Strona główna Bezpieczeństwo biznesu RODO – wpływ na branżę i rynek security

RODO – wpływ na branżę i rynek security

Sophie Wu
a&s International


Wejście w życie rozporządzenia RODO spowodowało, że ochrona danych osobowych i prywatności stała się głównym tematem w branży security.

W całym łańcuchu dostaw odchodzi się od podejścia silosowego (działowego) zarządzania informacją na rzecz większej współpracy w odrębnych dotychczas obszarach. Chodzi nie tylko o to, by dostawcy systemów i integratorzy zadbali o zgodność swoich produktów i rozwiązań z RODO, ale także by wśród użytkowników końcowych rosła świadomość konieczności zapewnienia bezpieczeństwa danym, gdyż to oni odpowiadają za ochronę prywatności.

Rozporządzenie o ochronie danych osobowych RODO (GDPR – General Data Protection Regulation), po dwuletnim okresie przejściowym weszło w życie 25 maja br., zastępując dyrektywę 95/46/WE. Wprowadza szereg przepisów obejmujących wszystkie podmioty gromadzące, przechowujące i przetwarzające dane osobowe obywateli EU. Nie ma przy tym znaczenia, gdzie mieści się centrala organizacji. Rozporządzenie, które w zamyśle ma zwiększyć ochronę danych osobowych i odpowiedzialność za naruszenie ich bezpieczeństwa, przewiduje wysokie kary za złamanie przepisów, aż do 4% rocznego obrotu przedsiębiorstwa lub 20 mln euro (grzywną jest ta kwota, która jest większa).

Zgodnie z definicją zawartą w RODO „dane osobowe” to każda informacja pozwalająca zidentyfikować osobę fizyczną (podmiot danych), w tym takie dane jak nazwisko, lokalizacja, zdjęcie, dane biometryczne oraz dane finansowe, dotyczące zdrowia i identyfikatory internetowe, np. adres IP, unikalny numer urządzenia itp. Zgodnie z rozporządzeniem administratorzy danych osobowych (ADO) – organizacje, które gromadzą dane na własny użytek oraz „podmioty przetwarzające dane” (PPD) – organizacje, które przetwarzają dane w imieniu administratorów danych, np. dostawcy usług w chmurze, ponoszą odpowiedzialność za bezpieczne przetwarzanie danych, szczególnie w obszarach zarządzania, szyfrowania i pseudonimizacji.

W tym celu RODO zwiększa obowiązki podmiotów przetwarzających dane i nakłada na administratorów danych odpowiedzialność za ochronę praw obywateli oraz działania podmiotów przetwarzających dane, z którymi współpracują. ADO oraz PPD muszą nie tylko wiedzieć, jakie dane osobowe są w posiadaniu ich organizacji, ale także gdzie i jak są udostępniane oraz wykorzystywane. GDPR wymaga także od administratorów danych ujawnienia naruszenia bezpieczeństwa informacji w ciągu 72 godzin od jego wykrycia, rejestrowania wszystkich operacji przetwarzania danych, wyznaczenia inspektorów ochrony danych (IOD) oraz respektowania prawa do bycia zapomnianym.

Użytkownicy końcowi nie są gotowi
Chociaż prawa obywateli w zakresie ochrony ich danych osobowych są wg RODO sprawą fundamentalną, nie wszyscy konsumenci dbają o swoją ochronę. W rzeczywistości – jak wynika z badania Gemalto – 62% z nich uważa, że to na firmach posiadających ich dane osobowe spoczywa odpowiedzialność za bezpieczeństwo. Wdrożenie regulacji RODO zmusza organizacje do zachowania zgodności z procedurami ochrony danych, w przeciwnym razie muszą się liczyć nie tylko z konsekwencjami finansowymi, ale także z procesami sądowymi wytaczanymi przez konsumentów. Pomimo takiego zagrożenia analitycy z firmy badawczej Gartner szacują, że przeszło połowa przedsiębiorstw, które obejmie RODO, nie będzie w stanie zapewnić zgodności z nowymi regulacjami do końca 2018 r. Badanie przeprowadzone przez firmę Imperva wśród specjalistów ds. bezpieczeństwa przyniosło podobne wyniki – połowa respondentów stwierdziła, że w ich organizacjach nie są prowadzone żadne przygotowania do RODO.

