Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.07.2020

Baramundi

Pomoc w czasie pandemii.
20.07.2020

Stop infekcjom

CloudGuard
17.07.2020

Analiza zagrożeń

Kaspersky Threat Attribution Engine
17.07.2020

Strażnik danych

QGD-1602P
16.07.2020

Dysk przemysłowy

Transcend MTE352T
16.07.2020

Połączenie sił

Fugaku
16.07.2020

Brama bezpieczeństwa

Check Point 1570R
23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay

Monitoring nasz powszedni/poszerzony

Data publikacji: 26-06-2018 Autor: Michał Jaworski

Jednym z wymogów rodo jest wykorzystywanie systemów, które zapewniają „data protection by design” oraz „data protection by default”. Zaś przy wprowadzaniu nowego oprogramowania i przy modyfikacji istniejącej aplikacji do obowiązków administratora należy „data protection impact assessment”.

Celowo używam angielskich skrótów, ponieważ brzmią znajomo w uszach informatyka i są łatwe do zapamiętania, w odróżnieniu od „uwzględniania ochrony danych w fazie projektowania” oraz „domyślnej ochrony danych” czy „oceny skutków dla ochrony danych”. Ponieważ mamy do czynienia z żywą materią systemów informatycznych, stąd warto postawić pytanie – jak powinniśmy sprawdzać, czy nowo dodana aplikacja, rzekomo napisana zgodnie z regułami „coś-tam by design”, nie zmienia czegoś istotnego w naszej infrastrukturze? Bądź też, czy nie pozostawiliśmy użytkownikom zbyt dużo możliwości nabrojenia w przetwarzaniu danych osobowych? Trzeba mieć szybką i prostą metodę, by dokonać oceny ryzyka, a potem potencjalnemu problemowi zaradzić.
 
Powyższe oznacza, że prócz świetnie nam znanych systemów monitorujących będziemy potrzebowali kolejnego narzędzia. Pierwszym będzie dodatkowe oprogramowanie, które zacznie analizować dane z obecnego monitoringu pod kątem zachowania zgodnego z wymaganiami prawa. Dotychczasowa analiza logów, serwisów czy aplikacji pozwalająca zauważyć niepokojące wydarzenia lub ich ciągi będzie musiała zostać wzmocniona. Nie mówię tutaj o sytuacjach, w których użytkownik Kowalski zaczyna sięgać do miejsc, gdzie jego obecność nie była oczekiwana – to jest do natychmiastowego załatwienia, bez żadnych nowych aplikacji. Chodzi o chwile, kiedy nowy soft pozwoli Kowalskiemu na działania na danych, których Kowalski robić nie powinien. Dlaczego to ważne? Ano dlatego, że większość naruszeń ochrony danych osobowych nie jest efektem działań północnokoreańskich hakerów, ale czynności wykonanych przez koleżanki i kolegów z pracy. Udzielanie dostępu osobom nieupoważnionym, wysyłanie danych poza firmę, robienie dodatkowych kopii w miejscach niechronionych, trzymanie danych dłużej niż potrzeba, gubienie nośników z danymi… Najczęściej mamy do czynienia z niefrasobliwością i brakiem wiedzy, choć wszędzie znajdą się także osły level master. 
 
Skoro już przy tym jesteśmy, muszę wskazać jeden typ danych osobowych, o którego istnieniu świetnie wiemy, a nie bardzo chcemy się nim zajmować. Bo najlepiej, kiedy dane znajdują się w ściśle określonym miejscu i reżimie. Marketing ma swoje bazy, sprzedaż swoje, a HR swoje. Mają wdrożone polityki, dodamy im parę narzędzi – sprawa załatwiona. A co najważniejsze, wiadomo, że odpowiedzialność spoczywa na szefie danego działu, zaś informatyk jest tylko wykonawcą jej/jego woli i poleceń. Dane osobowe pojawiają się jednak także w postaci nieustrukturyzowanej, jako tysiące plików Worda, Excela, PDF-ów i zdjęć. Zapanowanie nad nimi i zasadami ich przetwarzania spada zawsze na IT! Ani kroku dalej bez monitorowania zgodności z rodo!
 
Czy istnieją już gotowe programy, które monitorują zgodność z wymaganiami prawa, typu „compliance manager”? Oczywiście, bo skoro była potrzeba, to oczywiście są też narzędzia! Działają one podobnie jak systemy wspomagające audyty. Odpowiedź jest zero-jedynkowa, a w przypadku zaświecenia się jakiejś kontrolki na czerwony, administrator wie, komu zlecić naprawę tego stanu. 
 
Na koniec dodajmy najważniejsze. Podczas kontroli regulatora inspektorzy nie będą sprawdzać, jakimi środkami technicznymi chronimy dane. Kontrolerzy nie muszą się na tym znać, zwłaszcza że każda firma może przyjąć odmienny sposób zarządzania i ochrony danych. Natomiast kontrolerzy będą chcieli zobaczyć dokumentację, co robimy, by dane chronić. Bo koniec końców, nałożenie czy odstąpienie od ukarania, wysokość kary czy nakazane działania naprawcze będą zależały od tego, czy uda nam się wykazać poziom ochrony adekwatny do ryzyka. Wykazać, czyli udokumentować.
 
Czeka nas zatem dodatkowa praca związana z monitorowaniem infrastruktury i aplikacji oraz zgodności z oczekiwaniami prawa lub rekomendacji. Takie systemy będą uzupełnieniem dotychczasowych systemów skoncentrowanych w 100% na technice. Te nowe będą dodawały aspekty organizacyjne i prawne do monitoringu. Nie wspomniałem słowem o AI, ale wszyscy wiemy, że to będą produkty z tej stajni, prawda?
Michał Jaworski – autor jest członkiem Rady Polskiej Izby Informatyki i Telekomunikacji. Pracuje od ponad dwudziestu lat w polskim oddziale firmy Microsoft

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"