Zaniedbania mimo RODO

Oceniając stan bezpieczeństwa, trzeba wziąć pod uwagę wielkość przedsiębiorstwa. Duże firmy, posiadające odpowiednie zasoby zarówno ludzkie, jak i finansowe, są doskonale przygotowane do ochrony przed utratą danych za pomocą szyfrowania komputerów, stacji roboczych, serwerów aplikacyjnych, nośników oraz przesyłanych danych. Korzystają z rozwiązań zabezpieczających przed wyciekami danych (DLP), mają procedury kasowania danych i niszczenia nośników.

W ich przypadku RODO niewiele wniosło, ponieważ poprzednia ustawa o ochronie danych osobowych oraz standardy branżowe już wcześniej wymagały odpowiednich zabezpieczeń. Oczywiście, także w tym segmencie zdarzają się firmy, które nie potrafią zabezpieczyć swoich danych i nadal mają dziury w systemach, z których korzystają – zauważa Robert Sepeta, Business Development Manager w Kingstonie.

Największy problem dotyczy małych i średnich przedsiębiorstw. Wiele tzw. „misiów” cierpi na brak zarówno specjalistów, jak i środków na wdrożenie właściwych systemów. Oczywiście nierzadko zagadnienie bezpieczeństwa bywa przez nie ignorowane. W tym przypadku ważną rolę może odegrać integrator, który wie, o co klient powinien zadbać i podejmie próbę, aby go do tego przekonać.

Najlepsze praktyki szyfrowania

Właściwe użycie szyfrowania tworzy barierę niemal nie do pokonania, zabezpieczając dane przed nieautoryzowanym dostępem i gwarantując, że tylko uprawnione osoby będą mogły je odczytać. Czym jednak jest „właściwe użycie”? Według najkrótszej definicji to działanie na podstawie najlepszych możliwych praktyk, które należy uwzględnić, aby zapewnić najwyższy poziom bezpieczeństwa.

Aby zdecydować, gdzie metoda szyfrowania zostanie zastosowana, należy bardzo dokładnie ustalić, co wymaga ochrony.Z jednej strony wrażliwe dane mogą być w firmie wszędzie i trzeba je zidentyfikować oraz zlokalizować, z drugiej strony te, które znajdują się w systemach z własnymi zabezpieczeniami, nie zawsze wymagają szyfrowania.

Trzeba określić, gdzie znajdują się najbardziej wrażliwe zasoby danych w spoczynku (at rest) – zarówno lokalnie, jak i w chmurze. W poszukiwaniu cennych danych należy przejrzeć pliki, foldery, pamięć sieciową, aplikacje, serwery webowe, a także bazy danych. Szyfrowania mogą wymagać i dane strukturalne, i nieustrukturyzowane.

Nie należy pomijać danych przepływających przez wewnętrzną sieć i ją opuszczających. Gdy ruch jest niezabezpieczony, cyberprzestępcy nie tylko mogą wykradać dane, ale także używać różnych technik przejęcia kontroli nad firmowymi zasobami IT. Szyfrowanie zabezpieczy nie tylko przed złośliwymi działaniami, ale także ludzkimi błędami, w wyniku których może dojść do przesłania danych pod niewłaściwe adresy, szczególnie w środowiskach typu multi-tenant.

Szyfrowanie zawsze będzie w takim stopniu skuteczne, w jakim zapewniona będzie kontrola nad używanymi kluczami. Mogą zostać zgubione, skradzione, zniszczone lub wygasnąć po upływie określonego czasu, a w efekcie powstaną luki w zabezpieczeniach. Dlatego po wdrożeniu rozwiązań szyfrujących trzeba zadbać o właściwy system zarządzania nimi. Przede wszystkim wybrać bezpieczne miejsce przechowywania kluczy, upewniwszy się, że dostęp do nich mają tylko osoby do tego upoważnione.