dnes je 26.10.2020

Input:

Zabezpečení IT zpracování

6.8.2018, , Zdroj: Verlag Dashöfer

1.8.1
Zabezpečení IT zpracování

JUDr. Tereza Drábková, Dr. Milan Vodička

Nedomníváme se, že by díky nabytí účinnosti Nařízení GDPR bylo nutné radikálně posilovat hardware nebo měnit používaný software. Pokud budou důsledně aplikována standardní opatření, která jsou běžně k dispozici, bude úroveň zabezpečení dostatečnou i pro oblast ochrany osobních údajů, resp. v dikci Nařízení – bude se jednat o vhodná technická opatření, která ale musí být k dosažení potřebné účinnosti doprovázena opatřeními organizační povahy.

Přestože budete mít přidělena solidně silná hesla a budou dobře nastavena uživatelská práva, která s nimi souvisejí, nemohou být jako opatření účinná, jestliže se stanou „veřejným majetkem”, který sdílí široký okruh zaměstnanců a v případě vystavení hesla v podobě lístku přilepeného na monitor pak i náhodní kolemjdoucí.

Je také nutné mít na paměti, že standardy se v oblasti zabezpečení vyvíjejí a je proto nutné přijatá opatření aktualizovat. Dobrým příkladem je šifrování dat na paměťových médiích (pevný disk, USB flash disky ad.), které je dnes dobře dostupné s využitím, někdy i bezplatných, nástrojů (pro Windows 10 např. BitLocker).

Zeptejte se svých IŤáků

Protože předpokládáme, že většina čtenářů, kterým je tato publikace určena, nemá v pracovní náplni péči o informační technologie, je tato část koncipována formou otázek směřujících na IT specialisty.

Jste našimi zaměstnanci nebo externisty na servisní smlouvu?

Osoby spravující hardware a software se z titulu své profese dostanou do kontaktu s řadou dat, včetně těch osobních. Mají přístup na servery i k zálohám dat, elektronické poště a často i do podnikových systémů. V postavení zaměstnance se na ně mj. vztahuje ustanovení § 301 a násl. ZP, zákoníku práce, které jim klade za povinnost plnit pokyny nadřízených, jakož i pracovního řádu, dodržovat právní předpisy a nejednat v rozporu s oprávněnými zájmy zaměstnavatele.

Máme standardně (nebo lépe) zabezpečenou IT infrastrukturu – počítače, sítě, tiskárny, wifi, mobily ad.? Včetně likvidace vyřazených?

Standardní metody zabezpečení dnes zahrnují aktualizovaný antivirový program, funkční firewall, pravidelné testování datových úložišť, sandboxové spouštění aplikací, heuristické analýzy, systémy pro detekci narušení, šifrování komunikace a řadu dalších.

Stranou pozornosti by ale neměla zůstat ani problematika likvidace vyřazeného hardwaru, který byl používán k činnostem, při nichž jsou zpracovávány osobní údaje. Často dochází k jeho odprodeji a tomu by měla předcházet bezpečná a spolehlivá likvidace dat. Prosté vymazání souborů rozhodně nepostačuje a ani formátování disku dostatečné záruky neposkytuje. Existují speciální programy, které stoprocentní odstranění dat z disku zajistí,1 některé jsou k dostání jako bezplatný freeware a poradí si přitom i s moderními SSD disky.

Používáme metodu šifrování na pevných discích? Máme zaheslované, zašifrované zálohy dat? A jsou bezpečně uloženy?

Šifrování jako metodu vhodného zabezpečení dat doporučuje i samotné Nařízení, některé programy takovým způsobem ukládají data již primárně.

Máme některé osobní údaje u jiných subjektů (hosting, cloud)? Pokud ano, máme s nimi patřičné smlouvy, které garantují ochranu údajů?

Je dnes relativně běžné, že vaše data jsou fyzicky ukládána v jiné destinaci, kde byl pro tyto účely pronajat hardware (hosting), anebo jsou uložena kdesi ve virtuálním prostoru (cloud). Z pohledu ochrany osobních údajů jsou tato data mimo vaši kontrolu, a je proto nezbytné posoudit otázku, zda jsou poskytovány dostatečné záruky k jejich ochraně.

Máme zmapované oprávnění přístupu k datům a strukturovaná práva pro způsob jejich zpracování jednotlivými uživateli?

Jako standardní součást nastavení přístupových hesel je i definice uživatelských oprávnění ve smyslu přístupu k datům, omezení práva kopírovat, mazat ad.

Dokážeme evidovat kdo, kdy a jak pracoval s osobními údaji zaměstnanců, obchodních partnerů apod.?

