Poradnik jak chronić dane osobowe

Europejski Dzień Ochrony Danych Osobowych obchodzony jest 28 stycznia

Został on ustanowiony, jako symboliczna pamiątka sporządzenia konwencji Rady Europy z 28 stycznia 1981 roku, dotyczącej automatycznego przetwarzania danych osobowych. Dokument ten jest najstarszym międzynarodowym aktem prawnym, który reguluje tego typu procesy i związane z nimi procedury.

Już w maju w życie wchodzą nowe regulacje prawne, nakładające na przedsiębiorców bardziej rygorystyczne wymagania i obowiązki dotyczące operacji na danych osobowych swoich klientów oraz pracowników. Dla wielu firm wiązać się to będzie z dodatkowymi obowiązkami i koniecznością modernizacji systemów informatycznych aby spełniały one nowy standard.

Jednak już dziś można i warto przestrzegać kilku prostych zasad aby utrudnić dostęp do informacji wrażliwych osobom do tego nieupoważnionym.

Czym są dane osobowe?

Art. 6 ust. 1 ustawy o ochronie danych osobowych: „W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.”

Sam zakres informacji o kliencie, jaki może zostać zaklasyfikowany jako dane osobowe jest więc dość szeroki. Ich przetwarzanie jest rozumiane jako wykonywanie konkretnych operacji takich jak: gromadzenie, utrwalanie, przechowywanie, edytowanie, udostępnianie oraz kasowanie.

Regulacje prawne w tym zakresie mają na celu zapewnienie maksymalnego poziomu przejrzystości procedur dla osoby fizycznej, przy zachowaniu możliwie najwyższego poziomu bezpieczeństwa i poufności, chroniącego dane przed nieupoważnionym dostępem.

Poziomy bezpieczeństwa

W polskim systemie prawnym, ustawodawca wyróżnił 3  poziomy bezpieczeństwa przetwarzania danych osobowych z wykorzystaniem systemów teleinformatycznych. Ich klasyfikacja uwarunkowana jest w zależności od typu przetwarzanych danych, infrastruktury i rozwiązań systemowych oraz stopnia ryzyka i występowania potencjalnych zagrożeń.

Poziom podstawowy

Stosowany jest w momencie, gdy urządzenie/system przetwarzający dane nie jest podłączony do publicznej sieci (internet).

Zakłada on bazowe procedury bezpieczeństwa, na przykład poprzez stosowanie indywidualnych loginów oraz konieczności autoryzacji użytkownika przed uzyskaniem dostępu do zbioru danych.

Co istotne – jeden login nie może być przydzielany wielu osobom, a w momencie wygaśnięcia uprawnień również przekazany innemu użytkownikowi.

Pozwala to na łatwą identyfikację i śledzenie kto, w jakim czasie i jakiego typu operacje przeprowadzał na naszym zbiorze danych.

Dla tego poziomu bezpieczeństwa – hasła dostępu powinny składać się z przynajmniej 6 znaków (bez szczegółowych wytycznych na temat “siły” hasła). W celu minimalizowania ryzyka, hasła powinny być regularnie zmieniane po upływie 30 dni od ich nadania.

Nie można również zapominać o cyklicznie wykonywanych kopiach zapasowych danych, do których dostęp również musi podlegać stałej kontroli i ochronie przed możliwością nieuprawnionego dostępu, modyfikacji lub ich uszkodzeniu.

Poziom podwyższony

Wytyczne względem bezpieczeństwa na tym poziomie stosuje się gdy przetwarzane są dane, o których mowa w art. 27 ustawy o ochronie danych osobowych – dane pracowników, w celu ochrony zdrowia i świadczeń medycznych czy badań naukowych.

Co ważne – urządzenie/system informatyczny nadal nie może być podłączony do publicznej sieci (internet).

Na tym poziomie stosuje się już bardziej rygorystyczne wytyczne dotyczące autoryzacji. Hasło obowiązkowo musi składać się z minimum 8 znaków, zawierać małe i wielkie litery oraz znaki specjalne. 

Wszelkie dane i nośniki przekazywane zewnętrznie muszą być wcześniej odpowiednio zabezpieczone przed dostępem osób nieupoważnionych lub w sposób pozwalający na wykrycie nieautoryzowanej ingerencji w dane.

Poziom podwyższony korzysta również z bazowych wytycznych poziomu podstawowego.

Poziom wysoki

Ma zastosowanie gdy urządzenia/systemy są połączone z publiczną siecią.

Ten fakt stanowi bardzo wysoki czynnik ryzyka, wymuszający stosowanie odpowiednich metod zabezpieczenia się przed ewentualnym cyberatakiem lub pobraniem informacji.  Ochrona ma tu szczególne znaczenie ze względu na potencjalnie publiczną dostępność systemów za pośrednictwem sieci.

Administratorzy danych osobowych muszą zadbać o wystarczające mechanizmy weryfikacji, monitorowania oraz ostrzegania przed czynnikami ryzyka.

Niezbędna jest kontrola informacji wymienianych pomiędzy systemem firmy a internetem oraz typów procesów inicjowanych przez jego użytkowników (czy posiadają odpowiednie uprawnienia, aby wykonać daną operację).

Kluczowe jest tutaj stosowanie metod kryptograficznych, w tym szyfrowania danych przekazywanych za pośrednictwem sieci publicznej – co znacząco utrudnia, jeśli nie uniemożliwia przechwycenia i odczytania przesyłanych informacji osobom trzecim.

