Demony RODO a fizyczne zabezpieczenie dostępu do szaf serwerowych

Przemysław Kucharzewski
8 min

Czy firmy aby na pewno kojarzą RODO/GDPR z bezpieczeństwem, prywatnością, ochroną czy może raczej z niezrozumiałym, skomplikowanym, biurokratycznym zagrożeniem, które potencjalnie wiąże się z dużymi i bolesnymi karami? Bywa z tym różnie. Pośród wielu aspektów związanych z RODO, warto wspomnieć o zagadnieniu fizycznego dostępu do szaf serwerowych zarówno w profesjonalnych centrach danych jak i zwykłych serwerowniach firmowych. Dzięki analizie praktycznego zastosowania rozwiązań koniecznych z perspektywy Rozporządzenia na przykładzie rozwiązań firmy ESSE (www.esse.global), łatwiej będzie dostrzec to, co w rzeczywistości oznacza sprawna i skuteczna ochrona danych.

Nowe regulacje mają wpływ praktycznie na większość podmiotów w obrębie Unii Europejskiej, ale też, pośrednio, na wiele międzynarodowych firm, które muszą dostosować swą politykę ochrony danych w kontekście najnowszych wymogów UE, chcąc stabilnie działać w sieci naczyń połączonych świata globalnego biznesu.

Warto pamiętać, iż RODO traktuje bardziej o poufności danych osobowych, a nie stricte o ich zabezpieczeniu. Być może dlatego w samym dokumencie próżno szukać konkretnych wytycznych technologicznych czy sprzętowych. Pomimo tego faktu, poszczególne zapisy rozporządzenia obligują do implementacji różnego rodzaju środków bezpieczeństwa, w zależności od możliwości technicznych firmy i zasobności jej portfela.

Zastanówmy się, o jakie kluczowe aspekty ekosystemu cyberbezpieczeństwa oraz ochrony danych powinny zadbać europejskie firmy, aby spełniać najwyższe standardy na rynku i stać się „teflonowymi” na wszelkie ewentualne roszczenia. Do aspektów tych należą:

REKLAMA
  • kontrola dostępu i tożsamości użytkownika,
  • zabezpieczenie danych osobowych przed nieuprawnionym dostępem, przypadkowym lub celowym zniszczeniem, utratą czy modyfikacją, a być może nawet szpiegostwem korporacyjnym czy wywiadem gospodarczym,
  • szyfrowanie transmisji i pseudonimizacja danych,
  • integralność, dostępność i poufność zbiorów danych.

Tak brzmi teoria, jednak jak to wygląda w praktyce? W jaki sposób firmy dostosowały swoją ofertę z zakresu cyberbezpieczeństwa do wymogów związanych z RODO?

Robert Karkulowski
Robert Karkulowski

W ESSE podeszliśmy do zagadnienia pragmatycznie i nowatorsko, a przede wszystkim systemowo. Myśląc o powyższych filarach zabezpieczeń serwerowni, zaprojektowaliśmy nowoczesny system kontroli dostępu „ProtectLock™”, który od kilku miesięcy wdrażany jest z powodzeniem na europejskim rynku. Wiele firm postrzega kwestię zabezpieczeń dostępu do zbiorów danych jedynie z perspektywy oprogramowania – my dodatkowo zaoferowaliśmy zabezpieczenia fizyczne i organizacyjne.

Technologia, którą dysponujemy zapewnia kompleksowe wsparcie dla serwerowni. Cechuje ją niezawodność i funkcjonalność. Na system składa się klamka z elektrozamkiem wysokiej klasy, klawiatura szyfrująca na froncie szafy, zaawansowany sterownik  oraz dedykowany software „AirKey™” umieszczony w dowolnym segmencie wewnętrznej sieci firmy. – mówi Robert Karkulowski, prezes zarządu ESSE (www.esse.global) oraz VisionTime (www.visiontime.pl) – producent i dostawca rozwiązań z zakresu kontroli dostępu i automatyki budynkowej.

Rozwiązanie proponowane przez ESSE posiada kilka ważnych zalet, z których należy wymienić m.in.:

  • Dostęp do szafy jest zabezpieczony fizycznie podczas wszystkich rutynowych, incydentalnych oraz awaryjnych czynności, które maja miejsce na terenie obiektu;
  • Rozwiązanie umożliwia prowadzenie pełnego rejestru i ewidencji dostępu do zbioru danych, jak również archiwizacji i raportowania wszelkich zdarzeń w obrębie systemu;
  • Scentralizowany system zarządzania „AirKey™” z intuicyjnego dashboard’u online świetnie działa w architekturze rozproszonej – w przypadku firm z licznymi oddziałami, odległych jednostek czy skomplikowanych rozwiązań infrastrukturalnych;
  • Zapewniona jest gwarancja unikalności i niepowtarzalności sekwencji kodu autoryzacyjnego;
  • Rozwiązanie posiada możliwość buforowania zdarzeń i zapamiętania kodów – system jest bezpieczny w przypadku braku zasilania, zaniku komunikacji z serwerem lub utraty online;
  • Zarządzanie dostępem wg poziomu autoryzacji i zadań poszczególnych użytkowników systemu;
  • Użytkownicy są ściśle zdefiniowani i skategoryzowani, mają zawężone uprawnienia stosownie do roli jaką odgrywają w obrębie organizacji.

