Firmy gromadzą coraz większe ilości danych przy jednoczesnej dywersyfikacji urządzeń, na których dane te są przetwarzane. Zagwarantowanie bezpieczeństwa poufnych informacji w tak zmiennym i wymagającym otoczeniu stanowi zatem jedno z kluczowych wyzwań współczesnej legislacji. Pytanie, czy priorytet ochrony danych osobowych przekuty na regulacje prawne realnie zmniejszy zagrożenia wykorzystywania naszej prywatności przez firmy?
@@
Wśród najważniejszych wyzwań dla bezpieczeństwa IT w 2014 r. specjaliści wskazują ochronę własnej prywatności w sieciach społecznościowych, kontrolę przepływu danych w urządzeniach mobilnych i zakres ochrony poufności w modelu Big Data i chmurze.
¯yjemy w nowym kontekście - cloud computing, wirtualizacja biznesu, łączenie go z mediami społecznościowymi, rosnąca liczba urządzeń mobilnych przystosowanych do przetwarzania informacji – to nowe przestrzenie technologiczne, które stanowią wyzwanie dla ochrony naszej prywatności. Jako przeciętni użytkownicy cyfrowego świata, nie zawsze jesteśmy świadomi jego zagrożeń, dlatego edukacja w tym obszarze wydaje się niezbędna. A w kontekście wrażliwych, poufnych danych także edukacja w kwestiach prawnych, ponieważ ich bezpieczne przetwarzanie stanowi nie tylko szczególne wyzwanie, ale również zobowiązanie.
- Zagadnienie bezpieczeństwa systemów informatycznych, w których przetwarza się dane osobowe, nabiera coraz większego znaczenia, ponieważ zakres takiego przetwarzania staje się coraz szerszy. Firmy i inne podmioty obrotu prawnego pozyskują olbrzymie ilości danych, materiałów lub informacji pochodzących z różnych źródeł. Nie zawsze wraz z gromadzeniem danych związana jest świadomość, iż podlegają one ochronie prawnej, zarówno na etapie ich pozyskiwania, przechowywania, czy też dalszego wykorzystania. Polskie firmy wykazują niską świadomość wagi zabezpieczeń poufnych danych. Trudności w poprawnym rozumieniu zapisów prawa oraz ich właściwa interpretacja, to główne potrzeby edukacji w tym zakresie – stwierdza Adrian Lapierre wykładowca Akademii Altkom, specjalista w obszarze projektowania i audytu bezpieczeństwa systemów IT, CEO firmy SoftProject.
Czy nasza tożsamość to jeszcze nasza prywatność?
Zgodnie z Ustawą o Ochronie Danych Osobowych, dane osobowe to „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. W świetle prawa, każde przedsiębiorstwo lub jednostka organizacyjna zatrudniająca choćby jednego pracownika lub przetwarzająca dane osobowe przynajmniej jednego klienta, dysponuje zbiorem danych i musi posiadać odpowiednią dokumentację związaną z historią ich przetwarzania. Poufną daną jest nie tylko numer identyfikacyjny osoby, jak NIP czy PESEL, dane teleadresowe czy adres e-mail, ale również jej charakterystyczne cechy fizyczne, fizjologiczne, umysłowe czy społeczne. Spod ochrony wyłączone są jedynie jawne informacje, figurujące w rejestrze działalności gospodarczej przedsiębiorcy. Oznacza to, że każdy e-mail wysłany przez pracownika w interesie firmy stanowi operację na zbiorze danych osobowych, podlegającą przepisom ustawy, ponieważ identyfikuje adresata wiadomości.
- Za niezgłoszenie zbioru danych osobowych, ich bezprawne pozyskanie, przechowywanie bądź utratę grożą surowe kary finansowe, zakaz przetwarzania danych osobowych, a nawet kara pozbawienia wolności. Dla wielu firm egzekucja kary może oznaczać przerwę w działalność lub nawet upadłość. Do obowiązków firmy należy nie tylko zadbanie o bezpieczeństwo infrastruktury systemów informatycznych, co stanowi odpowiedzialność działów IT, ale również opracowanie w formie pisemnej i wdrożenie Polityki Bezpieczeństwa Informacji, która reguluje sposób zarządzania, ochrony i dystrybucji informacji stanowiącej dane osobowe - podaje Adrian Lapierre.
