Prawo dostępu do danych osobowych

Bezpieczeństwo IT

Systemy informatyczne stanowią podstawę współczesnego biznesu. Z należącego do firmy sprzętu, w celach osobistych korzysta prawie 80% pracowników, co więcej, niemal połowa badanych nie kryje, że ich pracodawca nie zatrudnia żadnego specjalisty od bezpieczeństwa danych. Brak dostatecznych zabezpieczeń może skutkować utratą dostępu do sieci, jej spowolnieniem albo kradzieżą danych, narażając organizację na straty pieniężne, a także utratę wiarygodności.

Przykłady błędów stanowiących zagrożenia dla systemów IT

Współczesna technologia niesie ze sobą pewne zagrożenia. Niektóre z nich mogą prezentować się zwyczajnie, ale potrafią powodować dotkliwe dla organizacji szkody. Przykładami wspomnianych zagrożeń są w szczególności:

  1. Zbyt słabe hasła

Społeczność ma tendencję do tworzenia za słabych haseł, aby ich nie zapomnieć. Składają się one zwykle z pełnych polskich słów połączonych z cyfrą, co powoduje bardzo duże zagrożenie dla urządzeń. Bezpieczne hasło musi składać się z przynajmniej 8 znaków, stanowić kombinację wielkich i małych liter, cyfr oraz znaków specjalnych. Metodą pozwalającą na zarządzanie silnymi hasłami są programy nazywane menedżerami haseł. Pozwalają one na tworzenie bardzo złożonych haseł, różniących się dla każdego zakładanego konta. Na skutek takiego rozwiązania, użytkownik musi zapamiętać tylko jedno, silne hasło, otwierające „sejf” zawierający pozostałe.

  1. Witryny wyłudzające dane

Pracownicy niejednokrotnie wykorzystują Internet w miejscu pracy w celach rozrywkowych, co w aspekcie cyberbezpieczeństwa może stanowić duże zagrożenie. W głównej mierze niosą je witryny podszywające się pod znane i często używane strony internetowe, zmierzające do wyłudzenia danych. Podobna sytuacja wiąże się z użytkowaniem skrzynki mailowej, na którą mogą przychodzić wiadomości zawierające SPAM, czy też podejmujące próbę phishingu. Ważną zagadnieniem jest więc odpowiedni instruktaż dla pracowników z zakresu bezpieczeństwa IT.

  1. Niezamierzona utrata danych

W dzisiejszych czasach większość programów oferuje funkcję automatycznego zapisu, jednak niektóre wciąż wymagają wykonania tej czynności manualnie, co może się wiązać z utratą postępu nad danym zadaniem i spowodować stratę dla organizacji. Pliki z komputerów powinno się więc okresowo archiwizować, poprzez tworzenie tzw. backupów, pozwalających odtworzyć utracone przypadkowo pliki.

Dobre praktyki w sferze bezpieczeństwa IT

Powyższe błędy można wyeliminować poprzez stosowanie się do reguł czyniących codzienne funkcjonowanie organizacji w sieci o wiele bezpieczniejszym, a zwłaszcza poprzez:

  1. Wdrożenie planu backupów

Kopie zapasowe powinny być usystematyzowane w sposób wymagający minimalnego nakładu pracy i jednocześnie gwarantujący bezpieczeństwo znajdujących się w komputerach plików. Wskazanym jest wykorzystanie dysków SSD, które dzięki wyeliminowaniu części mechanicznych, są zdecydowanie mniej awaryjne od tradycyjnych dysków twardych HDD. Podstawą wykonywania kopii zapasowych jest ich regularność i umiejscowienie w innej lokalizacji niż dane przetwarzane „na bieżąco”. Przechowywanie kopii zapasowych w tym samym pomieszczeniu, w którym znajduje się komputer z backupowanymi danymi, powoduje utratę wszystkich danych w przypadku pożaru czy włamania. Procedury backupowe mają zatem wówczas ograniczony sens. Bardzo ważnym jest również regularne testowanie poprawności wykonanej kopii poprzez jej odtworzenie i weryfikację. Dobrym rozwiązaniem jest wykorzystanie dodatkowego poziomu kopii bezpieczeństwa np. NAS, czy innego urządzenia magazynującego dane lub wykonywanie kopii do „chmury”.

