Nowa regulacja Unii Europejskiej o ochronie danych (General Data Protection Regulation, GDPR), inaczej Rozporządzenie o Ochronie Danych Osobowych (RODO), wejdzie w życie 25 maja 2018 r. i będzie obowiązywała we wszystkich krajach UE przez następne 20 lat. Rozporządzenie ma na celu ujednolicenie zasad ochrony danych obywateli Unii Europejskiej oraz poprawę bezpieczeństwa tych informacji.
RODO w istotny sposób reguluje prawne aspekty ochrony danych i związane z tym procesy, co wymusza wprowadzenie zmian dotyczących procesów biznesowych i technologii. W Polsce większość firm będzie objęta tą regulacją. Nowe unijne przepisy o ochronie danych wchodzą w życie już za kilka miesięcy, ale duża część przedsiębiorstw może nie zdążyć się do nich przygotować. Ostatni raport One Identity („Five IAM practices that will help you succeed with GDPR”) pokazuje, że firmy nie tylko mało wiedzą o wymaganiach RODO (tylko 4% organizacji w UE uważa, że posiada dużą wiedzę na temat RODO), ale nie są gotowe do spełnienia wymagań rozporządzenia. Tylko jedna na trzy organizacje twierdzi, że jest przygotowana do wprowadzenia zmian, a połowa nie jest pewna, czy zdąży na czas. Mniej niż 50% organizacji uważa, że ich obecne technologie IAM i praktyki w tym obszarze są odpowiednie, aby spełnić wymagania RODO. Z kolei 89% firm jest zdania, że ich aktualne podejście do bezpieczeństwa danych będzie musiało się zmienić, aby sprostać wymaganiom RODO.
Co zmieni RODO?
Od chwili obowiązywania RODO organizacje będą musiały stosować nowe zasady i polityki związane z bezpieczeństwem i przetwarzaniem danych. Główne wytyczne RODO będą miały znaczący wpływ na wymagania bezpieczeństwa i wymuszają na firmach zarówno zmiany organizacyjne, jak i technologiczne. Organizacje będą musiały nie tylko ewidencjonować zasoby danych osobowych i określić reguły ich przetwarzania, ale także zapewnić bezpieczeństwo przetwarzanych danych osobowych odpowiednie do wymagań poufności, integralności oraz dostępności tych danych. Należy pamiętać o tym, że dane osobowe wg RODO to nie tylko podstawowe informacje, takie jak imię, nazwisko, e-mail, zdjęcie czy dane finansowe, ale to dane biometryczne, adres IP, numer identyfikacyjny urządzenia mobilnego, fizyczna lokalizacja czy posty na portalach społecznościowych,. Obowiązkiem firm przetwarzających dane będzie wdrożenie odpowiednich zabezpieczeń systemów i danych przed niepowołanym dostępem (zabezpieczenia te muszą być adekwatnych do zagrożeń i charakteru przechowywanych danych osobowych). W określonych przypadkach firmy będą musiały zatrudnić Inspektora Danych Osobowych. Nowe systemy będą musiały być tworzone i rozwijane wg zasady „Data Protection & Privacy by Design”. Dodatkowo organizacje będą musiały zapewnić stałą kontrolę zgodności przetwarzania danych i dostępu do systemów z regulacją RODO oraz możliwość wykonania audytu „na żądanie”. Regulacja zobowiązuje wszystkie podmioty przetwarzające dane osobowe także do monitorowania incydentów bezpieczeństwa i powiadomienie o ich wystąpieniu przed upływem 72 godzin lub udokumentowanie, że do takiego incydentu nie doszło.
Jak dostosować się do RODO?
Standardy bezpieczeństwa jakie muszą wprowadzić firmy nie zostały określone w formie szczegółów technicznych. Są to jedynie generalne wymagania, jakie należy spełnić. To właśnie na tej podstawie organizacje same lub z pomocą dostawców rozwiązań IT powinny wybrać odpowiednie narzędzia, które zapewnią organizacji zgodność z RODO, a także pozwolą uniknąć sankcji przewidzianych w rozporządzeniu. Unijne wymagania są wyjątkowo restrykcyjne, a kary mogą sięgać nawet do 4% rocznego globalnego przychodu (nawet do 20 milionów euro).