Podmínkou pro získání věrohodného přehledu o uživatelích, kteří s osobními údaji fyzických osob nějakým způsobem přišli do styku, předpokládá funkční identifikaci jednotlivých pracovníků, ať již cestou jednoznačné identifikace uživatelského účtu, ID přístupových karet apod. S touto otázkou souvisí i možnost zjistit, že se k datům dostal někdo neoprávněně nebo je dokonce získal. Běžnou součástí podnikových softwarů i operačních systémů je také logování aktivit, evidence událostí, chybových stavů, varovných hlášení a řady dalších.

Máme dostatečná opatření k zajištění dostupnosti dat pro jejich víceméně kontinuální používání?

Jak bylo uvedeno, je za incident v oblasti ochrany osobních údajů považována i situace, kdy se stanou nedostupnými nebo není možné obnovit k nim přístup. Zabránit tomu mohou metody průběžného zálohování dat (klonování) nebo zrcadlení disků (např. RAID) ad. Obdobně bude posuzována i situace napadení tzv. ransomviry, to znamená vyděračskými nástroji, které zablokují přístup k údajům na disku tím, že jej zašifrují a za nápravu tohoto stavu požadují výkupné.

Zeptejte se dodavatele SW

Dalším vaším partnerem pro oblast technologického zabezpečení zpracování osobních údajů může být dodavatel softwarů. Řada z nich na účinnost Nařízení reagovala úpravou svých systémů a produktů, ve smyslu nabídky nových funkcí nebo šifrováním dat ukládaných v programových souborech (databázích).

Používá váš software pseudonymizaci (ID klíče apod.) anebo dokáže data anonymizovat?

Doporučenou metodou zvýšení ochrany zpracovávaných osobních údajů je jejich pseudonymizace s využitím identifikátorů nebo kódů. Anonymizace představuje nevratné přerušení vazeb mezi údaji a identitou konkrétní fyzické osoby, takže na takto upravená data se již GDPR nevztahuje.

Dokážeme vyexportovat data jedné fyzické osoby (zaměstnance / klienta / obchodního partnera) do nějakého běžného strojově čitelného formátu (textový, XML apod.)?

Tato funkce je velmi praktickou v případě, kdy některý subjekt údajů využije svého práva na přístup a v jeho rámci si vyžádá kopii svých osobních údajů.

Obrázek č. 3: GDPR funkce včetně opisu údajů z evidence

Zdroj: Ježek SW, program DUEL

Lze využít váš produkt z hlediska certifikace podle mezinárodních standardů? Např. ISO/IEC 27001, 27002, 27018, ISO 22301?

Certifikace podle ISO je propracovaným celosvětovým systémem osvědčování shody výrobků a služeb se standardy, které vydává Mezinárodní organizace pro normalizaci sídlící od roku 1947 v Ženevě. Některé z nich výslovně definují požadavky na zabezpečení důvěry informací (ISO/IEC 27001, 27002), zajištění ochrany údajů v cloudu (ISO 27018), ale také připravenost firmy zajistit kontinuitu činností a procesů (ISO 22301). Soulad s ISO standardy významně zvyšuje stupeň ochrany osobních údajů a schopnost obnovit k nim přístup v případě bezpečnostního incidentu.

Stručné zásady IT sebeobrany

Varianty, které poskytuje svět informačních technologií, jsou takřka nepřeberné a možností, jak zabezpečit data i kontinuitu provozu, je bezpočet. Obecně lze říci, že za vhodná technická opatření požadovaná Nařízením lze považovat běžně a standardně dostupné způsoby a metody, pokud jsou vhodně implementovány a důsledně využívány (a to nejen z důvodu ochrany osobních údajů).

Lokální zařízení

Patří mezi ně nejen PC a notebooky, ale také tablety, inteligentní telefony ad. Za nezbytné lze považovat:

  • Nainstalovaný a denně aktualizovaný antivirový program, řada z nich obsahuje další formy ochrany jako antispam, firewall, webový štít, kontrolu e-mailů apod.

  • Zapnutý firewall, tedy ochranu při komunikaci mezi sítěmi, dnes bývá doplňována o inteligentní systémy IDS (Intrusion Detection System) monitorující nejen podezřelé vnější aktivity, ale i aktivity uvnitř sítě.

  • Pravidelná aktualizace operačního systému i aplikací, kontrolu jejich existence provádět nejlépe na denní bázi, doporučit lze nastavení automatické kontroly aktualizací.

  • Zabezpečení heslem (nebo kódem v případě mobilních zařízení) minimálně na úrovni operačního systému, případně již BIOSu. Stejně tak je nutné používat dostatečně silné, neveřejné heslo do všech aplikací. Do praxe již jako prvek zabezpečení pronikly biometrické metody (otisk prstu, scan duhovky), využít lze čipové karty (v České republice již také občanské průkazy