  1. Posługiwanie się tylko legalnym oprogramowaniem

Działanie to wydaje się bezdyskusyjne, jednakże nadal zdarzają się sytuacje, w których to wykorzystywane jest nielegalne oprogramowanie. Nielegalne wersje oprogramowania charakteryzują się często integracją złośliwego kodu, stanowiącego bezpośrednie zagrożenie dla urządzeń. Mnóstwo wirusów potrafi przejąć cenne dane właśnie poprzez instalację wraz z nielegalnym oprogramowaniem.

  1. Aktualizację systemów informatycznych

Brak aktualizacji to poważne niebezpieczeństwo, z którym w bardzo realny sposób wiąże się możliwość wycieku danych osobowych z systemów informatycznych.

  1. Instalację oprogramowania antywirusowego

Obligatoryjnym krokiem jest instalacja programów chroniących komputery przed wirusami. Przy ich wyborze należy zwrócić uwagę na to, jak często są aktualizowane oraz czy są wyposażone w tzw. zaporę ogniową zwiększającą bezpieczeństwo w sieci. Pozwala to upewnić się, że nawet przypadkowo popełnione błędy zostaną wykryte i unieszkodliwione przed infekcją urządzenia. Powinno się wybierać sprawdzone rozwiązania, wspierane przez producenta.

  1. Korzystanie z zasilaczy awaryjnych

Przy odpowiednim systemie backupów, ryzyko wynikające z przerwy w dostawie prądu zostaje zminimalizowane, aczkolwiek każda sytuacja, w której komputer zostanie odłączony od prądu, oprócz ryzyka utraty danych, stwarza także ryzyko trwałego uszkodzenia komponentów jednostki centralnej, np. dysku twardego. Z wykorzystaniem zasilacza awaryjnego, użytkownik ma możliwość zapisania swojego postępu i wyłączenia urządzenia. Wybór zasilacza awaryjnego jest zależny od posiadanej infrastruktury informatycznej oraz funkcji, jaką ma urządzenie pełnić. Może to być centralny system zasilania awaryjnego, który zapewni zasilanie części wydzielonej instalacji elektrycznej i podłączonych do niej urządzeń lub UPS, który w momencie braku zasilania, dostarczy energię dla urządzeń szafy teleinformatycznej. Dobrą praktyką jest ustawienie w BIOS serwera opcji automatycznego uruchomienia systemu z chwilą przywrócenia zasilania elektrycznego.

  1. Monitoring komputerów i poczty elektronicznej

Monitoring komputerów lepiej jest wdrożyć po wcześniejszym spotkaniu z pracownikami i zapoznaniu ich z jego celem oraz uświadomieniem, iż kontrola nie jest równoznaczna z brakiem zaufania. Monitoring pozwala zweryfikować aktywność użytkowników oraz ulepszyć procedury bezpieczeństwa na podstawie zgromadzonych w ten sposób danych. Należy ponadto pamiętać, iż kwestie prowadzenia wszelkich form monitoringu reguluje Kodeks pracy. Monitoring poczty elektronicznej może być prowadzony celem:

  • zapewnienia organizacji pracy pozwalającej w pełni wykorzystać czas pracy,
  • należytego użytkowania udostępnionych pracownikowi narzędzi pracy.

Monitorowanie poczty elektronicznej opiera się na weryfikowaniu za pomocą służbowej skrzynki pocztowej, wysyłanych przez pracowników wiadomości – ich treści i odbiorców. Mieszczące się jednak w Kodeksie pracy regulacje dotyczące monitoringu poczty elektronicznej stosuje się również w przypadku stosowania innych form monitoringu, jeżeli są one prowadzone w tym samym celu. Taką formą monitoringu jest monitoring infrastruktury IT. W sytuacji stosowania monitoringu infrastruktury IT i poczty elektronicznej, należy:

  • scharakteryzować cele, zakres i sposób stosowania monitoringu w regulaminie pracy albo układzie zbiorowym pracy. W przypadku, gdy pracodawca nie posiada takich dokumentów, należy zrobić to w formie obwieszczenia,
  • przekazać pracownikom informację na temat zamiaru stosowania monitoringu co najmniej 2 tygodnie przed jego uruchomieniem,
  • wskazać z wykorzystaniem stosownych oznaczeń, że infrastruktura IT jest monitorowana.
  1. Szyfrowanie

