Výsledky a doporučení pro práci s daty v elektronické podobě
Součástí 125 analýz, které naše společnost v průběhu jarních měsíců realizovala v menších a středních firmách a organizacích, na školách a úřadech, byla i analýza IT bezpečnosti a analýza rizik. Zjištěné výsledky jsme vyhodnotili a prostřednictvím semináře, který se uskutečnil na konci června na pobočce K-netu v Olešnici, jsme přiblížili řadě zákazníků zásadní oblasti, na které je třeba se zaměřit. Odborní partneři pak představili technologie, v rámci kterých se dá s požadavky a potřebami firem snáze vypořádat.
Oblast IT bezpečnosti:
Síťová bezpečnost
Síťová bezpečnost bývá problém u malých organizací, zpravidla je postavena pouze na jediném síťovém bezpečnostním prvku a to routeru od poskytovatele internetu, který může být potencálním rizikem, jelikož negarantuje zabezpečení sítě a dostupnost bezpečnostních logů. Možným řešením může být pořízení vlastního zařízení nebo pořízení firewallu jako garantované služby, jakým je třeba Next Generation Firewall Forcepoint poskytovaný jako služba našeho Cloudového centra K-net.
Pro větší organizace pak může být řešením pro zajištění ochrany proti současným útokům na vyšší vrstvě a útokům z vnitřní sítě nasazení firewallu druhé generace nebo aplikačního firewallu, opět je možné využít i služby K-net namísto kupování drahého zařízení.
Síťová zařízení bez podpory výrobce (firewall, switch, WiFi) jsou potenciálním bezpečnostním rizikem. Možným řešením je obměna těchto zařízení.
Jedním ze zcela běžných postupů bývá, že většina firem dává heslo do firemní WiFi sítě či LAN svým hostům. Pokud je to jenom trochu možné, je třeba oddělit síť pro hosty od sítě firemní, aby byl hostům znemožněn pohyb v prostoru sítě, která má přístup ke všem serverům, stanicím, firemním datům a potažmo osobním údajům. Mnohým z analyzovaných firem jsme proto pomohli síť pro hosty oddělit.
GDPR nově ukládá správci povinnost ohlásit únik dat příslušnému orgánu v závislosti na rozsahu a kategorii osobních údajů. Správce tedy musí mít informace o útocích směřovaných na firemní infrastrukturu a na základě těchto získaných informací napravit či posílit bezpečnost firemních dat. Je proto velice vhodné monitorovat či logovat události v rámci síťových prvků, tedy nasadit systém pro sběr a vyhodnocování logů (SIEM). Pro tyto účely lze rovněž využít naši službu monitoringu infrastruktury, systémů a aplikací – netGuard.
Sečteno a podtrženo – klíčem k síťové bezpečnosti je vyšší bezpečnost firewallů, zabezpečení WiFi a jednotlivých sítí a monitoring síťové infrastruktury.
Bezpečnost serverové infrastruktury a datových úložišť
Nejběžnějším nedostatkem odhaleným během analýz byl nepodporovaný serverový operační systém (Windows 2003), kde hrozí riziko bezpečnostního incidentu. Pokud se na serveru neshromažďují osobní údaje, není z hlediska GDPR nutné tuto situaci řešit. Zabezpečení dat doporučujeme zajistit povýšením operačního systému na podporovaný systém nebo přesunutím do oddělené VLAN.
Další běžnou záležitostí, se kterou jsme se při analýzách setkali, byl špatně řízený přístup a oprávnění v rámci sdílených firemních složek. Zaměstnanci (uživatelé) tak mohou k firemním dokumentům přistupovat neoprávněně. Řešením může být reorganizace uživatelských práv a případně pořízení systému pro evidenci a řízení přístupu k souborům – DLP systém. V K-net můžete mít takový systém bezpečně řízeného firemního úložiště jednoduše nasazený v rámci naší služby netSpace DLP, provozované v našem Cloudovém centru na technologiích Citrix a Forcepoint.
U antivirové ochrany je třeba zvážit, na kterých serverech je antivirová ochrana nezbytná, aby se zabránilo napadení. V případě, že dojde k zašifrování dokumentu, který je posléze obnovován ze zálohy, je možné, že dokument ztrácí některé vlastnosti a informace, např. není možné zjistit, kdo s ním naposledy pracoval atd. Možným řešením je nasazení antivirového systému na datová úložiště či ve virtuálním prostředí, jakým je např. Bitdefender. Další řešení je začít šifrovat dokumenty, což je možné např. pomocí technologií Sodat, ale také interním nástrojem Windows Bitlocker (tím se však šifrují celé disky).
