Bezpieczeństwo danych – między chmurą a infrastrukturą wewnętrzną
Aż dwie trzecie z grupy 600 firm doświadczyło utraty danych biznesowych (Kroll Ontrack). 36% z tego zasobu to informacje dotyczące klientów, danych finansowych, a w dalszej kolejności pracowników (B2B International i Kaspersky Lab). Zdaniem przedstawicieli Infonet Projekt, na 300 badanych podmiotów, w tym urzędów publicznych i firm prywatnych, zaledwie kilkanaście procent posługuje się procedurami uruchamianymi w sytuacji utraty danych. 25% stosuje odzyskiwanie informacji bez wsparcia dedykowanego oprogramowania, a w przypadku 10% backup danych realizowany jest przez niekompetentnego pracownika. To zaledwie namiastka spojrzenia na bezpieczeństwo informacji znajdujących się w obiegu przedsiębiorstw. Gdzie jest więc bezpiecznie?
Badania potwierdzają, że tempo przyrostu danych wymagających zabezpieczenia, wyraźnie przekracza zdolność firm do zapewnienia właściwych standardów bezpieczeństwa. Jak podaje raport IDC Digital Universe z 35% informacji kwalifikowanych do ochrony, zaledwie 20 jest nią objętych, a tylko 1% jest poddawany analizie. O ile trzy lata temu poufnego trybu przechowywania i przetwarzania wymagała jedna trzecia zasobów cyfrowych, o tyle w perspektywie najbliższych siedmiu lat współczynnik ten ma przekroczyć 40%. Dynamika wzrostu tego niezwykle newralgicznego rynku utrwala niestety niepokojącą tendencję – system ochrony ciągle nie nadąża za podażą zasobów jej wymagających. Zadania nie ułatwia skala i stopień zaawansowania ryzyka, ciągły deficyt kompetencyjny w zakresie dostarczania bezpieczeństwa informatycznego oraz nieznajomość prawa i procedur regulujących.
Awaryjność dysków twardych i sytuacje wycieku wrażliwych danych są coraz bardziej powtarzalne z uwagi na wzrost informatyzacji przedsiębiorstw. Utraty informacji, jak pokazują badania realizowane przez EPA Systemy, doświadczyło już 50 % firm z sektora MSP, a liczba przedsiębiorstw stosujących procedury odpowiedniego zabezpieczania danych nie przekracza na polskim rynku 10%. Jednocześnie, powołując się na badanie firmy Kroll Ontrack w co piątej firmie utrata dostępu do danych, spowodowała poważne zakłócenie funkcjonowania systemu, oznaczając często jego całkowitą awarię. I o ile w przypadku 40% firm system zabezpieczania danych jest wdrażany i egzekwowany, pozostała reszta przedsiębiorców proces archiwizacji wyraźnie bagatelizuje.
Dane w infrastrukturze firm
Każdy dzień funkcjonowania przedsiębiorstwa to ekwiwalent wszystkich zgromadzonych w tym czasie danych osobowych, finansowych czy administracyjnych, krytycznych dla rozwoju firm. Umowy, transakcje, dokumentacje rekrutacyjne i projektowe, generują tysiące poufnych informacji o niebotycznej wartości. Dlatego wykluczenie ryzyka nieupoważnionej infiltracji w sieć korporacyjną i zabezpieczenie wrażliwych informacji, w tym danych osobowych, to obszary o niezwykle wysokim priorytecie bezpieczeństwa w infrastrukturze każdego przedsiębiorstwa. Środowisko technologii informatycznych, na którym obecnie opiera się większość procesów biznesowych, zwiększa potencjał zagrożeń. Utrzymanie bowiem bezpieczeństwa zasobów w warunkach tak dynamicznego rozwoju technologii jest bardzo newralgiczne i wymagające ciągłej weryfikacji. Systemy oraz sieci informatyczne firm są stale konfrontowane z ryzykiem ingerencji, która może mieć bardzo szerokie źródło pochodzenia. Zagrożenie się dywersyfikuje adekwatnie do ilości nośników i kanałów włączonych w proces obiegu i przetwarzania informacji – dotyczy to więc w równym stopniu sieci, komputerów, a teraz także, urządzeń mobilnych. Uwagę należy więc szczególnie ukierunkować na edukację w zakresie zagrożeń i ich konsekwencji.
Źródła zagrożeń
Przestępstwa komputerowe są konsekwencją etapu, w którym komputery przestały być tajną domeną zamówień rządowych i weszły do powszechnego użytku instytucji gospodarczych. Akty przestępcze związane z funkcjonowaniem elektronicznego przetwarzania danych, bo tak z poziomu prawa należy je rozumieć, obejmują wszystkie działania ingerujące bezpośrednio w przetwarzaną informację, nośnik na jakim jest utrwalona oraz jej cyrkulację w komputerze. Zagrożenie dotyka także całej architektury technologicznej, w tym sprzętu oraz prawa do programu komputerowego. Źródła uszkodzeń stają się coraz uciążliwsze, bardziej inwazyjne i wyrafinowane. Od hakingu komputerowego zaczynając, przez sabotaż, cracking sieciowy, oprogramowania, a na wirusach kończąc. Przy tak dużej intensyfikacji ryzyka naruszeń objęcie ochroną przetwarzanych danych i systematyczna edukacja, to zaledwie minimalny nakład, jaki firma powinna ponieść w stosunku do obciążeń karnych i finansowych, wynikających między innymi z niezastosowania się do ustawy o ochronie danych osobowych. Ma to jednak znaczenie nie tylko z uwagi na skalę konsekwencji prawnych. Wszystkie dane, procesy na nich wykonywane, systemy i sieci to kapitał firmy, określający jej markę w otoczeniu, budujący wiarygodność i efekty biznesowe. Dlatego utrzymanie poufności i integralności informacji, którymi firma dysponuje jest kluczowym warunkiem zysku, konkurencyjności i zachowania spójności prawnej. Nasuwa się więc pytanie - na zignorowanie którego z tych czynników przedsiębiorstwo może sobie pozwolić? Gdyby świadomość zagrożenia była większa i decydenci firm zdawali sobie sprawę z udziału w grupie ryzyka – odpowiedź na to pytanie dla wszystkich byłaby retoryczna. Dane wymagające zabezpieczenia obejmują nie tylko te dotyczące firmy, ale także wszystkich jednostek będących w relacji gospodarczej z przedsiębiorstwem oraz pracowników i kontrahentów. Istotne są tu zwłaszcza informacje, które są nośnikiem tajemnicy handlowej bądź stanowiących dane osobowe. Zabezpieczanie tych ostatnich, które są w posiadaniu firm, to już nie tylko interes instytucji publicznych, ale wszystkich podmiotów z sektora prywatnego, począwszy od dużych korporacji przez spółki prawa handlowego, a kończąc na osobach fizycznych prowadzących jednoosobową działalność gospodarczą czy mikrofirmę.
