RODO. szanse i wyzwania dla działów IT w przedsiębiorstwie. Janusz Żmudziński. Dział Bezpieczeństwa. maj 2017 r.

Transkrypt

1 RODO szanse i wyzwania dla działów IT w przedsiębiorstwie Janusz Żmudziński Dział Bezpieczeństwa maj 2017 r. 1

2 2

3 Chrońmy nasze dane Jak wynika z raportu IBM (X-Force 2017), w 2016 r. z baz danych wyciekły ponad 4 miliardy rekordów, o 566 proc. więcej niż rok wcześniej. Eksperci koncernu wskazują, że coraz częściej celem przestępców stają się nieustrukturyzowane dane. Raport pokazuje, że chodzi tu m.in. o archiwalną pocztę elektroniczną, dokumenty biznesowe, kody źródłowe oprogramowania czy przedmioty własności intelektualnej. W 2016 r. cyberprzestępcy najczęściej atakowali podmioty z branży finansowej oraz medycznej. Jednak pod względem liczby rekordów, które wyciekły, pierwsze trzy miejsca należą do branży informacji i komunikacji (3,4 miliarda rekordów, 85 na jeden incydent), administracji publicznej (398 milionów, 39 na jeden incydent) oraz finansów. Z branży medycznej, mimo znacznej liczby ataków, wyciekło tylko 12 milionów rekordów, ponad 8 razy mniej niż rok wcześniej wyliczają twórcy raportu. 3

4 Wielkie wycieki danych Źródło: 4

5 Wielkie wycieki danych Źródło: 5

6 Źródło: 6

7 Zagrożenia

8 Rozporządzenie UE o Ochronie Danych Osobowych W dniu 14 kwietnia 2016 r. Parlament Europejski przyjął pakiet legislacyjny dotyczący nowych unijnych ram prawnych ochrony danych osobowych. Pakiet składa się rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) oraz dyrektywy w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych. Głosowanie Parlamentu, poprzedzone przyjęciem obu dokumentów przez Radę Unii Europejskiej, wieńczy trwające ponad cztery lata prace mające na celu całkowitą przebudowę unijnych zasad ochrony danych. Nowo uchwalone rozporządzenie uchyli obowiązującą aktualnie dyrektywą 95/46/WE a nowa dyrektywa decyzję ramową Rady 2008/997/WSiSW. 8

9 RODO - daty data wejścia w życie RODO 24 maja 2016 r. data rozpoczęcia obowiązywania RODO 25 maja 2018 r Motyw 171 RODO: Przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. 9

10 Do 25 maja 2018 zostało 368 dni Należy pamiętać o tym, że po 25 maja 2018 r., gdy GDPR zacznie w pełni obowiązywać, nie będzie już taryfy ulgowej i dodatkowego czasu na dostosowanie się przez administratorów danych do jego wymogów. Dlatego właśnie teraz jest już odpowiedni czas by rozpocząć proces przygotowań do wdrożenia wymogów GDPR. 10

11 50% Źródło:

12 Wyzwania Każdy przedsiębiorca jest zobowiązany do wdrożenia RODO Zmiana jakościowa przepisów: wyznaczony został cel, a nie dokładny sposób postępowania Podejście od strony analizy ryzyka Ciągły proces w miejsce jednorazowych działań Usuwanie danych osobowych Przenoszenie danych Brak możliwości przywrócenia terminu na wykonanie niektórych obowiązków 12

13 Obowiązek zabezpieczenia danych osobowych Obowiązek stosowania odpowiednich środków organizacyjno-technicznych Przy doborze środków administrator powinien uwzględniać najnowsze osiągnięcia techniczne oraz koszty wdrożenia tych środków Obowiązek przeprowadzenia odpowiedniej analizy ryzyka Powszechny obowiązek notyfikacji naruszeń ochrony danych osobowych (72 godziny) Nowe definicje (m.in. profilowanie, dane pseudonimizowane, dane zaszyfrowane) 13

