O narzędziach do szyfrowania zaczęło się głośno szczególnie w kontekście RODO. Ale należy mieć świadomość, że szyfrowanie to jedno z podstawowych zabezpieczeń zarówno danych osobowych, jak i firmowych. Według mnie, jest ono niezbędne w przypadku przenośnych nośników danych.
Czy zdarzyło się Wam zgubić pendrive albo nagraną płytę CD/DVD? To zdarza się bardzo często, często zdarza się również, że pożyczamy znajomym czy współpracownikom pendrive, na którym są już jakieś pliki z szeregiem ważnych, a nawet bardzo ważnych danych czy to biznesowych czy osobowych (zdjęcia, wyniki badań).
Czy ukradziono Wam albo znacie kogoś, komu ukradziono notebooka np. z samochodu podczas pobytu w hipermarkecie? Ja znam co najmniej kilka takich przypadków.
Można mieć oczywiście ubezpieczone auto czy notebooka od kradzieży, ale przecież dostaniemy w takim przypadku jedynie odszkodowanie za sprzęt, nie zaś za dane. Co istotne, do niezaszyfrowanych danych na takim nośniku czy urządzeniu może mieć dostęp każda osoba.
Co zazwyczaj pada łupem złodziei danych? Dane osobowe pracowników, klientów, dostawców, umowy, oferty, zamówienia, CV pracowników i kandydatów do pracy…. Jak widać, są to zarówno dane osobowe jak i biznesowe. Utrata danych biznesowych może oznaczać stratę finansową przedsiębiorstwa.
Brak jednego hasła i strata kilkuset tysięcy złotych
Wiele lat temu w jednym z przedsiębiorstw, z którym współpracowałem przygotowywana była oferta na dostawę o wartości wielu milionów złotych w ramach postępowania publicznego, na którym firma miała zarobić kilkaset tysięcy. Oferta, zgodnie z wymaganiami, została złożona w terminie, ale niestety okazało się, że jeden z konkurentów złożył ofertę różniącą się ceną o dokładnie 0.4% w każdej z pozycji. Nie mógł być to przypadek – bo przypadki tego typu są mniej prawdopodobne jak wygrana szóstki w totolotka. Dlaczego tak się stało? Otóż dane z ofertą ani nie były chronione jakimkolwiek hasłem ani też nie były szyfrowane. Ktoś, pisząc kolokwialnie, ukradł dane i przekazał konkurencji. Takie zdarzenie nie powinno mieć miejsca w przypadku dokładnie opracowanej polityki bezpieczeństwa IT (czy to szyfrowania danych, czy systemu DLP, czy też opracowaniu właściwego dostępu do sieciowych zasobów dyskowych – a najlepiej kompletu tych narzędzi).
Życie to jedno, a regulacje prawne to drugie – przypomnijmy, co mówi artykuł 32 RODO dotyczący bezpieczeństwa przetwarzania:
/…/administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) /…/szyfrowanie danych osobowych /…/
Jaką politykę szyfrowania wybrać?
1. Co szyfrować?
Konieczne jest zaszyfrowanie wszystkich przenośnych nośników danych – dysków notebooków, pendrive, płyt CDRW/DVDRW z danymi. Warto szyfrować współdzielone zasoby dyskowe, do których dostęp ma więcej osób niż wynika to z konieczności udostępniania danych.
2. Czy stosować profesjonalne narzędzia do szyfrowania czy opierać się na darmowych programach?
Darmowe rozwiązania są wystarczające w zastosowaniach domowych albo jednoosobowych działalności gospodarczych. W przypadku organizacji zatrudniającej co najmniej kilku pracowników – warto zdecydować się na rozwiązanie płatne o kilku istotnych funkcjonalnościach, a więc posiadających np. konsolę centralnego zarządzania czy też opcję odzyskiwania haseł. Warto też sprawdzić, jakim algorytmem szyfrowane są dane. No i też w takim przypadku jeśli płacimy za rozwiązanie jesteśmy w stanie wykazać (w kontekście RODO i ewentualnej kontroli – że to narzędzie rzeczywiście było wdrożone i że w określonych sposób zabezpiecza dane).
Na co zwracać uwagę wdrażając narzędzia do szyfrowania?
Rozwiązanie powinno:
– być wyposażone w moduł centralnego zarządzania, najlepiej w języku polskim, sprzężone z Active Directory, tak aby móc z jednego miejsca zarządzać użytkownikami, uprawnieniami i hasłami do systemu,
– pozwalać na współdzielenie szyfrowanych zasobów (czyli do przykładowego pliku oferty dostęp ma zespół projektowy),
– pozwalać na szyfrowanie przy pomocy dodatkowych zabezpieczeń, jak np. odciski palców czy karta chipowa,
– szyfrować pliki, foldery, pocztę i pozwalać na wysyłanie informacji dotyczącym szyfrowania innym kanałem komunikacyjnym (np. SMS),
– pozwalać na zarządzanie współdzieleniem szyfrowanych plików dzięki kluczom szyfrującym oraz zarządzanie użytkownikami gdy przebywają poza firmą (np. odzyskiwanie haseł),
– pozwalać na uzyskanie wersji ratunkowej (np. płyty w przypadku awarii sprzętu umożliwia odszyfrować dysk na innym komputerze),
– posiadać opcję systemu pozwalającą na szyfrowanie danych i umieszczanie ich w „skrzynkach” odbiorców komunikacji, bez udziału systemów poczty elektronicznej.
Odpowiedź na pytanie czy warto szyfrować dane jest oczywista – warto, bo brak szyfrowania może kosztować. I nie chcę tutaj powielać informacji o potencjalnych karach wynikających z RODO, ale powinniśmy zdać sobie sprawę, że „żałując” kwoty rzędu 100 złotych rocznie na stanowisko, możemy stracić kilka (kilkadziesiąt, kilkaset) tysięcy złotych.
A czy Ty szyfrujesz swoje dane?