koniec_str_1#
BYOD
Zidentyfikowane zagrożenia:
- 79 proc. ankietowanych specjalistów IT przyznało, że w ciągu zeszłego roku ich firma doświadczyła incydentów bezpieczeństwa w związku z mobilnymi danymi, 42 proc. z nich przyznało, że straty z nimi związane wyniosły ponad 100 000 dolarów, a 16 proc. oszacowało je na ponad 500 000 dolarów (raport Check Point Mobile Security Survey 2013)
- 42 proc. (150 proc. w Polsce) wzrosła liczba osób gotowych złamać korporacyjne zasady korzystania z własnych urządzeń w miejscu pracy, w porównaniu do zeszłorocznych badań (raport Fortinet 2013)
- 70 proc. przedstawicieli małych firm nie wierzy lub nie wie, że naruszenie bezpieczeństwa danych spowoduje skutki finansowe lub negatywnie wpłynie na wiarygodność ich biznesu (na podstwie badań Deloitte w 2013 r.)
Współczesne trendy technologiczne sprzyjają naszej produktywności i generują duże zyski, jednak ich wdrażanie w życie firmy wymaga dostosowania do wymogów istniejących przepisów prawnych. BYOD (ang. Bring Your Own Device) to coraz powszechniejszy trend wykorzystywany w procesach biznesowych, który umożliwia pracownikowi firmy korzystanie z prywatnych urządzeń mobilnych do celów zawodowych.
BYOD nie stoi w sprzeczności z obecnymi przepisami prawnymi - korzystanie z prywatnych narzędzi pracy zostało dopuszczone orzecznictwem Sądu Najwyższego w połowie minionego wieku. Problem pojawia się w momencie, kiedy tego rodzaju urządzenie staje się nośnikiem wrażliwych informacji. Tak jest w przypadku wykorzystywanych do celów zawodowych prywatnych tabletów, smartfów czy notebooków. Przez urządzenia mobilne przepływa duża ilość poufnych danych, powiązanych nie tylko z procesami biznesowymi, ale również prywatnym życiem ich użytkowników. Firma korzystająca z możliwości, jakie daje BYOD musi z jednej strony zapewnić bezpieczeństwo poufnych danych firmowych, z drugiej zaś uszanować prawo do prywatności pracownika.
Polityka BYOD – kompromis w ochronie prywatności?
Wprowadzenie rozwiązania BYOD podnosi efektywność pracy i zapewnia firmie oszczędności, jednak wymaga podjęcia stosownych kroków - sporządzenia aneksów bądź odpowiednich klauzul w umowie o pracę oraz wprowadzenia zmian nie tylko w regulaminie pracowniczym, ale również polityce przetwarzania informacji o danych osobowych w firmie.
Korzystne jest wdrożenie polityki BYOD, która może stanowić załącznik do regulaminu pracownika. Pełna kontrola nad urządzeniem przez dział IT nie jest możliwa do wprowadzenia, ponieważ pracownik ma prawo do zachowania prywatności swoich osobistych danych. Jasno określona polityka BYOD, która z jednej strony szanuje prawo pracownika do prywatności, z drugiej zaś przejrzyście reguluje zasady przetwarzania służbowych danych, w tym sposobu dostępu czy, w razie konieczności, usuwania ich przez pracodawcę, może zapobiec nieprawidłowościom. Za zgodne z prawem przetwarzanie danych powinien odpowiadać Administrator Danych, który ustala m. in. gdzie dane są przechowywane i na jakich zasadach przenoszone są na prywatne urządzenie, wyznacza procedurę postępowania w przypadku kradzieży lub zagubienia urządzenia oraz kroki, jakie należy podjąć, gdy pracownik odchodzi z pracy.
koniec_str_2#
BYOD – to już nie jest wybór
Ważnym aspektem BYOD w kontekście ustawy o ochronie danych osobowych jest dobrowolność – możliwość korzystania z prywatnych urządzeń mobilnych do celów zawodowych jest wynikiem porozumienia pracownika i pracodawcy. Obie strony muszą zgodzić się na wprowadzenie takiego trybu pracy. Jednak samo zobowiązanie do podążania za wytycznymi regulaminu czy polityki BYOD nie gwarantuje bezpieczeństwa danych. Zagrożenia mogą mieć charakter celowych ataków i prób infiltracji bądź przychodzić z wewnątrz - wynikać z zaniechania lub niewiedzy, dlatego ustalenie w ramach polityki BYOD sposobu monitorowania prywatnego urządzenia pracownika oraz podnoszenie jego świadomości poprzez ustawiczne szkolenia pozwoli w pełni korzystać z możliwości BYOD, minimalizując ryzyko zagrożeń. Z ostatnich raportów wynika, że w infrastrukturze systemów informatycznych firmy to użytkownicy właśnie są najsłabszym ogniwem w łańcuchu zabezpieczeń.
