Bezpieczeństwo IT - metody ochrony, Główna, Ochrona danych osobowych

Jak zabezpieczyć i zaszyfrować dane? Efektywna ochrona danych

Czas czytania: 6 min

Ryzykowny pracownik a RODO

Social media i zakupy online to popularne usługi. Zła wiadomość dla pracodawców jest taka, że także w pracy. Do użytkowania firmowego sprzętu do prywatnych celów przyznaje się aż 2/3 pracowników. Z czego większość z nich właśnie ochoczo korzysta z ww. usług. Podczas gdy pracodawca instaluje oprogramowanie chroniące dane, firewalle i wymusza na pracownikach dwuetapowe uwierzytelnianie, ci ostatni dość niefrasobliwym zachowaniem narażają poufne informacje firmy. Co wobec tego robić? Czy skuteczna ochrona danych jest w ogóle możliwa? Jest, ale wymagana holistycznego podejścia do tematu poufnych informacji.

Ochrona danych osobowych i wrażliwych

Informacje i dane to najcenniejsze zasoby każdego przedsiębiorstwa. Ich utrata oznacza straty finansowe i może kłaść się cieniem na reputacji. Dodać należy, że dostęp do danych jest najczęstszym celem ataków hakerów. W konsekwencji, ochrona danych, w tym danych wrażliwych jest bardzo istotnym aspektem cyberbezpieczeństwa dla każdej organizacji. Wyłudzenie danych osobowych i docelowa kradzież tożsamości są bolesne w skutkach dla indywidualnych ofiar ataków. Jeżeli jednak przy tym dojdzie do niedopatrzenia przepisów dotyczących ochrony danych osobowych, takich jak RODO, poważne konsekwencje czekają też firmę. Przetwarzanie danych osobowych obarczone jest dużym ryzykiem wynikającym z ewentualnych prób wyłudzania danych osobowych.

Dane osobowe a dane wrażliwe

Wszelkie definicje tego, czym są dane osobowe i jak rozumieć dane wrażliwe są szeroko dostępne. W pewnym uproszczeniu można przyjąć, że dane osobowe to wszelkie informacje pozwalające zidentyfikować osobę fizyczną. Natomiast dane wrażliwe to szczególne kategorie danych, które wymagają dodatkowej ochrony ze względu na swoją naturę. Obydwie kategorie podlegają pod restrykcyjne zasady ochrony danych.

Czym jest kradzież tożsamości i jej konsekwencje?

Kradzież tożsamości polega po prostu na podszywaniu się pod ofiarę. Złodziej celowo używa danych osobowych ofiary (adres, numer PESEL itp.) w celu osiągnięcia korzyści. Oczywiście najczęściej majątkowych. Wyłudzenie pożyczki czy fałszywe transakcje bankowe są niestety na porządku dziennym. Co gorsza, często to same ofiary podają swoje wrażliwe dane osobowe dosłownie na tacy. Przy ubieganiu się o kredyt czy pożyczkę w zdecydowanej większości instytucji finansowych niezbędnym jest podanie danych takich jak:

  • imię i nazwisko,
  • adres zamieszkania,
  • seria i nr dowodu osobistego,
  • data wydania i data ważności dowodu osobistego,
  • PESEL,
  • miejsce urodzenia,
  • imiona rodziców,
  • nazwisko panieńskie matki.

Na pierwszy rzut oka lista wydaje się obszerna. Jeżeli jednak chwilę się przyjrzeć się ww. pozycjom można dojść do wniosku, wcale nie tak trudno zdobyć takie wiadomości. W szczególności, jeżeli ofiara wykaże chociaż cień zaufania. Wystarczy zastanowić się, jak samemu można by od wybranej osoby uzyskać (przykładowo) informacje o nazwisku panieńskim matki. Jestem przekonany, że ten krótki eksperyment uświadamia słabość kryteriów, którymi posługuje się część instytucji finansowych do weryfikacji klientów.

