W jaki sposób firmy tracą dane i jak GDPR może pomóc przedsiębiorcom uporać się z tym problemem? – podpowiadają eksperci z McAfee.
Według 2016 Data Protection Benchmark Study przebadane firmy wykrywają średnio 17 przypadków wycieku danych dziennie. Badania McAfee pokazują, że ok. 40 proc. z nich spowodowanych jest utratą urządzeń fizycznych, takich jak laptopy czy smartfony. W 59 proc. sytuacji firmy tracą dane, ponieważ są atakowane z zewnątrz, za podobną liczbę przypadków odpowiadają – świadomie lub nie – osoby związane z firmą. Do tego – ponad 50% incydentów wycieku danych zauważają i zgłaszają nie firmy, a podmioty zewnętrzne. To nie są dobre statystyki w świetle zmian w GDPR.
Pokrótce przypomnijmy najważniejsze zmiany, które wejdą w życie 25 maja 2018 wraz z wprowadzeniem nowego rozporządzenia dotyczącego ochrony danych osobowych. Po pierwsze zmienia się definicja danych osobowych. Po drugie – gromadzone dane osobowe muszą stać się uporządkowanymi zbiorami, które można łatwo zlokalizować, dostać się do nich, zmodyfikować, a czasem trwale usunąć. Po trzecie – wszelkie incydenty związane z utratą danych osobowych trzeba zgłaszać w ciągu 72 godzin od stwierdzenia naruszenia. Nieprzestrzeganie tych zasad grozi wysokimi karami. Czy zatem zmian w prawie należy się bać? Niekoniecznie. Odpowiednie kroki podjęte w firmach pomogą nie tylko przygotować przedsiębiorstwa do nowych przepisów, ale też uporządkować cały system zabezpieczeń i tym samym lepiej je chronić.
Dane osobowe na celowniku
Myśląc o wdrożeniu nowych regulacji GDPR, trzeba przede wszystkim zadać sobie pytanie, kto i w jakim zakresie ma w naszej organizacji dostęp do danych osobowych. Dopiero wyczerpująca odpowiedź na to pytanie pozwoli nam odpowiednio przygotować się do zmian.
– Firmy coraz bardziej ufają technologiom. I jest to bardzo pozytywny trend. Zarządzający muszą jednak uświadomić sobie, że z technologii korzystają ludzie, a oni są – co często powtarzam – najsłabszym ogniwem łańcucha zabezpieczeń w przedsiębiorstwach – mówi Arkadiusz Krawczyk, General Manager, McAfee Poland. – Z drugiej strony ze względu na rozwój właśnie technologii pracownicy mają coraz więcej możliwości dostępu do firmowych danych z zewnątrz firmy, a także wyniesienia tych danych poza przedsiębiorstwo. Smartfony, laptopy, dyski przenośne, chmura, poczta elektroniczna – wszystkie te narzędzia usprawniają pracę, ale też mogą stać się źródłem wycieku cennych informacji. Zabezpieczając infrastrukturę IT, trzeba o tym pamiętać, aby móc wywiązać się z obowiązków nałożonych przez ustawodawcę w związku ze zmianami w GDPR.
Przygotowując się do wdrożenia nowych regulacji, przedsiębiorca musi zadać sobie następujące pytania:
1. Czym dla mojej organizacji są dane osobowe?
2. Jakie dane osobowe gromadzę i czy nadal rzeczywiście muszę to robić?
3. Gdzie i jak przetwarzane są te dane?
4. Czy potrzebuję aż tylu danych i ich kopii zapasowych?
5. Jakie mam procesy i technologie do ochrony danych osobowych?
Udzielone odpowiedzi pozwolą ustalić odpowiednie polityki ochrony i przetwarzania danych. Przy okazji umożliwią weryfikację dotychczasowego podejścia do gromadzenia danych osobowych – może okazać się bowiem, że mają do nich dostęp osoby, które ich nie potrzebują, lub że zbieramy dane nieistotne z biznesowego punktu widzenia.