Według badań przeprowadzonych przez Gemalto i Ponemon Institute na temat bezpieczeństwa w chmurze obliczeniowej zdecydowana większość globalnie działających przedsiębiorstw (95%) wykorzystuje usługi w chmurze do przechowywania danych. Co istotne, chociaż 53% respondentów tego badania stwierdziło, że ich organizacje wykorzystują uwierzytelnianie wielopoziomowe (multi-factor authentication) do zabezpieczania dostępu do informacji, to tylko 36% badanych przedsiębiorstw szyfruje lub tokenizuje wrażliwe dane w chmurze. Połowa respondentów uważa, że informacje o transakcjach płatniczych i dane klientów przechowywane w chmurze nie są bezpieczne. Co więcej, 57% badanych twierdzi, że wykorzystanie usług chmurowych zwiększa ryzyko naruszenia przepisów dotyczących prywatności.

Konsekwencje dla monitoringu wizyjnego
Wśród wszystkich typów danych osobowych ujętych w RODO informacje gromadzone przez aplikacje monitoringu wizyjnego mogą być uważane za jedne z najwrażliwszych (ze względu na „inwazyjną” naturę tych rozwiązań). Autorzy raportu opublikowanego przez firmę Genetec zwracają uwagę, że zgodnie z RODO ochrona prywatności musi zostać wbudowana w rozwiązanie, a nie być jedynie dodatkiem do niego. Narzucona przez RODO zasada „privacy by design” (ochrona danych na etapie projektowania) wymaga takiego podejścia do projektowania systemu, by zasady ochrony danych, takie jak np. szyfrowanie i anonimizacja zapisu wideo, były uwzględnione od samego początku tworzenia każdego rozwiązania.

W raporcie stwierdza się ponadto: Administratorzy danych będą odpowiedzialni także za zapewnienie, by domyślnie gromadzona i przetwarzana była jak najmniejsza ilość danych (zasada „privacy by default” – prywatność jako ustawienia domyślne). Systemy monitoringu wizyjnego, które bez przerwy rejestrują i przechowują obrazy, działają w sprzeczności z powyższym stwierdzeniem. W efekcie administratorzy danych będą zmuszeni do korzystania z systemów monitoringu o wielofunkcyjnych interfejsach, zapewniających elastyczność w procesie rejestrowania obrazu i kontrolę czasu przechowywania nagrań.
Firma Stanley Convergent Security Solutions, oceniająca problem z perspektywy integratora systemów, stwierdza w swoim artykule, że administratorzy danych powinni być świadomi nieustannie zmieniających się cyberzagrożeń dla danych wizyjnych i szkoleni pod tym kątem. Rezultatem powinno być wprowadzanie programu prewencji i reagowania. Administratorzy danych mają zwrócić się do integratorów swoich rozwiązań bezpieczeństwa o przeprowadzanie regularnych testów podatności, obejmujących każdy komponent sieciowy systemu monitoringu wizyjnego.

Sprawdzane powinny być wszystkie powiązane protokoły, urządzenia i firmware w celu zapewnienia, czy zostały zastosowane wszystkie dostarczane przez producentów aktualizacje.

Specjaliści ze Stanley Convergent Security Solutions zwracają także uwagę na znaczenie stosowania unikatowych haseł dostępu oraz przypominają integratorom o konieczności konfigurowania kamer sieciowych na innych portach niż te, które ustawiono w domyślnej konfiguracji producenta. Porty, które są dla przesyłanego obrazu i innych danych logicznymi ścieżkami w infrastrukturze, stanowią cel dla hakerów chcących uzyskać dostęp do systemu – napisano.

Dostawcy systemów wchodzą do gry
Aby zapewnić zgodność z nowymi regulacjami, dostawcy systemów muszą kierować się zasadą ochrony prywatności w swoich produktach już w fazie projektowej. Zasada privacy by design wymaga uwzględniania ochrony danych na każdym etapie każdego projektu. Z kolei zasada prywatności jako ustawienia domyślnego (privacy by default) oznacza, że systemy są projektowane i konfigurowane tak, by z definicji były bezpieczne. Ustawienia prywatności mają być ukierunkowane na zapewnienia maksymalnej ochrony danych użytkownika. Jego dane mogą być udostępniane ograniczonej do minimum liczbie osób.