Szyfrowanie danych zalicza się do podstawowych zabezpieczeń systemów informatycznych, serwerów, komputerów, laptopów, telefonów, czy tabletów. Wszystkie elektroniczne nośniki danych, jak pendrive, karty pamięci, na których zapisane są dane, a w szczególności dane osobowe, winny być bezwzględnie zaszyfrowane. Zaszyfrowanie np. dysków twardych może być niezwykle pomocne w przypadku kradzieży sprzętu. Szanse na to, że dane osobowe trafią wówczas w nieodpowiednie ręce są minimalne. Urządzenia z systemem Microsoft Windows już od kilku wersji pozwalają na włączenie w systemie szyfrowania jako dodatkowej funkcji BitLocker, bez konieczności zakupu dodatkowego oprogramowania.

  1. Zabezpieczenia sieci WIFI

Najważniejszym zabezpieczeniem sieci WIFI jest dobre urządzenie. Konfigurując dostęp do niego, należy udaremnić dostanie się do urządzenia zdalnie spoza sieci wewnętrznej organizacji. Zawsze powinno się konfigurować dwie sieci – oddzielnie dla pracowników i dla gości. Do sieci należy ustawić silne hasło i systematycznie je zmieniać. Zakładając, że z pewnym, ale akceptowalnym minimum zabezpieczeń dla sieci WIFI gościa możemy się pogodzić, to firmowa sieć WIFI powinna być wyposażona w dużo wyższy poziom zabezpieczeń – zaczynając od ukrycia widoczności sieci i ograniczając dostęp tylko do dozwolonych adresów urządzeń.

  1. Cykliczne szkolenia z zakresu bezpieczeństwa IT

Szkolenia muszą obejmować zarówno zasady obowiązujące podczas pracy zdalnej, jak i stacjonarnej. Dzięki nim pracownicy zostaną poinformowani, z jakim ryzykiem wiąże się niestosowanie procedur bezpieczeństwa oraz poznają przyczyny ich wprowadzenia. Bez odpowiedniego stopnia świadomości pracowników, żadne zabezpieczenia nie będą wystarczające. Szkolenia powinny głównie odpowiadać na pytania, dlaczego te czy inne zabezpieczenia są potrzebne.Wykorzystywanie wielu zabezpieczeń, jak np. stosowanie dodatkowego składnika uwierzytelniającego czy bardziej skomplikowanego hasła, będzie wymagało dodatkowej pracy pracowników. Muszą więc oni wiedzieć, dlaczego wybór padł na takie czy inne rozwiązania.

  1. Kontrolę dostawców

Kontrahenci bardzo często przetwarzają dane osobowe w formie elektronicznej. Dostarczając swoje dane podmiotowi zewnętrznemu, należy pamiętać, iż on również może być przedmiotem ataku hakerów. Wszyscy dostawcy, którzy mają dostęp do informacji zawartych w systemach muszą dawać gwarancję zapewnienia odpowiedniego poziomu bezpieczeństwa. Można ją uzyskać przy użyciu odpowiednich postanowień umowy powierzenia przetwarzania danych osobowych, a także przeprowadzanych audytów.

Bezpieczeństwo IT a RODO

Artykuł 32 RODO wskazuje, że organizacje przetwarzające dane osobowe zobowiązane są wdrożyć odpowiednie środki techniczne i organizacyjne, w tym między innymi i w stosownym przypadku:

  • pseudonimizację i szyfrowanie,
  • zagwarantować zdolność do stałego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania,
  • zagwarantować zdolność do natychmiastowego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • zapewnić cykliczne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Podsumowanie

Zabezpieczenie systemów IT stanowi obecnie wyzwanie dla wszystkich organizacji, w związku z czym niezbędne jest wprowadzenie podstawowych środków ochrony, takich jak tworzenie kopii zapasowych czy zarządzanie dostępem uprzywilejowanym. Pozwoli to uzyskać organizacji kontrolę nad aktywnością użytkowników oraz przygotować się na kryzysową sytuację, jaką może być utrata danych.