Szyfrowanie danych konieczność, czy rozsądek? 07/2016 autor dr Kamil Galicki Zabezpieczanie wszelkich danych, w tym cennych danych organizacji, a w szczególności bezpieczeństwa informacji wrażliwych wydaje się oczywistym obowiązkiem, tymczasem mimo regulacji prawnych, czy procedur wewnętrznych firm zależy to ostatecznie - jak większość kwestii - od ludzi. Mamy do czynienia z dwoma rodzajami użytkowników takimi, którzy kopie danych (tzw. backup) robią regularnie (w przeważającej większości na zewnętrzne dyski twarde lub pamięci zewnętrzne) oraz tymi, którzy tego nie robią pomimo świadomości konsekwencji dla organizacji, odpowiedzialności, w tym karnej, w stosunku do osób mających obowiązek ochrony danych. Jak zapewnić, aby kopie danych były bezpieczne - nie tylko fizycznie np. przed zniszczeniem, czy uszkodzeniem nośnika lub utratą danych, ale jednocześnie chronione przed dostępem do informacji osób nieupoważnionych? W tym celu poza wyborem optymalnej metody wykonywania kopii danych konieczne, a wręcz niezbędne jest ich szyfrowanie. Każda firma, czy podmiot instytucjonalny powinien zabezpieczać wykonane kopie poprzez szyfrowanie - wynika to wprost z regulacji prawnych. Bez regularnej realizacji szyfrowanych kopii, dane w każdej postaci (w tym ważne i wrażliwe) można bezpowrotnie i bez możliwości ich odzyskania utracić. Niezależnie od tego gdzie oraz w jaki sposób dokonywane są kopie danych warto, aby były one zaszyfrowane przy wykorzystaniu metod kryptograficznych o odpowiednim poziomie skomplikowania, wiarygodności i niezawodności. Wymaga podkreślenia, że szyfrowaniu powinny podlegać również dane znajdujące się na urządzeniach przenośnych, których ryzyko utraty (w szczególności przez kradzież) jest znacząco wyższe niż w przypadku rozwiązań stacjonarnych. Dane wrażliwe, czy o krytycznym znaczeniu bezsprzecznie zawsze powinny być szyfrowane. Kryptograficzna ochrona danych jest bowiem jedyną gwarancją, że nawet w przypadku uzyskania do nich dostępu przez osobę niepowołaną, pozostaną bezpieczne. Skoro nawet w codziennym przetwarzaniu, czy przesyłaniu dane są kodowane, tym bardziej kopie powinny podlegać szyfrowaniu. Wniosek jest oczywisty dane muszą być zaszyfrowywane w sposób skuteczny i ciągły. Obecnie wciąż popularną praktyką jest przechowywanie na dysku twardym lub w pamięci urządzenia
informacji wrażliwych, stanowiących tajemnicę przedsiębiorstwa, czy też poufnych, przedstawiających zasadniczą wartość, a których ujawnienie mogłoby mieć szeroko rozumiane negatywne skutki. W takich przypadkach niezbędne jest zastosowanie nowoczesnych metod kryptograficznej ochrony danych. Przy wykorzystaniu odpowiednich narzędzi, metod kryptograficznych o odpowiednim poziomie innowacyjności, dbamy przede wszystkim o bezpieczeństwo, co ma znaczenie również w kontekście certyfikacji, czy procesów ciągłości działania. Przechowywanie kopii danych poza lokalizacją macierzystą Tradycyjnie punktem wyjścia dla ochrony danych jest przechowywanie kopii poza lokalizacją, w której na co dzień dane są generowane, czy przetwarzane. Niesie to za sobą pewne konkretne ryzyka związane logistyką, zaangażowaniem osób trzecich oraz kwestiami przywrócenia w przyszłości danych w odpowiednim momencie. Szyfrowanie kopii danych wydaje się więc naturalnym rozwiązaniem umożliwia to ich bezpieczny transport i przechowywanie zakładając oczywiście, że hasła lub klucze szyfrujące są przechowywane osobno w stosunku do samych danych. Jeżeli dołożymy do szyfrowania możliwość przechowywania danych w chmurze, otrzymamy jeszcze bardziej kompleksowe rozwiązanie - zaszyfrowane kopie, których treść jest niedostępna dla potencjalnego atakującego, a które jednocześnie są dostępne (bez konieczności ich transportu) w sposób bezpośredni, co umożliwia szybsze i sprawniejsze odzyskiwanie danych (tzw. recovery ), w przypadku zaistnienia takiej potrzeby. Czynnik czasu jest krytyczny w przypadku konieczności odzyskania danych. Warto zwrócić uwagę, że istotny jest wybór odpowiednich narzędzi szyfrowania, aby zminimalizować czas fazy recovery i usprawnić ten proces. Przy dzisiejszych metodach kryptograficznych ( ) osoba, która przejmie nad dyskiem kontrolę, bo na przykład ukradnie nam sprzęt, nie będzie w stanie dotrzeć do zapisanych tam danych. ( ) szyfrowanie danych na twardych dyskach, czy pendrivach jest absolutnie konieczne. W przeciwnym przypadku możemy być współodpowiedzialni za utratę danych osobowych. dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych, w latach 2010-2014 Niestety według oficjalnych danych niemal co druga polska firma nie szyfruje danych na swoich laptopach, czy urządzeniach mobilnych czy regulacje prawne zabezpieczające tak ważne kwestie jak
