V aktuálním díle seriálu o GDPR se budeme věnovat dalšímu kroku, který se týká správy dat. Vysvětlíme si, jak nejlépe označit různé typy osobních údajů podle stupňů jejich citlivosti, aby jejich zabezpečení bylo co nejefektivnější.
Z prvního dílu už bychom měli vědět, jaké osobní údaje v organizaci zpracováváme, a v druhém jsme si ověřili, zda je zpracováváme legálně, účelně a jestli všechny tyto údaje, které uchováváme, skutečně potřebujeme.
Nyní musíme aktiva obsahující osobní údaje laicky řečeno zaškatulkovat čili kategorizovat. Citlivost osobních údajů je nutné posuzovat z hlediska dopadů na práva a svobody dotčených fyzických osob, jako jsou například ztráta reputace, snížení společenského uplatnění, různé formy diskriminace až po riziko ohrožení života. K tomu může například dojít ve zdravotnictví při poškození zdravotnické dokumentace. Stupeň citlivosti osobních údajů je důležitým vstupem k posouzení rizik, ze kterých se pak bude odvíjet požadovaná úroveň zabezpečení pro aktiva v dané kategorii.
Vlastní kategorizace údajů se jednodušeji provádí ve strukturovaných formátech, což jsou obvykle databáze. Pokud jsou vaše aktiva uložená v SQL databázích, pak můžete využít rozšířené štítky a textové popisy polí k označení osobních údajů a podle nich potom vynutit silnější způsoby řízení přístupů a šifrování.
Komu dát jaká práva?
Nastavovat přístupová práva lze přímo pro jednotlivé tabulky nebo sloupce v databázích, případně lze pracovat s vlastnostmi dynamického maskování (Dynamic Data Masking). Tím podpoříme princip minimalizace zpracování. Ne všichni ve firmě potřebují ke své práci „vidět“ všechny osobní údaje vašich zaměstnanců, obchodních partnerů či zákazníků.
Cloudová databáze Azure SQL Database navíc dokáže automaticky vyhodnocovat potenciálně citlivé osobní údaje a sama může navrhnout zapojení funkce dynamického maskování. Neumožní tedy data „vynést ven“ bez zvláštního autorizačního procesu. Pro přístup k údajům s vyšším rizikem je dále vhodné omezit práva na základě takzvané „row-level security“, tedy autorizace přístupu na úrovni pouze určitých řádků v databázi.
Jak ochočit nestrukturovaná data
O něco více práce dá kategorizace nestrukturovaných dat, což jsou obvykle emaily a různé textové dokumenty. Největší podporu zde nabízí například cloudová služba Azure Information Protection (AIP), která pomůže oštítkovat jednotlivé druhy dokumentů nebo emailů z hlediska výskytu a citlivosti osobních údajů. Ve variantě Office 365 E5 lze tento proces i automatizovat s využitím strojového učení. AIP zároveň umožní sledovat, odkud se geograficky přistupuje na chráněné dokumenty nebo emaily, což je důležité pro mapování toků osobních údajů a rozhodování o úrovni opatření.
Podle štítků lze pak ve firmě opět vymezit přístup jen pro určité okruhy osob a vynutit určitý způsob dodatečné ochrany, například šifrování. Na tyto štítky mohou reagovat i systémy proti únikům informací (DLP), které tyto typy dokumentů nepustí ven z organizace. Konkrétně Office 365 DLP má k dispozici více než 80 předdefinovaných šablon textu a čísel, umí tedy rozpoznat rodná čísla, kreditní a debetní karty či čísla IBAN a další šablony lze libovolně vytvořit. Tato funkce je k dispozici pro emaily i dokumenty uložené v SharePoint Online či OneDrive for Business.
Office 365 Data Governance umožňuje nastavit zejména retenční firemní politiky. Jde o pravidla důležitá pro skartaci dokumentů na základě časového omezení souhlasu se zpracováním. Funkce Advanced Data Governance může tato nastavení urychlit díky strojovému učení.
Pro strukturovaná i nestrukturovaná data lze využít nejmodernější cloudové nástroje Azure Data Factory a Azure HDInsight, které dokážou sledovat a vyhodnocovat obsah toků dat za pomoci strojového učení. Dají se „natrénovat“ na klíčové výrazy, které mají hledat, a jejich výskyt pak mohou logovat a graficky vizualizovat formou dashboardu.
Vymezení přístupů systémových správců, auditorů a editorů lze ve všech variantách provést pomocí Azure Role-Based Access Control (RBAC) na principu separace rolí.
Vývoj jde stále kupředu
Existuje řada dalších řešení, která data ve vaší firmě či organizace dokážou zaškatulkovat podle výše zmíněných vlastností. Stále se navíc objevují a zkoumají další možnosti automatické identifikace, kategorizace a ochrany citlivých osobních údajů, sledování jejich změn a užití.
S každým novým produktem přicházejí další systémová opatření a doporučení s pomocí strojového učení a umělé inteligence. Tato opatření se mimochodem objeví i v další části seriálu, která se bude týkat samotné ochrany dat.
Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete zde.
Čtěte další díly seriálu Jak přežít GDPR:
(1) Zmapujte si terén
(2) Jak uřídit data? Co nepotřebujete, vyhoďte
(4) K lepší ochraně dat pomůžou cloud a šifrování
(5) Jak detekovat útok a zvládat bezpečnostní incidenty
(6) Jak vést provozní záznamy? Neplýtvejte časem
(7) Jsou opatření účinná? Napoví audit
Autor: Zdeněk Jiříček, ředitel pro technologické standardy, Microsoft Česko a Slovensko