Ochrona poufnych danych powinna być priorytetem każdej firmy. Ujawnienie cennych plików – czy to w wyniku błędu użytkownika, czy podczas ataku hakerów – może mieć bardzo poważne konsekwencje.


 Wypłynięcie ważnych informacji często wiąże się z utratą zaufania klientów lub z utratą przewagi nad konkurencją, co może prowadzić nawet do upadku danej marki. Dlaczego więc tak wiele przedsiębiorstw nie wdraża skutecznych metod ochrony poufnych danych? Część z nich bagatelizuje ryzyko, nie zdając sobie sprawy z rangi problemu. Pozostałe zakładają, że wdrożenie skutecznych zabezpieczeń byłoby zbyt kosztowne i uciążliwe dla pracowników. Jednak w przypadku zastosowania usługi Microsoft Information Protection (MIP) skuteczna ochrona danych jest możliwa, przy jednoczes­nym niezmienianiu w koszmar życia pracowników i administratorów IT.

> Kary za brak ochrony

Narażając gromadzone informacje – narażamy firmę na grzywnę, wszystko w myśl obowiązującego prawa, w tym rozporządzenia o ochronie danych osobowych rodo (ang. General Data Protection Regulation, GDPR). Artykuł 83 tego rozporządzenia określa dwa rodzaje kar finansowych:

• w wysokości do 20 000 000 EUR lub do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku finansowego (zastosowanie będzie miała kwota wyższa) za naruszenia dotyczące podstawowych zasad przetwarzania, np. przetwarzanie bez legalnej podstawy prawnej lub naruszenia praw osób, których dane dotyczą, jak np. prawo do usunięcia danych lub przekazywanie danych osobowych;
• w wysokości do 10 000 000 EUR lub do 2% całkowitego obrotu przedsiębiorstwa z poprzedniego roku finansowego (zastosowanie będzie miała kwota wyższa) za naruszenie obowiązków administratora lub podmiotu przetwarzającego dotyczących: wyrażenia zgody przez dziecko, stosowania zasad Privacy by design i Security by default oraz zasad powierzenia przetwarzania danych.

Warto wspomnieć o kilku karach nałożonych na polskie firmy za nieprzestrzeganie rodo:

• w marcu 2019 roku firma Bisnode Polska Sp. z o.o. została ukarana grzywną w wysokości 220 000 EUR za przetwarzanie danych osób pochodzących z publicznych źródeł;•w kwietniu 2019 roku związek sportowy został ukarany grzywną w wysokości 13 000 EUR za wyciek danych – opublikowane zostały imiona, nazwiska, adresy i numery PESEL sędziów;
• we wrześniu 2019 roku firma Morele.net została ukarana grzywną w wysokości 650 000 EUR za niewystarczające zabezpieczenia organizacyjne i techniczne, które doprowadziły do nieuprawnionego dostępu do danych osobowych ponad 2 milionów klientów.

> Etykiety w rolach ochroniarzy

MIP jest usługą pozwalającą firmom klasyfikować i chronić dokumenty, w tym wiadomości e-mail, poprzez ich etykietowanie. Odpowiednie etykiety są nadawane automatycznie, na podstawie reguł zdefiniowanych przez administratorów albo ręcznie, przez użytkowników. Oznaczone etykietami dokumenty mogą być chronione, możliwe jest również monitowanie ich użycia oraz kontrolowanie dostępu do nich. To ważna funkcja, bo obecnie ochrona środowiska informatycznego, np. poprzez zabezpieczenie firmowej sieci przed dostępem z internetu za pomocą zapory sieciowej czy ograniczenie możliwości uruchomianych programów przy użyciu polityk systemu operacyjnego nie wystarcza już do zapewnienia poufności danych. Przeprowadzone w 2018 roku badania pokazują, że 90% firm obawia się ataków przeprowadzanych z wewnątrz (bit.ly/2ErlHHy). Za przyczyny uznano nadawanie użytkownikom nadmiernych uprawnień, rosnącą liczbę urządzeń, na których przechowywane są dane, oraz coraz bardziej skomplikowaną (trudną do monitorowania) technologię. Te obawy są słuszne, bo rzeczywiście większość ataków przeprowadzanych jest wewnątrz firm. Ankietowane przedsiębiorstwa miały też rację, obawiając się przede wszystkim przypadkowego ujawnienia poufnych danych na skutek błędu użytkownika, np. w wyniku przesłania dalej wiadomości e-mail zawierającej dane identyfikacyjne klienta lub w efekcie błędu administratora, np. przy zapisywaniu kopii bazy danych w ogólnie dostępnym magazynie chmurowym.

Microsoft Information Protection pomaga chronić system przed takimi zagrożeniami. Celem programu jest pomoc przy unikaniu pomyłek – służyć mają do tego następujące narzędzia:

• wizualne oznaczenie dokumentów (użycie odpowiednich nagłówków, stopek lub znaków wodnych);
• opisanie dokumentów przy użyciu metadanych dodawanych do nagłówków plików i wiadomości e-mail jawnym tekstem;•automatyczne ostrzeganie użytkowników przed wykonaniem potencjalnie niebezpiecznych operacji, np. przed wysłaniem do osoby spoza firmy e-maila zawierającego numer PESEL;
• monitorowanie dostępu użytkowników do poufnych dokumentów;
• ograniczenie uprawnień użytkowników, np. uniemożliwienie im drukowania i przesyłania danych poufnych dokumentów;
• klasyfikowanie dokumentów niezależnie od miejsca ich przechowywania;
• szyfrowanie dokumentów i zarządzanie kluczami kryptograficznymi (używana w tym celu usługa Azure Rights Management Service (RMS) jest zintegrowana z aplikacjami pakietu Office oraz z Azure Active Directory i może zostać zintegrowana z innymi, również własnymi, aplikacjami; chronione dokumenty mogą być przechowywane w chmurze lub lokalnie – na dyskach naszych komputerów).

[...]

Pracownik naukowy Wyższej Szkoły Bankowej w Poznaniu Wydział Zamiejscowy w Chorzowie; jest autorem książek poświęconych analizie danych i posiada tytuł Microsoft Most Valuable Professional.