- BYOD pokazuje, jakie wyzwania stoją przed firmami chcącymi egzekwować zasady korzystania z własnych urządzeń do celów służbowych. Trend ten jednocześnie pokazuje, że kontrolowanie przez działy IT tego, gdzie są przechowywane dane firmowe i w jaki sposób jest uzyskiwany dostęp do nich jest wciąż bardzo krytycznym obszarem. Nieodzowna dla utrzymania bezpieczeństwa wdrożenia BYOD jest także edukacja pracowników w kwestii zagrożeń oraz konsekwencji z nich wynikających. Obawa przed osłabieniem bezpieczeństwa na pewno spowalnia proces ekspansji BYOD, nie spowoduje jednak jego zatrzymania. Z dobrymi politykami bezpieczeństwa i odpowiednio dobranymi rozwiązaniami organizacyjnymi, BYOD ma ogromny potencjał i może przynieść znaczące korzyści każdej organizacji – zauważa Lapierre.
CHMURA OBLICZENIOWA
Zidentyfikowane zagrożenia:
- Ataki na chmury obliczeniowe wśród trzech potencjalnych zagrożeń o największych konsekwencjach - ocena 3,65 w pięciostopniowej skali zagrożeń (raport Fundacji Bezpieczna Cyberprzestrzeń)
- Ataki na dane firmowe i prywatne w chmurze jednym z głównych problemów bezpieczeństwa IT w 2014 r. (raport Sophos Labs)
- Wyciek danych lub ich utrata na szczycie listy 9-ciu krytycznych zagrożeń dla modelu Cloud Computing (raport Grupy Roboczej Top Threads)
Jednym ze sposobów ograniczenia ryzyka wystąpienia zagrożeń wynikających z przechowywania i przetwarzania danych na urządzeniu mobilnym pracownika jest przeniesienie ich do chmury obliczeniowej.
Dostawca tego rodzaju usługi ma z reguły większe kompetencje i lepsze zaplecze technologiczne, potrzebne dla zachowania bezpieczeństwa naszych informacji. W wyniku rosnącej liczby danych gromadzonych we własnych strukturach IT, firmy coraz częściej decydują się na outsourcing części procesów informatycznych. Przechowywanie baz danych, aplikacji czy programów na serwerach zewnętrznego usługodawcy jest opłacalne – pozwala firmie zaoszczędzić na specjalistycznym sprzęcie i oprogramowaniu. Jest też dużo bezpieczniejsze, jeżeli wiemy, w jaki sposób zminimalizować ryzyko wynikające z typowych dla chmury zagrożeń, poprzez właściwe sformułowanie umowy z dostawcą.
Lokalizacja ma znaczenie
W przypadku transferu zbioru danych osobowych do chmury GIODO zaleca rozwagę – cały proces powinien zapewniać bezpieczeństwo danym oraz być zgodny obowiązującym prawem. Kluczowa jest w tym przypadku wiedza dotycząca lokalizacji serwerów, na których będą przechowywane dane. Jeżeli jest to teren Unii Europejskiej sprawa jest prosta – mamy gwarancję, że dostawcę obowiązują prawa zgodne z Polskimi regulacjami. W przypadku transferu danych poza granice UE, nigdy nie mamy pewności, że przetwarzanie powierzonych danych będzie spełniać unijne standardy prawne i, co za tym idzie, że nasze dane są bezpieczne.
Bezpieczeństwo w umowie
Powierzenie przetwarzania zasobów wybranemu dostawcy odbywa się na mocy podpisania umowy, która musi być zgodna z Ustawą o Ochronie Danych Osobowych. - Poza standardowymi zapisami dotyczącymi kwestii ciągłości usługi czy backupu danych, dokument powinien zawierać klauzule dotyczące poufności, zobowiązywać dostawcę do stosowania zabezpieczeń zgodnych z obowiązującym w Polsce prawem i gwarantować, że dane nie zostaną wykorzystane do jego własnych celów. Ponadto w umowie dostawca powinien zobowiązać się, że poinformuje klienta o każdym incydencie związanym z naruszeniem bezpieczeństwa - usterce, włamaniu bądź wycieku danych. Powiadomi go również o kontroli miejscowego organu ochrony danych osobowych oraz prawnie wiążących wnioskach o udostępnienie danych. Istotne jest również uregulowanie w umowie kwestii zakresu dostępu do danych, w przypadku, kiedy dostawca chmury zleca część procesów związanych z przetwarzaniem danych swoim podwykonawcom, a także określenie warunków zwrotu i usunięcia danych w przypadku zakończenia współpracy z dostawcą - wyjaśnia Lapierre.
