Global
Africa
South Africa
Albania
Australia
Austria
Belgium
Bosnia Herzegovina
Bulgaria
Canada
Canada FR
Croatia
Czech Republic
Denmark
Estonia
Finland 
Finland (English)
France
Germany
Hong Kong
Hungary
Iceland
India
Indonesia
Ireland
Israel
Italy
Kosovo
Latvia
Lithuania
Malaysia
Middle East
Montenegro
Netherlands
New Zealand
North Macedonia
Norway
Philippines
Portugal
Romania
Saudi Arabia
Serbia
Singapore
Slovakia
Slovenija
Spain
Sweden
Switzerland DE
Switzerland FR
Thailand
Turkey
USA
Ukraine
United Kingdom
Vietnam
Wdrożenie RODO – jakie rozwiązania IT wybrać?
Od 25 maja 2018, kiedy to weszło w życie RODO (tj. Rozporządzenie o Ochronie Danych Osobowych) minęło już kilka lat. Wszyscy przyzwyczailiśmy się do nowych klauzul, które pojawiają się przy okazji podawania naszych danych osobowych (np. przy zakupach w Internecie, poszukiwaniu pracy, wizyty u lekarza czy po prostu akceptacji plików cookie). Dla osób prywatnych regulacje te są bardzo dobre. W skuteczny sposób, zarówno w naszym kraju, tak jak i w całej Unii Europejskiej, pozwalają na wyegzekwowanie podstawowych praw związanych z danymi osobowymi (np. prawa do zapomnienia). Nie są one oczywiście uniwersalnym panaceum na wszelkie nadużycia związane z naszą prywatnością. Nie dają nam też uniwersalnej wymówki w każdej sytuacji, kiedy chcielibyśmy uniknąć podania naszych danych osobowych. Niemniej jednak wyznaczają one dobre standardy, do których organizacje przetwarzające tego typu dane muszą się stosować. Jest to szczególnie ważne w kontekście ostatnich pandemicznych lat, w których cyfryzacja naszego życia gwałtownie się zwiększyła. Przyjrzyjmy się więc rozwiązaniom IT, których optymalny dobór ułatwi i usprawni wdrożenie RODO w organizacji.
RODO – w to trzeba zainwestować
Naruszenia RODO skutkowały nałożeniem na organizacje realnych kar finansowych. Na publicznie dostępnej stronie Urzędu Ochrony Danych Osobowych, organizacji, która stoi na straży przestrzegania tych regulacji, można znaleźć roczne sprawozdania, w których znajdziemy wykaz nałożonych kar. Nierzadko przekraczają one miliony złotych, a spektrum dotkniętych firm obejmuje zarówno ogromne organizacje, jak i np. szkoły czy przedszkola. Przykładowe incydenty wycieku danych osobowych mogą być skutkiem zarówno ataków, jak i przypadkowych zaniedbań, a liczba zgłoszeń idzie w tysiące roczne. Nietrudno znaleźć też przykłady na świecie, gdzie największe naruszenia i kary w wysokości setek milionów euro trafiły na czołówki wiadomości. Inwestycje we wdrożenie RODO – w udoskonalanie i rozwój systemów bezpieczeństwa teleinformatycznego, ograniczających takie ryzyko – są niezbędne i uzasadnione.
Wdrożenie RODO – pierwsze kroki
Można założyć, że wiele przedsiębiorstw dostosowało się już do podstawowych zapisów przytaczanego rozporządzenia, w tym konieczności zachowania kontroli nad miejscami gromadzenia danych, przygotowania zasad informowania o incydentach naruszeniach bezpieczeństwa, zagwarantowania określonego okresu archiwizowania danych, ich zmieniania i usuwania (także z kopii zapasowych oraz z danych nieustrukturyzowanych) czy procesów związanych z klasyfikacją danych.
Najważniejszy jest efekt końcowy wdrażanych rozwiązań
Rozporządzenie zostało przygotowane w taki sposób, aby nie promować konkretnych rozwiązań czy producentów. Ma to spowodować, że wybrana technologia nie zestarzeje się bardzo szybko w środowisku, w którym spektrum zagrożeń, a co za tym idzie – środków do ochrony – ciągle się zmienia. Neutralność pod względem technicznym sprawia, że nie znajdziemy w zapisach jasnych wytycznych jakie rozwiązanie należy zakupić i wdrożyć. Ważny jest efekt końcowy, cytując motyw 39:
(…) Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.
