Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



05.09.2022

Łatwiejsza migracja do chmur

Commvault i Oracle rozszerzyły partnerską współpracę i wspólnie oferują rozwiązanie...
01.09.2022

Badanie sieci

QNAP ogłosił wprowadzenie oprogramowania ADRA Network Detection and Response (NDR) dla...
01.09.2022

5G w Polsce

Z badania Kearney 5G Readiness Index 2022 wynika, że Polska jest jednym z najgorzej...
01.09.2022

Zarządzanie działaniami

Fortinet zaprezentował chmurową usługę, która koreluje informacje dotyczące...
01.09.2022

Selektywna rejestracja

Naukowcy z UCLA przedstawili projekt inteligentnej kamery, która pozwala wybrać, jaki...
01.09.2022

Więcej mocy, komputer...

Profesjonalny komputer Dell Precision 7865 Tower z AMD Ryzen Threadripper PRO 5000...
01.09.2022

Rekord prędkości

Firma Aorus zapowiada superszybki dysk, następcę modelu Gen4 7000s SSD, który ma oferować...
01.09.2022

Beprzewodowe drukowanie

Firma Brother wprowadziła do swojego portfolio nowe urządzenie wielofunkcyjne z systemem...
01.09.2022

Obraz dobrze zaprogramowany

Monitor interaktywny Lyra to połączenie Androida 11, szyby antybakteryjnej, wbudowanego...

Zgodność shadow IT z przepisami prawa

Data publikacji: 01-09-2022 Autor: Tomasz Cygan

Najprostszym rozwiązaniem problemu shadow IT jest wdrożenie rozwiązań technicznych uniemożliwiających jakąkolwiek aktywność użytkownika w obszarze instalacji oraz wykorzystanie nieautoryzowanych przez dział IT rozwiązań informatycznych. Jednak najprostsze rozwiązania nie zawsze bywają najlepsze, zwłaszcza w czasach powszechnej pracy zdalnej. Dlatego warto poświęcić trochę czasu na rozważanie ryzyk oraz możliwych do wdrożenia rozwiązań technicznych i organizacyjnych mających na celu co najmniej minimalizację ryzyka związanego z shadow IT.

 

W praktyce ograniczenie działalności użytkowników w wydaniu wąskim ogranicza się do wyłączenia możliwości instalowania oprogramowania bądź korzystania z określonych zasobów internetu (stron WWW, ale też np. prywatnej poczty). W rozumieniu szerokim może także obejmować zakaz korzystania z nieautoryzowanych nośników informacji, innych urządzeń oraz usług takich jak chmury obliczeniowe. Zagadnienie można jeszcze poszerzyć o dopuszczalność wykorzystywania zasobów firmowych w celach prywatnych, choćby w zakresie korzystania ze służbowej poczty elektronicznej w celu załatwiania spraw prywatnych (np. portale pacjenta, elektroniczne dzienniki lekcyjne, prywatne sprawy bankowe lub ubezpieczeniowe), konfigurowanie prywatnej poczty elektronicznej w służbowym programie pocztowym, a nawet o spotykane czasem próby wykonywania przez użytkowników nieautoryzowanych (swoich własnych) kopii zapasowych.

 

Na marginesie należy także zauważyć, że w dobie pracy zdalnej nowego znaczenia nabiera element często definiujący shadow IT jako dostęp do sieci firmowej. Może się bowiem zdarzyć, że część urządzeń służbowych ma dostęp do sieci firmowej w ograniczonym zakresie lub nie ma go wcale. W takim przypadku należy pamiętać, że konsekwencją może być powstanie ryzyka związanego z:

 

  • licencjonowaniem zainstalowanego oprogramowania i jego aktualizacją;
  • ochroną zapisanych i przetwarzanych na urządzeniach informacji w przypadku utraty sprzętu;
  • ochroną zapisanych i przetwarzanych na urządzeniach informacji w przypadku utraty zgromadzonych na nośnikach danych;
  • ochroną zapisanych i przetwarzanych na urządzeniach informacji w przypadku rozwiązania umowy o pracę.

 

> Przepisy prawa

 

Jak zawsze punktem wyjścia warto uczynić obowiązujące przepisy prawa. Pierwsza bowiem uwaga dotycząca shadow IT, którą należy przeanalizować może brzmieć: „A co w tym złego?” Oczywiście świadomość istnienia ryzyka i jego akceptowanie jest jedną z form postępowania z nim. Co jednak jeśli przepisy prawa wskazują samo szeroko rozumiane shadow IT jak zagrożenie i zmuszają do rozważania minimalizacji ryzyka z nim związanego. Jako przykład można wskazać, a jakże, art. 32 ust. 1 rodo, który stanowi: „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

 

  • pseudonimizację i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.”


Z kolei ustęp drugi tego artykułu wskazuje, że „oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.”


Analiza tego przepisu wskazuje na celowość rozważania shadow IT w kontekście zapewniania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b rodo), a także ryzyka utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

 

Także ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560) wskazuje na konieczność rozważenia zjawiska shadow IT. W przypadku operatorów usług kluczowych wskazuje na to art. 8 tej ustawy, który nakazuje wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, który zapewnia między innymi zapewniający:

 

  • wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym utrzymanie i bezpieczną eksploatację systemu informacyjnego,
  • stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym, dbałość o aktualizację oprogramowania, ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym.


Z kolei dostawcy usług cyfrowych mają obowiązek podjąć właściwe i proporcjonalne środki techniczne i organizacyjne określone w rozporządzeniu wykonawczym 2018/151 w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej. Środki te zapewniają cyberbezpieczeństwo odpowiednie do istniejącego ryzyka oraz uwzględniają:

 

 

  1. bezpieczeństwo systemów informacyjnych i obiektów;
  2. postępowanie w przypadku obsługi incydentu;
  3. zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej;
  4. monitorowanie, audyt i testowanie;
  5. najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi, o których mowa w rozporządzeniu wykonawczym 2018/151.


W tym przypadku ustawodawca odsyła do stosowania rozporządzenia wykonawczego Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiającego zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ. Zgodnie z brzmieniem art. 2 rozporządzenia „bezpieczeństwo systemów i obiektów” oznacza bezpieczeństwo sieci i systemów informatycznych oraz ich środowiska fizycznego i obejmuje takie elementy jak:

 

  • systematyczne zarządzanie sieciami i systemami informatycznymi, co oznacza mapowanie systemów informatycznych oraz ustanowienie zestawu odpowiednich polityk w zakresie zarządzania bezpieczeństwem informacji, w tym analiz ryzyka, zasobów ludzkich, bezpieczeństwa operacji, architektury bezpieczeństwa, zabezpieczenia danych i zarządzania cyklem życia systemu oraz, w stosownych przypadkach, szyfrowania i zarządzania nim;
  • bezpieczeństwo fizyczne i środowiskowe, które oznacza dostępność zestawu środków mających na celu ochronę bezpieczeństwa sieci i systemów informatycznych dostawców usług cyfrowych przed szkodami z zastosowaniem całościowego podejścia do kwestii zagrożeń opartego na analizie ryzyka, które uwzględnia np. awarie systemu, błędy ludzkie, działania złośliwe bądź zjawiska naturalne;
  • kontrole dostępu do sieci i systemów informatycznych, co oznacza dostępność zestawu środków, które mają zagwarantować, że dostęp fizyczny i dostęp logiczny do sieci i systemów informatycznych, w tym administracyjne bezpieczeństwo sieci i systemów informatycznych, są uprawnione i ograniczone w oparciu o wymogi dotyczące prowadzenia działalności i bezpieczeństwa.

 

[...]

 

Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"