Wprowadzenie zmian jest o tyle trudne, że nie ma jasno zdefiniowanych procesów ani określonych rozwiązań, które pozwalałby wywiązać się z obowiązków dotyczących RODO. Systemy informatyczne i procesy biznesowe przetwarzające dane osobowe będą musiały zostać poddane istotnym zmianom, dlatego proces dostosowywania do RODO może być czasochłonny i kosztowny. Ale nie musi… Wsparciem są odpowiednie narzędzia informatyczne, np. rozwiązania firm Quest i One Identity, które w prosty, zautomatyzowany i kompleksowy sposób mogą zapewnić odpowiednią ochronę organizacji zgodnie z wymaganiami RODO.
RODO wskazuje, że dane osobowe mają być gromadzone i przetwarzane zgodnie z najwyższym standardem bezpieczeństwa. Większość informacji, z którymi organizacje mają do czynienia, jest przetwarzana w systemach IT. Dlatego IT będzie miało bardzo duży udział we właściwym dostosowaniu do zapisów RODO. Podstawą w zapewnieniu zgodności z RODO jest określenie, jakie wrażliwe dane są w posiadaniu organizacji oraz wdrożenie odpowiednich procesów zapewniających ochronę tych danych.
W celu dostosowania organizacji do RODO, należy podjąć kilka kluczowych kroków:
- rozpoznać wykorzystywane zasoby danych
- zabezpieczyć dane i kontrolować dostęp do nich
- monitorować zmiany
- badać potencjalne naruszenia bezpieczeństwa
- raportować i przeprowadzać audyty
Ewidencja zasobów
Podstawową kwestią związaną z dostosowaniem do RODO jest identyfikacja i ewidencja przetwarzanych danych osobowych (pracownicy, współpracownicy, klienci) wraz z uprawnieniami. Uzyskanie szczegółowych i rzetelnych informacji o tym, jakie dane i w jakim zakresie są wykorzystywane w organizacji jest pierwszym krokiem do zapewnienia zgodności z RODO. Dopiero potem powinno się wdrożyć odpowiednie procedury i rozwiązania w celu monitorowania sposobu przetwarzania danych osobowych i zapewnienia ochrony tych informacji.
Jednym z rozwiązań, które pozwala przeprowadzić analizę zasobów danych w organizacji jest Quest Enterprise Reporter. Narzędzie zapewnia szczegółowy podgląd infrastruktury Microsoft on premise, hybrydowej i cloud (np. użytkowników, grup i uprawnień) oraz umożliwia tworzenie szczegółowych raportów pozwalających na zwiększenie bezpieczeństwa organizacji. Quest Enterprise Reporter pozwala kontrolować uprawnienia oraz gromadzić, przechowywać i raportować dane, które są potrzebne do oceny bezpieczeństwa zgodnie z wymaganiami RODO. Umożliwia również przeprowadzania audytu z uwzględnieniem historycznych zmian w konfiguracji.
Kontrola dostępu
W przypadku kiedy administracja dostępem i uprawnieniami pracowników jest dużym wyzwaniem dla organizacji, można skorzystać z zaawansowanego rozwiązania One Identity Manager – do zautomatyzowanego i bezpiecznego zarządzania tożsamością i dostępem. Pozwala w pełni kontrolować konta użytkowników, uprawnienia, dostęp do danych i aplikacji, a także konta uprzywilejowane. Narzędzie łatwo integruje się z innymi rozwiązaniami do zarządzania tożsamością i dostępem, pozwalając stworzyć jedną, spójną i bezpieczną platformę IAM ściśle dostosowaną do potrzeb biznesowych organizacji, a także do wymagań RODO. Efektywne zarządzanie tożsamością i dostępem jest krytyczne dla spełnienia wymagań RODO. Należy określić kto ma dostęp do jakich danych, kto zatwierdził ten dostęp i jak użytkownik z niego korzysta. Odpowiednie narzędzia informatyczne do provisioningu / deprovisioningu, jak One Identity Manager, pozwalają zarządzać całym cyklem życia tożsamości w organizacji bez udziału pracowników IT. Automatyzują i upraszczają to zadanie. Funkcje te umożliwiają znaczne ograniczenie złożoności, czasu i kosztów obsługi systemu zarządzania tożsamością w porównaniu z tradycyjnymi systemami IAM.