Spełnianie wymogów RODO to proces
Tak jak budowanie systemów bezpieczeństwa, jak i polityk dla nich, jest procesem, który nigdy się nie kończy, tak samo wdrożenie RODO i spełnianie jego wymogów musi być ciągłym procesem, z właściwym monitorowaniem, testowaniem i udoskonalaniem. Warto zastanowić się więc, co w tym kontekście dla konkretnej organizacji oznacza sformułowanie „odpowiednie bezpieczeństwo”.
Najważniejszym wyzwaniem dla firm stanowi bezpieczne przechowywanie danych osobowych. W dzisiejszych infrastrukturach, często w różnych stopniu mniej lub bardziej hybrydowych – składających się z lokalnych zasobów, rozwiązań chmurowych różnych dostawców czy komputerów pracowników zdalnych – nie jest zadaniem łatwym. Stabilne i wydajne serwery połączone z systemami gromadzenia, przesyłania i udostępniania danych, a także ich odtworzenia w przypadku awarii są podstawowymi rozwiązaniami zabezpieczającymi posiadane dane lokalnie. Z punktu widzenia przedsiębiorstwa kluczowa jest wiedza, jakie dane osobowe są w podmiocie wytwarzane oraz gdzie są one przechowywane. Nowoczesne rozwiązania pozwalają na lokalizowanie, przeszukiwanie i monitorowanie danych osobowych zlokalizowanych w zasobach serwerowych oraz pamięci masowej. Zaawansowane raportowanie i wizualizacja pozwalają firmom zrozumieć, jakie dane przechowują i w jaki sposób są one wykorzystywane.
Wdrożenie RODO a cyberbezpieczeństwo – rozwiązania IT warte uwagi
Podstawą bezpieczeństwa sieciowego są rozwiązania klasy NGFW (Next Generation Firewall) / UTM (Unified Threat Management). W zależności od infrastruktury mogą to być urządzenia sprzętowe, maszyny wirtualne lokalne lub w chmurach. Trudno udowodnić, że technologicznie stare urządzenia, które nie mają aktualnych subskrypcji lub posiadają polityki ograniczone z powodu wydajności są skuteczne.
Warto zwrócić szczególną uwagę na problem deszyfracji SSL, element bez którego ogromna część komunikacji pozostaje praktycznie bez kontroli. W zależności od szacowanego poziomu ryzyka rozwiązania NGFW/UTM dobrze jest uzupełnić o dedykowane systemy proxy dla ruchu http i https. Ochronę przed nieznanymi zagrożeniami może znacząco podnieść zastosowanie systemów typu sandbox/ATP (Advanced Threat Protection), razem z deszyfracją ruchu SSL). Kontrolę dostępu do sieci w warstwie fizycznej mogą zapewnić produkty typu Network Access Control (NAC). Trzeba też zadbać o kompleksową kontrolę dostępu ruchu – nie tylko z zewnątrz organizacji (North-South), ale też wewnątrz, między użytkownikami i aplikacjami komunikującymi się wzajemnie (East-West).
Skuteczna ochrona powinna być uzupełniona o cykliczny audyt polityk bezpieczeństwa zgodnie z najlepszymi praktykami oraz analizę logów. Dzięki temu zyskujemy ochronę przy równoczesnym wykrywaniu ewentualnych incydentów związanych z bezpieczeństwem.
Kolejnym ważnym elementem jest ochrona stacji końcowych – szczególnie tych, które mają dostęp do wrażliwych danych. Współczesne rozwiązania łączą w sobie moduły, które nie tylko chronią przed znanymi i nieznanymi atakami, ale także zapewniają zgodność z regulacjami, wykrywają potencjalne anomalie i wycieki danych. Warto pamiętać, że podobne środki ochrony można znaleźć także dla serwerów, również w środowiskach wirtualnych, nie tylko dla stacji końcowych z typowo klienckimi systemami operacyjnymi.
Przetwarzanie danych osobowych jest nieodłącznie związane z aplikacjami, gdzie interfejsem użytkownika jest zazwyczaj przeglądarka internetowa. Niezależnie od tego, czy są one dostępne tylko wewnętrznie czy również dla klientów, wymagają szczególnej ochrony. Ataki na aplikacje w ostatnim czasie są najczęstszym wektorem ataku przy znanych opinii publicznej wyciekach danych osobowych. Zastosowanie rozwiązań Web Application Firewall (WAF) w znaczący sposób podnosi bezpieczeństwo aplikacji, równocześnie zapewniając ochronę przed atakami typu DDoS (Distributed Denial od Service).
