Urząd Ochrony Danych Osobowych skorzystał ostatnio ze swoich nowych kompetencji w stu procentach. Mowa tu oczywiście o głośnej medialnie historii Bisnode oraz karze w wysokości 1 mln zł za niedopełnienie obowiązku informacyjnego. Sprawa wywołała dużo kontrowersji i burzliwą dyskusję wokół zasadności wyboru tego właśnie przypadku na pierwszą „demonstrację siły” RODO, chociażby przez wzgląd na fakt, że dane przetwarzane przez Bisnode były publicznie dostępne. Więcej światła na interpretację nowego prawa rzuci zapewne złożona przez firmę apelacja. Ponieważ w ubiegłym roku nie brakowało incydentów, które skutkowały masowymi wyciekami danych osób prywatnych (chociażby przypadek Morele.net), przedsiębiorcy zadają sobie pytanie, dlaczego nie zajęto się właśnie nimi w pierwszej kolejności. A jednocześnie większość z nich czeka z niezbędnymi inwestycjami na rozwój wydarzeń.

Jednak wielu przedsiębiorców zdecydowało się na „plan minimum” w zakresie wdrażania konkretnych rozwiązań, co mimo wszystko należy uznać za zjawisko pozytywne z punktu widzenia producentów, dystrybutorów i integratorów działających w sektorze cyberbezpieczeństwa. Według specjalistów z katowickiej Dagmy większą wagę do wymagań rozporządzenia przykłada m.in. branża telemarketingowa, którą prezes UODO wziął na celownik w pierwszej kolejności, włączając w to zjawisko profilowania w sektorze bankowym i ubezpieczeniowym. Z polecanych i niezbędnych działań należałoby w tym (ale nie tylko) kontekście wymienić DLP, szyfrowanie i audyty.

Audyt: na dobry początek

Godną polecenia praktyką jest przeprowadzenie audytu, który wskaże, gdzie i w jaki sposób przetwarzane są w firmie dane, a następnie umożliwi objęcie polityką bezpieczeństwa oprócz danych „fizycznych” także ich elektroniczne odpowiedniki. Po dokładnej analizie możliwe jest skuteczne wdrożenie polityki bezpieczeństwa. Dopiero przy kompleksowym podejściu (dbałość o dane fizyczne i zapewnienie ochrony danym zapisanym w cyfrowy sposób) można uznać, że przedsiębiorstwo zastosowało „adekwatne środki bezpieczeństwa”. Dzięki temu w razie kontroli UODO firma udowodni, że zrobiono wszystko, co w jej mocy, aby odpowiednio zabezpieczyć przetwarzane dane.

Kompleksową usługę audytu dla swojego klienta (w tym audyt konfiguracji ESET) można zlecić specjalistom z Dagmy. Dystrybutor dysponuje kadrą specjalistów posiadających prestiżową certyfikację Certified Ethical Hacker. Świadectwo CEH zapewnia, że audytor używa tej samej wiedzy i narzędzi co cyberprzestępca, ale w odróżnieniu od niego – w legalny i zgodny z prawem sposób. Dzięki temu wykonywane przez niego kontrole, testy penetracyjne i socjotechniczne jeszcze skuteczniej weryfikują, jak w sytuacji realnego zagrożenia zachowują się nie tylko zabezpieczenia, ale też sami pracownicy audytowanej firmy.

DLP: gwarancja dobrej woli

Zabezpieczenie danych fizycznych bez zabezpieczenia klasy DLP, które ochroni dane cyfrowe przed wyciekiem, nie powinno i nie zostanie uznane za wystarczający środek ochrony. Nie można jednak z góry założyć, że posiadanie oprogramowania klasy DLP gwarantuje uniknięcie kar związanych z RODO. Jeśli reguły polityki bezpieczeństwa w firmie czy instytucji nie zostaną wdrożone, a dane wrażliwe w formie wydrukowanej przechowywane będą bez zachowania odpowiednich środków ostrożności – z pewnością rozwiązanie DLP nie uchroni przed karami.

Szyfrowanie: nie ma zmiłuj!

Jednym z obowiązków wynikających z art. 32 RODO jest szyfrowanie danych. Przy czym rozporządzenie nie precyzuje technicznych szczegółów dotyczących wykorzystywanych zabezpieczeń. To, jakie rozwiązania ochronne zostaną zastosowane w przedsiębiorstwie, powinno wynikać z analizy ryzyka, która musi uwzględniać każdy aspekt jego działalności. RODO, bazując na normie ISO/IEC 27 001, nakazuje takie zabezpieczenie danych, które zapewni im ochronę w zakresie tzw. triady CIA (Confidentiality, Integrity, Availability).

Przykładem firmy, która sprostała wymogom RODO jest Wielka Orkiestra Świątecznej Pomocy. Fundacji zależało na wdrożeniu rozwiązania szyfrującego zdolnego zabezpieczyć dane będące w jej posiadaniu, by ich przechowywanie oraz korzystanie z nich było zgodne z zapisami rozporządzenia. Kluczowym wymogiem okazała się przy tym możliwość centralnego zarządzania rozwiązaniem szyfrującym, które z założenia miało być również proste we wdrożeniu i codziennej administracji (wybór padł na ESET Endpoint Encryption).