koniec_str_3#
BIG DATA
- 90 proc. danych stworzonych przez ¦wiat powstało przez ostatnie 2 lata (dane IBM)
- Każdego dnia użytkownicy Facebooka dodają 100 TB danych (dane IBM)
Masowa ilość wirtualnych danych generowanych w firmach, korporacjach czy instytucjach, sprawia, że zagadnienie Big Data i efektywne, konkurencyjne funkcjonowanie podmiotów na rynku, łączy duża zależność. Informacje, które są przechowywane i przetwarzane istnieją w różnych formatach – są to dane sprzedażowe, automatycznie generowane rejestry zdarzeń czy nieustrukturyzowane teksty i wideo.
Wyzwaniem nie jest już więc tylko aspekt ilościowy - zettabajty gromadzonych i przetwarzanych informacji, ale ich właściwości jakościowe i logistyczne - kolosalne zróżnicowanie, wysoka zmienność, różna wartość i stała migracja. Zapanowanie nad taką ilością zasobów, aby mogły one skutecznie wspierać działania biznesowe firm, wymaga bardzo zaawansowanego zaplecza: ekspertów, odpowiednich algorytmów, infrastruktury i oprogramowania. Odpowiedzią na potrzebę wydajnego zestawiania tak dużej ilości szybko napływających i zmieniających się informacji z ich równoległą interpretacją, jest model Big Data. Co dokładnie oznacza? Analizę w czasie rzeczywistym różnego rodzaju danych, pochodzących z różnych momentów w czasie, różnych lokalizacji i z możliwością szybkiego uzyskania wniosków.
Każda aktywność w sieci zostawia ślad
Znakomita większość współczesnych użytkowników sieci korzysta z portali społecznościowych, serwisów webowych czy usług internetowych, zostawiając po sobie ogromne ilości cyfrowych śladów. Każdego dnia publikujemy na Facebooku cenne informacje dotyczące naszych preferencji konsumenckich, pobieramy też darmowe aplikacje, wyrażając zgodę na udostępnianie swojej lokalizacji czy książki adresowej. W przestrzeni cyfrowej nasze dane osobowe stają się cenną walutą.
Poprzez analizę Big Data informacje o nas mogą być wykorzystywane do celów komercyjnych. Praktykę mają już w tym Google czy wspomniany Facebook, którym swoje dane udostępniamy bez zastrzeżeń i za darmo. Spektrum wykorzystania informacji, które zostawiamy po sobie w sieci jest bardzo szerokie. Na ich podstawie można szybko zbadać nasze preferencje, przewidzieć zachowanie konsumenckie i w konsekwencji spersonalizować działania marketingowe. Zjawisko to jednak ma też swój odpowiednik biznesowy. Analizując dane pochodzące z firmowych zasobów czy aktywności na portalach społecznościowych banki mogą w kilka minut dokonać oceny ryzyka kredytowego, a firmy ubezpieczeniowe oszacować wysokość składki ubezpieczenia na życie. Chcemy czy nie, Big Data to kierunek, który staje się kluczowy nie tylko do realizacji celów działów marketingu, ale też szeroko rozumianego biznesu – komentuje Lapierre. Badanie nastrojów konsumenckich, optymalizacja łańcucha dostaw, wykrywanie oszustw - to wszystko może być prostsze dzięki Big Data. W Polsce największe obawy wzbudza jednak bezpieczeństwo danych. Banki i firmy ubezpieczeniowe muszą się mierzyć z wieloma ważnymi problemami. Najpierw należy uzyskać zgodność z obowiązującymi przepisami.
Bazy danych – wiedzą więcej o nas niż my sami?
Rozwój Big Data i jego kontrowersyjne rozumienie na pograniczu ingerencji w wolność konsumentów i ich inwigilacji, nasuwa pytanie o relacje tego trendu do ochrony danych.
- Profilowanie cyfrowych użytkowników do generowania zysków nie jest zabronione prawem. Budzi jednak sporo wątpliwości i zmusza do rewizji tego, co w dobie naszej ciągłej obecności w sieci możemy uznać za prywatne. Praktyka gromadzenia danych osobowych przez firmy, organizacje czy instytucje jest nieunikniona. Tworzenie i aktualizacja baz danych to nieodłączny element działalności biznesowej większości podmiotów. Problemem jednak nie jest samo gromadzenie danych, a ich zakres i charakter, który staje się łatwy do pozyskania i zidentyfikowania dla firm. Zagrożeniem jest także szeroka dostępność naszych danych osobowych. Różnego rodzaju informacjami dzielimy się z instytucjami i firmami całkiem dobrowolnie. W większości przypadków nawet bez świadomości ewentualnych konsekwencji - przedstawia Lapierre.