Dalším častým bezpečnostním rizikem bylo využití veřejných cloudových úložišť bez garance zabezpečení dat (zdarma poskytované cloudy jako je Dropbox, Google Drive apod.). Zde je třeba myslet na to, jaké typy dat se přes tyto nástroje sdílí, protože zde hrozí neoprávněný přístup k dokumentům či zcizení dokumentů. Řešením může být využití specializované cloudové služby s garancí zabezpečení dat (např. naše služba netSpace), ukládání dokumentů v rámci interní sítě či začít dokumenty šifrovat.
Bezpečnost koncových pracovišť
Problémem u mnoha společností zůstává nepodporovaný operační systém (např. XP), což se týkalo zejména výrobních podniků. Také v tomto případě platí, že možným řešením může být povýšení operačního systému na podporovaný systém nebo přesunutí stanic do oddělené VLAN, s čímž vám umíme pomoct.
Zcela běžným a častým jevem je množství osobních dat na přenosných zařízeních. Jedná se zejména o notebooky, na které si uživatelé často ukládají soubory z interních systémů. V případě, že by se takové zařízení ztratilo nebo bylo odcizeno, měl by se bezpečnostní incident nahlásit obratem na Úřad na ochranu osobních údajů. Řešením může být šifrování dat ukládaných na přenosných zařízeních. Účinným nástrojem zdarma zde může být Windows Bitlocker, pro pokročilejší správu je možné využít produkt Sodat Encryption.
Antivirová ochrana koncových stanic byla až na výjimky vždy nasazena. U virtuálních antivirů je třeba zajistit centrální správu, která zajistí aktualizaci na koncových stanicích.
Řešením pro zabezpečení koncových stanic tedy může ideálně být centrálně spravovaný antivirový systém, uložení dokumentů v rámci interní sítě nebo využívání bezpečných cloudových úložišť a šifrování zařízení či dokumentů.
Tiskárny a skenery
Ač to není na první pohled patrné, také tisk dokumentů či skenování může být potenciálním rizikem ztráty dat. Například tisk dokumentů s velkým počtem osobních údajů na veřejně dostupných tiskárnách (např. mzdové listy) může být problémem. Doporučujeme v těchto případech využití lokálních tiskáren, případně tisk zabezpečit. Některé tiskárny Canon poskytují potřebné nástroje pro bezpečný tisk. Dále je třeba pamatovat na interní paměť kancelářských tiskáren. Při vyřazení takového zařízení z provozu je třeba interní uložiště vymazat či znehodnotit, aby nemohla být data zneužita.
Pro ukládání skenovaných dokumentů se většinou využívá síťové sdílené složky, problémem z hlediska GDPR je poté přístup k naskenovaným dokumentům všemi uživateli. Řešením může být skenování dokumentů přímo do e-mailu konkrétního uživatele. K řízení a správě elektronické dokumentace lze případně pořídit inteligentní DMS (Document Management System) systém a skenovat dokumenty přes něj.
Bezpečnost dat v rámci informačních systémů
Informační systémy jsou studnicí osobních údajů. S příchodem GDPR výrobci softwarů doplnili nástroje o mnoho funkcionalit. Jednou z důležitých funkcionalit je anonymizace, která data nemaže, ale anonymizuje. To znamená, že oddělí osobní údaje subjektů údajů, pro jejichž zpracování nemá správce zákonný důvod, od dat, která jsou pro firmu relevantní a firma je chce i nadále uchovat v podobě bez spojitosti s konkrétním subjektem údajů. Další funkcionalitou může být například hlídání skartačních lhůt. V případě, že toto systémy neumožňují, je třeba nastavit procesy interní směrnicí, aby byla zajištěna bezpečnost a likvidace těchto elektronických dat.
Informační systémy, které vyžadují rozsáhlé exporty dat s osobními údaji, jsou dalším úskalím. Uživatelé si exporty ukládají na lokální disk a zaměstnavatel ztrácí kontrolu nad tím, kde se data nachází. Řešení opět zůstává na správném nastavení procesů, případně na zajištění podpory od dodavatele aplikace či na nasazení DLP systému, např. Forcepoint DLP, který správci umožní sledovat umístění takovýchto souborů s osobními údaji.
Nedostatečné zabezpečení webových informačních systémů je problémem zejména e-shopů. E-shopy si zaznamenávají údaje o nakupujících, ukládají jejich údaje, historii nákupů, v těch horších případech i čísla kreditních karet. Zde je bezpečnost poměrně zásadní a zabezpečit podobná data není triviální. Řešením je nasazení aplikačního firewallu před webový portál, v K-net proto používáme Citrix Web App Firewall (dříve NetScaler AppFirewall). E-shop navázaný na informační systém ve vnitřní síti je dobré pravidelně promazávat, aby byla zajištěna minimalizace nepotřebných dat. Dalším možným úskalím jsou staré databázové systémy s možností přístupu k datům bez autorizace a také existence databází, které nejsou zabezpečeny.
Elektronická pošta
Doménou škol a menších organizací je využívání veřejně dostupných schránek na veřejných serverech (např. seznam.cz, tiscali.cz atd.) pro interní komunikaci, obsahující často osobní údaje. Školy mohou namísto toho zdarma využívat soubor ucelených služeb v rámci Office 365 Education (Microsoft) nebo G-suite pro školy (dříve Google Apps). Pro předávání rozsáhlejších dokumentů s osobními údaji může být řešením zajištění vzdáleného zabezpečeného přístupu k datům či IS na serveru, popřípadě využití výše zmíněných garantovaných cloudových služeb, jako je netSpace.
Centrální databázi kontaktů v rámci poštovního serveru mnoho firem nevyužívá, což vede k problémům se zajištěním požadavků o výmaz či skartaci osobních údajů. S rostoucím množstvím různých marketingových systémů to i přestává být možné. Jednotné místo pro evidenci veškerých kontaktů a jejich zpracování ve firemních systémech včetně evidence souhlasů poskytuje služba Portál souhlasů vyvíjená naší společností, která umožňuje udržet všechny zpracovávané osobní údaje v souladu s GDPR.
Zálohování
Také na tuto oblast GDPR myslí. Pokud organizace či firma obdrží osobní údaje, neměla by o ně přijít. Z toho plyne nezbytnost nasazení zálohovacího systému.
Zálohování na přenosná média je doména menších škol a organizací. Zde může být řešením zabezpečení dat na nosiči šifrováním nebo u větších organizací replikace dat do garantovaného cloudového úložiště, jakým je naše služba netBackup Cloud.
Problémem u většiny organizací nadále zůstávají nedostatečně zdokumentované zálohovací politiky, nedodržení požadavků na skartaci či výmaz osobních údajů.
Vzdálené přístupy do sítě
Problém při využívání vzdálených přístupů může přinést absence evidence přístupů do sítě. Většina organizací umožnuje přístup každému, což s sebou nese riziko nezjistitelnosti zcizení osobních údajů. V těchto případech je možné nasadit systémy pro logování přístupů a jednotlivých operací. Pro posílení bezpečnosti vzdálených přístupů je dobré zavést dvoufázovou autentizaci. Výborným řešením vzdáleného přístupu je Citrix Gateway (dříve NetScaler Unified Gateway).
Přístup na terminálový RDS server bez omezení na konkrétní IP adresu není vhodným řešením. RDS server je pak otevřený pro kohokoli z internetu a stává se tak terčem útoků na prolomení hesla. Řešením je například využití přístupové brány k RDS serveru nebo omezení přístupu na konkrétní IP adresu.
„Bezpečnost v rámci IT je vždy dobré posuzovat s ohledem na to, jaká konkrétní data chráníme a jaké je riziko jejich zneužití. Pokud půjde o data, která nejsou nebezpečná a nezpůsobí zásadní problém jak společnosti, tak konkrétní fyzické osobě, nemusíme přehánět ani bezpečnostní opatření. Pokud je ale dat velké množství a potencionální riziko jejich zneužití je vysoké, tak se rozhodně vyplatí investovat do bezpečnosti a dobře promyslet veškeré možnosti potenciálního útočníka či případné možné chyby uživatele“,
říká Ing. Petr Nepustil, IT konzultant.
Petr Nepustil
Vystudoval VUT v Brně obor Sdělovací technika. Ve firmě K-net je už více než 20 let, začal s ní spolupracovat už na vysoké škole. Závěr studií na vysoké škole strávil na univerzitě v Paříži, kde psal půl roku diplomovou práci na téma kódování řečových signálů. V K-net si prošel pozicemi IT Specialista, vedoucí oddělení, vedoucí divize produkce a kvality. Aktuálně se zaměřuje hlavně na obchod a vedení divize produkce. Baví ho pomáhat našim zákazníkům s návrhem a budováním jejich IT infrastruktury.
