Streszczenie: Aby skutecznie chronić dane w firmie, niezbędne jest systemowe podejście do ich ochrony, co pozwala uniknąć poważnych strat oraz kryzysów wizerunkowych. mitsmr.pl
Systemowe podejście do ochrony danych klientów, pozwala uniknąć poważnych strat oraz kryzysów wizerunkowych.
PREZES URZĘDU OCHRONY Danych Osobowych wydał decyzję, w której uznał, że spółka Virgin Mobile Polska naruszyła zasady, określone w ogólnym rozporządzeniu o ochronie danych (RODO), mające zapewnić klientom poufność i rozliczalność. Ta nieprzyjemna dla firmy decyzja nie miałaby zapewne miejsca, gdyby wcześniej wdrożyła ona odpowiednie działania, chroniące dane klientów i ułatwiające kontrolę nad nimi.
Harmonogram oceny skuteczności
Przy formułowaniu harmonogramu czynności zmierzających do oceny skuteczności środków organizacyjno- -technicznych mających zapewnić bezpieczeństwo przetwarzania należy uwzględnić częstotliwość ich przeprowadzenia oraz określić zdarzenia inicjujące proces weryfikacji. W przypadku określenia terminu, w jakim należy dokonać oceny, wskazówek należy szukać w przepisach prawa powszechnie obowiązującego lub w standardach i normach, w szczególności normach ISO. Częstotliwość, z jaką należy wykonywać audyty związane z bezpieczeństwem, określona została m.in. w przepisach ustanawiających:
• Krajowe Ramy Interoperacyjności – nie rzadziej niż raz na rok,
• Krajowy system cyberbezpieczeństwa – co najmniej raz na 2 lata.
W przepisach rekomendowane jest utworzenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) według Polskiej Normy PN‑EN ISO/IEC 27001. W firmie Virgin Mobile Polska mniej więcej pół roku od wystąpienia naruszenia wdrożone i certyfikowane zostały normy:
• ISO/IEC 27001 – ochrona informacji,
• ISO/IEC 27701 – nawiązująca do RODO, określająca wymagania bezpieczeństwa danych osobowych.
W standardzie PCI DSS (Payment Card Industry Data Security Standard) wskazano, że tzw. testy penetracyjne należy wykonywać co najmniej raz w roku.
W związku z powyższym harmonogram testowania, mierzenia i oceny skuteczności zabezpieczeń powinien zakładać ich wykonywanie nie rzadziej niż raz na rok. Określić należy także zdarzenia, których wystąpienie rozpocznie proces kontroli. W szczególności należy uwzględnić zmiany:
• organizacyjne,
• prawne w otoczeniu podmiotu przetwarzającego dane osobowe,
• systemów informatycznych oraz elementów zapewniających bezpieczeństwo przetwarzania.
Ważnym zdarzeniem jest również wdrożenie nowych rozwiązań informatycznych. Wskazane jest wprowadzenie oceny mechanizmów ochronnych już na etapie projektowym. Jest to zgodne z zasadą ochrony prywatności w fazie projektowania.
Zakres i program zabezpieczeń
Przegląd mechanizmów zabezpieczających powinien obejmować działania i procesy odpowiedzialne za zapewnienie ochrony. W szczególności powinien skupić się na systemach informatycznych i aplikacjach. Obejmować powinien także kwestie adekwatności zasobów organizacyjnych oraz wdrożonych mechanizmów ochrony fizycznej.
Przy ustalaniu programu pomiaru skuteczności stosowanych zabezpieczeń, podobnie jak przy ustaleniu częstotliwości, można skorzystać z normy ISO 27001 i zweryfikować proces pod kątem:
• zarządzania incydentami bezpieczeństwa,
• danych umożliwiających wykonanie testów,
• dostępu, uwierzytelniania i autoryzacji w systemach, • rejestrowania i monitorowania zdarzeń pochodzących z systemów informatycznych.
