RODO, czyli rewolucja w ochronie danych osobowych

Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO albo – w unijnej nomenklaturze – General Data Protection Regulation) to jeden z najgorętszych tematów ostatnich miesięcy. RODO dotyczy wszystkich firm, które gromadzą i przetwarzają dane osób fizycznych. W praktyce przepisy nowego rozporządzenia obejmą niemal każdy podmiot działający na rynku, od banków, operatorów telekomunikacyjnych, przez firmy produkcyjne i sklepy internetowe, nawet po osoby prowadzące jednoosobową działalność gospodarczą. Wszędzie tam, gdzie pojawiają się dane osobowe, zachodzi konieczność zapewnienia im właściwej ochrony prawnej zgodnie z wytycznymi RODO.

Rozporządzenie RODO wchodzi w życie 25 maja 2018 roku. Za dane osobowe uważa się wszelkie informacje dotyczące konkretnej osoby, które pozwalają ją zidentyfikować. Można pod tę definicję podciągnąć nawet adres e-mail, jeśli składa się z imienia i nazwiska jego właściciela. Danymi osobowymi są z pewnością dane pracowników w systemie kadrowo-płacowym, dane kandydatów do pracy zawarte w dokumentach CV, a także dane kontrahentów i klientów, jeśli są one osobami fizycznymi.

Jak rozporządzenie RODO wpłynie na obieg dokumentów w firmach

Piotr Baca, Country Manager, Brother Polska

Dla małych i średnich przedsiębiorstw ochrona posiadanych lub administrowanych danych staje się coraz istotniejszą kwestią. Ma to oczywiście związek ze zmianami, które diametralnie zrewolucjonizują podejście instytucji do ochrony danych, czyli z rozporządzeniem RODO. Warto jednak pamiętać, że gotowe rozwiązania umożliwiające zabezpieczenie przed przypadkowym wyciekiem informacji lub ich pozyskaniem przez osoby niemające do nich dostępu istnieją już od jakiegoś czasu. Drukarki i skanery dla sektora biznesowego są coraz lepiej dopasowane do zróżnicowanych potrzeb użytkowników i oferują coraz liczniejsze funkcje. Jest to w dużej mierze kwestia wdrożenia rozwiązania wzmacniającego poziom ochrony dokumentów.

Niektóre instytucje już od pewnego czasu stosują ograniczenia dostępności funkcji urządzenia, tym samym kontrolując obieg dokumentów. Osoba odpowiedzialna za bezpieczeństwo danych, przykładowo administrator, może decydować, kto i z jakich funkcji korzysta na określonym urządzeniu, przydzielając odpowiednie uprawnienia. Utrudniony jest także dostęp do dokumentów w wersji cyfrowej. Urządzenia Brother nie mają dysków sieciowych, a niektóre funkcje, takie jak skan na dyski przenośne USB czy pendrive, mogą zostać odłączone.

Nie ma jednego gotowego rozwiązania do wprowadzenia od razu. W każdym środowisku metoda zabezpieczeń powinna być dopasowana do istniejących potrzeb i zagrożeń w tym zakresie. Aby mieć pewność, że zastosowane rozwiązanie będzie skuteczne, ochronie muszą podlegać trzy kluczowe elementy. Chodzi o ochronę urządzenia, procesu druku, skanowania oraz odpowiednie zabezpieczenie sieci. Urządzenia drukujące i skanujące Brother oferują szereg wbudowanych funkcji bezpieczeństwa, np. SSL (Secure Socket Layer) – używane w e-commerce do zabezpieczania danych z kart płatniczych. Dodatkowo dokumenty można chronić poprzez uwierzytelnianie operacji czterocyfrowym kodem lub kartami zbliżeniowymi czy przydzielanie zróżnicowanego dostępu do funkcji urządzeń poszczególnym użytkownikom. Takie rozwiązanie idealnie sprawdza się w sektorze HR, finansów, zdrowia, detalicznym, prawnym i edukacyjnym. Może również znaleźć zastosowanie w każdym innym obszarze, gdzie poufność danych ma kluczowe znaczenie.

RODO przewiduje drakońskie kary dla firm, które naruszą postanowienia rozporządzenia. Nowe przepisy nie wskazują jednak konkretnych rozwiązań technicznych, ani tym bardziej produktów wybranych producentów, których wdrożenie byłoby warunkiem spełnienia tych wytycznych. Firmy muszą zapewnić wymagany poziom bezpieczeństwa danych osobowych rozumiany jako gwarancja, że dostęp do tych danych, ale i sprzętu, z którego można uzyskać do nich dostęp, będą miały tylko uprawnione osoby. W rezultacie wszystkie rozwiązania są szyte na miarę, zgodne z branżą, specyfiką i skalą działalności przedsiębiorstwa oraz sposobem przechowywania i przetwarzania danych osobowych w danej organizacji. Na jakie technologie i narzędzia informatyczne warto zwrócić uwagę, aby dostosować swoje organizacje do wytycznych nakreślonych w nadchodzącym rozporządzeniu o ochronie danych osobowych? Oto nasz (mocno wybiórczy) przegląd proponowanych rozwiązań.