Informacje podlegające ochronie
Zgodnie z definicją zawartą w art. 6 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych za dane osobowe uważa się „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Według zapisu Ustawy tożsamość takiej osoby może być określona bezpośrednio bądź pośrednio „przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.” Każda więc informacja kwalifikowana jako dana osobowa musi realizować jeden warunek – dotyczyć osoby fizycznej. W tym rozumieniu wszystkie dane klientów, z którymi firmy prowadzą kontakt czy wystawiają faktury, należy traktować jako bazę danych podlegających ochronie. Zakres definicji ustawowej uprawomocnia bardzo szeroką interpretację, według której dane osobowe to nie tylko imię, nazwisko czy PESEL. Zgodnie z decyzjami GIODO oraz orzeczeniami sądów administracyjnych, to także numery telefonów i adresy e-mail. Stosownie do zmiany obowiązującej od 1 stycznia 2012 roku, która do przepisów ustawy o ochronie danych osobowych włącza przedsiębiorców i wszystkie informacje identyfikujące ich w obrocie gospodarczym, prawo zobowiązuje do ich ochrony – tłumaczy Lapierre. Ustawa nakłada na firmę obowiązek zabezpieczenia zbioru przed dostępem osób nieuprawnionych, przetwarzaniem z naruszeniem ustawy, utratą danych, ich uszkodzeniem czy zniszczeniem. Obowiązek ten ma moc egzekucyjną nawet wtedy, gdy baza firmy uwzględnia dane tylko jednego klienta. W sytuacji, kiedy zbiór zawiera informacje dotyczące osoby fizycznej nieprowadzącej działalności gospodarczej, zabezpieczenia wymagają wszystkie dostępne w tym rekordzie dane, dla przykładu będzie to imię i nazwisko, adres czy PESEL. W przypadku danych identyfikujących firmę, z ochrony wyłączone są informacje dostępne w ewidencji działalności gospodarczej przedsiębiorcy. Wszystkie jednak dane wykraczające poza zbiór jawny, w tym prywatny numer kontaktowy czy adres różniący się od tego, pod którym figuruje działalność, podlegają już regulacjom ustawy – dodaje. Jak podaje ustawa: „oznacza to, że od 1 stycznia 2012 r. dane osobowe przedsiębiorców są traktowane jak inne dane osobowe i podlegają przepisom ustawy o ochronie danych osobowych. Dla przedsiębiorców oznacza to, że te ich dane osobowe, które są wykorzystywane w związku z prowadzoną działalnością gospodarczą, podlegają ochronie, zaś podmioty, które chcą je przetwarzać, muszą spełnić wszystkie obowiązki wynikające z ustawy o ochronie danych osobowych, w tym te dotyczące rejestracji zbiorów danych osobowych.” Ujmując to praktycznie, w sytuacji, kiedy administrator danych zdecyduje wykorzystać takie informacje do określonych działań marketingowych produktów własnych lub marketingu produktów innych kontrahentów, z terminem 1 stycznia 2012 roku, będzie zobowiązany do potwierdzenia legalności takich działań i ewentualne uzyskanie od przedsiębiorcy, którego dane dotyczą, zgody na ich prowadzenie. W sytuacji, kiedy przedsiębiorca planuje wysłać informacje o swojej działalności do potencjalnych kontrahentów, będzie zobowiązany zróżnicować taką korespondencję na odpowiednio: osoby prawne i jednostki organizacyjne – z możliwością wysyłki bez ograniczeń oraz do osób fizycznych – przedsiębiorców, z uprzednią weryfikacją posiadanej podstawy prawnej do przetwarzania takich danych, spełniając przy tym obowiązki wynikające z Ustawy.
