narzędziom IT RODO jest wyjątkowo precyzyjne i szczegółowe.

Niestety wiele firm próbuje żerować na RODO oferując szybkie proste i tanie sposoby na przygotowanie się do RODO. Chyba nie ma już firmy i instytucji, która nie dostałaby propozycji zakupu wzorów dokumentacji, rozwiązań IT czy usług „RODO READY”.

Prawda jest taka, że, jak to w życiu z cudownymi rozwiązaniami bywa, dają one tyle ile kosztują – niewiele.

Co więcej, narzędzia IT to ostatnia rzecz nad którą, z punktu widzenia dostosowania się do RODO, powinniśmy się zająć.

W pierwszej kolejności należy ustalić jak dziś wygląda przetwarzania danych osobowych w naszej organizacji.

Większości osób zarządzających firmami i instytucjami wydaje się, że dobrze wiedzą co się w podległych im organizacją dzieje. Mają rację – wydaje im się. W 9 na 10 realizowanych przez firmę Forteca IT audytów okazuje się, że w organizacji jest znacznie więcej samych danych osobowych, jak również systemów w których są przetwarzane, czy w końcu osób, które mają do takich danych dostęp, niż deklarowały osoby zarządzające.

Gdy wiemy już jakie dane mamy, w jakich systemach je przetwarzamy i w jakim celu, oraz kto ma do nich dostęp, wówczas możemy przejść do drugiego kroku, który w Fortecy nazywamy „minimalizacją obszaru rażenia RODO” – weryfikacji, czy rzeczywiście wszystkie te dane są nam z punktu widzenia realizowanych procesów potrzebne? Czy wszystkie osoby, które dziś mają dostęp, naprawdę go potrzebują? Czy osoby, którym dane osobowe są niezbędne do realizacji zadań muszą mieć do nich dostęp we wszystkich dziś wykorzystywanych systemach (dobrym przykładem jest dostęp do poczty na smartfonie pracownika, który pracuje zawsze w biurze i od którego nie wymagamy reagowania na korespondencję poza godzinami pracy)?

Po tych porządkach wiemy już jakie dane osobowe są nam niezbędne w których systemach i komu musimy je udostępniać – dopiero teraz możemy zająć się obszarem formalno -prawnym. Po pierwsze określeniem warunków, które musimy spełnić, aby funkcjonować w zgodzie z RODO, po drugie przygotowaniem wynikającej z tego dokumentacji – regulaminy pracy, procedury, umowy z podmiotami zewnętrznymi itp. itd.

Dopiero na tym etapie możemy przejść do tematu, który jest sednem tego materiału – narzedzi informatycznych. Dopiero teraz ma bowiem sens analiza która odpowie na pytanie, na ile posiadane obecnie rozwiązania pozwalają wdrożyć określone wcześniej procedury. Czy wystarczy tylko korekta w konfiguracji, czy też niezbędne będzie wdrożenie nowych narzędzi.

Oczywiście w każdej organizacji odpowiedź będzie inna dlatego poniżej przedstawiamy komplet narzędzi i rozwiązań niezbędnych do wypełnienia zapisów RODO, pozostawiając Państwu ocenę które z nich już macie wdrożone, a które dopiero trzeba będzie wprowadzić.

Artykuł 32 RODO definiuje wymagania odnoście przetwarzania danych osobowych, które bezpośrednio odnoszą się do narzędzi IT. Znajdziemy tam również (tu bardzo ogólne wskazanie), że dobór rozwiązań uzależniony być powinien od „…stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekst i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia”. Poniżej umieszczamy „środki techniczne i organizacyjne” wskazane przez prawodawcę:

a) pseudonimizacja i szyfrowanie danych osobowych;

b)zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Jak to przełożyć na narzędzia IT?

Po pierwsze spójrzmy na nasz środowisko informatyczne. W większości przypadków będą się na nie składały (w największym uproszczeniu)

1.      Komputery i urządzenia mobilne (smartfony i tablety) na których przetwarzane są dane osobowe

2.      Serwery i macierze, dyski sieciowe  będące platformą na której pracują systemy informatyczne w których dane są składowane i przetwarzane.