RODO. Przechowywanie danych

Najważniejszym kryterium oceny gotowości na RODO wydaje się analiza zabezpieczeń stosowanych w obszarze składowania i przetwarzania danych osobowych. Konieczne jest również określenie i egzekwowanie polityk dostępu do tych danych. Podstawowym zabezpieczeniem jest szyfrowanie baz danych, dokumentów, wiadomości e-mail i innych plików zawierających dane osobowe. Polityka ta może być realizowana na wielu poziomach – przez szyfrowanie baz danych, całych wolumenów na serwerze NAS lub macierzy dyskowej po dyski komputerów przenośnych pracowników. Funkcja szyfrowania danych silnym algorytmem AES-256 w serwerze NAS gwarantuje poufność danych w przypadku kradzieży dysków twardych lub całego urządzenia.

Komputery pracowników można zaszyfrować programami za pomocą funkcji systemu Windows, BitLocker, lub aplikacji takich jak TrueCrypt czy DESlock+. Ta druga umożliwia szyfrowanie całych dysków, nośników przenośnych, wybranych plików i katalogów, a także wiadomości e-mail i załączników do nich w programie Microsoft Outlook. Konsola administratora DESlock+ ułatwia scentralizowane zarządzanie komputerami pracowników, w tym stosowanymi politykami zabezpieczeń oraz kluczami szyfrującymi.

Polityki RODO na serwerach plików muszą być realizowane na wielu płaszczyznach - od szyfrowania wolumenów po nadawanie uprawnień dostępu do plików. Na zrzucie 16-dyskowy serwer NAS QNAP TS-1685 z wydajnym procesorem Xeon D.

Polityki RODO na serwerach plików muszą być realizowane na wielu płaszczyznach - od szyfrowania wolumenów po nadawanie uprawnień dostępu do plików. Na zrzucie 16-dyskowy serwer NAS QNAP TS-1685 z wydajnym procesorem Xeon D.

Z drugiej strony należy założyć, że żadne wrażliwe dane nie powinny być składowane na stacjach roboczych i laptopach pracowników. Miejscem przechowywania i przetwarzania danych osobowych powinny być dobrze zabezpieczone serwery. Aby to osiągnąć, zwykłe komputery warto zastąpić wirtualnymi desktopami (VDI). Technologia VDI zakłada udostępnienie użytkownikowi wirtualnej maszyny obsługiwanej na hoście wirtualizacji, która zapewnia pełne środowisko pracy – dostęp do poczty, aplikacji biurowych, ERP i innych systemów biznesowych, w których mogą być przetwarzane dane osobowe. W kontekście RODO zaletą tego podejścia jest m.in. brak danych na urządzeniu osobistym (lokalnym) użytkownika oraz łatwiejsze budowanie polityk dostępu do systemów. Wszystkie dane pracownika przechowywane są na serwerach, które łatwo poddawać procesom kontroli, backupu i archiwizacji, zaś pracownik może zalogować się na swoje konto z dowolnego terminala.

Właściwe zabezpieczenie danych wymaga zdefiniowania i egzekwowania polityk dostępu do nich. W podstawowym scenariuszu oznacza to przypisanie uprawnień do udostępnianych folderów dla użytkownika lub grupy użytkowników. Windows Server zapewnia wyrafinowane mechanizmy kontroli dostępu na poziomie zabezpieczeń systemu plikowego oraz udostępniania folderów w sieci. Zasady inspekcji pozwalają monitorować operacje tworzenia i modyfikacji obiektów w zabezpieczonym folderze, aby wychwytywać potencjalne naruszenia dostępu. Analogiczne mechanizmy kontroli dostępu do danych stosowane są także w serwerach NAS.

Firmy (nie)gotowe na RODO

Z badania przeprowadzonego przez Kantar Public dla Generalnego Inspektora Ochrony Danych Osobowych na mniej niż pół roku przed rozpoczęciem stosowania RODO wynika, że zaledwie 38% przedsiębiorstw podjęło przygotowania do dostosowania swojej działalności w zakresie przetwarzania danych osobowych do wytycznych zawartych w tych regulacjach, zaś kolejne 13% firm deklaruje, że zajmie się tym w I kwartale 2018 roku. Pozostali odkładają tę jakże ważną kwestię na później.

Wśród podjętych działań przeważają szkolenia i audyty (12%), prace związane z wprowadzaniem nowych procedur (8%) oraz tworzeniem i zmianami w dokumentacji (4%). Zmiany w systemach informatycznych i zakup nowego oprogramowania wskazało raptem 3% ankietowanych.

Istotne jest także rejestrowanie aktywności pracowników w dostępie do sieci, aplikacji i danych. Niektóre serwery NAS przechowują dzienniki zdarzeń zawierające informacje o logowaniach użytkowników i połączeniach HTTP, FTP, Telnet, SSH, AFP, NFS, SMB oraz iSCSI.

Administrator powinien zwrócić również uwagę na inne mechanizmy składowania, które mają poprawić dostępność danych, ale mogą kolidować ze stosowaną polityką ochrony danych osobowych. Mowa np. o funkcji Poprzednie wersje systemu Windows, która przechowuje wcześniejsze wersje plików z historii lub punktów przywracania, oraz o mechanizmie Pliki trybu Offline buforującym pliki z udziału sieciowego na lokalnym komputerze użytkownika.


Zobacz również