Administrator bezpieczeństwa w firmie
Zgodnie z wymogami ustawy, firmy obowiązuje opracowanie i wdrożenie polityki bezpieczeństwa, która formalizuje sposób ochrony i dystrybucji informacji wrażliwych w strukturach organizacji oraz instrukcji zarządzania systemem informatycznym przeznaczonym do realizacji procesów dokonywanych na danych osobowych. Przedsiębiorstwo zobowiązane jest także do prowadzenia ewidencji osób uprawnionych dostępem do takich informacji oraz posiadających autoryzację na ich przetwarzanie. Obserwowana wśród firm niska świadomość wagi zabezpieczeń poufnych danych oraz trudności w poprawnej interpretacji zapisów prawa i ich właściwe wdrożenie podnosi potrzebę edukacji w tym zakresie. Szkolenia osób w obszarze ochrony danych osobowych leżą nie tylko w interesie osób odpowiedzialnych za administrowanie takim zasobami, ale także zarządzających firmami, którzy ponoszą tu główną odpowiedzialność karną i finansową – podsumowuje Adrian Lapierre. W celu utrzymania spójnego i zgodnego z zasadami systemu przetwarzania danych, istotne jest powołanie administratora bezpieczeństwa danych, który odpowiada za poprawność wszystkich procesów dokonywanych na takich zasobach. To także główne zaplecze informacji w komunikacji z GIODO w sytuacji kontroli zgodności przetwarzania danych z określonymi ustawą normami. Weryfikacja prawidłowości w tym zakresie prowadzona dotychczas przez GIODO, od stycznia 2013 roku, włącza w ten proces także Państwową Inspekcję Pracy. Oznacza to wzrost liczby kontroli pracodawców do nawet 70 tysięcy w sakli roku.
Co grozi za nieprawidłowe przetwarzanie danych osobowych?
Niezastosowanie się do wymogów przewidzianych w ustawie może w wielu przypadkach z tytułu popełnienia przestępstwa kwalifikować się pod egzekucję karną. Brak podstawy prawnej do przetwarzania danych, niewłaściwe zabezpieczenie zasobów, niezarejestrowanie zbioru czy wreszcie niedopełnienie obowiązku informacyjnego – to wszystko wykroczenia zagrożone odpowiedzialnością karną regulowaną artykułami ustawy. Każda bowiem z tych nieprawidłowości jest podstawą do obciążenia karą grzywny i ograniczenia lub pozbawienia wolności do roku, a w przypadku nieuprawnionego przetwarzania – nawet do lat 3. Sankcje wyrażone w grzywnach są równie dotkliwe, mogą osiągać wysokość 50 tysięcy złotych, a w najsurowszych przypadkach nawet 200 tysięcy. Polski system jurysdykcji niedopatrzenia i zaniechania w tym obszarze traktuje niezwykle restrykcyjnie. Wykrycie niezgodności w zakresie przetwarzania danych osobowych, mogą skutkować nie tylko zawiadomieniem o popełnieniu przestępstwa czy karą pieniężna, ale także wydaniem decyzji o zakazie przetwarzania danych osobowych. Co to oznacza w praktyce? Blokadę wszelkich operacji dokonywanych na zbiorach danych, włącznie z utrwalaniem, przechowywaniem czy udostępnianiem ze szczególnym uwzględnieniem działań wykonywanych w systemach informatycznych. Jakie może to oznaczać konsekwencje? Dla znakomitej większości firm stanowi to krytyczne utrudnienie w prowadzeniu dalszej działalności. W przypadku biznesu e-commerce, który całą swoją komunikację z klientem i transakcje realizuje w środowisku sieciowym, w najlepszym układzie stanowi to zamrożenie aktywności na określony czas z konsekwencją trudnych do oszacowania strat finansowych, a w tym najgorszym i pewnie najczęstszym scenariuszu – upadłość.
Informacje poufne o innym charakterze
Prowadzenie działalności oznacza nie tylko dostęp do danych osobowych, ale także informacji o charakterze poufnym identyfikujących inne jednostki uczestniczące w obrocie gospodarczym. Jeśli przedsiębiorca jest w posiadaniu takiego zasobu zobowiązany jest do jego zabezpieczenia, nawet jeśli nie reguluje tego jednoznacznie relacja prawna między nim, a drugim podmiotem. Jak podaje Lapierre - Częstą obecnie praktyką jest konstruowanie umów handlowych z uwzględnieniem formuły zobowiązującej strony do utrzymania w poufności wszelkich danych dotyczących treści umowy, z konsekwencją jej rozwiązania bądź kary umownej w sytuacji naruszeń. Brak zastrzeżenia klauzuli poufności nie zwalnia jednak przedsiębiorcy z ochrony informacji wrażliwych dla drugiej firmy. Tajemnicą objęte są wszelkie dane niejawne przedsiębiorstwa posiadające wartość gospodarczą, które jego właściciel zabezpieczył przed dostępem publicznym. Ich ujawnienie, wykorzystanie lub nieautoryzowane pozyskanie z następstwem zagrożenia bądź naruszenia interesu firmy, jest uznawane w mocy prawa za czyn nieuczciwej konkurencji. Do naruszeń tajemnicy przedsiębiorstwa często dochodzi w nieświadomości ich popełnienia, dlatego ważne jest odpowiednie zabezpieczanie takich informacji także przed ich nieumyślnym upowszechnieniem czy przekazywaniem.
Dane w chmurze
Zasadniczym walorem przetwarzania w chmurze i wirtualizacji zasobów jest możliwość konsolidacji infrastruktury. Środowisko to jednak wymaga bardziej wyrafinowanych trybów zabezpieczeń i zarządzania tożsamością. Nie dziwi więc fakt, że powierzenie danych zewnętrznemu partnerowi jest decyzją rozważaną z dużą drobiazgowością i obawami. Wśród danych bowiem przekazywanych dostawcy znajdują się często informacje o wysokim stopniu poufności, w tym dane osobowe klientów firmy, które przenikając do konkurencji, mogą oznaczać krytyczną stratę najczęściej nie do zrekompensowania. Ostrożność jest więc uzasadniona. Ochronę informacji o wysokim wskaźniku wrażliwości przechowywanych w chmurze, regulują jednak bardzo restrykcyjne procedury.