Kolejnym istotnym obszarem bezpieczeństwa jest zapewnienie odpowiedniego poziomu uwierzytelniania. Często statyczne hasło nie jest już skutecznym zabezpieczeniem, szczególnie dla roli administracyjnych (dla systemów i dla danych) i zdalnego dostępu. Odpowiednim wyborem w tym przypadku są produkty zapewniające uwierzytelnianie i autoryzację w oparciu o hasła dynamiczne (tokeny) lub certyfikaty. Zdalny dostęp pracowników, tak popularny w ostatnich pandemicznych latach musi być zabezpieczany przez rozwiązania klasy SASE (Secure Access Service Edge) i ZTNA (Zero Trust Network Access).
Niezależnie od tego czy mówimy o stacjach końcowych (szczególnie laptopach) czy serwerach, warto rozważyć szyfrowanie dysków i przenośnych mediów. Może to uchronić przed wyciekiem danych w przypadku fizycznej kradzieży sprzętu. Osobnym tematem jest też szyfrowanie i pseudonimizacja danych (wymieniona z nazwy w rozporządzeniu, jednak niezapewniająca automatycznie zgodności z RODO), realizowana już na poziomie aplikacji. Z drugiej strony systemy typu Data Loss Prevention (DLP) mogą kontrolować różne kanały komunikacyjne i przeciwdziałać wyciekom wrażliwych informacji, zarówno na poziomie sieciowym jak i urządzeń końcowych.
Kluczowe technologie i produkty umożliwiające skuteczne wdrożenie RODO
Poniżej zebraliśmy zestaw przykładowych technologii i konkretnych produktów IT, które wg naszego doświadczenia zdecydowanie warto wziąć pod uwagę, planując wdrożenie RODO:
| Kategoria rozwiązań | PRZYKŁADOWE Produkty | KLUCZOWE FUNKCJE I Korzyści z zastosowania |
| Ochrona stacji roboczych | FortiClient FortiEDR Symantec Endpoint Protection CrowdStrike |
|
| UTM/NGFW/Web Proxy/Sandbox/ATP | FortiGate FortiSandboxWatchguard Guardicore Symantec/Broadcom Proofpoint |
|
| WAF | F5 Citrix Radware FortiWeb |
|
| DLP | Symantec FortiGate (na poziomie sieciowym) FortiMail (na poziomie maila) Proofpoint (na poziomie maila) |
|
| Szyfrowanie stacji roboczych/nośników | Symantec Endpoint Encryption |
|
| Ochrona poczty | FortiMail Proofpoint Email Security |
|
| Szyfrowanie maili | Symantec (PGP) FortiMail Proofpoint Email Security |
|
| Korelacja zdarzeń, przechowywanie logów, raportowanie | FortiAnalyzer FortiSiem Symantec/Broadcom (Security Analytics, compliance)ArcSight |
|
| Audyt, zgodność z regulacjami (compliance) | Infoblox (audyt zasobów sieciowych) Tenable/Nessus (analiza podatności stacji roboczych i serwerów) FortiWeb (analiza aplikacji webowych) MicroFocus Fortify (analiza kodu aplikacji) |
|
| Kontrola dostępu użytkowników | F5 Citrix Radware Entrust FortiAuthenticator/FortiToken Symantec/Broadcom WatchGuard Wallix |
|
| NAC – network access control | Extreme NAC Aruba ClearPass by HPE FortiNAC |
|
| Deszyfracja SSL | Symantec/Broadcom F5 Citrix Radware FortiGate Gigamon |
|
| Audyt ruchu do chmury | Symantec/Broadcom (CASB) FortiCASB |
|
| Maskowanie, anonimizacja danych, antifraud | HPE SecureData F5 WebSafe |
|
| Klasyfikacja | Symantec/Broadcom |
|
| Zbieranie ruchu do analizy/deszyfracji | Gigamon |
|
| Backup i archiwizacja | BackBox Commvault Veritas (NetBackup, BackupExec, Enterprise Vault) Arcserve UDP Veeam Backup and Replication SEP Seazam vProtect |
|
| Lokalizacja danych | Veritas Information Map |
|
| Przeszukiwanie danych | Veritas eDiscovery Platform Commvault Activate |
|
| Monitorowanie danych | Veritas Data Insight Veritas Enterprise Commvault Activate |
zaawansowane raportowanie i wizualizacja umożliwia firmom zrozumieć, jakie dane przechowują i w jaki sposób są one wykorzystywane |
| Bezpieczne składowanie danych | Systemy dyskowe: HPE, Fujitsu, Huawei, Quantum Oprogramowanie: Veritas Netbackup, Veritas Infoscale, Veritas Resliency Platform, Veritas Access |
|
Wdrożenie RODO w praktyce – przykładowe scenariusze zastosowań
Scenariusz #1: śledzony formularz
Administrator IT w firmie handlowej zarządza systemem, który przetwarza dane osobowe. Dane wrażliwe osadzane są w szablonach ustandaryzowanych dokumentów, potrzebnych tylko do użytku wewnętrznego.