14 Cel wdrożenia RODO Celem wdrożenia nie jest uniknięcie kar. Celem jest przygotowanie firmy do nowej rzeczywistości, gdzie dane osobowe otrzymały bardzo daleko idącą ochronę Ich pozyskiwanie, przetwarzanie i ochrona musi być przemyślana i kontrolowana od początku do końca. Privacy by design. Celem nie jest ochrona sama w sobie. Przy takim podejściu, rezultatem będą polityki i procedury bezpieczeństwa, które nie będą realnie stosowane i utrudnią przetwarzanie danych. 14

15 Privacy by design Privacy by default -obowiązek wprowadzenia domyślnej ochrony danych osobowych Administratorzy zobowiązani będą uwzględniać ochronę danych osobowych już na etapie podejmowania decyzji o tym, jakie systemy informatyczne chcą u siebie wdrożyć Administratorom pozostawiono swobodę decyzji o tym, jakimi środkami zapewnią ochronę danych osobowych. Brak jest wskazania w przepisach, w jaki sposób administrator miałby udokumentować projektowanie ochrony danych osobowych. Zasadę uwzględniania ochrony danych w fazie projektowania trzeba będzie uwzględniać również w przetargach publicznych. 15

16 Art. 32 Bezpieczeństwo przetwarzania 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 16

17 Czym jest ryzyko przetwarzania danych osobowych? Przetwarzanie danych osobowych przez firmę wymaga zidentyfikowania związanego z tym ryzyka. Wraz z wejściem w życie przepisów RODO regularna analiza ryzyka stanie się podstawą określenia zabezpieczeń adekwatnych do istniejących zagrożeń i pozwoli uniknąć sytuacji, w której prowadzone przez firmę procesy mogłyby się okazać niezgodne z prawem. Przetwarzanie danych osobowym, w tym również prawidłowa identyfikacja potencjalnych ryzyk, wymaga czujności i umiejętności przewidywania kolejnych zdarzeń przez ABI (Administratora Bezpieczeństwa Informacji), a po wejściu w życie RODO IOD (Inspektora Ochrony Danych), który odpowiada za ochronę danych osobowych w danym podmiocie. Wielu początkujących ABI nie sięga do takich narzędzi pracy jak klasyfikacja ryzyka ze względu na to, że postrzega je jako skomplikowane. Wpływa to negatywnie na firmy, które nie są odpowiednio przygotowane na potencjalne niebezpieczeństwa. 17

18 Analiza ryzyka Jak to zrobić? Narzędzia? Inwentaryzacja zasobów informacyjnych Inwentaryzacja środków przetwarzania 18

19 Usuwanie danych osobowych Administrator informuje o okresie przechowywania danych lub kryteriach, które służą do określenia tego okresu Administrator uwzględniając ochronę danych w fazie projektowania musi wziąć pod uwagę również aspekt usuwania danych w cyklu zarządzania danymi 19

20 Wpływ na projektowanie systemów IT Ochrona danych od początku do końca cyklu życia informacji Podejście proaktywne, nie reaktywne i zaradcze, nie naprawcze Prywatność - ustawienie domyślne Prywatność włączona w projekt Poszanowanie dla prywatności użytkowników 20

21 Incydenty bezpieczeństwa RODO po raz pierwszy wprowadza obowiązek zgłaszania przypadków naruszenia bezpieczeństwa danych osobowych. Przypadki utraty, kradzieży lub innego naruszenia bezpieczeństwa danych osobowych należy zgłosić organowi nadzorczemu. W niektórych sytuacjach należy również powiadomić osoby fizyczne. Karany będzie nie tyle fakt wycieku danych, co brak odpowiedniego zabezpieczenia oraz brak notyfikacji. 21

22 Pseudonimizacja Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych. 22

23 RODO - sankcje Wzmocniona zostanie ochrona konsumentów, bo odstraszać będą kary finansowe, które zostaną wprowadzone, a kary mają być wysokie, m.in. do 4 proc. rocznych światowych obrotów przedsiębiorstwa, albo do 20 mln euro, w zależności od tego, która z tych kar będzie dla danego przedsiębiorcy dotkliwsza. Teraz GIODO nie może nakładać takich kar. 23

