Rodoporadnik.pl - powstał portal z informacjami o RODO dla firm

Jak chronić dane osobowe zgodnie z nowymi regulacjami prawnymi. Co może grozić za ich nieprzestrzeganie. Jak przygotować infrastrukturę IT na prawo, które zacznie być restrykcyjnie egzekwowane już od maja 2018 roku. Na te pytania odpowiadają eksperci firmy Advatech, która wdraża rozwiązania oparte na komponentach IBM. W serwisie internetowym znalazły się nie tylko porady prawne, ale także e-book z informacjami o rozwiązaniach dotyczących technologii zgodnej z Rozporządzeniem o Ochronie Danych Osobowych.

Administrator danych jest zobowiązany do "zapewnienia odporności sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych oraz bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy przez organy publiczne, zespoły reagowania na zagrożenia komputerowe, zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo, dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa".

Mówiąc ściślej, "może to obejmować na przykład zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu „odmowa usługi”, a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej".

Informacje o RODO w portalu

W związku z tym administratorzy muszą mieć na uwadze, że muszą chronić zarówno dane, jak i urządzenia, które umożliwiają do nich dostęp. Konieczne będzie stworzenie spójnej infrastruktury informatycznej, opierającej się na sprawdzonych serwerach i systemach służących do przetwarzania danych osobowych.

Eksperci w portalu https://rodoporadnik.pl zwracają uwagę chociażby na system AAA (authentication, authorization, accounting – dosłownie: uwierzytelnianie, autoryzacja, logowanie), który opiera się na trzech rzeczach: weryfikacji, kto ma dostęp do danych i czy osoba, która się do nich dostaje jest rzeczywiście tą przypisaną do konkretnego loginu i hasła oraz zapisaniu, że doszło do przetwarzania takich danych.

W nowoczesnym IT funkcjonuje wiele systemów umożliwiających zabezpieczenie i śledzenie dostępu do różnych danych, na przykład IBM Guardium. Wszystkie te systemy mogą umożliwiać sprawdzenie, kto ma dostęp do różnych informacji, kto je odczytywał lub drukował – zauważa Łukasz Durkalec, dyrektor ds. technicznych w Advatech. - Często umożliwiają korelację różnych naruszeń bezpieczeństwa w jednym centralnym systemie umożliwiając szybkie wykrycie anomalii (np. masowego eksportu danych).

Doskonale działają one oczywiście w oparciu o infrastrukturę tego samego producenta, czyli IBM, a wdraża je od lat w wielu przedsiębiorstwach spółka Advatech.

Dla firm przetwarzających dane osobowe kluczowe może się również okazać zainteresowanie się Data Loss Prevention, czyli systemami, które między innymi analizują to, jak przetwarzane są tego rodzaju informacje, między innymi w chmurze. Pełnią również funkcje ochronne, ponieważ blokują przypadkowy wyciek danych.

Tym bardziej, że jak zauważają eksperci, umieszczenie danych osobowych w chmurze nie sprawia, że są one w stu procentach bezpieczne. - Dostawcy nie zapewniają administratorom danych osobowych fizycznej kontroli nad serwerami i nie godzą się na przyjęcie odpowiedzialności za wadliwe przetwarzanie danych osobowych. Część z tych umów jest ponadto poddana prawu stanowemu USA – przestrzega Rafał Kania, radca prawny z SENDERO Tax & Legal.

Rozwiązania technologiczne a RODO

W sumie rozwiązań jest tak dużo, że może się pojawić pytanie, co wybrać. Na to jednak nie ma prostej odpowiedzi, bo do każdego przypadku trzeba będzie podejść indywidualnie. W tym również pomogą porady z serwisu rodoporadnik.pl

Czysto teoretycznie moglibyśmy przygotować prosty pakiet startowy dla każdego przedsiębiorstwa jedynie biorąc pod uwagę branżę, skalę i specyfikę jego pracy. Załóżmy więc, że zajmujemy się firmą z sektora medycznego – na przykład małą przychodnią, która posiada własną infrastrukturę informatyczną. Po pierwsze uszczelniamy dostęp do internetu, stosujemy urządzenia brzegowe wysokiej jakości, zapominamy o urządzeniach brzegowych do domowego użytku, zapominamy o Wi-Fi dla klientów bez jakiegokolwiek nawet DMZ. Tym samym ograniczamy dostęp większości hakerom amatorom siedzącym z laptopem w kawiarni obok przychodni – rozważa ekspert z Advatech.

Później zabieramy się za bazy danych. Oferujemy pakiet, który zabezpiecza zarówno je, jak i backupy, możemy również zaproponować jakąś usługę chmurową, oczywiście zaszyfrowaną, stacje robocze zamieniamy na VDI, robimy proste szkolenia dla pracowników… I to jest pakiet startowy, oferujący zupełnie standardowe usługi, ale wysokiej jakości, który powoduje, że bardzo ograniczamy prawdopodobieństwo wycieku danych osobowych już na samym starcie – dodaje ekspert. – Dostęp do wrażliwych informacji jest ściśle limitowany. Jeśli dane gdziekolwiek funkcjonują, to zawsze są zaszyfrowane, pracownicy mają zabezpieczone stacje robocze. Możemy założyć, że takie absolutne minimum sprawia, że firma jest chroniona. Przynajmniej przed standardowymi atakami, bo jeśli znajdzie się na celowniku zaawansowanego hakera, albo spotka z nieprzeciętną głupotą pracownika, to oczywiście nadal będzie bezbronna. Pamiętajmy jednak, że w RODO bardzo ważne są starania w kierunku ochrony danych. W razie nieszczęścia wykazanie, że wdrożyliśmy zabezpieczenia adekwatne do naszych możliwości, że dokonaliśmy „wszelkich starań” na miarę naszej firmy – to już bardzo wiele.

Oczywiście i w tym zakresie polecamy serwery i macierze oferowane przez IBM Polska.

Dowiedz się więcej: https://rodoporadnik.pl/ebook/