System pozwala na zaimportowanie dokumentów z formularzem ze standardowych plików .odt, .rtf, .docx. Szablon, zanim trafi do systemu, zostaje oznaczony przez administratora tzw. fingerprint’em – za pomocą funkcjonalności w rozwiązaniu FortiMail. Dzięki temu, każdy dokument wygenerowany z systemu jest śledzony przez mechanizmy DLP (Data Leak Prevention), co nie pozwala na wysyłanie tych plików poza domenę firmową.
Administrator zarekomendował zarządowi firmy zakup urządzenia FortiMail 60D, które zawiera w pakiecie roczne usługi: serwisowe FortiCare oraz FortiGuard Antispam i Antivirus.
Scenariusz #2: chronimy PESEL
W pewnej firmie branży finansowej dane o płacach oraz innego rodzaju dokumenty zawierające dane osobowe są przesyłane e-mailem pomiędzy działem księgowości i zarządem. Dane pracowników uczestniczące w tym procesie nie mogą trafić do żadnego innego adresata poza wymienionymi działami.
Aby zapewnić taki przebieg informacji, wykorzystano funkcjonalność niedawno wdrożonego rozwiązania FortiMail. Grupa odbiorców z działów księgowości oraz zarządu, to jedyne dopuszczone adresy e-mail do komunikacji zawierającej numer Pesel, frazę: imię, nazwisko oraz dokumenty oznaczone przez system księgowy. Jeżeli zostanie wprowadzony adres e-mail nie będący w tych grupach, wiadomość zawierająca określone informacje zostanie zatrzymana, a użytkownik poinformowany o zadziałaniu mechanizmu zapobiegania wyciekowi danych.
Powyższy scenariusz umożliwia technologia DLP (Data Leak Prevention) zastosowana m.in. w urządzeniach FortiMail-60D oraz FortiMail-200E.
Scenariusz #3: masowa wysyłka (DW zamiast UDW…)
W firmie produkującej oprogramowanie do obsługi biura została przyjęta nowa osoba. Przydzielono jej zadanie informowania klientów i firm współpracujących o zmianach w nowej wersji aplikacji. Mimo szkolenia osoba ta, zamiast użyć pola „Ukryte do Wiadomości” (BCC) dołączyła listę czterystu odbiorców w polu „Do wiadomości” (CC).
Producent oprogramowania posiada w swojej infrastrukturze IT rozwiązanie FortiMail, którego mechanizmy wykryły, iż w wiadomości e-mail znajduje się więcej niż 5 odbiorców nie będących w domenie firmowej. Technologia DLP (Data Leak Prevention), obecna w FortiMail-u, również tym razem nie zawiodła, bo system nie zezwolił na wysyłkę, informując o zadziałaniu mechanizmu. Urządzenie nie dopuściło do ujawnienia 400 adresów e-mail klientów, stanowiących zarówno chronione dane osobowe, jak też wartość firmy i nie spowodowało kompromitacji.
Mechanizmy Data Leak Prevention dostępne we wszystkich urządzeniach FortiMail pozwalają na rozpoznawanie oznaczonych dokumentów, fraz i wyrazów kluczowych (np. Imię, Nazwisko, PESEL itp.). Możliwość zaaplikowania w posiadanym systemie, w którym przetwarzane są dane osobowe, ukrytego znacznika pozwala uzyskać widoczność w zakresie przemieszczania się dokumentów w strukturach informatycznych przedsiębiorstwa.
Wykrywanie haseł w treści mail i załączników pomaga uchronić przedsiębiorstwo przed groźnym atakiem, zaszyfrowaniem danych lub w ujęciu normatywnym utratą poufności, integralności lub dostępności danych osobowych.
