RODO a security

24-05-2018

W związku z tym, że Ogólne rozporządzenie o ochronie danych osobowych ? RODO (ang. General Data Protection Regulation GDPR) wchodzi w życie w Unii Europejskiej i Wielkiej Brytanii pod koniec maja 2018 r., panel ekspertów pod przewodnictwem Adama Bannistera z IFSEC Global wziął udział w konferencji na temat ochrony danych i cyberbezpieczeństwa, zorganizowanej przez IFSEC Global i firmę Genetec. Podczas paneli dyskusyjnychudzielano słuchaczom z sali, pełnej specjalistów w zakresie systemów zabezpieczeń, właścicieli przedsiębiorstwi kadry menedżerskiej, porad, jak dostosować się do nowych, bardziej restrykcyjnych regulacji, które zastąpią brytyjską ustawę o ochronie danych. Poruszono także zagadnienie ustawodawstwa w zakresie ochrony danych na świecie.Systemy zabezpieczeń są tak silne, jak ich najsłabsze ogniwo, więc skuteczna ochrona danych i politykacyberbezpieczeństwa wymagają wsparcia ze strony całego ?łańcucha? ? od producenta do konsumenta.Takie postawienie sprawy wymagało zgromadzenia w panelach szerokiego wachlarza ekspertów: integratorówsystemów, specjalistów w zakresie cyberbezpieczeństwa, dostawców technologii oraz prawników specjalizujących się w legislacji z zakresu ochrony danych. Biorąc pod uwagę, że w Wielkiej Brytanii kary za niedostosowanie się do nowych regulacji mają być blisko 80 razy wyższe niż obecnie, konsekwencje dla wielu firm i organizacji mogą okazać się bardzo poważne.

Specjaliści od zabezpieczeń, a w szczególności dozoru wizyjnego, doskonale zdają sobie sprawę, iż nagrania z kamer przemysłowych podlegają ochronie danych osobowych, podobnie jak czyjaś data urodzin, stan cywilny czy poglądy polityczne. Jean-Philippe Deby, dyrektor ds. rozwoju na Europę z firmy Genetec, podzielił się swoimi spostrzeżeniami na temat wpływu nowych regulacji na operatorów systemów dozoru wizyjnego, jak i cały sektor zabezpieczeń. Wypowiedźdotyczyła m.in. analizy luk systemów VSS/CCTV, zarządzania upoważnieniami, zasady prywatności w fazieprojektowania (ang. privacy by design) oraz tego, jak RODO może zwiększyć szybkość wdrażania dozoru jako usługi (ang. Surveillance-as-a-Service) na rynku systemów zabezpieczeń.

O RODO W SKROCIE

Jean-Philippe Deby opowiedział o znaczeniu, jakie mają wchodzące niedługo w życie przepisy GDPR/RODO i jak wpłyną m.in. na zarządzanie systemami dozoru wizyjnego. Władze Wielkiej Brytanii wdrożyły te regulacje, jeszcze zanimdoszło do brexitu. Tak więc nawet po opuszczeniu przez Zjednoczone Królestwo Unii Europejskiejnowe przepisy pozostaną tam w mocy. Zostały wdrożone jako rozporządzenie, a nie dyrektywa, co oznacza, że wszystkie kraje członkowskie UE zgodziły się na wprowadzenie tych przepisów. Podstawowa zasada rozporządzenia o ochronie danychmówi, że trzeba uzyskać wyraźną zgodę osoby, której dane osobowe są gromadzone. Poza samym gromadzeniem informacji nowe ustawodawstwo reguluje kwestię odpowiedzialności za przechowywanie tych danych, ponoszoną przez firmy i instytucje. Rozporządzenie praktycznie mówi: ?Teraz wiecie, co wam wolno, a czego nie wolno, a nieodpowiedzialnepodmioty będą karane grzywną?. Jeśli organizacja padnie ofiarą ataku hakerskiego i dane wpadną w niepowołane ręce, będzie ona miała 72 godziny na zgłoszenie tego faktu władzom; w przeciwnym razie również poniesie karę.

Obecnie organizacje i cały sektor odpowiedzialny za bezpieczeństwo przyglądają się rozporządzeniui zastanawiają się, jakie kroki podjąć, by dostosować się do nowych wymogów. Sprawa jest szczególnie interesująca w odniesieniu do publicznych systemów dozoru wizyjnego. Jak wiadomo, nie da się uzyskać wyraźnej zgody każdej osoby nagranej przez kamerę przemysłową. Oczywiście można ogłosić, że dany sklep czy dworzec kolejowy jest objęty dozorem wizyjnym, co zresztą ma miejsce również obecnie, ale przecież ktoś może powiedzieć: ?Chwileczkę, ale ja sobie nie życzę być nagrywanym?.

