“Nie mam nic do ukrycia” – takie zdanie słyszeliśmy jeszcze 3 lata temu w zespole PrivMX bardzo często. Padało ono zarówno ze strony polskich, jak i europejskich przedsiębiorców, z którymi podczas biznesowych spotkań, konferencji technologicznych, paneli i dyskusji kuluarowych rozmawialiśmy o prywatności.
Mimo, że koncepcja użycia szyfrowania do ochrony kluczowych dokumentów i poufnej komunikacji wydawała się wszystkim zupełnie racjonalna, na samą myśl o wdrożeniu nowego rozwiązania w zespole entuzjazm szybko opadał. Wizja forsowania kolejnej cyfrowej transformacji wśród pracowników, którzy dopiero oswajali się z rozwiązaniami chmurowymi, była widocznie zbyt przytłaczająca.
Cóż, dziś te rozmowy wyglądają zupełnie inaczej. Czy to za sprawą cyber pandemii, czy wojny w Ukrainie, przedsiębiorcy zdają sobie sprawę z własnej odpowiedzialności za bezpieczeństwo danych firmowych, komunikacji z klientami i za zgodność z obecnymi regulacjami prawa. Okazuje się, że technologia szyfrowania end-to-end jest odpowiedzią na 3 rodzaje ryzyka, z którymi musi liczyć się codziennie każdy biznes.
RYZYKO 1: PERSPEKTYWA RODO i NIS2
Ochrona danych osobowych w zdalnym i hybrydowym zespole – jak zachować zgodność z przepisami?
Mamy już za sobą czasy, kiedy na wspomnienie RODO głównie przewracano oczami – dziś każdy mieszkaniec UE powinien docenić fakt, że chroniąca nasze dane legislacja wyznacza w globalnym cyfrowym pejzażu pewne nieprzekraczalne granice i pozwala myśleć z nieco większym spokojem o szkicowanej przez AI przyszłości.
Fakty są proste – jeśli w swojej organizacji w jakikolwiek sposób przetwarzamy dane osobowe obywateli Unii – czyli na przykład przechowujemy je lub przesyłamy – procesy te muszą być zgodne z GDPR, a teraz także z NIS2. W zdalnych i hybrydowy zespołach zachowanie tej zgodności bywa trudne, głównie z racji skomplikowanego przepływu informacji, w który zaangażowane są różne osoby w różnych lokalizacjach, korzystające z różnych urządzeń i rozproszonych aplikacji. Tymczasem na szali jest nie tylko legalność działań firmy, ale także jej reputacja wśród klientów i opinii publicznej.
Szyfrowanie end-to-end wychodzi na przeciw tym problemom; zapewnia m.in. faktyczną ochronę danych przed dostępem osób trzecich i daje pewność, że do poufnych informacji dopuszczone są jedynie konkretne osoby. Tylko nadawcy i odbiorcy, czyli uprawnione osoby, mają odpowiednie klucze, by je odczytać. Stosowane w narzędziach do komunikacji tekstowej i video oraz przy przesyłaniu i przechowywaniu dokumentów, szyfrowanie E2E zapewnia właściwy poziom ochrony i zabezpiecza dane skutecznie na serwerze (Więcej informacji na temat perspektywy prawnej szyfrowania znaleźć można w artykule radcy prawnego Michała Nosowskiego
RYZYKO 2: ATAKI, WYCIEKI, BŁĘDY
Jak zapewnić totalną prywatność informacji i realną ochronę danych w chmurze?
Prawny kontekst ochrony danych to jedno, ale ich realne zabezpieczenie to kolejne wyzwanie cyfrowej gospodarki. Dawno już straciliśmy złudzenia, że sprzedawcy i operatorzy usług myślą głównie o bezpieczeństwie naszych danych – nawet jeśli pozostał w nas gdzieś cień dawnej naiwności wobec technologicznych gigantów, zdajemy sobie doskonale sprawę, że ich kolosalne biznesy opierają się właśnie na bezwzględnym handlu danymi. Na rynku istnieje masa popularnych rozwiązań chmurowych, które tylko pozornie zabezpieczają informacje – w istocie udostępniają je, na jakimś etapie pomiędzy urządzeniami użytkownika i serwerem, szeregom podmiotów trzecich do przetwarzania i analizy.