Audyty w ramach przygotowania do wdrożenia normy ISO 27001 oraz certyfikacji sprawdzają przekrojowo zgodności istniejącego SZBI z wymaganiami stawianymi przez normę. Weryfikacja prowadzona jest w sposób sformalizowany, uwzględnia kryteria i dobre praktyki zawarte w normie. Nie jest to standard techniczny, tylko standard dający pogląd o stanie bezpieczeństwa zasobów organizacji. Nie zostanie sprawdzona m.in. poprawność konfiguracji systemów informatycznych czy ich podatności techniczne. Chcąc uzyskać informacje o podatnościach technicznych infrastruktury IT, należy wykonać testy penetracyjne.
Oceną techniczną w szczególności należy objąć aplikacje webowe udostępnione w sieci publicznej wraz z infrastrukturą, w której funkcjonują. Testy penetracyjne aplikacji webowych można wykonać na podstawie wytycznych organizacji OWASP (Open Web Application Security Project), odnoszących się do dziesięciu najbardziej krytycznych zagrożeń. Ważny jest również sposób wykonania testów penetracyjnych.
Można wyróżnić następujące formy testów:
• Black box – osoba wykonująca testy nie posiada informacji o obiekcie, korzysta z informacji dostępnych publicznie;
• Gray box – testy, w przypadku których zostały udostępnione dane umożliwiające dostęp do systemu przetwarzającego dane osobowe;
• White box – udostępniono wszystkie dane związane z funkcjonowaniem danego obiektu, m.in. dane umożliwiające zalogowanie jako administrator, dokumentację techniczną czy kod źródłowy.
Specyficznym testem penetracyjnym są ataki skierowane bezpośrednio na personel organizacji z wykorzystaniem socjotechniki, których celem jest weryfikacja prowadzonego programu szkoleniowego.
Wskazane jest także sprawdzenie poprawności naprawy błędów bezpieczeństwa wykrytych podczas wcześniejszych działań weryfikacyjnych.
Zasoby, czyli ważne są instrukcje, ale i kwalifikacje personelu
W celu wykonania powyżej wskazanych działań administrator danych osobowych (ADO) powinien dysponować odpowiednimi zasobami. Będą to odpowiednio przygotowane procedury, instrukcje, oprogramowanie oraz personel posiadający właściwe kwalifikacje. W celu zlecenia działań podmiotowi zewnętrznemu niezbędne będzie odpowiednie zabezpieczenie środków finansowych. Przy wyszukaniu technicznych podatności dostępny jest szereg narzędzi umożliwiających zautomatyzowanie całego procesu, m.in. skanery podatności. Jednak wyniki testu penetracyjnego zależą od umiejętności osób badających system oraz czasu przeznaczonego na te prace.
Dokumentowanie czynności weryfikacyjnych
Z perspektywy wydanych decyzji widać również, jak ważnym zagadnieniem jest przestrzeganie zasady rozliczalności. Dlatego wszelkie sformalizowane zasady odnoszące się do ustalania harmonogramu wykonanych lub planowanych audytów, sposoby ich prowadzenia, zakres, a w szczególności wyniki, powinny zostać udokumentowane m.in. w raportach z przeprowadzonych czynności.
Problemy z weryfikacją
Testy penetracyjne nie gwarantują wyszukania wszystkich podatności. Podstawową przeszkodą jest czas przeznaczony na ich wykonanie. Weryfikacja zabezpieczeń jest również wyzwaniem przy złożonej i rozproszonej infrastrukturze. Wykonania testów nie ułatwi wykorzystanie usług chmury publicznej, duża liczba zwirtualizowanych systemów czy rozwiązań mobilnych. Istotną kwestią jest również wykorzystywanie rozwiązań dostarczanych przez podmioty zewnętrzne (określane często jako tzw. procesorzy danych).
Pomimo postanowień umów powierzenia, umożliwiających ADO przeprowadzenie audytów u procesorów, często brakuje możliwości na ich wykonywanie w takim zakresie, aby określić je mianem kompletnych. Bywa, że taka sytuacja spowodowana jest możliwościami, jakie posiada ADO w tym obszarze. Częstotliwość i zakres wykonywania czynności weryfikacyjnych determinują wnioski uzyskane na podstawie przeprowadzonej analizy ryzyka. UODO wskazuje właśnie na ten element jako fundament stosowania adekwatnych mechanizmów zapewniających bezpieczeństwo przetwarzania danych osobowych.
