O narz?dziach do szyfrowania zacz??o si? g?o?no szczególnie w kontek?cie RODO. Ale nale?y mie? ?wiadomo??, ?e szyfrowanie to jedno z podstawowych zabezpiecze? zarówno danych osobowych, jak i firmowych. Wed?ug mnie, jest ono niezb?dne w przypadku przeno?nych no?ników danych.
Czy zdarzy?o si? Wam zgubi? pendrive albo nagran? p?yt? CD/DVD? To zdarza si? bardzo cz?sto, cz?sto zdarza si? równie?, ?e po?yczamy znajomym czy wspó?pracownikom pendrive, na którym s? ju? jakie? pliki z szeregiem wa?nych, a nawet bardzo wa?nych danych czy to biznesowych czy osobowych (zdj?cia, wyniki bada?).
Czy ukradziono Wam albo znacie kogo?, komu ukradziono notebooka np. z samochodu podczas pobytu w hipermarkecie? Ja znam co najmniej kilka takich przypadków.
Mo?na mie? oczywi?cie ubezpieczone auto czy notebooka od kradzie?y, ale przecie? dostaniemy w takim przypadku jedynie odszkodowanie za sprz?t, nie za? za dane. Co istotne, do niezaszyfrowanych danych na takim no?niku czy urz?dzeniu mo?e mie? dost?p ka?da osoba.
Co zazwyczaj pada ?upem z?odziei danych? Dane osobowe pracowników, klientów, dostawców, umowy, oferty, zamówienia, CV pracowników i kandydatów do pracy…. Jak wida?, s? to zarówno dane osobowe jak i biznesowe. Utrata danych biznesowych mo?e oznacza? strat? finansow? przedsi?biorstwa.
Brak jednego has?a i strata kilkuset tysi?cy z?otych
Wiele lat temu w jednym z przedsi?biorstw, z którym wspó?pracowa?em przygotowywana by?a oferta na dostaw? o warto?ci wielu milionów z?otych w ramach post?powania publicznego, na którym firma mia?a zarobi? kilkaset tysi?cy. Oferta, zgodnie z wymaganiami, zosta?a z?o?ona w terminie, ale niestety okaza?o si?, ?e jeden z konkurentów z?o?y? ofert? ró?ni?c? si? cen? o dok?adnie 0.4% w ka?dej z pozycji. Nie móg? by? to przypadek – bo przypadki tego typu s? mniej prawdopodobne jak wygrana szóstki w totolotka. Dlaczego tak si? sta?o? Otó? dane z ofert? ani nie by?y chronione jakimkolwiek has?em ani te? nie by?y szyfrowane. Kto?, pisz?c kolokwialnie, ukrad? dane i przekaza? konkurencji. Takie zdarzenie nie powinno mie? miejsca w przypadku dok?adnie opracowanej polityki bezpiecze?stwa IT (czy to szyfrowania danych, czy systemu DLP, czy te? opracowaniu w?a?ciwego dost?pu do sieciowych zasobów dyskowych – a najlepiej kompletu tych narz?dzi).
?ycie to jedno, a regulacje prawne to drugie – przypomnijmy, co mówi artyku? 32 RODO dotycz?cy bezpiecze?stwa przetwarzania:
/…/administrator i podmiot przetwarzaj?cy wdra?aj? odpowiednie ?rodki techniczne i organizacyjne, aby zapewni? stopie? bezpiecze?stwa odpowiadaj?cy temu ryzyku, w tym mi?dzy innymi w stosownym przypadku: a) /…/szyfrowanie danych osobowych /…/
Jak? polityk? szyfrowania wybra??
1. Co szyfrowa??
Konieczne jest zaszyfrowanie wszystkich przeno?nych no?ników danych – dysków notebooków, pendrive, p?yt CDRW/DVDRW z danymi. Warto szyfrowa? wspó?dzielone zasoby dyskowe, do których dost?p ma wi?cej osób ni? wynika to z konieczno?ci udost?pniania danych.
2. Czy stosowa? profesjonalne narz?dzia do szyfrowania czy opiera? si? na darmowych programach?
Darmowe rozwi?zania s? wystarczaj?ce w zastosowaniach domowych albo jednoosobowych dzia?alno?ci gospodarczych. W przypadku organizacji zatrudniaj?cej co najmniej kilku pracowników – warto zdecydowa? si? na rozwi?zanie p?atne o kilku istotnych funkcjonalno?ciach, a wi?c posiadaj?cych np. konsol? centralnego zarz?dzania czy te? opcj? odzyskiwania hase?. Warto te? sprawdzi?, jakim algorytmem szyfrowane s? dane. No i te? w takim przypadku je?li p?acimy za rozwi?zanie jeste?my w stanie wykaza? (w kontek?cie RODO i ewentualnej kontroli – ?e to narz?dzie rzeczywi?cie by?o wdro?one i ?e w okre?lonych sposób zabezpiecza dane).
Na co zwraca? uwag? wdra?aj?c narz?dzia do szyfrowania?
Rozwi?zanie powinno:
– by? wyposa?one w modu? centralnego zarz?dzania, najlepiej w j?zyku polskim, sprz??one z Active Directory, tak aby móc z jednego miejsca zarz?dza? u?ytkownikami, uprawnieniami i has?ami do systemu,
– pozwala? na wspó?dzielenie szyfrowanych zasobów (czyli do przyk?adowego pliku oferty dost?p ma zespó? projektowy),
– pozwala? na szyfrowanie przy pomocy dodatkowych zabezpiecze?, jak np. odciski palców czy karta chipowa,
– szyfrowa? pliki, foldery, poczt? i pozwala? na wysy?anie informacji dotycz?cym szyfrowania innym kana?em komunikacyjnym (np. SMS),
– pozwala? na zarz?dzanie wspó?dzieleniem szyfrowanych plików dzi?ki kluczom szyfruj?cym oraz zarz?dzanie u?ytkownikami gdy przebywaj? poza firm? (np. odzyskiwanie hase?),
– pozwala? na uzyskanie wersji ratunkowej (np. p?yty w przypadku awarii sprz?tu umo?liwia odszyfrowa? dysk na innym komputerze),
– posiada? opcj? systemu pozwalaj?c? na szyfrowanie danych i umieszczanie ich w „skrzynkach” odbiorców komunikacji, bez udzia?u systemów poczty elektronicznej.
Odpowied? na pytanie czy warto szyfrowa? dane jest oczywista – warto, bo brak szyfrowania mo?e kosztowa?. I nie chc? tutaj powiela? informacji o potencjalnych karach wynikaj?cych z RODO, ale powinni?my zda? sobie spraw?, ?e „?a?uj?c” kwoty rz?du 100 z?otych rocznie na stanowisko, mo?emy straci? kilka (kilkadziesi?t, kilkaset) tysi?cy z?otych.
A czy Ty szyfrujesz swoje dane?