3.      Usługi chmurowe – pełniące zazwyczaj taką funkcję jak serwery i macierze, ale udostępniane są na infrastrukturze firm trzecich, za pośrednictwem Internetu.

4.      Na osobne uwzględnienie zasługuje kwestia poczty roboczej , która pojawia się we wszystkich trzech powyższych obszarach

Teraz możemy zastanowić się jak w każdym z tych obszarów dostosować się do RODO przy jak najmniejszym nakładzie czasu pracy i pieniędzy.

W tym miejscu niezbędne jest mała dygresja. Stanowczo zachęcam do spojrzenia na niezbędne wydatki z szerszej perspektywy biznesowej z uwzględnieniem dłuższego horyzontu czasowego.

Skoro prawodawca zmusza nas do objęcia danych osobowych ochroną, którą o tej pory większość firm i instytucji nie chroniła ŻADNYCH swoich danych, to naprawdę warto zastanowić się czy w ten sam sposób nie chronić innych danych – kluczowych dla bezpieczeństwa i ciągłości prowadzonej działalności. Dłuższy horyzont czasowy pozwoli zaś uniknąć nam pułapki pozornie niższych koszów – wdrożenia rozwiązań, które na etapie kosztów początkowych są najtańsze, ale które w dłuższej perspektywie są droższe niż inne – biznesu nie planujemy na najbliższy miesiąc czy rok – nie powinniśmy więc w ten sposób dobierać narzędzi.

Wskazując narzędzia pozwalające wypełnić wymagania RODO skupimy się na organizacjach średniej wielkości. Powód jest bardzo prosty – największe firmy i instytucje mają odpowiednie zasoby, aby wdrożyć rozwiązania ściśle dopasowane do ich, często specyficznych, potrzeb. Dla odmiany w przypadku najmniejszych form prowadzenia działowości gospodarczej jeden komputer i jedna komórka stanowią całą „infrastrukturę” i ich przygotowanie do RODO musi wyglądać nieco inaczej.

Do konkretów!

a)      pseudonimizacja i szyfrowanie danych osobowych.

Oczekiwania najbardziej wymagających spełnią systemy DLP (data leak prevention) -zapewnią nie tylko szyfrowanie – pozwolą na stworzenie polityki zapobiegającej wyciekowi danych z organizacji. Są drogie, ich wdrożenie wymaga dużego nakładu sił i środków, a utrzymanie sporego zaangażowania. Maja zastosowanie tam, gdzie „wrażliwe” dane osobowe przetwarzane są w taki sposób, że ryzyko ich wycieku utraty lub uszkodzenia jest wysokie, oraz tam gdzie wyciek danych może decydować o być-albo-nie-być firmy (np. wyciek informacji o klientach i kosztach firmy, która „żyje” z obsługi wąskiego grona klientów). System DLP pozwoli zabezpieczyć stacje robocze i urządzenia mobilne, jak również dane w infrastrukturze serwerowej, w przesyle (komunikacji) czy w obszarze drukowania.

Jeśli DLP to rozwiązanie ponad nasze potrzeby (a tak będzie w 95% przypadków organizacji SMB) pozostają nam do rozważenia 2 opcje.

Pierwszą opcją jest wykorzystanie narzędzi, za które większość firm już zapłaciło, ale mało która wykorzystuje – Bitlocker firmy Microsoft to element wszystkich biznesowych wersji systemu Windows10. W przypadku Windows7 pojawiał się od wersji Enterprise.

Najprostszym sposobem aby zarządzać Bitlocker’em z poziomu całej organizacji jest AD (Active Directory). Jeśli korzystamy z AD i Win10 – kwestię szyfrowania stacji roboczych załatwimy bez żadnych wydatków. Jeśli AD nie mamy – na pewno wydanie pieniędzy na jego wdrożenie przyniesie więcej korzyści niż zakup i utrzymanie aplikacji służącej wyłącznie do szyfrowania.