Mając na uwadze fakt, że Biga Data to dynamiczny i wciąż jeszcze nieuregulowany potencjał do kreowania zachowań konsumentów z możliwością tworzenia i precyzowania profilu ich potrzeb, oczywistą staje się obawa przed nadmierną ingerencją analityków w nasze życie prywatne. - Takie działanie ma dwie strony medalu – z jednej, może stanowić narzędzie do budowania przewagi konkurencyjnej przedsiębiorstw, z drugiej – stwarzać zagrożenie celowego wprowadzania w błąd konsumentów dla osiągnięcia własnych celów sprzedażowych. Granica jest tu bardzo cienka i wymagająca postawienia sobie pytania, do jakich celów narzędzia Big Data mają być faktycznie w działaniach firm wykorzystane – odpowiedź na to musi jednak paść po stronie biznesu – dodaje.
koniec_str_4#
Maszyny nauczone humanizmu – człowiek przestaje być potrzebny
Wektor rozwoju nowoczesnej analityki biznesowej przesuwa się w kierunku zastąpienia kompetencji ludzi specjalnymi algorytmami. To one będą oceniać nasze ryzyko kredytowe i decydować o tym, czy wniosek o pożyczkę zostanie rozpatrzony pozytywnie czy nie. Inwigilacja? Słusznie się jej obawiamy, ta droga śledzenia naszej aktywności stanowi jednak perspektywę rozwoju całego sektora finansowego. Stały monitoring Internetu przez korporacje i wymiana danych pomiędzy nimi konfrontuje nas z wieloma zagrożeniami, szczególnie tymi na styku naszej cyfrowej tożsamości i prywatności. Internet stał się przestrzenią, w której nie ma miejsca na anonimowość. Istotne jest więc uświadomienie sobie, że każda nasza aktywność i ruch w sieci zostawia pewien cyfrowy ślad, który może być odczytany i wykorzystany.
Trzeba jednak pamiętać, że Big Data to model, który odpowiednio zagospodarowany stwarza wiele korzystnych możliwości. Może mieć pozytywny wkład m. in. dla rozwoju medycyny – przewidywanie ryzyka wystąpienia groźnych dla życia chorób, ocenianie trafności diagnoz, sposobów leczenia czy przewidywanie wystąpienia epidemii. Jest również szansą dla administracji publicznej i zarządzania informacjami służącymi podejmowaniu decyzji, dotyczących organizacji życia w mieście. Big Data to ogromny potencjał, który, wykorzystując synergię między maszynami a analityką danych, zapewnia niepodważalne korzyści w wielu obszarach naszego życia. Wymaga jednak najpierw ścisłych warunków prawnych i dostosowania do odpowiednich regulacji w zakresie bezpieczeństwa.
Internet Wszechrzeczy – nowy, wspaniały świat?
Postęp technologiczny wydaje się dążyć do wcielenia do sieci wszystkiego, co obecnie pozostaje poza nią. To stworzy nowe interakcje między ludźmi a maszynami i stojące za tym nowe, niestandardowe możliwości rozwoju. Firma Cisco sondując na podstawie badania korzyści wynikające z wykorzystania sieci poza tradycyjnymi zastosowaniami komunikacyjnymi, oszacowała, że największą wartość dodaną wygeneruje łańcuch dostaw i rozszerzenie usług dla klientów. Docelowo możliwości, jakie stwarza technologia przechowywania danych w chmurze, mobilne urządzenia zbierające informacje, nowoczesna analityka biznesowa, której integralną częścią jest Big Data, coraz bardziej upłynniają granice między światem realnym a wirtualnym. Jaka jest dalsza tego konsekwencja?
- Powstanie Internetu Wszechrzeczy, który może otworzyć perspektywę na „nowy, wspaniały świat”, ale tylko wtedy, jeśli będziemy mieli poczucie, że nie stanowi dla nas zagrożenia. Bezpieczeństwo - to jest właśnie priorytet i nieodzowny warunek dalszego rozwoju. Ochrona danych, która powinna być traktowana jako stały element standardów zarządzania jakością w każdej firmie, nabiera teraz szczególnego znaczenia. To zagadnienie bardzo złożone, którego nie da się na pewno opisać jednym kwantyfikatorem – podsumowuje Adrian Lapierre.
Kinga Kalińska
Account Manager
TKM Group