Jak zapewnić bezpieczeństwo danych osobowych w przedsiębiorstwie?
Rozwój cyberprzestrzeni może generować wzrost poziomu niebezpieczeństwa dla gromadzenia danych osobowych na cyfrowych nośnikach oraz urządzeniach. W jaki sposób odpowiednio zabezpieczyć takie dane przed nieuprawnionymi osobami lub utratą? Jak ochronić dane osobowe zarówno w małych, jak i większych przedsiębiorstwach? Dowiedz się, czym są takie dane, jak oszacować ryzyko ich utraty oraz jakie zabezpieczenia wdrożyć, żeby to zagrożenie zminimalizować.
Czym są dane osobowe?
W rozumieniu Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, za dane osobowe uważa się informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Za taką osobę uważa się natomiast kogoś, kogo tożsamość jest możliwa do określenia poprzez powołanie się na numer identyfikacyjny bądź jeden lub kilka specyficznych czynników, które określają cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe czy społeczne tej osoby. Ustawę tę jednak w 2018 roku zastąpiło unijne Rozporządzenie o Ochronie Danych Osobowych (RODO) oraz nowa ustawa o ochronie danych osobowych. Obecnie do danych osobowych zalicza się również pojedynczą informację, jak np. PESEL, imię i nazwisko czy e-mail, który pozwala określić tożsamość konkretnej osoby.
W praktyce oznacza to, że każde przedsiębiorstwo handlowe lub usługowe, które posiada dane klientów, przetwarza dane osobowe. Również to, którego usługi ograniczają się wyłącznie do działania w sieci. Obowiązkiem każdego przedsiębiorcy jest zatem m.in. zabezpieczanie danych. Jak przejść przez ten proces krok po kroku?
Utrata danych osobowych w firmie
Utrata danych, które zostały zgromadzone w przedsiębiorstwie, może nieść za sobą negatywne konsekwencje – od problemów wizerunkowych, po straty biznesowe. Dotyczy to również wycieku danych osobowych. Taki proces w nomenklaturze prawnej jest znany pod pojęciem „naruszenia ochrony danych osobowych”. Naruszenie to dotyczy przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, a także nieuprawnego ujawnienia lub nieuprawnionego dostępu do danych osobowych, które są przesyłane, przechowywane lub przetwarzane w inny sposób.
Tłumacząc to na sytuacje z życia codziennego, mogą to być m.in.:
- zgubienie przez pracownika działu księgowości pendrive'a, na którym znajduje się lista płac pracowników,
- atak hakerski,
- awarie sprzętu komputerowego i nośników (umyślne lub przypadkowe).
Przepisy dotyczące ochrony danych osobowych są zaostrzane nie tylko dlatego, że niepowołane osoby mogłyby mieć wgląd do takich informacji. Konsekwencje niewłaściwej ochrony mogą być znacznie poważniejsze, np. zaciągnięcie kredytu na dane tej konkretnej osoby czy nawet kradzież jej tożsamości.
Analiza ryzyka utraty danych osobowych
Przed podjęciem czynności, które mają zapewnić bezpieczeństwo danych osobowych w przedsiębiorstwie, ważnym czynnikiem jest ocena zagrożenia i ewentualnego ryzyka. Analizując ryzyko w przedsiębiorstwie, bierze się pod uwagę kontekst i mechanizmy kontrolne, a następnie szacuje się ryzyko oraz przygotowuje plan postępowania z nim. W tej kwestii można brać pod uwagę strukturę i rozmiar organizacji, stosowaną politykę, system obiegu informacji, a także środowisko technologiczne. Ważne są także aktywa organizacji, które wiążą się z przetwarzaniem danych osobowych. To m.in. aktywa wspierające, czyli sprzęt, oprogramowanie, sieć i personel.
Szacowanie ryzyka ma na celu określenie, co może się zdarzyć i jakie straty mogą wobec tego powstać. Wśród przyczyn utraty danych osobowych wyróżnia się między innymi przypadkowe lub umyślne działanie człowieka.
Do utraty wyżej wymienionych informacji zaliczają się:
- ataki hakerskie,
- uszkodzenia mechaniczne,
- awarie sprzętu,
- przypadki losowe.
Powyższa lista zagrożeń czyhających na firmy przetwarzające dane osobowe nie zmienia się od lat. Katalog potencjalnych zagrożeń można podzielić na:
- złośliwe oprogramowanie: wirus, ransomware, botnet;
- przełamanie zabezpieczeń: włamanie na konto, do systemu/aplikacji lub do infrastruktury;
- publikacja danych wrażliwych w sieci;
- nieuprawniony dostęp do danych, zniszczenie zasobu;
- czynnik ludzki i zdarzenia losowe, czyli wcześniej wspominane awarie lub zaniedbanie;
- cyberterroryzm: zdarzenie o charakterze terrorystycznym popełnione w cyberprzestrzeni.