Jak zweryfikować bezpieczeństwo outsourcingu?
Pierwszym działaniem w tym kierunku powinno być potwierdzenie czy system dostarczany w chmurze jest w pełni zwirtualizowany i przekazywany do użytku w konfiguracji multi-instant. Zapewnia ona każdemu użytkownikowi cloudu dostęp do autonomicznej instancji tworzonej na serwerze systemowym, podnosząc w ten sposób poziom zabezpieczenia danych i przy tym, redukując koszty współpracy. Inny model dostarcza mniej zaawansowana technologicznie architektura multi-tenant. Formuła tego rozwiązania zakłada współużytkowanie jednego systemu przez wielu odbiorców usługi. Struktura ta jednak ma mniejsze zdolności integracyjne, dlatego nie rekomenduje się jej do obsługi przedsiębiorstw o restrykcyjnej polityce bezpieczeństwa.
Poziom zabezpieczeń danych o najwyższym priorytecie poufności może być zwiększany przy wykorzystaniu rozbudowanego modelu chmury zapewniającego klientowi dostęp do szafy serwerowej, jej wyodrębnionej powierzchni albo sali kolokacyjnej. Oznacza to, że umieszczona tam infrastruktura jest w wyłącznym posiadaniu klienta, a administrowanie nią leży w obowiązku dostawcy. Podniesienie progu ochrony danych wiąże się więc z koniecznością wykluczenia usług w chmurze publicznej, która zakłada eksploatację tego samego zestawu zasobów obliczeniowych przez kilku użytkowników. W tym modelu infrastruktura chmury dzielona jest na szeroką skalę.
Gwarancja ciągłości usług i backup
Zduplikowane data center to priorytet w dbałości o bezpieczeństwo przetwarzania w chmurze. Ograniczenie dostępu i stała kontrola systemu zapewniona jest także na poziomie fizycznym. Obiekt, w którym zlokalizowane jest centrum danych jest otwarty tylko dla osób upoważnionych, których autoryzacja odbywa się przy zastosowaniu różnych procedur - weryfikacja karty elektronicznej czy skanowanie siatkówki oka, a to wszystko wsparte stałym monitoringiem obiektu. Ochrona danych w środowisku cloudowym zapewniona jest także na poziomie barier technologicznych – szyfrowania danych, firewalli czy filtrów pakietów. Wdrożenie szyfrowania przed migracją zasobów do chmury może stanowić większą gwarancję bezpieczeństwa niż w przypadku tych samych danych zarządzanych w strukturach lokalnego centrum, bez szyfrowania. Dzięki temu zabiegowi usługodawca nie ma dostępu do zasobów firmy.
Scentralizowane data center
Dystrybucja danych wewnątrz przedsiębiorstwa otwiera obieg ich przepływu nie tylko na wielu użytkowników, ale też na różne nośniki. W takich warunkach znacznie łatwiej o ich wyciek czy naruszenie.
Przyszłości w cloudzie
Nasze zasoby przechowywane w strukturze chmury są gromadzone na anonimowych serwerach. Outsourcing tych rozwiązań budzi jeszcze ograniczone zaufanie. Należy jednak postawić sobie pytanie czy pliki przechowywane w środowisku posiadającym infrastrukturę do automatycznego tworzenia kopii zapasowych i które są regularnie replikowane, będą mniej bezpieczne niż te zgromadzone na naszych osobistych komputerach? Na pewno nie, choć wszystko zależy od jakości usług świadczonych przez dostawcę chmury. Najczęściej zasoby przechowywane w technologii cloud computing są mniej narażone na bezpowrotną utratę niż te znajdujące się tylko lokalnie. Odzyskiwanie danych uszkodzonych z powodu awarii infrastruktury w centrum danych jest zwykle łatwiejsze i mniej kosztowne niż taka sama procedura w przypadku uszkodzenia osobistego komputera.
Awaryjność dysków twardych i sytuacje wycieku wrażliwych danych są coraz bardziej powtarzalne z uwagi na wzrost informatyzacji przedsiębiorstw. Utraty informacji, jak pokazują badania realizowane przez EPA Systemy, doświadczyło już 50 % firm z sektora MSP, a liczba przedsiębiorstw stosujących procedury odpowiedniego zabezpieczania danych nie przekracza na polskim rynku 10%. Jednocześnie, powołując się na badanie firmy Kroll Ontrack w co piątej firmie utrata dostępu do danych, spowodowała poważne zakłócenie funkcjonowania systemu, oznaczając często jego całkowitą awarię. I o ile w przypadku 40% firm system zabezpieczania danych jest wdrażany i egzekwowany, pozostała reszta przedsiębiorców proces archiwizacji wyraźnie bagatelizuje.
Dane w infrastrukturze firm
Każdy dzień funkcjonowania przedsiębiorstwa to ekwiwalent wszystkich zgromadzonych w tym czasie danych osobowych, finansowych czy administracyjnych, krytycznych dla rozwoju firm. Umowy, transakcje, dokumentacje rekrutacyjne i projektowe, generują tysiące poufnych informacji o niebotycznej wartości. Dlatego wykluczenie ryzyka nieupoważnionej infiltracji w sieć korporacyjną i zabezpieczenie wrażliwych informacji, w tym danych osobowych, to obszary o niezwykle wysokim priorytecie bezpieczeństwa w infrastrukturze każdego przedsiębiorstwa. Środowisko technologii informatycznych, na którym obecnie opiera się większość procesów biznesowych, zwiększa potencjał zagrożeń. Utrzymanie bowiem bezpieczeństwa zasobów w warunkach tak dynamicznego rozwoju technologii jest bardzo newralgiczne i wymagające ciągłej weryfikacji. Systemy oraz sieci informatyczne firm są stale konfrontowane z ryzykiem ingerencji, która może mieć bardzo szerokie źródło pochodzenia. Zagrożenie się dywersyfikuje adekwatnie do ilości nośników i kanałów włączonych w proces obiegu i przetwarzania informacji – dotyczy to więc w równym stopniu sieci, komputerów, a teraz także, urządzeń mobilnych. Uwagę należy więc szczególnie ukierunkować na edukację w zakresie zagrożeń i ich konsekwencji.