Bezpieczne konta uprzywilejowane
Dla wielu organizacji bardzo trudnym zadaniem w zapewnieniu zgodności z RODO może być odpowiednie zabezpieczenie i kontrola kont uprzywilejowanych. Konta te zapewniają niemal nieograniczony dostęp do krytycznych danych oraz systemów i z tego powodu są najczęstszym celem cyberataków, jak również szkodliwych dla organizacji działań nieuczciwych pracowników. Niekontrolowane i niezabezpieczone konta uprzywilejowane narażają organizacje na duże straty finansowe czy zakłócenie usług. Prostym sposobem na bezpieczne zarządzania kontami uprzywilejowanymi i zapewnienie zgodności z wymaganiami RODO jest zastosowanie odpowiednich rozwiązań informatycznych typu PAM (Privileged Access Management) np. One Identity Safeguard. Narzędzie to zapewnia pełną kontrolę i bezpieczne zarządzanie dostępem do kont uprzywilejowanych, ograniczając ryzyko wystąpienia wewnętrznych nadużyć i innych zagrożeń. posiada funkcje, które pomagają zabezpieczyć infrastrukturę hybrydową, w tym zarówno aplikacje w środowiskach on-premise, jak i w chmurze. Pozwala na audyt, rejestrowanie oraz przeglądanie każdej sesji i aktywności użytkowników.
Bezpiecznym „sejfem” do przechowywania i zarządzania hasłami do kont uprzywilejowanych jest też inne rozwiązanie One Identity – Total Privileged Access Management Standard Appliance (TPAM). To zestaw zintegrowanych narzędzi, które pozwalają spełnić wymagania compliance (także z RODO) i zapewnić bezpieczeństwo IT w obszarze kontroli dostępu oraz zarządzania uprzywilejowanymi kontami. TPAM umożliwia rejestrowanie wykorzystywania uprzywilejowanego dostępu i zapewnia pełną kontrolę nad sesjami uprzywilejowanymi. Każda aktywność użytkownika w trakcie sesji (kto, kiedy i co zrobił) jest rejestrowana i dostępna do odtworzenia np. w celach audytowych. Rozwiązanie TPAM dostarczane jest w postaci wstępnie skonfigurowanego, unikalnie zaprojektowanego urządzenia zabezpieczonego przed nieautoryzowanym dostępem. Wyróżnia się nowoczesną architekturą, która jest łatwa do wdrożenia oraz prosta w obsłudze i utrzymaniu. Urządzenie posiada również wbudowany firewall, zabezpieczający przez atakami z zewnątrz i zapewnia szyfrowanie całego dysku.
Monitorowanie, wykrywanie, raportowanie
Rozporządzenie RODO nakłada na organizacje obowiązek monitorowania bezpieczeństwa systemów. Administrator danych będzie musiał zgłosić do organu nadzorującego każde potencjalne naruszenie bezpieczeństwa i to w ciągu 72 godz. od jego zaistnienia. Manualne śledzenie zmian i tworzenie raportów jest czasochłonne i niedokładne. Czynności te można jednak całkowicie zautomatyzować dzięki takim rozwiązaniom jak Quest ChangeAuditor. Jest to narzędzie do audytu zmian w czasie rzeczywistym, które informuje o odstępstwach od norm oraz wykrywa i diagnozuje naruszenia bezpieczeństwa. Dzięki Quest ChangeAuditor administratorzy mogą zabezpieczyć krytyczne obiekty Active Directory, skrzynki pocztowe Exchange oraz pliki i foldery Windows. Rozwiązanie zapewnia proaktywną kontrolę i zapobiega wprowadzeniu nieodpowiednich zmian i naruszeniom bezpieczeństwa. Umożliwia przeprowadzanie szczegółowych analiz i zapobiega atakom wewnętrznym, a także przypadkowym zmianom w środowiskach Microsoft on premise, hybrydowych i cloud. Quest ChangeAuditor zapewnia szybkie reagowanie na potencjalne zagrożenia oraz utrzymanie wysokiego poziomu bezpieczeństwa w organizacji. Pozwala spełnić wymagania związane z zewnętrznymi regulacjami, takimi jak RODO, jak również wewnętrzną polityką bezpieczeństwa. Rozwiązanie tworzy raporty zgodne z regulacjami SOX czy PCI DSS oraz raporty zgodności z RODO.