Ten rodzaj ryzyka pochodzi z wewnątrz i wiąże się z praktykami zespołu. Z wielu badań wynika, że oprócz zagrożeń ze strony hakerów, największe ryzyko wycieku danych powodują zwykłe ludzkie błędy i zaniedbania w zakresie cyfrowej higieny.
Jak w tak chwiejnej rzeczywistości zapewnić własnym klientom i partnerom biznesowym godny zaufania model komunikacji i wymiany danych?
Na przeciw tej potrzebie wychodzą aplikacje typu privacy-by-design, które pozwalają przeciwdziałać błędom pracowników i przetrzymywać najcenniejsze zasoby danych w szczelnym środowisku. W rozwiązaniach marki PrivMX hołdujemy zasadzie domyślnej prywatności (privacy-by-design) – czyli aplikacje budowane są od początku z myślą o ochronie danych, nie jest to tylko dodatkowa funkcja, o której trzeba pamiętać. Budujemy kompleksowy system skrojony na miarę współczesnych biznesów, z ich dynamiczną strukturą zatrudnienia, rozproszeniem i elastycznym podejściem do technologii. Zarówno oprogramowanie do wewnętrznej pracy zespołowej PrivMX Fusion, jak i powstająca aplikacja do prowadzenia zewnętrznych relacji biznesowych PrivMX Contact, pozwalają użytkownikom na zachowanie najwyższego poziomu dbałości o bezpieczeństwo w lekkim i intuicyjnym środowisku cyfrowym. Zaawansowane algorytmy szyfrowania zero-knowledge działają w tle, ograniczając ryzyko błędów i wycieków danych, bez dodatkowego angażowania użytkownika.
RYZYKO 3: LOKALIZACJA
Londyn, Paryż, Nowy Jork, czy może Moskwa – gdzie są dane Twojej firmy i kto ma do nich dostęp?
Kwestia lokalizacji geograficznej danych była ostatnio szerzej dyskutowana po eskalacji agresji Rosji na Ukrainę, ale tak naprawdę ma istotne znaczenie odkąd tylko na mapie cyfrowych produktów pojawiły się Chiny. Możemy przyjrzeć się bliżej wszystkim jej skomplikowanym aspektom na przykładzie amerykańskiej kontrowersji z TikTokiem, ale dla polskiego przedsiębiorcy liczy się głównie… spokój. Czy można jednak spać spokojnie nie wiedząc do końca, jak przetwarzane są dane firmy i jej klientów?
Przy wyborze usługi cyfrowej zawsze warto wziąć pod uwagę szczegóły polityki prywatności i właśnie lokalizację operatora – przepisy dotyczące przetwarzania informacji różnią się na świecie coraz bardziej, czego przykładem może być zaogniona dyskusja o nowym projekcie Online Safety Bill w Wielkiej Brytanii, zahaczająca o kwestie inwigilacji, wolności słowa i prywatności.
Szyfrowanie jest w tym kontekście bezkompromisową opcją: nie da się rozszczelnić go tylko dla wybranych, działa wyłącznie w opcji “wszystko albo nic”. Chroni treści bez względu na lokalizację data center i toczących się lokalnie dysput. Budując portfolio rozwiązań PrivMX zadbaliśmy jednak, żeby w tej kwestii także zachować pełną transparentność – przy tworzeniu konta w aplikacji PrivMX Fusion, użytkownik może wybrać, gdzie dokładnie ulokowane są dane i zachować tym samym pełną kontrolę nad własnymi zasobami. Wierzymy, że prawo do prywatności i kontrolowania własności intelektualnej swojego zespołu to nowa norma, do której powinny dążyć firmy technologiczne.
Obserwujemy, jak zarezerwowana do tej pory dla sektora militarnego i wielkich korporacji kryptografia staje się powoli biznesowym standardem. Firmy coraz częściej dostrzegają potencjał tej technologii w budowaniu trwałych, odpowiedzialnych i opartych na zaufaniu relacji biznesowych. Warto dostrzec ten trend i już teraz przygotować swoją organizację tak, aby była odporna na różne rodzaje ryzyka.