Wszelkie zaniechania i nieprawidłowości w procesie zabezpieczania danych wiążą się nie tylko z ryzykiem ich utraty, ale dotkliwymi sankcjami prawnymi i trudnymi do przewidzenia skutkami finansowymi, które w wielu przypadkach mogą doprowadzić do upadku firmy. Ryzyko to utrwala także niski poziom świadomości tego, co naprawdę warunkuje bezpieczeństwo infrastruktury. Należy pamiętać, że to nie tylko użycie odpowiednich narzędzi technologicznych, ale właściwie zaprojektowana architektura, otwarta na doskonalenie i implementację stosownych procedur. Tylko dzięki metodycznemu nastawieniu możliwe jest zapewnienie zdolności systemów do ochrony danych i procesów. Zadbanie więc o bezpieczeństwo ich przechowywania i przetwarzania, to obszar wymagający szczególnego uświadomienia i skrupulatności – wyjaśnia Adrian Lapierre, trener Akademii Altkom, audytor bezpieczeństwa systemów IT, CEO i założyciel firmy SoftProject.
Źródła zagrożeń
Przestępstwa komputerowe są konsekwencją etapu, w którym komputery przestały być tajną domeną zamówień rządowych i weszły do powszechnego użytku instytucji gospodarczych. Akty przestępcze związane z funkcjonowaniem elektronicznego przetwarzania danych, bo tak z poziomu prawa należy je rozumieć, obejmują wszystkie działania ingerujące bezpośrednio w przetwarzaną informację, nośnik na jakim jest utrwalona oraz jej cyrkulację w komputerze. Zagrożenie dotyka także całej architektury technologicznej, w tym sprzętu oraz prawa do programu komputerowego. Źródła uszkodzeń stają się coraz uciążliwsze, bardziej inwazyjne i wyrafinowane. Od hakingu komputerowego zaczynając, przez sabotaż, cracking sieciowy, oprogramowania, a na wirusach kończąc. Przy tak dużej intensyfikacji ryzyka naruszeń objęcie ochroną przetwarzanych danych i systematyczna edukacja, to zaledwie minimalny nakład, jaki firma powinna ponieść w stosunku do obciążeń karnych i finansowych, wynikających między innymi z niezastosowania się do ustawy o ochronie danych osobowych. Ma to jednak znaczenie nie tylko z uwagi na skalę konsekwencji prawnych. Wszystkie dane, procesy na nich wykonywane, systemy i sieci to kapitał firmy, określający jej markę w otoczeniu, budujący wiarygodność i efekty biznesowe. Dlatego utrzymanie poufności i integralności informacji, którymi firma dysponuje jest kluczowym warunkiem zysku, konkurencyjności i zachowania spójności prawnej. Nasuwa się więc pytanie - na zignorowanie którego z tych czynników przedsiębiorstwo może sobie pozwolić? Gdyby świadomość zagrożenia była większa i decydenci firm zdawali sobie sprawę z udziału w grupie ryzyka – odpowiedź na to pytanie dla wszystkich byłaby retoryczna. Dane wymagające zabezpieczenia obejmują nie tylko te dotyczące firmy, ale także wszystkich jednostek będących w relacji gospodarczej z przedsiębiorstwem oraz pracowników i kontrahentów. Istotne są tu zwłaszcza informacje, które są nośnikiem tajemnicy handlowej bądź stanowiących dane osobowe. Zabezpieczanie tych ostatnich, które są w posiadaniu firm, to już nie tylko interes instytucji publicznych, ale wszystkich podmiotów z sektora prywatnego, począwszy od dużych korporacji przez spółki prawa handlowego, a kończąc na osobach fizycznych prowadzących jednoosobową działalność gospodarczą czy mikrofirmę.
