Poprawna ochrona?

Rozporządzenia dotyczące ochrony danych osobowych narzucają określone procedury i styl uprawiania zabezpieczeń na poziomie systemów informatycznych. Stosujące się do tego firmy mogą następnie wykazać w sprawozdawczości zgodność z przepisami w zakresie ochrony danych. Stosowanie się do uregulowań prawnych nie zawsze jednak daje gwarancję właściwego efektu końcowego. Można być w zgodzie z przepisami i na bakier z bezpieczeństwem.

Rozporządzenia dotyczące ochrony danych osobowych narzucają określone procedury i styl uprawiania zabezpieczeń na poziomie systemów informatycznych. Stosujące się do tego firmy mogą następnie wykazać w sprawozdawczości zgodność z przepisami w zakresie ochrony danych. Stosowanie się do uregulowań prawnych nie zawsze jednak daje gwarancję właściwego efektu końcowego. Można być w zgodzie z przepisami i na bakier z bezpieczeństwem.

Rozporządzenie narzuca sposób weryfikacji użytkowników mających do czynienia z bazami danych zawierającymi dane osobowe. A więc hasła muszą być okresowo zmieniane, posiadać odpowiednią długość stosowną do poziomu bezpieczeństwa systemu i być przechowywane w postaci zakodowanej. Co więcej, działania użytkowników powinny być monitorowane, aby było wiadomo, kto i kiedy zmieniał lub udostępniał czyjeś dane. Wszystkie te sprawy można pięknie obwarować i monitorować w samej aplikacji współpracującej z bazą danych. Co jednak z tego, skoro wszystkie te zabezpieczenia można swobodnie obejść i nawiązać kontakt z bazą bez odwoływania się do pośrednictwa aplikacji.

Przy posługiwaniu się bazami plikowymi w ogóle nie ma większego problemu z obejściem zabezpieczeń. Każdy użytkownik znający hasło do współdzielonych zasobów, przy odrobinie wiedzy informatycznej dobierze się do tabel z danymi. Sprawa komplikuje się nieco w przypadku serwerowych baz danych. Tutaj w zależności od sposobu uwierzytelniania przez sam serwer bazy danych może być łatwiej bądź trudniej. Na przykład Microsoft dla swego SQL Servera 2000 zaleca, jako bezpieczniejszy sposób logowania, tzw. poziom zaufany, czyli bazujący na zabezpieczeniach domenowych stacji roboczej systemu Windows. Wystarczy wówczas, że trochę zaznajomiony z faktami użytkownik komputera, do którego przecież musi być zalogowany, wykorzysta źródło danych ODBC i już ma jak na dłoni tabele bazy danych. Oczywiście można tworzyć różne zapory przeciw takiej ingerencji, ale nie zawsze są one skuteczne. Z kolei odbieranie użytkownikowi uprawnień administracyjnych do samej stacji roboczej, mające na celu ukrócenie dowolnych wędrówek, skutkuje nieraz tym, że sama aplikacja nie chce na takich ograniczonych uprawnieniach działać.

Można pokusić się o rozpatrywanie takich czy innych konfiguracji zabezpieczających, jednak przyznać należy, że na ogół zakładają one pewną dozę niewiedzy informatycznej wśród samych użytkowników. Przynajmniej w wielu powszechnie stosowanych rozwiązaniach.

Może więc aplikacja nadzorować różne zdarzenia, ale gdy dobrać się do danych bez jej łaskawego pośrednictwa, sprawa przybiera zgoła inny wymiar.

Ciekaw jestem ile też systemów informatycznych, formalnie zgodnych z ustawą, fizycznie zupełnie nie spełnia tych wymogów bezpieczeństwa. Audytorzy ochrony danych osobowych punkt po punkcie weryfikują zgodność stosowanych zabezpieczeń z wytycznymi rozporządzenia, nie wnikając raczej w techniczne słabości kontrolowanych systemów.

Skutkuje to tym, że użytkownicy formalnie stosują się do ustawy, jednak rzeczywista ochrona jest taka sobie, a jej skuteczność w gruncie rzeczy zależy od dobrej woli i poziomu niewiedzy technicznej użytkowników.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200