Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.07.2020

Baramundi

Pomoc w czasie pandemii.
20.07.2020

Stop infekcjom

CloudGuard
17.07.2020

Analiza zagrożeń

Kaspersky Threat Attribution Engine
17.07.2020

Strażnik danych

QGD-1602P
16.07.2020

Dysk przemysłowy

Transcend MTE352T
16.07.2020

Połączenie sił

Fugaku
16.07.2020

Brama bezpieczeństwa

Check Point 1570R
23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay

Budowa bezpiecznych przystani

Data publikacji: 29-10-2015 Autor: Michał Jaworski

Wydarzeniem stała się decyzja europejskiego Trybunału Sprawiedliwości w sprawie wytoczonej przez austriackiego aktywistę Maximiliana Schremsa dotyczącej zasad wykorzystania jego danych osobowych...

Trybunał zakwestionował dotychczasowe zasady Safe Harbor (SH), które od lat były podstawą dla transferu danych osobowych pomiędzy Europą i Ameryką. Zakładano, że spełnienie warunków SH zapewnia co najmniej równorzędną ochronę danych osobowych po obu stronach Atlantyku. Jednak od jakiegoś czasu głosy krytyki SH były słyszalne coraz wyraźniej. W ostatniej nowelizacji ustawy o ochronie danych osobowych nie odnoszono się już wcale do SH, a bez zgody GIODO lub zatwierdzenia przez GIODO odpowiednich wiążących reguł dane można przesyłać do krajów trzecich dopiero wtedy, gdy administrator danych zapewnia zabezpieczenia opisane w europejskich standardowych klauzulach umownych.

Pozostawmy na chwilę bezpośrednie konsekwencje wyroku, zwłaszcza że sensacje mówiące o tym, że Europa zablokowała możliwość działania chmurowym gigantom z USA, są mocno przesadzone. Amazon czy Microsoft od dawna mają wdrożone standardowe klauzule umowne w większości swoich serwisów, usługi chmurowe są serwowane z europejskich centrów danych, a klient może zaznaczyć w umowie, że dane nie mogą przekroczyć granic Europejskiego Obszaru Gospodarczego. Trzęsienia ziemi więc nie będzie. Zastanówmy się natomiast, czego nas uczy ta sytuacja.

Pierwsza sprawa jest oczywista – nic, co dotyczy kwestii bezpieczeństwa, nie zostaje ustalone raz na zawsze. Regulacje i rozwiązania techniczne, które były najlepsze w początkach ich stosowania, po pewnym czasie stają się dostatecznie dobre, by wreszcie okazać się niewystarczające. Bezpieczeństwo nie jest nam dane. Nad bezpieczeństwem trzeba pracować i ponosić koszty jego utrzymania (do tego jeszcze wrócimy).

Druga sprawa to obecność i wpływ regulacji na informatykę. Rynek finansowy świetnie zna wymagania Rekomendacji D. Administracja stosuje się do Krajowych Ram Interoperacyjności. Wszystkich dotyczy ochrona danych osobowych. Nieznajomość prawa nie zwalnia z odpowiedzialności – o tym wie każdy. A przepisów, paragrafów i rekomendacji na poziomie europejskim i lokalnym będzie coraz więcej. Nie trzeba dodawać, że zarówno zapoznanie się i zrozumienie, jak i późniejsze ich wdrożenie kosztuje (o czym też za chwilę).

Trzecia kwestia to zmiana wymagań wobec informatyków, w tym także tych zajmujących się bezpieczeństwem. Jestem gotów się założyć, jak będzie zmieniała się charakterystyka poszukiwanych osób. Mniej będą potrzebni superhakerzy, coraz bardziej osoby rozumiejące wymagania regulacji i potrafiące napisać listę wymagań dla dostawców. Ciężar zapewnienia ochrony zasobom firmowym przesunie się z działań wewnętrznego teamu IT do rozwiązań gwarantowanych przez vendorów. Wynikać to będzie ze złożoności problemów bezpieczeństwa, którego zapewnienie we własnym zakresie będzie kosztowało niezwykle dużo i z każdym miesiącem będzie rosło. Kogo będzie stać na stworzenie CERT-u w swojej organizacji? Nielicznych...

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"