Informacje podlegające ochronie
Zgodnie z definicją zawartą w art. 6 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych za dane osobowe uważa się „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Według zapisu Ustawy tożsamość takiej osoby może być określona bezpośrednio bądź pośrednio „przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.” Każda więc informacja kwalifikowana jako dana osobowa musi realizować jeden warunek – dotyczyć osoby fizycznej. W tym rozumieniu wszystkie dane klientów, z którymi firmy prowadzą kontakt czy wystawiają faktury, należy traktować jako bazę danych podlegających ochronie. Zakres definicji ustawowej uprawomocnia bardzo szeroką interpretację, według której dane osobowe to nie tylko imię, nazwisko czy PESEL. Zgodnie z decyzjami GIODO oraz orzeczeniami sądów administracyjnych, to także numery telefonów i adresy e-mail. Stosownie do zmiany obowiązującej od 1 stycznia 2012 roku, która do przepisów ustawy o ochronie danych osobowych włącza przedsiębiorców i wszystkie informacje identyfikujące ich w obrocie gospodarczym, prawo zobowiązuje do ich ochrony – tłumaczy Lapierre. Ustawa nakłada na firmę obowiązek zabezpieczenia zbioru przed dostępem osób nieuprawnionych, przetwarzaniem z naruszeniem ustawy, utratą danych, ich uszkodzeniem czy zniszczeniem. Obowiązek ten ma moc egzekucyjną nawet wtedy, gdy baza firmy uwzględnia dane tylko jednego klienta. W sytuacji, kiedy zbiór zawiera informacje dotyczące osoby fizycznej nieprowadzącej działalności gospodarczej, zabezpieczenia wymagają wszystkie dostępne w tym rekordzie dane, dla przykładu będzie to imię i nazwisko, adres czy PESEL. W przypadku danych identyfikujących firmę, z ochrony wyłączone są informacje dostępne w ewidencji działalności gospodarczej przedsiębiorcy. Wszystkie jednak dane wykraczające poza zbiór jawny, w tym prywatny numer kontaktowy czy adres różniący się od tego, pod którym figuruje działalność, podlegają już regulacjom ustawy – dodaje. Jak podaje ustawa: „oznacza to, że od 1 stycznia 2012 r. dane osobowe przedsiębiorców są traktowane jak inne dane osobowe i podlegają przepisom ustawy o ochronie danych osobowych. Dla przedsiębiorców oznacza to, że te ich dane osobowe, które są wykorzystywane w związku z prowadzoną działalnością gospodarczą, podlegają ochronie, zaś podmioty, które chcą je przetwarzać, muszą spełnić wszystkie obowiązki wynikające z ustawy o ochronie danych osobowych, w tym te dotyczące rejestracji zbiorów danych osobowych.” Ujmując to praktycznie, w sytuacji, kiedy administrator danych zdecyduje wykorzystać takie informacje do określonych działań marketingowych produktów własnych lub marketingu produktów innych kontrahentów, z terminem 1 stycznia 2012 roku, będzie zobowiązany do potwierdzenia legalności takich działań i ewentualne uzyskanie od przedsiębiorcy, którego dane dotyczą, zgody na ich prowadzenie. W sytuacji, kiedy przedsiębiorca planuje wysłać informacje o swojej działalności do potencjalnych kontrahentów, będzie zobowiązany zróżnicować taką korespondencję na odpowiednio: osoby prawne i jednostki organizacyjne – z możliwością wysyłki bez ograniczeń oraz do osób fizycznych – przedsiębiorców, z uprzednią weryfikacją posiadanej podstawy prawnej do przetwarzania takich danych, spełniając przy tym obowiązki wynikające z Ustawy.
Administrator bezpieczeństwa w firmie
Zgodnie z wymogami ustawy, firmy obowiązuje opracowanie i wdrożenie polityki bezpieczeństwa, która formalizuje sposób ochrony i dystrybucji informacji wrażliwych w strukturach organizacji oraz instrukcji zarządzania systemem informatycznym przeznaczonym do realizacji procesów dokonywanych na danych osobowych. Przedsiębiorstwo zobowiązane jest także do prowadzenia ewidencji osób uprawnionych dostępem do takich informacji oraz posiadających autoryzację na ich przetwarzanie. Obserwowana wśród firm niska świadomość wagi zabezpieczeń poufnych danych oraz trudności w poprawnej interpretacji zapisów prawa i ich właściwe wdrożenie podnosi potrzebę edukacji w tym zakresie. Szkolenia osób w obszarze ochrony danych osobowych leżą nie tylko w interesie osób odpowiedzialnych za administrowanie takim zasobami, ale także zarządzających firmami, którzy ponoszą tu główną odpowiedzialność karną i finansową – podsumowuje Adrian Lapierre. W celu utrzymania spójnego i zgodnego z zasadami systemu przetwarzania danych, istotne jest powołanie administratora bezpieczeństwa danych, który odpowiada za poprawność wszystkich procesów dokonywanych na takich zasobach. To także główne zaplecze informacji w komunikacji z GIODO w sytuacji kontroli zgodności przetwarzania danych z określonymi ustawą normami. Weryfikacja prawidłowości w tym zakresie prowadzona dotychczas przez GIODO, od stycznia 2013 roku, włącza w ten proces także Państwową Inspekcję Pracy. Oznacza to wzrost liczby kontroli pracodawców do nawet 70 tysięcy w sakli roku.
Co grozi za nieprawidłowe przetwarzanie danych osobowych?
Niezastosowanie się do wymogów przewidzianych w ustawie może w wielu przypadkach z tytułu popełnienia przestępstwa kwalifikować się pod egzekucję karną. Brak podstawy prawnej do przetwarzania danych, niewłaściwe zabezpieczenie zasobów, niezarejestrowanie zbioru czy wreszcie niedopełnienie obowiązku informacyjnego – to wszystko wykroczenia zagrożone odpowiedzialnością karną regulowaną artykułami ustawy. Każda bowiem z tych nieprawidłowości jest podstawą do obciążenia karą grzywny i ograniczenia lub pozbawienia wolności do roku, a w przypadku nieuprawnionego przetwarzania – nawet do lat 3. Sankcje wyrażone w grzywnach są równie dotkliwe, mogą osiągać wysokość 50 tysięcy złotych, a w najsurowszych przypadkach nawet 200 tysięcy. Polski system jurysdykcji niedopatrzenia i zaniechania w tym obszarze traktuje niezwykle restrykcyjnie. Wykrycie niezgodności w zakresie przetwarzania danych osobowych, mogą skutkować nie tylko zawiadomieniem o popełnieniu przestępstwa czy karą pieniężna, ale także wydaniem decyzji o zakazie przetwarzania danych osobowych. Co to oznacza w praktyce? Blokadę wszelkich operacji dokonywanych na zbiorach danych, włącznie z utrwalaniem, przechowywaniem czy udostępnianiem ze szczególnym uwzględnieniem działań wykonywanych w systemach informatycznych. Jakie może to oznaczać konsekwencje? Dla znakomitej większości firm stanowi to krytyczne utrudnienie w prowadzeniu dalszej działalności. W przypadku biznesu e-commerce, który całą swoją komunikację z klientem i transakcje realizuje w środowisku sieciowym, w najlepszym układzie stanowi to zamrożenie aktywności na określony czas z konsekwencją trudnych do oszacowania strat finansowych, a w tym najgorszym i pewnie najczęstszym scenariuszu – upadłość.
