Podsumowanie roku w ochronie danych

RODO – główny punkt zainteresowania

Kluczowymi dla ochrony danych osobowych będą regulacje krajowe, których projekt został zaproponowany przez ustawodawcę. Założenia, które przyświecały prawodawcy to przede wszystkim chęć podwyższenia poziomu ochrony prywatności obywateli, w tym przyznanie im nowych, nieznanych dzisiaj i skutecznych mechanizmów ochrony przed naruszeniami, przy jednoczesnym poszanowaniu interesów przedsiębiorców. Krajowe przepisy o ochronie danych osobowych przyznają w tym względzie kompetencje następcy GIODO, tj. Prezesowi Urzędu Ochrony Danych Osobowych do opracowywania i udostępniania na swojej stronie internetowej dobrych praktyk przetwarzania danych osobowych, zawierających rekomendowane środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.

Należy również zauważyć, iż GIODO rozpoczęło cykl szkoleń przygotowujących zarówno administratorów danych jak i obecnych ABI do wywiązywania się z przepisów RODO.

W mijającym roku wiele firm i organizacji, nie czekając na ostatnią chwilę, intensywnie przygotowywało się i wdrażało rozwiązania, które pozwolą im spełnić wymogi RODO. Pomocne okazały się firmy specjalizujące się w ochronie danych osobowych, mające w swojej ofercie kompleksowe rozwiązania w tym zakresie poczynając od audytów, po analizy ryzyka, doskonalenie procesów i środowiska IT, a na opracowywaniu dokumentacji i prowadzeniu szkoleń kończąc.

Branża IT nie „zaspała”

Naturalną rzeczą jest, iż rewolucja w przepisach regulujących kwestie ochrony danych osobowych wymusi również zmiany w eksploatowanych już systemach teleinformatycznych. Obszar IT w każdej z organizacji będzie miał kluczowe znaczenie w jej dostosowaniu do postanowień europejskiego rozporządzenia o ochronie danych osobowych.  Jednym z podstawowych problemów jaki jest związany z takim dostosowaniem jest zapewnienie systemom IT funkcjonalności postawionej w art. 17 ust. 1 RODO, tj. prawa do bycia zapomnianym. Wyobraźmy sobie sytuację w której w dużej organizacji liczącej kilka oddziałów na terenie całego kraju, przetwarzającej dane osobowe w dziesiątkach systemów teleinformatycznych i na tysiącach komputerów musimy zidentyfikować dane osobowe np. Jana Kowalskiego, który skorzysta z prawa do bycia zapomnianym. Aby organizacja mogła zrealizować to konieczne będzie przeszukanie wszystkich zasobów teleinformatycznych, co będzie nie lada wyzwaniem, gdyż dane Kowalskiego mogą być nie tylko w łatwych do przeszukania bazach danych, ale również w plikach tekstowych zlokalizowanych na komputerach użytkowników, plikach ze skanami dokumentów itp.

Poważnie do tego problemu podszedł m.in. IBM oferując rozwiązania typu SIEM, takie jak IBM Security Guardium czy IBM QRadar. Ten pierwszy, to zbiór narządzi, które rozwiązuje problemy jakie wiążą się z dostosowaniem obszaru IT do postanowień RODO. Guardium umożliwia m.in. przeszukiwanie zasobów informatycznych organizacji w celi zidentyfikowania danych, a następnie wspiera ich klasyfikowanie jak również umożliwia stałe monitorowanie pod kątem zgodności dostępu do danych. IBM QRadar natomiast ułatwia konsolidowanie logów z eksploatowanych w organizacji systemów jak również wspiera analizowanie ruchu sieciowego, co będzie szczególnie pomocne w sytuacjach, gdzie dysponujemy rozbudowaną infrastrukturą teleinformatyczną.

Również firma Hewlett Packard posiada w swojej ofercie oprogramowanie wspierające obszar IT w zakresie dostosowania go do wymagań RODO. Jest to platforma zabezpieczająca HPE SecureData umożliwiające m.in. zaawansowane mechanizmy szyfrowania czy też pseudononimizacji jak również zabezpieczenia danych w chmurach publicznych.

Ciekawym rozwiązaniem jest też oprogramowanie GREENmod oferowane przez firmę TUKAN IT. Narzędzie to wspomaga klasyfikowanie dokumentów oraz określanie stopnia ich poufności tuż przed zapisaniem ich na komputerze.

Kolejne wycieki danych…

Niestety w mijającym roku nie obeszło się bez wycieków danych. Szerokim echem w mediach odbił się wyciek danych osobowych i danych medycznych setek pacjentów oraz danych finansowych należących do dziesiątek szpitali, obsługiwanych przez podmiot zewnętrzny. W efekcie tego możliwe było poznanie m.in. historii chorób pacjentów, czy też kondycji finansowej poszczególnych placówek medycznych. Wyciek danych wrażliwych jak w każdym przypadku budzi ogromne kontrowersje i jak zwykle w tego typu przypadkach pada pytanie czy można było tego uniknąć. Kontrola przeprowadzona przez GIODO wykazała liczne nieprawidłowości m.in. w obowiązujących w placówkach medycznych rozwiązaniach i procedurach.

Kolejny duży wyciek danych, bo tyczący się aż 50 tys. osób, miał miejsce w firmie InPost. Oprócz danych osobowych (wyłącznie pracowników firmy) ujawniono również opisy zabezpieczeń fizycznych obiektów należących do InPost, a także konfiguracje umożliwiające zarządzanie paczkomatami.

W 2017 roku doszło również do największego w historii wycieku danych, który miał miejsce w  Stanach Zjednoczonych i dotyczył około 200 milionów osób. Ujawniono m.in. adresy, dane kart kredytowych oraz numery ubezpieczenia społecznego. W wielu komentarzach pojawiają się opinie, że tak szeroki wyciek danych może mieć poważny wpływ na życie prywatne osób, których one dotyczą.

Podsumowanie

Podsumowując rok 2017 należy uznać go za kluczowy w kontekście przygotowań dla wdrożenia wymagań stawianych w RODO. Zrewolucjonizowane przez RODO podejście do zabezpieczania danych osobowych zostało dostrzeżone nie tylko przez administratorów danych, ale również branżę IT dostarczającą narzędzia i usługi w tym zakresie. Nie bez znaczenia pozostaje również fakt głośnych medialnych oddźwięków związanych z wyciekami danych,  jak również podjętymi z nimi interwencjami GIODO, gdzie w każdej tego typu sytuacji podejmowana jest żywa dyskusja nt. bezpieczeństwa informacji oraz ryzyk jakie czyhają na każdego z nas.