(Bez)cenne dane w organizacji

Rzecz jasna w organizacjach nie chodzi jedynie o dane osobowe i wrażliwe. Takie dane są jedyną częścią szerokiego zasobu informacji o samej organizacji. A także o jej partnerach, konkurentach, technologiach, sposobach działania, źródłach finansowania itp. Danych w organizacji nawet nie trzeba kraść, żeby doprowadzić do ogromnych strat. Przecież wykradzione dane trzeba sprzedać na zewnątrz lub odsprzedać okradzionej firmie, a te nie zawsze chcą płacić okup. Natomiast organizację wystarczy po prostu odciąć od własnych informacji i zasobów, aby nie mogła normalnie funkcjonować. Zaszyfrowane przez przestępcę dane stają się niedostępne i firma wypada z rynku.

Wyciek danych: jakie są konsekwencje i jak się zabezpieczyć?

W kwestii efektów kradzieży danych osobowych nie można mówić jedynie o potencjalnych stratach finansowych. Złodziej może oczywiście otworzyć na nasze nazwisko konto bankowe, zaciągnąć pożyczkę czy kupić na nasz koszt frytkownicę w sklepie internetowym. Natomiast może także przejąć nasze konto w mediach społecznościowych, którego przejęcie może generować trudniejsze do przewidzenia skutki. Równie brzmienie w skutki może być zarejestrowanie firmy w imieniu ofiary. Z kolei w przypadku kradzieży niezabezpieczonych w mądry sposób danych firmy, ta po prostu może przestać istnieć. Nawet najlepszy samochód nie pojedzie bez paliwa i z tej przyczyny ochrona danych jest kwestią absolutnie kluczową.

Phishing, spoofing i inne metody kradzieży danych

Zanim przejdziemy do konkretów dotyczących tego, w jaki sposób chronić zasoby, warto przypomnieć, jak najczęściej dochodzi do kradzieży danych w organizacjach. Najczęstszym, bo raportowanym przez 1/3 firm w zeszłym roku w Polsce rodzajem ataku był atak phisingowy. Na drugim miejscu eksperci wskazują ataki na sieć wifi. Zakłócenia w pracy wifi także oznaczają dla organizacji niemożność pracy i tym samym – funkcjonowania. Trzecie miejsce zajmują zagrożenia z wykorzystaniem trojanów i ataki na aplikacje internetowe (po 19%). Co ciekawe, spoofing zajmuje w tym niechlubnym rankingu (dopiero?) miejsce dziewiąte z wynikiem 12%.

Administrator ma kłopot – ochrona danych w praktyce

Na wstępie wspomniałem, że blisko 66% pracowników zgłasza, że loguje się na konta prywatnego z firmowych komputerów. Polityka różnych firm w tym zakresie jest różna, ale większość organizacji wyklucza takie zachowania. Dlaczego? Ponieważ wizyty na stronach niezwiązanych z pracą i pobieranie plików przekładają się na większe ryzyko zainfekowania komputera. Z kolei przesyłanie danych firmowych na prywatne konta lub urządzenia (np. e-mail) może skutkować naruszeniem przepisów o ochronie danych osobowych. Takie ryzyka wydawałaby się oczywiste, a jednak twarde dane mówią co innego. Najwyraźniej miłość do Allegro i Instagrama jest zbyt silna.

Narzędzia wspomagające ochronę danych – jak efektywnie chronić dane?

Firmy i inne organizacje nie są bezbronne. Do ochrony danych mamy szereg narzędzi. Należy jednak podkreślić, że kompleksowa ochrona zawsze wymaga infrastruktury obejmujących mix narzędzi i metod. Nie ma jednego uniwersalnego kombajnu, pudełka, które oferuje wszystko. Kwestia ochrony danych to w wersji minimum połączenie backupu danych, ich szyfrowania oraz oprogramowania DLP.

