Rok 2017 możemy uznać jako przełomowy w zakresie przygotowań do wdrożenia europejskiego rozporządzenia o ochronie danych osobowych (RODO). Ustawodawca przedstawił projekt regulacji krajowych odnoszących się do planowanych zmian, a firmy informatyczne rozpoczęły przygotowania mające na celu dostosowanie swoich rozwiązań do nowych wymogów. Niestety, nie obeszło się również bez wpadek.
Spis treści:
RODO jako główny punkt zainteresowania
W nowym projekcie założenia, które przyświecały prawodawcy to przede wszystkim chęć podwyższenia poziomu prywatności obywateli, w tym przyznanie im nowych, nieznanych dzisiaj skutecznych mechanizmów ochrony przed naruszeniami, przy jednoczesnym poszanowaniu interesów przedsiębiorców. Krajowe przepisy udzielą kompetencji Prezesowi Urzędu Ochrony Danych Osobowych (następcy GIODO) do opracowywania i udostępniania na swojej stronie internetowej dobrych praktyk przetwarzania danych, zawierających rekomendowane środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania informacji.
Należy również zauważyć, iż GIODO rozpoczęło cykl szkoleń przygotowujących zarówno administratorów danych jak i obecnych ABI do wywiązywania się z przepisów RODO.
W mijającym roku wiele firm i organizacji intensywnie przygotowywało się i wdrażało rozwiązania, które pozwolą im spełnić wymogi ustawodawcy. Poza działalnością GIODO pomocne okazały się również instytucje i firmy edukujące w zakresie ochrony danych osobowych. Warte odnotowania są działania Fundacji Wiedza To Bezpieczeństwo – mówi Krzysztof Kiewicz, ODO24. Przeprowadzona kampania społeczno-edukacyjna „Potencjalnie nieBezpieczni”, której byliśmy partnerem wzbudziła duże zainteresowanie mediów. Dzięki temu udało nam się dotrzeć do szerokiego grona przedsiębiorców szukających informacji na temat nadchodzących zmian – dodaje.
Branża IT nie „zaspała”
Naturalną rzeczą jest, iż rewolucja w przepisach regulujących kwestie ochrony danych osobowych wymusi również zmiany w eksploatowanych już systemach teleinformatycznych. Jednym z podstawowych problemów było i będzie, zapewnienie systemom IT funkcjonalności przedstawionej w art. 17 ust. 1 RODO, tj. prawa do bycia zapomnianym. W tym przypadku konieczne jest przeszukanie wszystkich zasobów teleinformatycznych, co będzie nie lada wyzwaniem, gdyż dane mogą być nie tylko w bazach, ale również w plikach tekstowych zlokalizowanych na komputerach użytkowników, plikach ze skanami dokumentów itp.
Poważnie do tego problemu podszedł m.in. IBM oferując rozwiązania typu SIEM, takie jak:
- IBM Security Guardium. Zbiór narządzi, które rozwiązuje problemy jakie wiążą się z dostosowaniem obszaru IT do postanowień RODO. Umożliwia m.in. przeszukiwanie zasobów informatycznych w celu zidentyfikowania danych, a następnie wspiera ich klasyfikowanie. Umożliwia również stałe monitorowanie pod kątem zgodności dostępu do danych.
- IBM QRadar. Ułatwia konsolidowanie logów z eksploatowanych w organizacji systemów.
Również firma Hewlett Packard posiada w swojej ofercie oprogramowanie wspierające obszar IT w zakresie dostosowania do RODO. Jest to platforma zabezpieczająca HPE SecureData umożliwiająca m.in. zaawansowane mechanizmy szyfrowania czy też pseudononimizacji, jak również zabezpieczenia danych w chmurach publicznych. Ciekawym rozwiązaniem jest też oprogramowanie GREENmod oferowane przez firmę TUKAN IT. Narzędzie to wspomaga klasyfikowanie dokumentów oraz określanie stopnia ich poufności tuż przed zapisaniem ich na komputerze.
Wycieki danych…
Szerokim echem w mediach odbił się wyciek danych osobowych i medycznych setek pacjentów oraz informacji finansowych należących do dziesiątek szpitali, obsługiwanych przez podmiot zewnętrzny. W efekcie możliwe było poznanie m.in. historii chorób pacjentów, czy też kondycji finansowej poszczególnych placówek medycznych. Kontrola przeprowadzona przez GIODO wykazała liczne nieprawidłowości m.in. w rozwiązaniach i procedurach.
Kolejny duży wyciek – tyczący się aż 50 tys. osób – miał miejsce w firmie InPost. Oprócz danych osobowych pracowników, ujawniono również opisy zabezpieczeń fizycznych obiektów należących do firmy, a także konfiguracje umożliwiające zarządzanie paczkomatami.
W 2017 roku w Stanach Zjednoczonych doszło do największego w historii ujawnienia danych. Zdarzenie to dotyczyło około 200 milionów osób. Na jaw wyszły m.in. adresy, dane kart kredytowych oraz numery ubezpieczenia społecznego.
Podsumowując rok 2017 należy uznać go za kluczowy w kontekście przygotowań do wdrożenia wymagań RODO. Zrewolucjonizowane podejście do zabezpieczania danych osobowych zostało dostrzeżone nie tylko przez administratorów danych, ale również branżę IT dostarczającą narzędzia i usługi w tym zakresie – wskazuje Krzysztof Kiewicz, ODO 24. Nie bez znaczenia pozostaje również fakt głośnych spraw związanych z wyciekami danych, jak również podjętymi z nimi interwencjami GIODO, gdzie w każdej tego typu sytuacji podejmowana jest żywa dyskusja nt. bezpieczeństwa informacji oraz ryzyka jakie czyhają na każdego z nas – dodaje.