Informacje poufne o innym charakterze
Prowadzenie działalności oznacza nie tylko dostęp do danych osobowych, ale także informacji o charakterze poufnym identyfikujących inne jednostki uczestniczące w obrocie gospodarczym. Jeśli przedsiębiorca jest w posiadaniu takiego zasobu zobowiązany jest do jego zabezpieczenia, nawet jeśli nie reguluje tego jednoznacznie relacja prawna między nim, a drugim podmiotem. Jak podaje Lapierre - Częstą obecnie praktyką jest konstruowanie umów handlowych z uwzględnieniem formuły zobowiązującej strony do utrzymania w poufności wszelkich danych dotyczących treści umowy, z konsekwencją jej rozwiązania bądź kary umownej w sytuacji naruszeń. Brak zastrzeżenia klauzuli poufności nie zwalnia jednak przedsiębiorcy z ochrony informacji wrażliwych dla drugiej firmy. Tajemnicą objęte są wszelkie dane niejawne przedsiębiorstwa posiadające wartość gospodarczą, które jego właściciel zabezpieczył przed dostępem publicznym. Ich ujawnienie, wykorzystanie lub nieautoryzowane pozyskanie z następstwem zagrożenia bądź naruszenia interesu firmy, jest uznawane w mocy prawa za czyn nieuczciwej konkurencji. Do naruszeń tajemnicy przedsiębiorstwa często dochodzi w nieświadomości ich popełnienia, dlatego ważne jest odpowiednie zabezpieczanie takich informacji także przed ich nieumyślnym upowszechnieniem czy przekazywaniem.
Dane w chmurze
Zasadniczym walorem przetwarzania w chmurze i wirtualizacji zasobów jest możliwość konsolidacji infrastruktury. Środowisko to jednak wymaga bardziej wyrafinowanych trybów zabezpieczeń i zarządzania tożsamością. Nie dziwi więc fakt, że powierzenie danych zewnętrznemu partnerowi jest decyzją rozważaną z dużą drobiazgowością i obawami. Wśród danych bowiem przekazywanych dostawcy znajdują się często informacje o wysokim stopniu poufności, w tym dane osobowe klientów firmy, które przenikając do konkurencji, mogą oznaczać krytyczną stratę najczęściej nie do zrekompensowania. Ostrożność jest więc uzasadniona. Ochronę informacji o wysokim wskaźniku wrażliwości przechowywanych w chmurze, regulują jednak bardzo restrykcyjne procedury.
Jak zweryfikować bezpieczeństwo outsourcingu?
Pierwszym działaniem w tym kierunku powinno być potwierdzenie czy system dostarczany w chmurze jest w pełni zwirtualizowany i przekazywany do użytku w konfiguracji multi-instant. Zapewnia ona każdemu użytkownikowi cloudu dostęp do autonomicznej instancji tworzonej na serwerze systemowym, podnosząc w ten sposób poziom zabezpieczenia danych i przy tym, redukując koszty współpracy. Inny model dostarcza mniej zaawansowana technologicznie architektura multi-tenant. Formuła tego rozwiązania zakłada współużytkowanie jednego systemu przez wielu odbiorców usługi. Struktura ta jednak ma mniejsze zdolności integracyjne, dlatego nie rekomenduje się jej do obsługi przedsiębiorstw o restrykcyjnej polityce bezpieczeństwa.
Poziom zabezpieczeń danych o najwyższym priorytecie poufności może być zwiększany przy wykorzystaniu rozbudowanego modelu chmury zapewniającego klientowi dostęp do szafy serwerowej, jej wyodrębnionej powierzchni albo sali kolokacyjnej. Oznacza to, że umieszczona tam infrastruktura jest w wyłącznym posiadaniu klienta, a administrowanie nią leży w obowiązku dostawcy. Podniesienie progu ochrony danych wiąże się więc z koniecznością wykluczenia usług w chmurze publicznej, która zakłada eksploatację tego samego zestawu zasobów obliczeniowych przez kilku użytkowników. W tym modelu infrastruktura chmury dzielona jest na szeroką skalę.
Gwarancja ciągłości usług i backup
Elementem, który powinien być zweryfikowany przy wyborze dostawcy jest deklaracja utrzymania ciągłości realizacji działań. Wiarygodny dostawca może zapewnić klientowi blisko stu procentowy czas działania usługi. Przy tym założeniu, system osiąga znacznie większą stabilność, niż w tradycyjnym modelu, wdrażanym w siedzibie firmy. Właściwość systemu, która ponadto musi być spełniona to jego pełna odtwarzalność, której zachowanie jest możliwe dzięki aktywnej funkcji backupu danych w czasie rzeczywistym. Ciągłość w tworzeniu kopii zapasowych i ich odpowiednia archiwizacja gwarantuje pełną odzyskiwalność danych – konstatuje Lapierre CEO i założyciel firmy SoftProject - dostawcy aplikacji do usług Infrastructure as a service.Dodatkowym buforem bezpieczeństwa jest wyposażenie podstawowego serwera oprogramowania w jego aktywną postać zapasową, znajdującą się w odmiennej lokalizacji. Zdublowany serwer jest kalką tego głównego i rejestruje wszystkie akcje na nim wykonywane. Na wypadek jakichkolwiek zakłóceń serwer zapasowy przechwytuje automatycznie wszystkie działania bez odczuwalnych dla klienta spowolnień operacyjnych i pełną repliką danych. Dodatkową archiwizacją zabezpieczone są także długoterminowe obrazy systemu, których snapshoty zachowywane są na nośniku zewnętrznym lub w cloudzie.
