Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Shadow IT a regulacje prawne

Data publikacji: 22-10-2020 Autor: Tomasz Cygan

Coraz więcej udanych cyberataków przeprowadzanych jest przy udziale nieświadomych użytkowników. Pracownicy firm na służbowych urządzeniach korzystają z niezatwierdzonych programów i aplikacji. A urządzenia te podpięte są do ogólnych sieci, co daje hakerom duże pole manewru.

 

Najprostszą metodą na uporanie się z problemem Shadow IT jest wdrożenie rozwiązań technicznych uniemożliwiających jakąkolwiek aktywność użytkownika w obszarze instalacji oraz wykorzystania nieautoryzowanych przez pracodawcę narzędzi. W praktyce w wydaniu wąskim ogranicza się ono do wyłączenia możliwości instalowania oprogramowania bądź korzystania z określonych zasobów internetu (stron WWW, ale też np. prywatnej poczty). W rozumieniu szerokim oznacza zakaz korzystania z nieautoryzowanych nośników informacji, z innych urządzeń oraz usług takich jak chmury obliczeniowe. Zagadnienie można jeszcze poszerzyć o dopuszczalność wykorzystywania zasobów firmowych w celach prywatnych, choćby w zakresie korzystania ze służbowej poczty elektronicznej w celu załatwiania spraw prywatnych (np. portale pacjenta, elektroniczne dzienniki lekcyjne, prywatne sprawy bankowe lub ubezpieczeniowe), konfigurowania prywatnej poczty elektronicznej w służbowym programie pocztowym, a nawet o – czasem spotykane – próby wykonywania przez użytkowników nieautoryzowanych (czyli swoich własnych) kopii zapasowych.


> Minimalizacja ryzyka


W dobie pracy zdalnej nowego znaczenia nabiera pojęcie dostępu do sieci firmowej – jest to element często definiujący zjawisko Shadow IT, a jednocześnie czynnik konieczny do zaistnienia home office. Niejednokrotnie część urządzeń służbowych ma dostęp do sieci firmowej w ograniczonym zakresie lub nie ma go wcale – w przypadku nadania dostępów należy pamiętać o ryzyku związanym z:

 

  • licencjonowaniem zainstalowanego oprogramowania i jego aktualizacją;
  • ochroną zapisanych i przetwarzanych na urządzeniach informacji w przypadku utraty sprzętu;
  • ochroną zapisanych i przetwarzanych na urządzeniach informacji w przypadku utraty zgromadzonych na nośnikach danych;
  • ochroną zapisanych i przetwarzanych na urządzeniach informacji w przypadku rozwiązania umowy o pracę.


Świadomość istnienia ryzyka i jego akceptowanie jest jedną z form postępowania z nim. Co jednak, jeśli przepisy prawa wskazują samo szeroko rozumiane Shadow IT jako zagrożenie i zmuszają do rozważania minimalizacji ryzyka z nim związanego? Tytułem przykładu można wskazać art. 32 ust. 1 rodo, który stanowi, że „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

 

  • pseudonimizację i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania”.


> Zapewnienie poufności


Artykuł 32 ust. 2 rodo wskazuje, że „oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Analiza tego przepisu wskazuje na celowość rozważania Shadow IT w kontekście zapewniania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b rodo), a także ryzyka utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Także ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560) wskazuje na konieczność rozważenia zjawiska Shadow IT. W przypadku operatorów usług kluczowych wskazuje na to art. 8 tej ustawy, który nakazuje wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, który zapewnia między innymi:

 

  • wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym utrzymanie i bezpieczną eksploatację systemu informacyjnego;
  • stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym, dbałość o aktualizację oprogramowania, ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym.

 

Z kolei dostawcy usług cyfrowych mają obowiązek podjąć właściwe i proporcjonalne środki techniczne i organizacyjne określone w rozporządzeniu wykonawczym 2018/151 w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej. Środki te zapewniają cyberbezpieczeństwo odpowiednie do istniejącego ryzyka oraz uwzględniają:

 

  • bezpieczeństwo systemów informacyjnych i obiektów;
  • postępowanie w przypadku obsługi incydentu;
  • zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej;
  • monitorowanie, audyt i testowanie;
  • najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi, o których mowa w rozporządzeniu wykonawczym 2018/151.


W tym przypadku ustawodawca odsyła do stosowania rozporządzenia wykonawczego Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiającego zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych oraz parametrów służących do określenia, czy incydent ma istotny wpływ. Zgodnie z brzmieniem jego art. 2 bezpieczeństwo systemów i obiektów oznacza bezpieczeństwo sieci i systemów informatycznych oraz ich środowiska fizycznego i obejmuje takie elementy jak:

 

  • systematyczne zarządzanie sieciami i systemami informatycznymi, co oznacza mapowanie systemów informatycznych oraz ustanowienie zestawu odpowiednich polityk w zakresie zarządzania bezpieczeństwem informacji, w tym analiz ryzyka, zasobów ludzkich, bezpieczeństwa operacji, architektury bezpieczeństwa, zabezpieczenia danych i zarządzania cyklem życia systemu oraz, w stosownych przypadkach, szyfrowania i zarządzania nim;
  • bezpieczeństwo fizyczne i środowiskowe, które oznacza dostępność zestawu środków mających na celu ochronę bezpieczeństwa sieci i systemów informatycznych dostawców usług cyfrowych przed szkodami z zastosowaniem całościowego podejścia do kwestii zagrożeń opartego na analizie ryzyka, które uwzględnia np. awarie systemu, błędy ludzkie, działania złośliwe bądź zjawiska naturalne;
  • kontrole dostępu do sieci i systemów informatycznych, co oznacza dostępność zestawu środków, które mają zagwarantować, że dostęp fizyczny i dostęp logiczny do sieci i systemów informatycznych, w tym administracyjne bezpieczeństwo sieci i systemów informatycznych, są uprawnione i ograniczone w oparciu o wymogi dotyczące prowadzenia działalności i bezpieczeństwa.


> Dobre praktyki


Oprócz przepisów prawa zagadnienie Shadow IT można spróbować przeanalizować przez pryzmat dobrych praktyk związanych z bezpieczeństwem informatycznym. Po pierwsze konieczne jest zbudowanie świadomości użytkownika. Użytkownik powinien przyjąć do wiadomości, że oprogramowanie w pracy musi być zatwierdzone przez upoważnione osoby. To dokumentacja informatyczna oraz odpowiedni system szkoleń w jasny sposób ustalają i wyjaśniają zakres kompetencji oraz odpowiedzialności konkretnych pracowników. Praktycznym przykładem naruszenia w tym przypadku może być instalowanie przez użytkowników mediów społecznościowych na komputerach służbowych, ale także, co bardziej niebezpieczne, „namówienie” użytkownika do określonego działania w sposób zdalny. Na przykład poprzez skorzystanie przez użytkownika z nieautoryzowanego linku, oprogramowania, aplikacji itp. Idąc dalej tym tropem, należy rozważyć wyłączenie możliwości podłączania do komputera dysków przenośnych lub kart pamięci nieznanego pochodzenia, jak również podłączanie swojego dysku do nieznanego komputera.

 

[...]

 

Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"