Kompleksowe podejście wsparte technologią
Co dalej? Przede wszystkim GDPR wymaga kompleksowego podejścia, bo dane wyciekają na różne sposoby. Po tym zatem, jak zbadamy i ocenimy istniejące środowisko i to, w jaki sposób przetwarzamy dane, musimy zdefiniować wektory ataku i kanały wycieku danych. Należy skupić się nie tylko na atakach zewnętrznych, ale także na niebezpieczeństwach związanych z tym, że do danych mają dostęp nie zawsze świadomi zagrożeń pracownicy. Pod uwagę trzeba wziąć zatem narzędzia, z jakich korzystają, miejsca, z których pracują, sposoby komunikacji z pracownikami czy kontrahentami. Niestety, nie ma dziś jednego rozwiązania technologicznego, które byłoby w stanie zabezpieczyć wszystkie elementy i pozwolić firmie wywiązać się z nowych regulacji GDPR. Niezależnie od tego, jakie kanały i narzędzia do ochrony wskażemy, w każdych warunkach sprawdzą się następujące zabezpieczenia:
1. Szyfrowanie danych – W zakresy szyfrowania danych wchodzi szyfrowanie dysków (stacji roboczych, pendrive’ów), plików, poczty itd. Warto pamiętać, że jeśli firma utraci dane, które zostały wcześniej zaszyfrowane, nie musi zgłaszać takiego incydentu!
2. Zaawansowane zabezpieczenia danych (zabezpieczenia baz danych) – To właśnie w bazach danych składowane są dane, które podlegają pod rozporządzenie GDPR. Ich należyta ochrona zmniejsza ryzyko wycieku danych. Chodzi tu o monitorowanie transakcji pomiędzy aplikacjami a bazami danych oraz audytu ich konfiguracji czy monitorowanie kont uprzywilejowanych. Dodatkowo w ochronie może pomóc wirtualne patchowanie baz, zmniejszające ryzyko udanego ataku, którego skutkiem będzie kradzież całej bazy.
3. Narzędzia klasy DLP – Systemy klasy DLP pozwalają śledzić przetwarzanie danych wewnątrz organizacji. Jeśli na przykład pracownik spróbuje wysłać cenny dokument poza organizację, używając poczty elektronicznej czy usług chmurowych – taka czynność może być monitorowana lub nawet blokowana. Podobnie jest w przypadku wynoszenia danych niezaszyfrowanych na urządzeniach przenośnych, drukowanie ich czy na przykład wysyłanie za pomocą komunikatorów. Celem systemu DLP jest rozpoznawanie poziomu cenności danych i zapobieganie ich wyciekowi poza organizację przez różne kanały.
4. Zaawansowane zabezpieczenia infrastruktury IT – Tu warto wspomnieć choćby o platformach SIEM, które agregują dane i zapewniają diagnostykę niezbędną do szybkiego zbadania i potwierdzania zdarzeń związanych z bezpieczeństwem. Narzędzia te stale monitorują całą sieć bezpieczeństwa i zdarzenia w niej zachodzące oraz – co niezwykle istotne – analizują je w czasie rzeczywistym. Firma już w momencie wystąpienia incydentu ma wszystkie niezbędne informacje o zagrożeniu i może zareagować natychmiastowo – a także jak wymagają tego nowe przepisy – zgłosić wyciek danych w odpowiednim czasie. Nad całością zabezpieczeń muszą czuwać odpowiednio przygotowane i wdrożone polityki ochrony i przetwarzania danych osobowych. Za powstaniem i zaimplementowaniem polityk powinny iść oczywiście szkolenia pracowników. To wszystko razem stworzy ekosystem, który pozwoli firmom stawić czoła nowym przepisom.
Firmy wciąż nie są gotowe na nowe regulacje prawne dotyczące ochrony danych osobowych. Nie warto jednak odkładać zmian i traktować ich jako zło konieczne. GDPR jest szansą dla przedsiębiorstw i organizacji na prawdziwą i głęboką transformację systemów zabezpieczeń – z chaotycznego zbioru narzędzi w spójną i zgodną ze strategią firmy siecią połączonych ze sobą narzędzi ochrony. Warto tę szansę wykorzystać!