bezpieczeństwo danych, co bezpośrednio ma wpływ również na bezpieczeństwo infrastruktury krytycznej jest satysfakcjonujące? Z przeprowadzonego badania wynika, że potrzeba zmian jest duża. Czy według Pana/Pani powinny zostać wprowadzone w przyszłości zmiany w zapisach Narodowego Programu Ochrony Infrastruktury Krytycznej, w celu zwiększenia jego efektywności? Raczej nie; 10; 10% Zdecydowanie tak; 16; 16% Zdecydowanie tak Raczej tak; 41; 41% Raczej tak Trudno powiedzieć Trudno powiedzieć; 33; 33% Raczej nie Źródło: Opracowanie własne na podstawie badania przeprowadzonego na próbie 1000 osób pracujących w obszarach związanych infrastrukturą techniczną. Konieczność szyfrowania danych przechowywanych na dysku twardym lub w pamięci urządzenia wynika wprost z regulacji prawnych Szyfrowanie każdego komputera zawierającego dane osobowe wynoszonego poza siedzibę firmy. Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególna ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w 4 pkt 1 rozporządzenia i, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. Na konieczność właściwego zabezpieczenia danych wskazują dobre praktyki bezpieczeństwa przedstawicieli zawodów przetwarzających wrażliwe dane np. lekarzy, ubezpieczycieli i adwokatów. 19 ust. 5 Kodeksu etyki adwokackiej: Adwokat posługujący się w pracy zawodowej komputerem lub innymi środkami elektronicznego utrwalania danych obowiązany jest stosować oprogramowanie i inne środki zabezpieczające dane przed ich niepowołanym ujawnieniem.
Szyfrowanie staje się coraz ważniejszą bronią w arsenale ochrony bezpieczeństwa informacji. Musi ono stanowić uzupełnienie dla tradycyjnych narzędzi bezpieczeństwa jak np. firewall. Tam gdzie tradycyjne systemy bezpieczeństwa zawodzą szyfrowanie uchroni dane przed ich odczytaniem przez osoby niepowołane. Regulacje prawne pomagają, czy szkodzą? Za ww. rozwiązaniami technologicznymi powinny nadążać regulacje prawne, odzwierciedlające współczesne uwarunkowania technologiczne i globalne przetwarzania danych osobowych. Niestety nie obejmują one m.in. kwestii przetwarzania danych w chmurze obliczeniowej, tym samym nie zapewniając bezpieczeństwa operacji przetwarzania danych osobowych. Niezależnie od braku nowoczesnych regulacji dotyczących wymogów technicznych i organizacyjnych podmioty przetwarzające dane osobowe są zobowiązane do ciągłego monitorowania i oceniania pojawiających się zagrożeń. Monitoringowi podlega również skuteczność zastosowanych środków przeciwdziałania zagrożeniom. Konieczność weryfikacji i zmian zabezpieczeń zależna jest więc od dynamicznie zmieniających się uwarunkowań. Zgodnie z definicją zawartą w art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) za dane osobowe uważane są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Podmiot dokonujący w ramach swojej działalności zarobkowej, zawodowej lub dla realizacji celów statutowych, takie czynności jak zbieranie, utrwalanie, przechowywanie, udostępnianie, zmienianie oraz usuwanie danych osobowych (przetwarzanie danych osobowych), traktowany jest jako administrator danych osobowych (vide art. 7 pkt 4 ustawy o ochronie danych osobowych). Przepisy ustawy o ochronie danych osobowych w art. 36 nakładają na administratora obowiązek prowadzenia dokumentacji zawierającej opis sposobu przetwarzania danych oraz środków technicznych i organizacyjnych zapewniających im ochronę. Zgodnie z art. 36 ustawy o ochronie danych osobowych administrator danych ma obowiązek zabezpieczenia danych m.in. przed ich nieuprawnionym ujawnieniem. W razie przesyłania danych metodą teletransmisji przy użyciu sieci publicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń, które