zamki produkt ESSE

System „ProtectLock™” wydaje się być idealnym rozwiązaniem dla sektora IT/ICT, farm serwerowych, serwerowni mobilnych, firm z wieloma oddziałami, bankowości, agencji ochrony, sektora retailu sieciowego, urzędów państwowych i administracji publicznej, ośrodków zdrowia, hoteli, ośrodków akademickich, archiwów, przemysłu czy transportu i logistyki.

zamki produkt ESSE

Czy umiemy zdefiniować elementarne aspekty bezpieczeństwa serwerowni? Co tak naprawdę powinniśmy zrobić w przypadku zaistnienia niepożądanego incydentu, a przede wszystkim, jak starać się temu zapobiec?

I tu ważna jest polityka bezpieczeństwa, ale również możliwość stałego i precyzyjnego monitoringu wszystkich zdarzeń, które mają miejsce w obrębie każdej szafy serwerowej.

Kontrola i spełnienie wszystkich kryteriów nie wydaje się należeć do najłatwiejszych, jednak rozwiązania firm technologicznych mogą znacznie ułatwić zadanie. Na przykład, najnowsze rozwiązania oferowane przez system ESSE oferują możliwość m.in.:

  • kontroli w czasie rzeczywistym parametrów zamka, drzwi głównych, tylnych i ścian bocznych szafy (otwarcie, zamknięcie, niedomknięcie, niezabezpieczenie, itd.),
  • kontroli, archiwizacji i raportowania informacji o tym kto, kiedy i jak uzyskał autoryzację oraz dostęp do szafy serwerowej. a także w jakich okolicznościach aktywnie użył kodu autoryzacyjnego,
  • kontroli okoliczności prób nieautoryzowanego dostępu,
  • zabezpieczenia przeciw mechanicznemu/siłowemu wejściu/próbie włamania,
  • szyfrowanej transmisji danych między kontrolerem a serwerem,
  • łatwej zdalnej dystrybucji kodów autoryzacyjnych na dowolną odległość,
  • korzystania z kodów stałych, czasowych, krotnych, jednorazowych – z dowolnie definiowanymi przedziałami daty i czasu,
  • kontroli parametrów pomieszczenia (temperatura, wilgotność).

dashboard zdarzenia

dashboard zamki

dashboard klucze

Dziś serwerownie czy centra danych są administratorem danych osobowych w rozumieniu wewnętrznym, dotyczącym zatrudnienia, HR, danych zdrowotnych, sprzedażowych, marketingowych, płacowych czy CCTV.

Są również podmiotem przetwarzającym dane stron trzecich, do których to danych nie mają bezpośredniego wglądu czy dostępu, czyli danych swoich klientów. Skutkuje to potencjalnie podwójną odpowiedzialnością takich firm w zakresie ochrony i kontroli dostępu do obu tych zbiorów w rozumieniu nowych przepisów RODO.

Niezliczone dane osobowe, telefony, prywatne e-maile i wiadomości, numery kont, hasła, bilingi, wrażliwe dane medyczne czy te dotyczące wyznania, preferencji seksualnych bądź sympatii politycznych lub po prostu pilnie strzeżone strategiczne informacje korporacyjne to w dzisiejszym cyfrowym świecie gorący towar a, niejednokrotnie, wręcz waluta przetargowa. Giganci jak T-mobile, Uber, FedEx, Deloitte, Yahoo, eBay, JP Morgan, czy flagowe ostatnio Facebook i  Cambridge Analytica, boleśnie się o tym przekonały. Na takie aktywa warto mieć dobry sejf! – zaznacza Robert Karkulowski.

[emaillocker id=16825]zamek+keypad ESSE

Pozostaje nam rozważyć kwestię, jak się mają astronomiczne kary do potencjalnych możliwości odpowiedzialności cywilnej i finansowej mikroprzedsiębiorstw albo jaki jest stosunek potężnych globalnych koncernów stosujących zaawansowaną żonglerkę naszymi danymi, głębokie algorytmy analizujące modele behawioralne i zakupowe czy profilujących nasze kliknięcia w przeglądarkach, do takich podmiotów, których operacje „big data” nie stanowią głównej działalności komercyjnej. Odpowiedzi przyjdą z czasem.

Niezliczone dane, niektóre aktywa i generalnie wartość stanowiąca o potencjale przedsiębiorstwa regularnie migrują do formy online. Coraz więcej urządzeń IOT jest zintegrowanych z infrastrukturą sieciową. Niebezpieczeństwo utraty zdolności operacyjnej oraz reputacji, a także narażenia ludzi na ryzyko związane z dostępem do wrażliwych danych powinno skłonić do poważnego potraktowania kwestii fizycznego zabezpieczenia oraz kontroli dostępu do newralgicznych elementów infrastruktury sieciowej i baz danych we wszystkich firmach, które mają w swoich zasobach choćby jeden serwer.

Pobierz informacje

[/emaillocker]

PARTNER ARTYKUŁU

esse