Jeśli korzystamy z Win7 pro, lub (nie daj Boże!) starszych windows’ów lub wersji home, to ponownie lepiej zapłacić za ich upgrade niż za zakup narzędzi do obsługi systemów z których korzystać nie powinniśmy. Przypomnieć należy, że Win7 nie jest wspierany od stycznia 2015 roku. Fakt korzystania z rozwiązań, które nie są wspieranie przez producenta, a tym samym dla których nie są dostępne aktualizacje , które byłby odpowiedzią na nowe zagrożenia lub sposoby penetracji tych systemów, jest bardzo mocną przesłanką do stwierdzenia (np. w ramach kontroli) o niedopełnienia obowiązku zabezpieczenia danych na zupełnie podstawowym poziomie.

Jeśli z jakichś powodów nie można skorzystać z pierwszej opcji, pozostaje zakup aplikacji do szyfrowania wskazanych zasobów (plików, folderów) lub całych dysków. Zachęcam do policzenia kosztów utrzymania takiego rozwiązania w horyzoncie 5 lat – pojawi się wówczas nie tylko koszt zakupu licencji, ale również serwisów wsparcia technicznego, prawa do aktualizacji, koszt obsługi problemów technicznych, szkolenia administratorów.

Rozważając tę ścieżkę wato spojrzeć na propozycję producentów oprogramowania antywirusowego – wielu z nich w ramach swoich pakietów oferuje szyfrowanie (lub nakładkę do zarządzania Bitlockerem). To rozwiązanie najtańsze i najwygodniejsze z punktu widzenia administracji – AV (antywirus) i szyfrowaniem zarządzamy jedną konsolą. Druga strona medalu jest taka, że jeśli będziemy chcieli zmienić AV, problem szyfrowania powróci. Osobna aplikacja do szyfrowania to rozwiązanie dobre jedynie dla najmniejszych organizacji i to tylko takich, które zdecydowanie chcą zostać przy aktualnym AV, którego producent nie oferuje funkcji szyfrowania w przypadku pozostałych racjonalniejsze będzie wdrożenie drugiej opcji.

Podsumowując:

1.      Najmniejsze firmy i instytucje: oprogramowanie do szyfrowania w ramach pakietu AV:

a.      Kaspersky

b.      Bitdefender (zarządzanie Bitlockerem)

c.      Dell Enterprise Security Suite (jeśli chcemy mieć AV nowej generacji, szyfrowanie czy host-based firewall, z najwyższej póki)

2.      Najmniejsze firmy i instytucje, które nie chcą zmieniać AV i potrzebują osobną aplikację do szyfrowania.

Najpierw trzy rozwiązania, które do najtańszych nie należą, ale za to dają gwarancję, że nie będą generowały problemów i pozwolą na wygodne zarządzanie

Dell Data Protection

Symantec Endpoint Encrypion (wykorzystujący PGP)

SecureDoc firmy Winmagic (niszowa firma oferująca od wyłącznie o szyfrowanie)

Opcja najtańsza spośród dedykowanych aplikacji do szyfrowania to:

Deslock+, rozwiązanie kupione jakiś czas temu przez popularnego w Polsce producenta antywirusa – firmę Eset. Należy się spodziewać, że za jakiś czas, Deslock stanie się częścią pakietu oprogramowania antywirusowego, ale póki co występuje jako osobna aplikacja i jest bodaj jedyną rozsądną opcją dla niewielkich organizacji, które nie mogą skorzystać z poprzednich propozycji.

3.      Dla większych organizacji Active Directory + Bitlocker to zdecydowanie najlepsze wyjście

Rozbudowane rozwiązania do szyfrowania pozwolą nam załatwić kwestię stacji roboczych, urządzeń mobilnych, serwerów i poczty elektronicznej w całym zakresie. W przypadku prostszych i tańszych rozwiązań należy się upewnić, czy w którymś z tych obszarów ni zostawimy luki.

Szyfrowanie poczty elektronicznej i załączników można również w prosty sposób zapewnić narzędziami dostępnymi w najpopularniejszych klientach pocztowych – MS outlook i Mozilla Thunderbird, działających w oparciu o infrastrukturę klucza publicznego.