ochronią przesyłane dane. O tym, jakie środki należy zastosować, administrator powinien zdecydować samodzielnie, uwzględniając ryzyka związane z tego typu działaniami. Uzupełnieniem regulacji ustawowych jest akt wykonawczy wydany na podstawie art. 39 c ustawy o ochronie danych osobowych, definiujący podstawowe, można by powiedzieć minimalne wymogi techniczne oraz organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Obecnie obowiązujące rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) wskazuje na konieczność posiadania stosownej dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Ww. akt normatywny określa również sposób prowadzenia tejże dokumentacji. Zgodnie z 3 rozporządzenia na dokumentację, która powinna być prowadzona w formie pisemnej, składają się między innymi polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Polityka bezpieczeństwa to dokument opisujący cele i zasady zabezpieczenia danych - powinien zawierać w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, sposób przepływu danych między poszczególnymi systemami oraz określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Z kolei instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, powinna określać między innymi: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, sposób, miejsce
i okres przechowywania zarówno elektronicznych nośników informacji zawierających dane osobowe, jak i kopii zapasowych, sposób zabezpieczenia systemu informatycznego przed działalnością złośliwego oprogramowania oraz procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Przepisy rozporządzenia wskazują na konieczność szyfrowania ( środki ochrony kryptograficznej ). Rozporządzenie o nim wspomina w trzech punktach, tj. V, IX oraz XIII. W pkt V zwraca się uwagę, że dane osobowe przetwarzane na komputerach przenośnych należy szyfrować, o ile jest on transportowany poza obszar przetwarzania danych osobowych. Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w 4 pkt 1 rozporządzenia, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. Stosowanie środków kryptograficznych na urządzeniach mobilnych jest wiec koniecznością. Dane osobowe, które są transportowane poza obszar należy zabezpieczać w sposób zapewniający poufność i integralność danych do tego celu często stosuje się szyfrowanie, które zapewnia odpowiedni poziom zabezpieczenia i ochrony. Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych, przekazywane poza obszar, o którym mowa w 4 pkt 1 rozporządzenia, zabezpiecza się w sposób zapewniający poufność i integralność tych danych - czyli warunkiem sine qua non jest korzystanie ze środków umożliwiających szyfrowanie transmisji przesyłu. Szyfruje się również dane wykorzystywane do logowania. Najczęściej identyfikatora (loginu) i hasła - jeśli te dane przesyłane są przez np. internet, to należy je przesyłać zaszyfrowane. Administrator danych stosuje ponadto środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. Reasumując, z powyższego nasuwa się wniosek, iż sposób ochrony danych osobowych jest uzależniony od stopnia zaawansowania technologicznego działalności podmiotu przetwarzającego dane osobowe. De facto podmioty przetwarzające dane osobowe są pozostawione same sobie w zakresie budowania systemu ochrony danych, w oparciu o regulacje prawne, które nie są dostosowane do postępu technologicznego (wskazują jedynie minimalne wymagania systemowe) i w taki sposób, aby uniknąć sankcji za naruszenie przepisów ustawy o ochronie danych osobowych.
Administrator danych osobowych odpowiada za skuteczność zabezpieczeń karnie, natomiast za stosowanie minimalnych środków ochrony administracyjnie Wskazane w ustawie w art. 51 i art. 52, kary, dotyczą kwestii: udostępniania danych osobowych osobom nieupoważnionym: Art. 51.1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. ; naruszenia obowiązku zabezpieczenia danych osobowych: Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.. W zakresie odpowiedzialności administracyjnej podmiot przetwarzający dane może być ukarana karą grzywny, jednakże: każdorazowo nałożona grzywna nie może przekraczać kwoty 10 000 zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej kwoty 50 000 zł.; grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50 000 zł, a w stosunku do osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej kwoty 200 000 zł. i pkt V Załącznika A (Środki bezpieczeństwa na poziomie podstawowym) do Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. (Dz.U.2004.100.1024)