W maju w całej Unii Europejskiej zaczęło obowiązywać Rozporządzenie o Ochronie Danych Osobowych (GDPR). Oprócz wymagań prawnych, procedur dotyczących między innymi legalności przetwarzania i zgód na przetwarzanie, które przedstawił w swoim artykule prawnik Piotr Grzelczak, należy zapewnić bezpieczeństwo danych na poziomie technologicznym. Jak z tym dość trudnym zadaniem ma sobie poradzić firma, która nie zawsze dysponuje dużym potencjałem finansowym, organizacyjnym czy też kadrowym?
Po pierwsze, uporządkuj swoje zasoby IT
Przygotowania do wdrożenia rozwiązań praktycznej ochrony danych należy zacząć od inwentaryzacji zasobów IT: komputerów, smartfonów oraz używanego oprogramowania. To będzie wstęp do sporządzania listy systemów, które przetwarzają dane oraz samych zbiorów w postaci np. pliku bazy danych SQL Server (mogą być to pliki systemu sprzedaży, aplikacji księgowej itp.). W trakcie tych porządków nie wolno zapomnieć o poczcie elektronicznej (liście adresów, których używamy, tam są również dane, np. naszych klientów), naszej stronie www, sklepie, systemie e-mail marketingowym. Spojrzenie na systemy informatyczne kończymy sprawdzeniem procedur nadawania uprawnień w systemach i osób, które dysponują dostępem do danych.
Analiza ryzyka i rozwiązania chmurowe
RODO zobowiązuje podmiot gospodarczy do dokonania analizy ryzyka. Można to zrobić w możliwie najprostszy sposób, np. według wytycznych zawartych w poradniku GIODO. Jeśli firma nie dysponuje potencjałem pozwalającym na monitorowanie zagrożeń (a incydenty związane z ochroną danych przedsiębiorcy mają obowiązek zgłaszać), powinna skłaniać się w kierunku wyboru rozwiązań pozwalających ryzyko technologiczne ochrony danych, przynajmniej w części, przenieść na dostawców zewnętrznych w chmurze, którzy zwykle dysponują większymi możliwościami technicznymi. Rozwiązania technologiczne w tym zakresie powinny znaleźć odzwierciedlenie w dokumentach, np. rejestrze przetwarzania danych. Jakie są możliwości wyboru rozwiązań w zakresie wspierania konkretnych funkcji (np. sprzedaż) czy procesów w firmie? Przy wyborze tego typu rozwiązań należy pamiętać, że – oprócz hasła – serwisy powinny być chronione mechanizmem dwuskładnikowego uwierzytelniania, o którym pisałem w poprzednich numerach „Firmera”.
Przykładowe obszary działalności firmy, w których ochrona danych jest istotna, wraz z krótkim przeglądem narzędzi w chmurze.
- Sprzedaż – fakturowanie (wraz z innymi funkcjami, np. magazynem dla firmy handlowej, księgowością, zarządzeniem relacjami CRM): ifirma.pl, wfirma.pl
- Kompletny system do obsługi większej firmy: Online.comarch.pl
- Systemy e-mail marketingowe (polscy potentaci w tym obszarze): Freshmail.pl, Getresponse.pl
- Gotowe sklepy internetowe: Shoper.pl, Redcart.pl, Idosell.com
Potencjalny atak najczęściej zaczyna się od poczty
Większość ataków (prowadzonych w dużej mierze masowo i w sposób zautomatyzowany) zaczyna się od poczty. O wiadomościach e-mailowych podszywających się pod „dostawców usług wszelakich” pisałem we wcześniejszych numerach „Firmera”. Od takiego scenariusza może zacząć się wyciek danych. Sama poczta jest również atrakcyjna, bo zawiera bardzo dużo danych, np. informacje o klientach, umowach, finansach firmy itd. Dodatkowo daje możliwość uzyskania dostępów do innych serwisów. Jak to możliwe? Adres poczty jest często loginem do wielu miejsc w sieci. Większość użytkowników stosuje te same hasła, a nawet jeśli nie, to można odzyskać dostęp poprzez… pocztę. Dlatego fundamentalnie ważna jest konfiguracja dwuskładnikowego uwierzytelniania również w przypadku poczty. Liderzy rozwiązań w tym zakresie, Google (Gmail.com) i Microsoft (portal.office.com), również w darmowych wersjach swoich produktów (Gmail.com, Outlook.com) obsługują ten mechanizm zwiększający bezpieczeństwo. Oczywiście ze względów marketingowych ważne jest, aby poczty była w domenie firmowej, ale z punku widzenia ochrony danych kluczowe i krytycznie ważne jest, aby dostawca usług oferował możliwość dodatkowego zabezpieczania danych oprócz loginu i hasła.
Repozytoria plików w chmurze
Podobne dość restrykcyjne zasady należy stosować do serwisów plików, które dają dostęp do logowania z całego świata, np. Onedrive.live.com (Office365.com), Google.com/drive/. Zastępują one coraz częściej klasyczne serwery plików instalowane w sieci firmowej. Rozwiązanie jest szczególnie atrakcyjne (również cenowo) dla mniejszych podmiotów. I tutaj również obowiązkowy jest drugi składnik uwierzytelnienia (oprócz hasła) i zarządzanie dostępem do plików według nawet prostej procedury, wnioskowanie i nadania uprawnień. Obowiązuje zasada: jeden pracownik równa się jedno konto. Należy mieć wiedzę, kto miał personalnie dostęp do danego zakresu informacji. W szczególności dotyczy to plików zawierających dane osobowe, do których ochrony zobowiązuje przedsiębiorcę RODO.
Strona www i jej hosting
Firmowa strona to również publicznie dostępny serwis utrzymywany najczęściej przez zewnętrzną firmę. Zatem, na jakie najważniejsze aspekty należy zwrócić uwagę w kontekście strony? Często, aby utrzymać bezproblemową komunikację z klientami, pojawiają się formularze kontaktowe do wpisywania danych. Taka najprostsza forma zobowiązuje nas do zastosowania szyfrowanej komunikacji z serwem https://, czyli certyfikatu SSL. Można użyć nawet darmowego od Letsencrypt.org, a każdy dostawca usług utrzymania stron wspiera ten proces. Najlepiej, biorąc pod uwagę współczesne zagrożenia, komunikację z całym firmowym serwisem prowadzić w sposób szyfrowany (protokołem https, a nie http). Dotyczy to w szczególności panelu administracyjnego naszej strony, przy pomocy którego mamy bezpośredni dostęp do danych. Zaleca się również różnicowanie uprawnień administratorów strony i zabezpieczanie ich logowania, również dwoma składnikami. W przypadku najpopularniejszego CMS-u WordPress można to zrobić przy pomocy Rublon.com. W WordPress kompleksowe bezpieczeństwo zapewni wtyczka bezpieczeństwa Wordfence.com, która w wersji komercyjnej dostarcza drugi składnik logowania, również naszym klientom logującym się do zasobów na stronie.
RODO to droga
Nowe rozporządzenie dotyczące ochrony danych zakłada proces doskonalenia. Zagadnienia nakreślone w tym artykule to dopiero początek tej drogi. Ale trzeba ją jak najszybciej zacząć… Powodzenia.