Często od administratorów IT słyszę, że przecież są dobre darmowe rozwiązania opensource do szyfrowania. Pełna zgoda, tylko ,ze problem nastręcza zasada RODO mówiąca o rozliczalności, która mówi, że administrator danych musi móc udowodnić realizację zasad i wymogów rozporządzenia. W przypadku darmowych rozwiązań jest to poważny kłopot.

Kolejne dwa „środki” wskazane przez RODO to:

b)zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

Oba dotyczą de facto 4 obszarów:

1.      Kontroli ruchu sieciowego na styku sieci firmowej i Internetu (poufność, dostępność, odporność)

2.      Narzędzi i polityki tworzenia kopii bezpieczeństwa i ich przywracają – backup&restore (dostępność, integralność, szybkie przywrócenie dostępności)

3.      Zbierania logów – informacji o tym co w poszczególnych systemach IT się wydarzyło np. kto kiedy i do jakich danych uzyskał dostępna, w jaki sposób je edytował; jakie dane przez kogo do kogo i w jaki sposób były przesyłane i wiele, wiele innych (poufność, integralność, dostępność, odporność).

4.      Redundancji – rozwiązania kluczowe w punktu widzenia poufności, integralności i dostępności systemów powinny być zabezpieczone poprzez zapewnienie ich „zastępstwa” na wypadek awarii. Inaczej nie może być mowy zdolności do szybkiego przywracania

4.Zacznijmy od końca. Firewall w konfiguracji HA (High Availibility – wysoka dostępność), serwery utrzymujące kluczowe systemy, powinny pracować w klastrach, dyski w odpowiednich RAID’ach.

To podstawa zachowania ciągłości procesów biznesowych i systemów bezpieczeństwa. Na takich zabezpieczeniach często się w firmach oszczędzało – w końcu to były zasoby które „nie wypracowywały zysku”. Jak kosztowne są to oszczędności wie każda firma, która musiała zawiesić działalność, w wyniku awarii kluczowych zasobów.

Zdublowane powinny być również zasoby, o których często zapominamy – dostęp do Internetu (zapasowe łącze, lub choćby awaryjny model GSM) i energii elektrycznej (UPS, Agregat)

3. To punkt tak istotny jak często pomijany. Jeśli chcemy zbierać i korelować w jednym miejscu logi z różnych źródeł, musimy skorzystać z systemu klasy SIEM. Rzadko która organizacja SMB będzie miała taką realną potrzebę, więc nie będziemy rozwijać tego wątku. W większości wypadków wystarczą nam rozwiązania pozwalające zbierać logi newralgicznych miejsc. Takie ma pewno będą systemy biznesowe przetwarzające dane – ERP, programy finansowo-księgowe, kadrowe, CRM, system do tworzenia i zarządzania kopiami zapasowymi. Zdecydowana większość takich systemów daje nam możliwość kontroli i zbierania logów na wystarczającym poziomie, aby się o tym upewnić, najlepiej zapytać o to producenta, dostawcę, lub firmę świadczącą wsparcie. Drugim takim miejscem jest punkt styku sieci firmowej z Internetem – powinien tam stać firewall nowej generacji bądź UTM, który będzie gromadził logi na temat danych opuszczających sieć firmową. Jeśli firewall nie ma wewnętrznej przestrzeni na gromadzenie logów i nie udostępnia narzędzi do ich wygodnego eksportu i zewnętrznej analizy – trzeba zmienić firewall – to zawsze będzie wyjście tańsze , niż wdrażania dodatkowych narzędzi do gromadzenia i analizy logów z tego urządzenia.

W 9 przypadkach na 10 zadbanie o gromadzenie informacji w tych 2 obszarach załatwi sprawę.

2. Backup&Restore – nie sposób mówić o poważnym traktowaniu prowadzonych działań, jeśli informacje niezbędne do realizacji procesów biznesowych nie są zabezpieczone, przez tworzenie ich kopii zapasowych. Większość firm do tej pory dbała przede wszystkim o zabezpieczenie samych danych, RODO nakłada na nas obowiązek tworzenia również kopii zapasowych systemów w których dane są przetwarzane. Bez tego nie może być mowy o „zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich”. W najlepszej sytuacji są organizacje korzystające z dobrodziejstwa wirtualizacji – backup ’ujemy maszyny wirtualne i tyle. Pozostali muszą skorzystać z narzędzi dedykowanych do wykorzystywanych systemów.

