Ochrana osobních údajů patří mezi základní požadavky GDPR. Ve vaší firmě tedy musíte zajistit, aby citlivé údaje byly pod kontrolou a aby byly náležitě zabezpečeny proti zneužití, ztrátě nebo poškození. Jak na to?
Kromě opatření proti neoprávněnému přístupu a krádeži či poškození údajů je třeba zároveň zajistit dostupnost a odolnost služeb zpracování. To, zda jsou tato opatření skutečně účinná, musí být předem otestováno. Osobní údaje tedy musíme ve firmě chránit podle úrovně jejich citlivosti a také vědět, že tato ochrana funguje.
Poskytovatel cloudu jako podpora
Odpovědnost pro vaši firmu vzniká jak při zpracování ve vašem vlastním datovém centru, tak při zpracování v cloudu. Poskytovatelé cloudových služeb se ale o hodně věcí postarají za vás. Měli byste se tedy zamyslet, jestli zvýšení bezpečnosti zpracování dat a prokázání účinných opatření před úřady není v daném případě rychlejší a jednodušší u cloudového zpracovatele, který už opatření zavedl a může se prokázat průmyslovými certifikacemi a auditními zprávami. GDPR upravuje i požadavky na smlouvu mezi správcem a zpracovatelem údajů, tedy poskytovatelem cloudu, čímž lze zase alespoň částečně přenést odpovědnost za opatření na zpracovatele.
Podívejme se tedy, jaké existují možnosti zabezpečení v cloudu v oblasti prevence. Příště si probereme opatření v oblasti detekce a zvládání incidentů.
Jak šifrovat data
Šifrování dat je důležitým opatřením proti neoprávněnému přístupu a zneužití. Uložená data můžeme v databázích šifrovat pomocí technologie Transparent Data Encryption, na které staví i cloudové Dynamics 365 pro řízení prodeje a vztahů se zákazníky. V cloudu je velmi důležité mít ošetřenou správu šifrovacích klíčů. Při šifrování velkých objemů dat musí být tyto klíče v době zpracování k dispozici v cloudu. To řeší například technologie Azure Key Vault. Azure obsahuje moduly Thales nShield, které jsou certifikované pro použití v armádách zemí NATO a představují v současné době špičku toho, co se pro správu šifrovacích klíčů nabízí.
Velké objemy nestrukturovaných dat se mohou efektivně ukládat do prakticky neomezených úložišť Azure Storage Service, která mají rovnou dvě úrovně šifrování. Jedna slouží pro pevné paměťové disky, druhá je na úrovni aplikace a je pod kontrolou správce dat.
Šifrování a řízení přístupu v cloudu se zavádí i do moderních non-SQL databází, jako je například Cosmos DB v Microsoft Azure. Zde můžeme ukládat živé toky dat z internetu věcí (IoT), v nichž se mohou objevit osobní údaje. Azure tedy řeší při správě a ochraně dat spoustu problémů.
Cloud řeší všechna zařízení
GDPR požaduje i vysokou dostupnost osobních údajů, což váš IT může vyřešit pomocí takzvaných skupin dostupnosti (Avalaibility Groups) v cloudových datacentrech až po chybově odolné klastry (Always On Failover Clusters).
Cloud může pomoci i s prevencí na koncových zařízeních ve vaší firmě. Nástroje jako Microsoft Enterprise Mobility and Security (EMS) tak mohou zavést bezpečnostní politiky a šifrování dat na firemní prostor chytrého telefonu nebo notebooku. Pokud někdo ve vaší firmě používá například služební telefon nebo notebook i soukromě, může váš IT odborník data dálkově spravovat, případně vymazat jejich firemní část. Při ztrátě zařízení je pak velký rozdíl, zda byla data šifrována nebo ne. Podle GDPR navíc není třeba oznamovat incidenty subjektům údajů, pokud data unikla v šifrované podobě.
Pozor na Shadow IT
Stejně jako Azure, je i Microsoft EMS obecně široce využitelný nástroj pro bezpečnost vašich dat v cloudu. Firmy se často obávají neautorizovaného využívání „free“ cloudových služeb, tomu se dnes říká „Shadow IT“. Zde zase dobře poslouží Cloud App Security, jenž je součástí EMS. Tento nástroj na perimetru dané firmy rozezná více než 13 tisíc cloudových služeb, posuzuje jejich bezpečnost a hlásí, které z těchto služeb využívají vaši zaměstnanci.
Jak jsme uvedli výše, správci osobních údajů musí zvolit „přiměřená“ bezpečnostní opatření, která jsou výsledkem nějaké formy analýzy rizik. Jako vodítko mohou posloužit už vzorové analýzy rizik od zpracovatele, které poskytuje Microsoft, a které si můžete vy nebo váš IT vyžádat přes partnera, jenž vám cloud spravuje.
Zabezpečení údajů je pro implementaci nařízení GDPR zásadní. Proto si příště rozebereme, jak detekovat kyberútoky a jak takzvaně „zvládat incidenty“, tedy situace, kdy vaší firmě hrozí zneužití dat nebo jejich ztráta. I k tomu existuje spousta řešení a nástrojů, které vám ve vaší společnosti pomůžou.
Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete zde.
Čtěte další díly seriálu Jak přežít GDPR:
(1) Zmapujte si terén
(2) Jak uřídit data? Co nepotřebujete, vyhoďte
(3) Jak jsou údaje citlivé? Určete, kdo k nim může
(5) Jak detekovat útok a zvládat bezpečnostní incidenty
(6) Jak vést provozní záznamy? Neplýtvejte časem
(7) Jsou opatření účinná? Napoví audit
Autor: Zdeněk Jiříček, ředitel pro technologické standardy, Microsoft Česko a Slovensko