Cyberbezpieczeństwo w firmie

Istnieje szereg mechanizmów, procesów oraz narzędzi których celem jest poprawa poziomu bezpieczeństwa danych w danym biznesie.

Problem leży jednak w fakcie, iż większość firm zaczyna traktować te kwestię naprawdę poważnie dopiero w momencie gdy dojdzie do negatywnego (i zazwyczaj kosztownego) w skutkach incydentu.

Cykliczny audyt bezpieczeństwa

Pozwala na uzyskanie konkretnych informacji na temat stanu ochrony danych w przedsiębiorstwie oraz formułuje wnioski mające na celu wyeliminowanie czynników ryzyka.

Regularność przeprowadzania audytu pozwala uwrażliwić zarząd i kierownictwo firmy na słabe punkty w systemach IT, procedurach oraz zachowaniach pracowników. To pokaźne źródło wiedz, które powinno ukierunkowywać zmiany wewnątrz danego podmiotu.

Testy bezpieczeństwa systemów IT

Wdrażając w firmie nowe systemy czy rozwiązania informatyczne, głównym czynnikiem oceny są kwestie jak użyteczność, praktyczność czy łatwość obsługi po stronie pracowników oraz klientów.

Jak pokazuje praktyka, niewiele przedsiębiorstw decyduje się na kompleksowe testy bezpieczeństwa zakupionych i wdrażanych rozwiązań IT. Problem nie jest bowiem widoczny do moment jego wystąpienia. Integrowanie nowych pod-systemów do już sprawdzonej infrastruktury może ją narażać na atak, pomimo pozytywnej oceny, wykonanej wcześniej analizy zabezpieczeń.

Podobnie jak w przypadku audytu – tego typu testy powinny być wykonywane reglanie, co najmniej raz w roku oraz bezwzględnie w momencie modyfikacji, dodawania oraz usuwania funkcji z naszych systemów teleinformatycznych.

Szkolenia pracowników

Czynnik ludzki jest jednym z najsłabszych ogniw w łańcuchu bezpieczeństwa.

Regularne i fachowe szkolenia pozwalają poszerzać wiedzę i kompetencje zespołu oraz uwrażliwić nawet tą część pracowników nie mających bezpośredniej styczności z IT – na potencjalne ryzykowne zachowania jakich mogą być uczestnikami.

Profilaktyka w tym zakresie może okazać się niezwykle opłacalna dla firmy – znacząco redukując ryzyko incydentu w skutek niewiedzy lub niedbalstwa obsługi klienta czy zaplecza technicznego.

Plan reakcji

Jeśli już dojdzie do sytuacji kryzysowej w postaci wycieku lub uszkodzenia danych – niezwykle cenny jest odpowiedni plan reagowania.

Określa on strukturę obowiązków oraz hierarchię raportowania wewnątrz organizacji – uporządkowując czynności w krytycznych momentach cyberbezpieczeństwa firmy. Poprawnie zaprojektowany plan reakcji wykracza poza personel i działy techniczne na inne zespoły firmy – w tym np. dział prawny, dział finansowy, dział PR itp.

Sprawna koordynacja czynności reagowania i minimalizowania szkody pozwoli na szybszą,sprawniejszą oraz mniej chaotyczną reakcję ze strony przedsiębiorstwa.

Monitorowanie pracowników

Nowoczesne systemy IT pozwalają na pełne monitorowanie zachowań użytkownika z nich korzystającego.

Tak zwane “logi” zawierają informacje między innymi na temat identyfikatora użytkownika, czasu operacji oraz jej typu. Pozwala to w łatwy sposób na identyfikację i rozliczenie personelu oraz wykrycie miejsca, w którym doszło do nieuprawnionego dostępu do danych.

Od strony technicznej – nawet administrator systemu nie powinien mieć możliwości ich edytowania  – jedynie odczytu. Stanowią bowiem w pewnym sensie dowód rzeczowy świadczący o winie lub niewinności pracownika.

Transfer ryzyka na ubezpieczyciela

Odpowiednio dopasowana cyberpolisa jest niezwykle pożądana w momencie gdy miał miejsce negatywny incydent. Niestety w tym przypadku nagradzana jest przezorność i odpowiednio wcześniejsze zawarcie stosownej umowy z ubezpieczycielem.

Ponosi on finansową część ryzyka wystąpienia cyberataku oraz pomaga firmie w likwidacji szkód przez niego spowodowanych – zarówno w sferze technicznej (koszt obsługi specjalistów IT) oraz wizerunkowej (działania PR i odbudowa image firmy).

Nie jest to co prawda bezpośrednie narzędzie ochrony, lecz wartościowe dopełnienie wszelkich prowadzonych przez firmę działań w sferze cyberbezpieczeństwa.

Bezpieczeństwo danych jest procesem

Stale odbywającym się, nieustannie udoskonalanym zbiorem dobrych praktyk oraz technicznych rozwiązań mających na celu zagwarantowanie osobie fizycznej lub prawnej iż powierzone danej firmie informacje pozostaną poufne.

Silne hasła, regularne kopie zapasowe oraz ograniczony dostęp to fundamenty ochrony danych osobowych w firmie, na których buduje się bardziej skomplikowane systemy i struktury. Nigdy nie jesteśmy jednak w stanie przewidzieć wszystkich możliwych scenariuszy – a najsłabszym ogniwem łańcucha ochrony pozostaje człowiek.

 

Equinum Broker