Kompleksowa platforma bezpieczeństwa danych
Od 25 maja 2018 r. każda organizacja podlegająca regulacjom RODO będzie musiała zapewnić niezbędną kontrolę nad przetwarzanymi danymi osobowymi i ich rozpowszechnianiem. W przeprowadzaniu szczegółowej analizy danych i zarządzaniu nimi może administratorom pomóc Smart Investigator – zaawansowana platforma do analityki danych bezpieczeństwa. Rozwiązanie zapewnia kompleksowy wgląd we wszystkie wrażliwe dane w czasie rzeczywistym oraz koreluje informacje uzyskane z obsługiwanych sieci i systemów. Rozwiązanie przetwarza wszelkiego typu informacje, zapewniając bezpieczeństwo i integralność danych zgodnie z wymaganiami RODO. Może stanowić centralny punkt do korelacji, podejmowania działań, kontroli i raportowania. Pozwala szybko klasyfikować dane wg różnych kategorii podziału, np. użytkownik, adres IP, a także stosować filtry zawierające wyrażenia logiczne.
Smart Investigator posiada także szerokie możliwości monitorowania i śledzenia incydentów IT w intuicyjnej w obsłudze konsoli graficznej. Rozwiązanie umożliwia szyfrowanie danych, zapewnia pełną kontrolę dostępu i zmian oraz zautomatyzowane zarządzania dostępem do danych. Pozwala także usuwać zbędne informacje i regulować okres ich przechowywania, co jest także jednym z wymogów RODO. Smart Investigator wyróżnia nie tylko „wielozadaniowość”, ale również szybkość działania. Rozwiązanie przeszukuje ogromne ilości danych audytowych i dostarcza szczegółowe informacje o milionach zdarzeń związanych z bezpieczeństwem w ciągu kilku sekund, a nie godzin jak systemy tradycyjne. Dodatkowo rozwiązanie umożliwia tworzenie szczegółowych raportów zgodności z międzynarodowymi regulacjami i normami (np. ISO 27001, COBIT, HIPAA) oraz raporty i audyty na potrzeby RODO.
Organizacja gotowa na RODO
Już za kilka miesięcy organizacje przetwarzające dane będą musiały spełnić wymagania nowego Rozporządzenia o Ochronie Danych Osobowych. W praktyce oznacza to dla nich konieczność wprowadzenia zmian organizacyjnych i wdrożenia dodatkowych rozwiązań (m.in. do ochrony systemów informatycznych, monitoringu, kontroli dostępu czy raportowania), które zapewnią zgodność z unijną regulacją. Rozwiązania te powinny nie tylko zapewnić zgodność z RODO, ale także poprawić bezpieczeństwo i efektywność operacyjną organizacji. Przykładem mogą być kompleksowe i hybrydowe rozwiązania bezpieczeństwa Quest / One Identity, zabezpieczające całą infrastrukturę, zarówno on premise, jak i w chmurze. Te sprawdzone, modularne rozwiązania umożliwiają zbudowanie jednej platformy do kompleksowego zarządzania bezpieczeństwem w pełnej zgodności z wszystkimi wymaganiami RODO. Pozwala ona zintegrować m.in. narzędzia do analizy zasobów danych (Quest Enterprise Reporter), monitorowania aktywności użytkowników (Quest Change Auditor), zarządzania uprawnieniami (One Identity Manager), kontami uprzywilejowanymi (One Identity Safeguard, TPAM), analizy i audytu (Smart Investigator).
Dużą rolę w przygotowaniu organizacji do wprowadzenia zmian wynikających z RODO pełni też dostawca rozwiązań IT. Firma Quest Dystrybucja Sp. o.o. – Value Added Dystrybutor rozwiązań Quest i One Identity w Polsce, oferuje swoim klientom pełne wsparcie z zakresu RODO, to jest usługi doradcze, pomoc w wyborze odpowiednich rozwiązań, kompleksową implementację oraz szkolenia. Organizacje muszą pamiętać, że pełną zgodność z wymaganiami RODO zapewni wdrożenie odpowiedniej i kompleksowej strategii bezpieczeństwa oraz wybór właściwych narzędzi IT.