Zduplikowane data center to priorytet w dbałości o bezpieczeństwo przetwarzania w chmurze. Ograniczenie dostępu i stała kontrola systemu zapewniona jest także na poziomie fizycznym. Obiekt, w którym zlokalizowane jest centrum danych jest otwarty tylko dla osób upoważnionych, których autoryzacja odbywa się przy zastosowaniu różnych procedur - weryfikacja karty elektronicznej czy skanowanie siatkówki oka, a to wszystko wsparte stałym monitoringiem obiektu. Ochrona danych w środowisku cloudowym zapewniona jest także na poziomie barier technologicznych – szyfrowania danych, firewalli czy filtrów pakietów. Wdrożenie szyfrowania przed migracją zasobów do chmury może stanowić większą gwarancję bezpieczeństwa niż w przypadku tych samych danych zarządzanych w strukturach lokalnego centrum, bez szyfrowania. Dzięki temu zabiegowi usługodawca nie ma dostępu do zasobów firmy.
Scentralizowane data center
Dystrybucja danych wewnątrz przedsiębiorstwa otwiera obieg ich przepływu nie tylko na wielu użytkowników, ale też na różne nośniki. W takich warunkach znacznie łatwiej o ich wyciek czy naruszenie.
Hosting zasobów w chmurze i ich pełna centralizacja w środowisku wirtualnym minimalizuje obszar dostępu do informacji i uściśla grono upoważnionych do ich użytku. Bardziej rzetelny i precyzyjny jest też monitoring dostępu do informacji i ich eksploatacja. Chmura jest też wyposażona także w lepszy system weryfikacji. W zależności od instancji używany jest określony model haszowania - algorytm kryptograficzny, który sprawdza czy dane są nienaruszone i czy nikt w zasób nie ingerował. Mimo sceptycznego nastawienia do bezpieczeństwa danych przechowywanych w chmurze publicznej – jest ono także w tej strukturze ściśle kontrolowane. Zabezpieczenia są aktywne na różnych etapach zagłębienia: od systemu operacyjnego hosta, instancji wirtualnej czy systemu goszczącego, a skończywszy na firewallu i wywołaniach API. Powiązanie między tymi systemami wzmacnia bezpieczeństwo maszyn i utrudnia przechwycenie danych przez nieupoważnionych – wyjaśnia Lapierre.Nawet w sytuacji złamania zabezpieczeń, jeśli do takiej dojdzie, dostawca usługi jest w stanie zainterweniować zwykle szybciej i z lepszą skutecznością, niż w wypadku naruszenia danych przechowywanych w tradycyjnej infrastrukturze. Właściciel nie traci przede wszystkim dostępu do zasobów. W efekcie możemy znacznie niższym nakładem finansowym uzyskać większą niezawodność infrastruktury. System awaryjnego zasilania, redundantne zasilacze, łącza internetowe są poza możliwościami standardowej infrastruktury instalowanej w przedsiębiorstwie, ale w zasięgu usług cloudowych. Dostawca zapewnia sprawność sprzętu, a na wypadek awarii koszty naprawcze pozostają po jego stronie. Nie odpowiadamy także za utylizację starych komponentów i ich wymianę czy migrację aplikacji na nowe struktury – to zobowiązania w pełni dostarczane w ramach wirtualizacji usług po stronie dostawcy. Bezpieczeństwo rozwiązań w chmurze osiąga też znacznie wyższy standard niż w przypadku samodzielnej infrastruktury. Istotny jest tu efekt skali, który pozwala dostawcy wdrożyć bardziej zaawansowane i droższe technologie.
Przyszłości w cloudzie
Nasze zasoby przechowywane w strukturze chmury są gromadzone na anonimowych serwerach. Outsourcing tych rozwiązań budzi jeszcze ograniczone zaufanie. Należy jednak postawić sobie pytanie czy pliki przechowywane w środowisku posiadającym infrastrukturę do automatycznego tworzenia kopii zapasowych i które są regularnie replikowane, będą mniej bezpieczne niż te zgromadzone na naszych osobistych komputerach? Na pewno nie, choć wszystko zależy od jakości usług świadczonych przez dostawcę chmury. Najczęściej zasoby przechowywane w technologii cloud computing są mniej narażone na bezpowrotną utratę niż te znajdujące się tylko lokalnie. Odzyskiwanie danych uszkodzonych z powodu awarii infrastruktury w centrum danych jest zwykle łatwiejsze i mniej kosztowne niż taka sama procedura w przypadku uszkodzenia osobistego komputera.
Wszystko to prowadzi do wniosku, że centra danych prowadzone przez firmy na własny użytek będą coraz droższe i bardziej zawodne w porównaniu z ofertą chmury. Chmura staje się coraz tańsza, coraz bezpieczniejsza i bardziej stabilna. Firmy zaczną w końcu ostrożnie przenosić do chmury po jednym projekcie, aż w końcu ich centra danych opustoszeją. Być może pełna rezygnacja z prywatnych centrów danych, wymaga zmiany pokoleniowej, jednak zanim upłynie połowa tego czasu, większość krytycznych systemów i nowych projektów znajdzie się w chmurze – podsumowuje Lapierre.Autor: Kinga Kalińska