Backup

Absolutna podstawa. Regularne tworzenie kopii zapasowych to fundament ochrony przed utratą danych. Sama utrata danych to nie tylko wynik ataków hakerskich. Równie dobrze może wynikać z awarii sprzętu, błędów użytkownika lub innych incydentów. Backupy (kopie zapasowe) należy przechowywać w bezpiecznej lokalizacji, najlepiej zdalnej (w chmurze). Wymagają regularnych testów pod kątem możliwości ich przywrócenia. W związku z tym rozważając oprogramowanie do backupu warto wziąć pod uwagę takie parametry jak czas wykonywania backupu czy koszty operacyjne. Rozwiązania powinny cechować niskie wartości przewidzianego czasu odzyskiwania (RTO) oraz możliwość przywracania plików przy pomocy maszyn wirtualnych, urządzeń NAS oraz aplikacji. Liczy się sprawne odzyskiwanie po awarii oraz monitorowanie, ostrzeganie i raportowanie w trybie 24h/dobę.

Szyfrowanie danych – korzyści w kontekście ochrony danych

Czym jest szyfrowanie? Szyfrowanie danych to po prostu proces kodowania danych w taki sposób, aby były one nieczytelne dla osób nieupoważnionych. Zaszyfrowane pliki, dyski twarde a nawet całe bazy danych są chronione przed nieautoryzowanym dostępem. Organizacja nie poniesie strat nawet, jeśli dostaną się w niepowołane ręce. W kwestii szyfrowania danych kluczową zasadą jest stosowanie silnych algorytmów szyfrowania oraz odpowiednie zarządzanie kluczami szyfrującymi. Korzystając z funkcji szyfrowania można nie tylko zabezpieczać całe powierzchnie dysków (Full Disk Encryption), ale można również efektywnie zabezpieczyć komunikację zdalnych połączeń pracowników. Od pracowników tym samym narzędziem można wymagać dwuetapowego uwierzytelniania a samo narzędzie generuje bardzo silne klucze.

Data Loss Prevention (DLP)

Systemy DLP (zapobieganie utracie danych) pozwalają monitorować, czuwać nad i chronić dane przed nieautoryzowanym wyciekiem, zarówno w formie przypadkowej (np. przez pomyłkę pracownika), jak i celowej. Oprogramowanie DLP analizuje ruch sieciowy i działania użytkowników, identyfikując wrażliwe informacje – dane osobowe czy dokumenty finansowe, oraz blokując ich nieuprawnione przesyłanie, kopiowanie lub drukowanie. Systemy DLP blokują możliwość kopiowania wszelkich plików firmowych na nośniki wykorzystywane przez pracowników serwisu, osoby trzecie lub pracowników a nawet alarmują o próbach modyfikacji plików firmowych. Systemy zapobieganiu utraty danych mogą informować o próbach przesyłania plików pod zmodyfikowaną nazwą za pomocą prywatnych kont pocztowych i kontrolować aktywność użytkowników, aby wyeliminować działanie aplikacji otwierających drogę do włamań sieci firmowej.

Integracja urządzeń i oprogramowania – cyberbezpieczeństwo w praktyce

Jak w życiu, duży może więcej. Duże organizacje stać na załogi IT, te mniejsze mogą nie mieć takich możliwości. W gąszczu produktów i rozwiązań łatwo stracić orientację. W takim przypadku warto skorzystać z usług integratora cyberbezpieczeństwa, który doradzi odpowiedni zestaw rozwiązań po wcześniejszym audycie bezpieczeństwa. Może również wdrożyć całość przyjętych rozwiązań minimalizując ryzyko wynikające z nieprawidłowo wykonanych prac. Żadna firma nie jest z góry skazana na porażkę w walce o własne zasoby i informacje. Zamiast chować głowę w piasek warto aktywnie poszukać rozsądnych rozwiązań, a zaoszczędzony na odzyskiwaniu skradzionych danych czas zainwestować we własny rozwój.





Dodaj komentarz