Skuteczna ochrona danych przetwarzanych w systemach informatycznych to jeden z poważniejszych problemów, przed jakimi stają osoby odpowiedzialne za bezpieczeństwo informacji w firmie. Oto rozwiązania, z których korzysta Kobierzyckie Przedsiębiorstwo Wodociągów i Kanalizacji Sp. z o.o.
Kobierzyckie Przedsiębiorstwo Wodociągów i Kanalizacji Sp. z o.o. (KPWIK) funkcjonuje od 2015 roku. Odpowiada za zbiorowe dostarczanie wody i zbiorowe odprowadzanie ścieków w 33 miejscowościach gminy Kobierzyce zamieszkiwanej przez prawie 20 000 mieszkańców. Na terenie gminy znajduje się jedno z największych centrów handlowych w Polsce, a także specjalna strefa ekonomiczna, gdzie działalność prowadzą międzynarodowe koncerny zatrudniające łącznie ponad 30 000 osób z całego regionu.
Ochrona danych osobowych
Art. 32 rozporządzenia o ochronie danych osobowych[1] (RODO) dotyczący bezpieczeństwa przetwarzania zwraca uwagę na ryzyko związane z możliwością utraty, zniszczenia lub modyfikacji danych osobowych w wyniku przypadkowego lub niezgodnego z prawem działania.
Ze względu na charakter działalności prowadzonej przez KPWiK zdecydowaną większość przetwarzanych w systemach IT informacji stanowią dane osobowe. W celu lepszego ich zabezpieczenia i tym samym pełniejszego dostosowania organizacji do wymagań RODO, partner informatyczny przedsiębiorstwa, firma Surfland Systemy Komputerowe SA (SSK), przeprowadził audyt zgodności z nowymi przepisami, a następnie opracował propozycję wdrożenia mechanizmów zwiększających poziom bezpieczeństwa danych.
Groźne ransomware
Wg bieżących statystyk jednym z największych zagrożeń dla informacji gromadzonych w systemach informatycznych jest ransomware. Atak ransomware polega na zaszyfrowaniu przez złośliwe oprogramowanie danych znajdujących się na dyskach twardych w serwerach, dyskach sieciowych i komputerach, a następnie żądaniu zapłaty „okupu” za przesłanie klucza pozwalającego na ich odszyfrowanie. Często zdarza się, iż pomimo wniesienia opłaty i otrzymania klucza deszyfrującego, danych nie udaje się odzyskać.
Eksperci z branży bezpieczeństwa w sieci przewidują, że w kolejnych latach przestępstwa tego typu będą jeszcze częstsze. Ataki są stosunkowo proste do przeprowadzenia (w internecie można nawet znaleźć strony z gotowym oprogramowaniem ransomware do pobrania), a przestępcy infekując coraz większą ilość urządzeń, skutecznie zwiększają swoje dochody.
Backup kontra ransomware
Po analizie potencjalnych zagrożeń dla danych osobowych KPWIK wykonanej w ramach audytu bezpieczeństwa danych, w pierwszej kolejności skupiono się na ich zabezpieczeniu przed utratą w następstwie ewentualnego działania szkodliwego oprogramowania lub awarii sprzętu. W tym celu wdrożono kompleksowe rozwiązanie ODOBackup składające się z oprogramowania oraz przestrzeni w chmurze do przechowywania kopii zapasowych. Zewnętrzna kopia bezpieczeństwa to pierwsza pomoc po ataku ransomware.
Zaimplementowane rozwiązanie oferuje szyfrowany backup (możliwość skorzystania z własnego klucza szyfrującego) oraz zapewnia bezpieczną synchronizację danych. Umożliwia utworzenie polityki automatycznego wykonywania kopii zapasowych według ustalonego harmonogramu i zabezpiecza całą infrastrukturę biznesową od stacji roboczych, laptopów po serwery fizyczne i wirtualne. Szczególnie przydatną funkcjonalnością jest tworzenie tzw. „obrazu komputera lub serwera” zawierającego skonfigurowany system operacyjny wraz z zainstalowanymi aplikacjami. Daje to możliwość odtworzenia „obrazu” na tej takiej samej lub innej konfiguracji sprzętowej. W sposób znaczący usprawnia się dzięki temu powrót do normalnej pracy np. po kradzieży laptopa czy sprzętowej awarii serwera. Zaszyfrowane przez ODOBackup kopie zapasowe przechowywane są w dwóch niezależnych serwerowniach zlokalizowanych na terenie Polski, a licencja uprawnia KPWIK do objęcia ochroną nielimitowanej liczby urządzeń lub serwerów wirtualnych w ramach użytkowanej przestrzeni, która w razie potrzeby może być zwiększona.
Ataki ransomware, o których regularnie słyszymy w środkach masowego przekazu powodują, iż klienci z małych i średnich przedsiębiorstw stają się coraz bardziej świadomi istniejących zagrożeń. ODOBackup jest odpowiedzią na zapotrzebowanie rynku na proste we wdrożeniu i elastyczne w użyciu rozwiązanie do tworzenia kopii zapasowych bez konieczności inwestowania we własną infrastrukturę. – Piotr Wincewicz, Manager ds. Rozwoju, Surfland Systemy Komputerowe S.A.
Poszukiwaliśmy kompleksowego a jednocześnie przystępnego kosztowo rozwiązania, które skutecznie ochroni nasze dane i umożliwi szybki powrót do stanu poprzedniego w przypadku ataku oprogramowania szyfrującego dane. Istotnymi czynnikami, które zadecydowały o wyborze ODO Backup były bezpieczeństwo przechowywania tworzonych kopii zapasowych oraz prosty i elastyczny model licencjonowania pozwalający na łatwe prognozowanie kosztów usługi. – Konrad Żechałko, prezes zarządu, KPWiK Sp. z o.o.
Szyfrowanie jako metoda zabezpieczenia danych przed dostępem osób nieuprawnionych
Art. 32 RODO podkreśla konieczność zabezpieczenia przechowywanych i przetwarzanych danych osobowych przed dostępem osób nieuprawionych. Zalecanym rozwiązaniem jest zastosowanie odpowiednich organizacyjnych środków bezpieczeństwa w połączeniu z rozwiązaniami informatycznymi. Jednym z najbardziej skutecznych, technicznych sposobów ochrony danych przetwarzanych w wersji elektronicznej przed dostępem osób nieuprawnionych jest ich szyfrowanie.
W ramach działań mających na celu spełnienie zaleceń RODO w KPWiK kolejnym krokiem było techniczne zabezpieczenie danych znajdujących się na komputerach przed dostępem osób nieuprawnionych. Po konsultacjach z Surfland Systemy Komputerowe przedsiębiorstwo zdecydowało się na wdrożenie także oprogramowania umożliwiającego szyfrowanie całej powierzchni dysku wraz z możliwością dodatkowego szyfrowania plików i folderów oraz nośników wymiennych. Ważną funkcjonalnością oprogramowania jest możliwość zarządzania szyfrowanymi komputerami przez administratora. W ramach projektu dostarczono oprogramowanie kryptograficzne oraz wykonano usługę szyfrowania dysków.
Współpracując z Surfland Systemy Komputerowe otrzymujemy rozwiązania informatyczne a także, co moim zdaniem jest szczególnie istotne, praktyczną wiedzę z szeroko pojętego zakresu bezpieczeństwa informatycznego którą możemy wykorzystać w codziennych czynnościach. – Konrad Żechałko, Prezes Zarządu, KPWiK Sp. z o.o.