Częścią zmian ustawodawczych jest koncepcja, iż pewne dane stanowią większe zagrożenie dla praw jednostki i organizacje muszą pomyślnie przejść test oceny skutków dla ochrony danych DPIA (ang. Data Protection Impact Assessment)1. Z powodu braku wyraźnej zgody i masowego gromadzenia danych publiczne systemy dozoru wizyjnego podpadają pod kategorię danych wysokiego ryzyka. Artykuł 35 RODO wyszczególnia czynności prowadzące do powstawaniadanych wysokiego ryzyka i kroki, jakie organizacje muszą podjąć w celu ich ochrony. Ocena wpływu na prywatność, czyliskutków dla ochrony danych, stanie się obowiązkowa dla systemów przetwarzania danych wysokiego ryzyka. To pociągnie za sobą konkretne, praktyczne skutki dla operatorów systemów dozoru wizyjnego. Nie jesteśmy na razie w stanie przewidzieć wszystkich tego typu konsekwencji, jednakże na etapie analiz często poruszane są dwie podstawowe kwestie:1. organizacje gromadzące dane wysokiego ryzyka będą musiały zatrudniać inspektora ochrony danychDPO (ang. Data Protection Officer), który odpowiadać będzie bezpośrednio przed prezesem firmy lub dyrektorem instytucji ? wpłynie to na wzrost kosztów działalności, co na pewno odbije się niekorzystnie na małych i średnich przedsiębiorstwach;2. konieczność zbudowania de facto nowego systemu i zaimplementowania w nim czegoś, co nazwano ?zasadą prywatności w fazie projektowania? (ang. privacy by design) ? przykładowo, polecaną metodą ochrony prywatności gromadzonych informacji jest szyfrowanie danych. Należy również skupić się na sposobie dostępu do tych informacji. Wycieki danych niekoniecznie są spowodowane atakami hakerów ? mogą być również efektem celowego lub niecelowego działania wewnątrz organizacji. Tak więc zarządzanie procesem identyfikacji osób mających dostęp do systemu i korzystających z systemu w danym momencie jest kluczowe dla ochrony prywatności danych. Ważna może być odpowiedź na pytanie: ?Kto jest upoważniony do przeglądania zdjęć i nagrań??. Trzeba zdawać sobie również sprawę z olbrzymich kar, jakie mogą być nakładane. Grzywna może wynieść nawet 20 mln euro lub 4% globalnego rocznego przychodu ? którakolwiek z tych sum jest wyższa. Wiele przedsiębiorstw z oddziałami na całym świecie ma przychody rzędu miliardów dolarów. Przykładowo,jedna z globalnych firm osiąga zyski ze sprzedaży na poziomie 11 mld USD ? w jej przypadku kara może sięgnąć blisko 420 mln USD. Istnieje procedura, która zakłada ostrzeganie organizacji o nieprawidłowościach przed ukaraniem ich grzywną. Ale tak naprawdę chodzi tu o odpowiedzialne zarządzanie ? wystarczy porównać koszty konsekwencji wycieku danych z kosztami wdrożenia odpowiednich rozwiązań zapobiegających takiemu wyciekowi. Wydaje się również, że Unia nie będzie się wahać przed wymierzeniem kar związanych z niewystarczającą ochroną danych. Wysokie grzywny miały już przecież miejsce w przeszłości. Jeśli jakaś organizacja wykaże się nieodpowiedzialnością w gromadzeniu i przechowywaniudanych, nie można mieć wątpliwości, że UE z pełną mocą zastosuje konsekwencje wynikające z nowychprzepisów. Oczywistym jest, że organizacje oskarżone o niedopełnienie obowiązków ochrony danych będą siębroniły przed sądem, ale wówczas na tych organizacjach będzie spoczywać ciężar dowiedzenia, że ich sposoby ochrony danych były właściwe. Koniec końców wszystko sprowadza się do odpowiedzialności. Według przepisów RODO każda organizacja gromadząca dane osobowe staje się administratorem tych danych i jest odpowiedzialna za ich ochronę.RODO wprowadza także nowy element ? podmiot przetwarzający dane. Te osoby lub instytucje będą pomagać administratorom danych w zarządzaniu gromadzeniem informacji poprzez zapewnienie odpowiedniej infrastruktury lub usług. Dlatego też firmy takie jak Microsoft angażują się chętnie w technologię przechowywania danych w chmurze, ponieważ podmiot przetwarzający dane to niemal to samo, co oprogramowanie jako usługa SaaS (ang. Software as a Service).

RODO będzie stanowić użyteczną bazę dla rozwijania najlepszych praktyk związanych z bezpieczeństwem w obszarzenadzoru nad chmurą, IoT i innymi nowymi technologiami. Dzięki temu RODO na pewno wpłynie mobilizująco na rynek oprogramowania jako usługi. Do tej pory argumenty na rzecz takich rozwiązań dotyczyły oszczędności operacyjnych. Teraz będzie chodziło dodatkowo o to, by pomóc firmom dostosować się do wymogów nowego prawa. To nawet mocniejszy argument za tym, by zainteresować się takimi rozwiązaniami. RODO tworzy podstawy pod coś, co jest postulowane od kilkulat ? ?bezpieczeństwo zabezpieczeń?. Istotne jest, aby firmy przeprowadziły analizę luk w swoich systemach. Nie chodzi jedynie o systemy dozoru wizyjnego, ale również o gromadzenie danych za pomocą stron internetowych, o zarządzanie relacjami z klientami, systemy kontroli dostępu itp. Analiza luk systemu CCTV jest szczególnie ważna dla użytkownikówkońcowych, którzy nagrywają miejsca publiczne, wystawiając się tym samym na znaczne ryzyko. RODO zmusi organizacjedo zaimplementowania zasad prywatności i bezpieczeństwa w procesie projektowania. Tym niemniej nie zawsze konieczna będzie wymiana systemu; czasem wystarczy wzmocnić istniejące rozwiązania. Wszystko zależy od rodzaju organizacji i systemu, który jest już zainstalowany. Jeżeli zamierza się wdrażać nowy system, który będzie dozorował np. miejsca publiczne, to zapytanie ofertowe powinno uwzględniać ten fakt i należy żądać przedstawienia propozycji rozwiązań, które będą w zgodności z nowymi regulacjami.