Szacunkowy koszt systemu tworzenia i przechowywania kopii zapasowych (oprogramowanie i przestrzeń do przechowywania backupu) dla stacji roboczej to 200-300 pln netto, dla serwera 2000-3000 PLN. netto.

Złotą zasadą backupu jest 3-2-1: 3 kopie danych, 2 rożne nośniki, 1 kopia poza firma. W celu realizacji trzeciego zalecenia – „jedna kopia poza firmą” warto rozważyć usługi chmurowe – to bardzo wygodne i coraz tańsze rozwiązanie, a wysyłanie zaszyfrowanych kopii zapasowych likwiduje obawę związaną z potencjalnym dostępem do danych osób trzecich.

Wśród rozwiązań proponowanych przez Acronis, Veeam, ArcServe, czy Veritas, każdy znajdzie niezbędne mu narzędzia. Diabeł tkwi w szczegółach – aby wybrać optymalne narzędzie, najlepiej skorzystać z pomocy ekspertów. Jeśli nie masz zaufanego partnera w tym obszarze – zapraszamy do kontaktu ze specjalistami z Fortecy.

1.NGFirewall / UTM- Kluczowa jest funkcja kontrola ruchu szyfrowanego, bez tego nie sposób mówić o jakiejkolwiek kontroli danych opuszczających sieć firmową. Szacuje się, że do końca roku 80% ruchu będzie szyfrowane. Dobrze aby urządzenie wyposażone było w dysk pozwalający na składowanie logów, oraz narzędzia do ich analizy. Wydajność dobrana powinna być odpowiednio do łącza, ilości użytkowników i specyfiki dziania. Przy czym nie można patrzeć na ogóle przepustowości podawane przez producentów, ale na wydajność z włączonymi trybami IPS, Firewall, kontrola aplikacji i skanowanie złośliwego kodu. Szkoda czasu na rozwiązania producentów, którzy takich danych nie podają. W przypadku pozostałych należy podchodzić do informacji z ulotek z rezerwą. Papier przyjmie wszystko, a prawdę powiedzą tylko profesjonalnie przeprowadzone testy we własnej sieci – najlepiej w formie PoC (proof of concept).

Z doświadczeń Fortecy i jej klientów wynika, że obecnie warto w pierwszej kolejności przyjrzeć się rozwiązaniom firm Palo Alto Networks i Fortinet.

Z wielu firm dochodzą nas sygnały, że po audytach związanych z RODO pojawia się zalecenie związane z zabezpieczeniem stacji roboczych i serwerów oprogramowaniem zabezpieczającym przed atakami zero-day i malwarem, z którym tradycyjne antywirusy, korzystające głównie z sygnatur sobie nie radzą. Niezbędność wdrożenia takiego rozwiązania z punktu widzenia RODO nie jest jednoznaczna. Niemniej jednak wprowadzenie takiego narzędzia znacząco podnosi poziom bezpieczeństwa informatycznego.

Organizacje zainteresowane takimi narzędziami powinny przyjrzeć się aplikacją klasy ATP – TRAPS firmy Palo Alto Networks lub Dell Endpoint Security (wykorzystujący rozwiązanie firmy Cylance).

Oczywistą oczywistością jest, że zwykły antywirus musi być na bieżąco aktualizowany i legalny. Przy rozwiązaniach darmowych uwagę należy zwrócić na dwa elementy 1. Przeczytać uważnie umowę licencyjną, aby upewnić się, że rozwiązanie jest darmowe również w przypadku wykorzystania w firmie/instytucji. 2.Zwrócić uwagę na zasadę rozłączalności.

Powyższy materiał przygotowany został w taki sposób, aby jak najszersze grono organizacji znalazło odpowiednie dla siebie porady i rozwiązania. Z tego powodu nie wyczerpuje on w całości poruszanych zagadnień, oraz nie daje gotowych rozwiązań dla konkretnej firmy i instytucji.