Przyczyny takich zagrożeń mogą mieć różne źródło – może to być wrażliwość sprzętu na zmianę temperatury, brak mechanizmów uwierzytelniania w oprogramowaniu, brak szyfrowania transmisji czy nawet nienadzorowanie pracowników bądź niewykonywanie audytów bezpieczeństwa.
Cyberprzestępstwo coraz bardziej się rozwija, jednak w odpowiedzi na nie, wzrasta również świadomość użytkowników oraz różnego rodzaju systemy bezpieczeństwa. Analiza ryzyka wskazuje wymagania w zakresie ochrony – zalecane zabezpieczenia mogą skutecznie ochronić przed wyżej wymienionymi zagrożeniami, jednak w tej kwestii warto zwrócić się do specjalistów.
Przykład analizy ryzyka utraty danych osobowych:
W przypadku przechowywania elektronicznej dokumentacji medycznej zagrożeniem jest utrata danych osobowych w przypadku awarii nośnika danych (np. dysku). Poziom ryzyka jest w tym przypadku wysoki, przez co organizacja decyduje się na zastosowanie dodatkowych środków bezpieczeństwa w postaci systemu kopii zapasowych. Takie dane mogą być niezbędne do ratowania zdrowia i życia pacjentów. Przez ich utratę można stracić także zaufanie pacjentów do podmiotu przetwarzającego, czyli placówki świadczącej dane usługi medyczne.
Bezpieczeństwo danych osobowych w firmie – profilaktyka
Środki zabezpieczenia danych osobowych w przedsiębiorstwach nie są narzucone w Rozporządzeniu o Ochronie Danych Osobowych. W przepisach znajduje się jedynie ich przykładowy katalog, obejmujący:
- pseudonimizację i szyfrowanie danych osobowych,
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania,
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Kopie zapasowe danych osobowych
Jednym z najprostszych sposobów spełnienia powyższego obowiązku zdolności szybkiego przywrócenia danych jest stworzenie kopii zapasowych przetwarzanych danych osobowych (tzw. backup). Takie rozwiązanie pozwala przywrócić stan systemu sprzed awarii, przypadkowego usunięcia danych lub ataku hakerskiego.
Ważne, by do backupu danych również stosować środki bezpieczeństwa – szyfrowanie, oprogramowanie antywirusowe, zapory internetowe itd. Za kopię zapasową można wykorzystać:
- dysk zewnętrzny,
- dysk sieciowy,
- chmurę.
Pseudonimizacja i szyfrowanie danych
Bezpieczeństwo danych osobowych w przedsiębiorstwie może zapewnić również pseudonimizacja oraz proces szyfrowania danych. Pierwsze pojęcie dotyczy rozdzielenia danych z jednego zbioru na co najmniej kilka plików – po to, by w jednym dokumencie nie znalazły się dane umożliwiające identyfikację konkretnej osoby. Pliki połączone są kluczami, które pozwalają na ponowne złożenie danych w całość. Proces szyfrowania uniemożliwia dostęp niepowołanym lub nieupoważnionym osobom do zapisanych informacji. To szczególnie ważne przy urządzeniach przenośnych, takich jak pendrive czy laptop.
Bezpieczeństwo Wi-Fi
Przy ochronie informacji w danym przedsiębiorstwie warto zwrócić uwagę nawet na najmniejsze detale. Na bezpieczeństwo danych osobowych w firmie wpływ ma również odpowiednia konfiguracja sieci bezprzewodowej. Istotne jest ustawienie hasła administratora, szyfrowanie sieci czy połączenie przy pomocy VPN. Zaawansowane rozwiązania z pewnością doradzą specjaliści z zakresu IT.
Audyt IT
Jednym z zalecanych rozwiązań jest wykonanie profesjonalnego audytu systemów informatycznych. Dokładna analiza bieżącego stanu, ocena ryzyka i wdrożenie niezbędnych zabezpieczeń z pewnością ochroni zarówno mniejsze, jak i większe przedsiębiorstwa przed utratą danych osobowych.
Bezpieczeństwo danych osobowych w przedsiębiorstwie jest ważne nie tylko ze względu na przepisy obowiązujące w Polsce, ale przede wszystkim z uwagi na spokój zarówno ze strony osoby, która wyraża zgodę na przetwarzanie danych osobowych, jak i administratora danych lub podmiotu przetwarzającego. W tej kwestii warto zwrócić się o pomoc do specjalistów z branży IT – zachęcamy do konsultacji z przedstawicielami naszego przedsiębiorstwa, którzy na pewno doradzą w tej kwestii najkorzystniejsze rozwiązania.