Monitorowanie wysyłanych wiadomości e-mail z kont użytkowników, poprzez zdefiniowaną politykę na urządzeniu, może uchronić przed (niestety nierzadko spotykanym) błędem ludzkim, skutkującym wyciekiem bazy e-mail kontaktów i klientów: zamiast UDW wysłane jako DW. Polityka zadziała również w przypadku korespondencji wysłanej z błędnie skonfigurowanego systemu CRM/ERP lub innego systemu automatyzacji korespondencji, chroniąc przed dotkliwymi konsekwencjami finansowymi.
Silniki Antispam i Antivirus zapewniają dwustronne bezpieczeństwo korespondencji (dla poczty przychodzącej i wychodzącej). Dzięki temu korespondencja do wielu odbiorców zostanie przez silnik Antispam rozesłana tak, aby nasza domena nie została uznana za SPAM przez inne serwery pocztowe. Dodatkowo, jeżeli przypadkiem w naszej firmie użytkownik zdalny zostałby zarażony i rozpoczął rozsyłanie złośliwego oprogramowania do listy adresów e-mali z klienta poczty (na komputerze „ofiary”), to również tę, wysyłaną korespondencję silnik Antivirus na FortiMail wykryje i zablokuje, informując administratora.
Kluczowe wyróżniki rozwiązania FortiMail, które w szczególności ułatwiają wdrożenie RODO, to:
– brak licencjonowania na ilość chronionych użytkowników, skrzynek pocztowych czy adresów e-mail
– wymiarowanie tylko i wyłącznie w oparciu o wydajność oraz z góry znaną liczbę obiektów danego rodzaju (domeny)
– możliwość pracy w trybie serwera – pełne administrowanie kontami użytkowników wewnątrz infrastruktury przedsiębiorstwa (nie trzeba podpisywać umowy powierzenia przetwarzania danych podmiotowi trzeciemu, u którego pocztę hostujemy bo wszystkie maile i dane przetwarzane są lokalnie)
– Identity Based Encryption – wysyłanie bezpiecznej szyfrowanej poczty
– synchronizacja kalendarzy z różnymi klientami poczty, w tym również mobilnymi
– możliwość klastrowania urządzeń w celu zapewnienia wysokiej dostępności usługi
– możliwość konfiguracji indywidualnych ustawień dla chronionych domen
– wsparcie dla mechanizmów pojedynczego logowania (SSO)
– wszystkie wysokiej klasy funkcjonalności dostępne niezależnie od wielkości platformy (ta sama wersja OS), pozwalają komfortowo poruszać się pomiędzy różnymi modelami
– własne silniki Antispam i Antivirus zasilane z FortiGuard
– możliwość podłączenia do Sandbox klasy Enterprise w chmurze FortiCloud lub lokalnego urządzenia FortiSandbox
– rozbudowane i zaawansowane funkcje Data Leak Prevention takie jak: znaki wodne, zestawy predefiniowanych reguł wyszukiwania (np. numerów kart kredytowych), słowa kluczowe oraz wsparcie różnego rodzaju plików (od PDF poprzez pliki pakietów biurowych po pliki tekstowe)
– mechanizmy wyszukiwania haseł w treści wiadomości w celu rozpakowania i analizy załącznika silnikami AntiVirus, Antispam czy Sandbox
– różne tryby wdrożenia (Serwer, Gateway, Transparent)
– szyfrowanie komunikacji, nie tylko typu PULL, ale również PUSH
– integracja z LDAP
– wysoko oceniana skuteczność długoterminowa w testach niezależnych laboratoriów (m.in. Virus Bulletin, ICSA Labs).
Kompleksowe spojrzenie na wdrożenie RODO
Jak widać z powyższych rozważań zapewne w większości organizacji można znaleźć obszary, które wymagają poprawy. Żaden produkt nie zapewni nam jednak samodzielnie pełnej zgodności z rozporządzeniem. Warto więc potraktować wdrożenie RODO jako okazję do świeżego spojrzenia na problem zarządzania, audytowania i monitorowania infrastruktury IT.
W ofercie Exclusive Networks Poland znajdują się rozwiązania wiodących producentów, które pomogą przedsiębiorcom – niezależnie od profilu i skali ich działalności – odpowiednio dostosowywać się do przepisów prawnych RODO (zachęcamy również do zapoznania się z naszym opracowaniem pt. RODO – najważniejsze regulacje prawne z punktu widzenia IT).
Skorzystaj z naszego doświadczenia oraz wiedzy w zakresie optymalnego doboru rozwiązań IT na potrzeby wdrożenia RODO:
