Co přinesla GDPR analýza?
Home ― Proč K-net ― Pro vás ― Časopis Login ― Články Loginu ― Co přinesla GDPR analýza?
Výsledky a doporučení pro práci s daty v elektronické podobě
Součástí 125 analýz, které naše společnost v průběhu jarních měsíců realizovala v menších a středních firmách a organizacích, na školách a úřadech, byla i analýza IT bezpečnosti a analýza rizik. Zjištěné výsledky jsme vyhodnotili a prostřednictvím semináře, který se uskutečnil na konci června na pobočce K-netu v Olešnici, jsme přiblížili řadě zákazníků zásadní oblasti, na které je třeba se zaměřit. Odborní partneři pak představili technologie, v rámci kterých se dá s požadavky a potřebami firem snáze vypořádat.
Oblast IT bezpečnosti:
Síťová bezpečnost
Síťová bezpečnost bývá problém u malých organizací, zpravidla je postavena pouze na jediném síťovém bezpečnostním prvku a to routeru od poskytovatele internetu, který může být potencálním rizikem, jelikož negarantuje zabezpečení sítě a dostupnost bezpečnostních logů. Možným řešením může být pořízení vlastního zařízení nebo pořízení firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. jako garantované služby, jakým je třeba Next Generation FirewallKlasický firewall, který má nad sebou ještě další službu (filtrování, nebo nějaký spam detektor, detektor útoku atp.) Více na stránce Forcepoint… Forcepoint poskytovaný jako služba našeho Cloudového centra K-net.
Pro větší organizace pak může být řešením pro zajištění ochrany proti současným útokům na vyšší vrstvě a útokům z vnitřní sítě nasazení firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. druhé generace nebo aplikačního firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…., opět je možné využít i služby K-net namísto kupování drahého zařízení.
Síťová zařízení bez podpory výrobce (firewallSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…., switchSíťový přepínač (anglicky switch) je v informatice aktivní prvek v počítačové síti, který propojuje jednotlivé prvky do hvězdicové topologie…., WiFi) jsou potenciálním bezpečnostním rizikem. Možným řešením je obměna těchto zařízení.
Jedním ze zcela běžných postupů bývá, že většina firem dává heslo do firemní WiFi sítě či LANJe běžně označovaná zkratkou LAN (Local Area Network). Jedná se o propojení počítačů uvnitř organizace – nikoli však mimo budovu, či komplex budov. Více na… svým hostům. Pokud je to jenom trochu možné, je třeba oddělit síť pro hosty od sítě firemní, aby byl hostům znemožněn pohyb v prostoru sítě, která má přístup ke všem serverům, stanicím, firemním datům a potažmo osobním údajům. Mnohým z analyzovaných firem jsme proto pomohli síť pro hosty oddělit.
GDPRJedná se o nařízení Evropské unie, které má za cíl chránit osobní údaje (jméno, adresu, e-mail apod.) svých obyvatel. Nařizuje proto, jakým způsobem lze osobní… nově ukládá správci povinnost ohlásit únik dat příslušnému orgánu v závislosti na rozsahu a kategorii osobních údajů. Správce tedy musí mít informace o útocích směřovaných na firemní infrastrukturu a na základě těchto získaných informací napravit či posílit bezpečnost firemních dat. Je proto velice vhodné monitorovat či logovat události v rámci síťových prvků, tedy nasadit systém pro sběr a vyhodnocování logů (SIEM). Pro tyto účely lze rovněž využít naši službu monitoringu infrastruktury, systémů a aplikací – netGuard.
Sečteno a podtrženo – klíčem k síťové bezpečnosti je vyšší bezpečnost firewallů, zabezpečení WiFi a jednotlivých sítí a monitoring síťové infrastruktury.
Bezpečnost serverové infrastruktury a datových úložišť
Nejběžnějším nedostatkem odhaleným během analýz byl nepodporovaný serverový operační systém (Windows 2003), kde hrozí riziko bezpečnostního incidentu. Pokud se na serveru neshromažďují osobní údaje, není z hlediska GDPRJedná se o nařízení Evropské unie, které má za cíl chránit osobní údaje (jméno, adresu, e-mail apod.) svých obyvatel. Nařizuje proto, jakým způsobem lze osobní… nutné tuto situaci řešit. Zabezpečení dat doporučujeme zajistit povýšením operačního systému na podporovaný systém nebo přesunutím do oddělené VLANVLAN je logicky nezávislá síť v rámci jednoho nebo několika zařízení. Virtuální sítě lze definovat jako domény všesměrového vysílání (stejně jako LAN) s cílem učinit….
Další běžnou záležitostí, se kterou jsme se při analýzách setkali, byl špatně řízený přístup a oprávnění v rámci sdílených firemních složek. Zaměstnanci (uživatelé) tak mohou k firemním dokumentům přistupovat neoprávněně. Řešením může být reorganizace uživatelských práv a případně pořízení systému pro evidenci a řízení přístupu k souborům – DLPSystémy na ochranu dat před jejich ztrátou. Data ve firmách neohrožují jen viry, ale sami zaměstnanci, a to možným smazáním, přepsáním, nebo neúmyslným vynesením dat,… systém. V K-net můžete mít takový systém bezpečně řízeného firemního úložiště jednoduše nasazený v rámci naší služby netSpace DLPSystémy na ochranu dat před jejich ztrátou. Data ve firmách neohrožují jen viry, ale sami zaměstnanci, a to možným smazáním, přepsáním, nebo neúmyslným vynesením dat,…, provozované v našem Cloudovém centru na technologiích Citrix a Forcepoint.
U antivirové ochrany je třeba zvážit, na kterých serverech je antivirová ochranaPočítačový software, který slouží k identifikaci, odstraňování a eliminaci počítačových virů a jiného škodlivého softwaru. More nezbytná, aby se zabránilo napadení. V případě, že dojde k zašifrování dokumentu, který je posléze obnovován ze zálohy, je možné, že dokument ztrácí některé vlastnosti a informace, např. není možné zjistit, kdo s ním naposledy pracoval atd. Možným řešením je nasazení antivirového systému na datová úložiště či ve virtuálním prostředí, jakým je např. Bitdefender. Další řešení je začít šifrovat dokumenty, což je možné např. pomocí technologií Sodat, ale také interním nástrojem Windows Bitlocker (tím se však šifrují celé disky).
Dalším častým bezpečnostním rizikem bylo využití veřejných cloudových úložišť bez garance zabezpečení dat (zdarma poskytované cloudy jako je Dropbox, Google Drive apod.). Zde je třeba myslet na to, jaké typy dat se přes tyto nástroje sdílí, protože zde hrozí neoprávněný přístup k dokumentům či zcizení dokumentů. Řešením může být využití specializované cloudové službyJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré… s garancí zabezpečení dat (např. naše služba netSpace), ukládání dokumentů v rámci interní sítě či začít dokumenty šifrovat.
Bezpečnost koncových pracovišť
Problémem u mnoha společností zůstává nepodporovaný operační systém (např. XP), což se týkalo zejména výrobních podniků. Také v tomto případě platí, že možným řešením může být povýšení operačního systému na podporovaný systém nebo přesunutí stanic do oddělené VLANVLAN je logicky nezávislá síť v rámci jednoho nebo několika zařízení. Virtuální sítě lze definovat jako domény všesměrového vysílání (stejně jako LAN) s cílem učinit…, s čímž vám umíme pomoct.
Zcela běžným a častým jevem je množství osobních dat na přenosných zařízeních. Jedná se zejména o notebooky, na které si uživatelé často ukládají soubory z interních systémů. V případě, že by se takové zařízení ztratilo nebo bylo odcizeno, měl by se bezpečnostní incident nahlásit obratem na Úřad na ochranu osobních údajů. Řešením může být šifrování dat ukládaných na přenosných zařízeních. Účinným nástrojem zdarma zde může být Windows Bitlocker, pro pokročilejší správu je možné využít produkt Sodat Encryption.
Antivirová ochranaPočítačový software, který slouží k identifikaci, odstraňování a eliminaci počítačových virů a jiného škodlivého softwaru. More koncových stanic byla až na výjimky vždy nasazena. U virtuálních antivirů je třeba zajistit centrální správu, která zajistí aktualizaci na koncových stanicích.
Řešením pro zabezpečení koncových stanic tedy může ideálně být centrálně spravovaný antivirový systém, uložení dokumentů v rámci interní sítě nebo využívání bezpečných cloudových úložišť a šifrování zařízení či dokumentů.
Tiskárny a skenery
Ač to není na první pohled patrné, také tisk dokumentů či skenování může být potenciálním rizikem ztráty dat. Například tisk dokumentů s velkým počtem osobních údajů na veřejně dostupných tiskárnách (např. mzdové listy) může být problémem. Doporučujeme v těchto případech využití lokálních tiskáren, případně tisk zabezpečit. Některé tiskárny Canon poskytují potřebné nástroje pro bezpečný tisk. Dále je třeba pamatovat na interní paměť kancelářských tiskáren. Při vyřazení takového zařízení z provozu je třeba interní uložiště vymazat či znehodnotit, aby nemohla být data zneužita.
Pro ukládání skenovaných dokumentů se většinou využívá síťové sdílené složky, problémem z hlediska GDPRJedná se o nařízení Evropské unie, které má za cíl chránit osobní údaje (jméno, adresu, e-mail apod.) svých obyvatel. Nařizuje proto, jakým způsobem lze osobní… je poté přístup k naskenovaným dokumentům všemi uživateli. Řešením může být skenování dokumentů přímo do e-mailu konkrétního uživatele. K řízení a správě elektronické dokumentace lze případně pořídit inteligentní DMS (Document Management System) systém a skenovat dokumenty přes něj.
Bezpečnost dat v rámci informačních systémů
Informační systémy jsou studnicí osobních údajů. S příchodem GDPRJedná se o nařízení Evropské unie, které má za cíl chránit osobní údaje (jméno, adresu, e-mail apod.) svých obyvatel. Nařizuje proto, jakým způsobem lze osobní… výrobci softwarů doplnili nástroje o mnoho funkcionalit. Jednou z důležitých funkcionalit je anonymizace, která data nemaže, ale anonymizuje. To znamená, že oddělí osobní údaje subjektů údajů, pro jejichž zpracování nemá správce zákonný důvod, od dat, která jsou pro firmu relevantní a firma je chce i nadále uchovat v podobě bez spojitosti s konkrétním subjektem údajů. Další funkcionalitou může být například hlídání skartačních lhůt. V případě, že toto systémy neumožňují, je třeba nastavit procesy interní směrnicí, aby byla zajištěna bezpečnost a likvidace těchto elektronických dat.
Informační systémy, které vyžadují rozsáhlé exporty dat s osobními údaji, jsou dalším úskalím. Uživatelé si exporty ukládají na lokální disk a zaměstnavatel ztrácí kontrolu nad tím, kde se data nachází. Řešení opět zůstává na správném nastavení procesů, případně na zajištění podpory od dodavatele aplikace či na nasazení DLPSystémy na ochranu dat před jejich ztrátou. Data ve firmách neohrožují jen viry, ale sami zaměstnanci, a to možným smazáním, přepsáním, nebo neúmyslným vynesením dat,… systému, např. Forcepoint DLP, který správci umožní sledovat umístění takovýchto souborů s osobními údaji.
Nedostatečné zabezpečení webových informačních systémů je problémem zejména e-shopů. E-shopy si zaznamenávají údaje o nakupujících, ukládají jejich údaje, historii nákupů, v těch horších případech i čísla kreditních karet. Zde je bezpečnost poměrně zásadní a zabezpečit podobná data není triviální. Řešením je nasazení aplikačního firewalluSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. před webový portál, v K-net proto používáme Citrix Web App FirewallSíťové zařízení sloužící k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Firewall instalujeme jako software v případě jednoho počítače…. (dříve NetScalerNetScaler je dnes již zastaralý název pro rodinu produktů vyvinutou firmou Citrix zabezpečující velkou škálu bezpečnostních a síťových funkcionalit. Umožňuje detailní nastavení a při správné… AppFirewall). E-shop navázaný na informační systém ve vnitřní síti je dobré pravidelně promazávat, aby byla zajištěna minimalizace nepotřebných dat. Dalším možným úskalím jsou staré databázové systémy s možností přístupu k datům bez autorizaceje určení oprávnění uživatele v daném kontextu. Autentizace nám řekne, kdo je uživatelem a autorizace pomocí tzv. ACL pak souborovému systému řekne, co uživatel může… a také existence databází, které nejsou zabezpečeny.
Elektronická pošta
Doménou škol a menších organizací je využívání veřejně dostupných schránek na veřejných serverech (např. seznam.cz, tiscali.cz atd.) pro interní komunikaci, obsahující často osobní údaje. Školy mohou namísto toho zdarma využívat soubor ucelených služeb v rámci Office 365 Education (Microsoft) nebo G-suite pro školy (dříve Google Apps). Pro předávání rozsáhlejších dokumentů s osobními údaji může být řešením zajištění vzdáleného zabezpečeného přístupu k datům či IS na serveru, popřípadě využití výše zmíněných garantovaných cloudových služebJedná se o služby poskytované přes internet, pomocí kterých se zprostředkovává přístup k aplikacím, úložišti pro data nebo výpočetnímu výkonu. Poskytovatel těchto služeb zajišťuje veškeré…, jako je netSpace.
Centrální databázi kontaktů v rámci poštovního serveru mnoho firem nevyužívá, což vede k problémům se zajištěním požadavků o výmaz či skartaci osobních údajů. S rostoucím množstvím různých marketingových systémů to i přestává být možné. Jednotné místo pro evidenci veškerých kontaktů a jejich zpracování ve firemních systémech včetně evidence souhlasů poskytuje služba Portál souhlasů vyvíjená naší společností, která umožňuje udržet všechny zpracovávané osobní údaje v souladu s GDPRJedná se o nařízení Evropské unie, které má za cíl chránit osobní údaje (jméno, adresu, e-mail apod.) svých obyvatel. Nařizuje proto, jakým způsobem lze osobní….
Zálohování
Také na tuto oblast GDPRJedná se o nařízení Evropské unie, které má za cíl chránit osobní údaje (jméno, adresu, e-mail apod.) svých obyvatel. Nařizuje proto, jakým způsobem lze osobní… myslí. Pokud organizace či firma obdrží osobní údaje, neměla by o ně přijít. Z toho plyne nezbytnost nasazení zálohovacího systému.
Zálohování na přenosná média je doména menších škol a organizací. Zde může být řešením zabezpečení dat na nosiči šifrováním nebo u větších organizací replikace dat do garantovaného cloudového úložiště, jakým je naše služba netBackup Cloud.
Problémem u většiny organizací nadále zůstávají nedostatečně zdokumentované zálohovací politiky, nedodržení požadavků na skartaci či výmaz osobních údajů.
Vzdálené přístupy do sítě
Problém při využívání vzdálených přístupů může přinést absence evidence přístupů do sítě. Většina organizací umožnuje přístup každému, což s sebou nese riziko nezjistitelnosti zcizení osobních údajů. V těchto případech je možné nasadit systémy pro logování přístupů a jednotlivých operací. Pro posílení bezpečnosti vzdálených přístupů je dobré zavést dvoufázovou autentizaci. Výborným řešením vzdáleného přístupu je Citrix Gateway (dříve NetScalerNetScaler je dnes již zastaralý název pro rodinu produktů vyvinutou firmou Citrix zabezpečující velkou škálu bezpečnostních a síťových funkcionalit. Umožňuje detailní nastavení a při správné… Unified Gateway).
Přístup na terminálový RDS server bez omezení na konkrétní IP adresu není vhodným řešením. RDS server je pak otevřený pro kohokoli z internetu a stává se tak terčem útoků na prolomení hesla. Řešením je například využití přístupové brány k RDS serveru nebo omezení přístupu na konkrétní IPIP adresa je jedinečná adresa počítače v internetu. Udává se ve tvaru yyy.yyy.yyy.yyy, kde yyy je číslo v rozsahu 0 až 255. Může vypadat například takto:… adresu.
„Bezpečnost v rámci IT je vždy dobré posuzovat s ohledem na to, jaká konkrétní data chráníme a jaké je riziko jejich zneužití. Pokud půjde o data, která nejsou nebezpečná a nezpůsobí zásadní problém jak společnosti, tak konkrétní fyzické osobě, nemusíme přehánět ani bezpečnostní opatření. Pokud je ale dat velké množství a potencionální riziko jejich zneužití je vysoké, tak se rozhodně vyplatí investovat do bezpečnosti a dobře promyslet veškeré možnosti potenciálního útočníka či případné možné chyby uživatele“,
říká Ing. Petr Nepustil, IT konzultant.
Petr Nepustil
Vystudoval VUT v Brně obor Sdělovací technika. Ve firmě K-net je už více než 20 let, začal s ní spolupracovat už na vysoké škole. Závěr studií na vysoké škole strávil na univerzitě v Paříži, kde psal půl roku diplomovou práci na téma kódování řečových signálů. V K-net si prošel pozicemi IT Specialista, vedoucí oddělení, vedoucí divize produkce a kvality. Aktuálně se zaměřuje hlavně na obchod a vedení divize produkce. Baví ho pomáhat našim zákazníkům s návrhem a budováním jejich IT infrastruktury.