24 Bezpieczeństwo to nie produkt, to proces. Bruce Schneier 24

25 Ochrona danych osobowych jest procesem, nie czynnością jednorazową Nie ma uniwersalnego "punktu docelowego", którego osiągnięcie zapewni spokój. To proces bardzo zbliżony do zapewnienia bezpieczeństwa - strategiczna umiejętność, która musi być wkomponowana ład IT organizacji, przez nią zarządzana i rozwijana. 25

26 Kluczowa rola IT IT jest centralnym zasobem przetwarzającym dane. Proces poprawnego przetwarzania danych z pewnością dotknie systemy informatyczne, i to zarówno na etapie analitycznym i jak i realizacyjnym. Implementacja rekomendacji zapewne zajmie dużo czasu i może być kosztowna. Warto przeprowadzać analizy i prace związane z implementacją RODO od razu angażując działy informatyczne. 26

27 Systemy informatyczne są kluczowe Dla większości dużych organizacji kluczowe są systemy informatyczne, a dostosowanie tych systemów będą czasochłonne i kosztowne. Dlatego to często dział IT narzuci określone polityki i procedury, a nie na odwrót. IT powinno być włączone w proces decyzyjny od samego początku. 27

28 Nie istnieją magiczne rozwiązania techniczne Nie ma magicznych rozwiązań, które można kupić i rozwiązać problem. Każda firma będzie decydować o adekwatnych środkach - organizacyjnych i technicznych. Dla części będą to rozwiązania stosunkowo proste, dla części wręcz przeciwnie. Nie da się kupić i zapomnieć Będą potrzebni doświadczeni doradcy - ze względu na specjalistyczną wiedzę prawną i technologiczną związaną z RODO. 28

29 Firmy potrzebują bezpieczeństwa Firmy/organizacje nie potrzebują tylko firewalli, antywirusów, SIEM, DLP, itd. Potrzebują znacznie więcej. Potrzebują zapewnienia, że ich biznes jest właściwie chroniony i jest zgodny z obowiązującymi regulacjami. Podejście oparte o architekturę bezpieczeństwa gwarantuje właściwe zabezpieczenie wszystkich obszarów IT w organizacji a w szczególności zgodność z przepisami prawa. 29

30 Definicja architektury bezpieczeństwa Wielopoziomowy zbiór wszystkich komponentów (normatywnych, procesowych, projektowych i technologicznych), ich wzajemnych relacji i wskazówek kierujących ich rozwojem i ewolucją w czasie, które współdziałając ze sobą zapewniają bezpieczeństwo organizacji. 30

31 Architektura bezpieczeństwa systemu Sztuka doboru, projektowania i wdrożenia, zbioru koniecznych zabezpieczeń systemów, ich właściwości, oraz relacji między nimi, zapewniających uzyskanie i utrzymanie zakładanego poziomu bezpieczeństwa Te zabezpieczenia muszą odpowiadać: wymaganiom biznesowym, obowiązującym regulacjom (np. przepisy prawa, korporacyjna polityka bezpieczeństwa), wynikom szacowania ryzyka.

32 Architektura bezpieczeństwa - przykład 32

33 Wymagane działania Lokalizacja (inwentaryzacja) danych osobowych) Szacowanie ryzyka Wdrożenie zabezpieczeń i mechanizmów kontrolnych Kontrola dostępu Zarządzanie incydentami 33

34 Edukacja Twoich pracowników to najważniejszy element systemu bezpieczeństwa. 34

35 Podsumowanie RODO jest trudnym i strategicznie ważnym aktem prawnym, którego prawidłowa implementacja może przynieść długofalowe korzyści Domyślna ochrona danych osobowych Podejście od strony analizy ryzyka Ciągły proces w miejsce jednorazowych działań Bardzo wysokie kary Wdrożenie RODO zabezpieczy nie tylko dane osobowe 35

36 Dziękuję za uwagę