Edwin Roobol, dyrektor w Axis Communications odpowiedzialny za Europę Środkową, twierdzi, że chociaż to przede wszystkim klient końcowy ma obowiązek zapewnienia zgodności z RODO przy każdym wykorzystaniu urządzeń przetwarzających dane osobowe, Axis będzie się starał maksymalnie ułatwiać uzyskanie tej zgodności. Producent ma dokładnie objaśniać swoim klientom, jakie istotne konsekwencje ma wprowadzenie RODO dla poszczególnych aplikacji Axis. Przykładowo, kto i za co jest odpowiedzialny w kontekście nowych regulacji przy korzystaniu z aplikacji oraz jakie środki muszą zastosować klienci, by zapewnić zgodność z RODO. Celem takiego informowania jest wskazanie klientom właściwego kierunku działania, a nie udzielanie porady prawnej. W efekcie klient powinien być zadowolony, otrzymując właściwe wytyczne do osiągnięcia rzeczywistej zgodności z RODO.
Zgodność z rozporządzeniem RODO jest uzależniona od sposobu dostarczania usługi. W przypadku klienta korzystającego z hostowanych usług Axisa wejście w życie RODO nakłada odpowiedzialność zarówno na usługodawcę, jak i tego, który z niej korzysta, a także na klientów klienta.

Przykładowo tam, gdzie Axis działa jako podmiot przetwarzający dane osobowe w imieniu partnera albo klienta, Axis i partner lub klient muszą stworzyć tzw. umowę powierzenia przetwarzania danych osobowych, która jasno będzie definiować role odpowiednio administratora danych osobowych oraz podmiotu przetwarzającego dane – wyjaśnia E. Roobol. Axis Communications pracuje nad kompleksowym projektem wdrażania RODO, w którego wyniku ma być wypracowany model zachowania zgodności z nowymi regulacjami.

Jean-Philippe Deby, dyrektor ds. rozwoju biznesu w firmie Genetec, zauważa, że zbyt mało uwagi poświęca się procesowi uzyskania zgodności z przepisami w przypadku systemów monitoringu wizyjnego, kontroli dostępu i innych systemów zabezpieczeń technicznych. Problemem jest funkcjonowanie w obiektach wielu starszych systemów ochrony, wdrożonych i nadzorowanych przez lokalne zespoły bez udziału i kontroli działów IT w organizacji – mówi J.P. Deby. Według niego uzyskanie zgodności z RODO opiera się w większym stopniu na ludziach i procesach niż na technologiach. Kluczowym zadaniem staje się więc zaangażowanie i edukacja naszych partnerów technologicznych, konsultantów, integratorów i użytkowników końcowych pod kątem analizowania potencjalnych luk i identyfikowania tego, co wymaga poprawy w kontekście nowych przepisów. Dzięki otwartości naszej platformy w większości wypadków jesteśmy w stanie pomóc klientom w modernizacji istniejących systemów, nie ma więc potrzeby całkowitej ich wymiany – podkreśla przedstawiciel Geneteca.

Komentując wpływ i znaczenie RODO, Ulrich Dörr, Data Protection Officer w Mobotix, stwierdza, że największą zaletą nowej regulacji jest możliwość rozwijania produktów, które opierają się na tym samym standardzie dla całej Unii Europejskiej, a nie na niejasnych, a czasem sprzecznych przepisach stosowanych przez poszczególne kraje członkowskie. Mobotix wykorzystuje dwupoziomowy model dystrybucyjny – z klientami końcowymi bezpośrednio współpracują dystrybutorzy i instalatorzy. Zadaniem firmy jest zapewnienie, by procesy, oprogramowanie i urządzenia były wsparte odpowiednimi narzędziami, opcjami i konfiguracjami umożliwiającymi im tworzenie bezpiecznych rozwiązań security zgodnych z nowymi przepisami.

Dysponujemy algorytmami, które określają wymaganą moc bezpośrednio w każdej kamerze systemu. W ten sposób zapewniamy bezpieczne wykorzystywanie danych w pobliżu źródła ich powstawania. Możliwość rejestrowania obrazu wyzwalanego przez zdarzenie ogranicza ilość zapisywanych i przesyłanych danych osobowych, więc pozostaje w zgodzie z wytyczną RODO dotyczącą minimalizowania gromadzonej informacji – zapewnia U. Dörr.

Przedstawiciel Mobotixa wymienia także inne źródła danych, które powinny być chronione, np. bankomaty i terminale płatnicze połączone z systemami monitoringu wizyjnego. RODO wskazuje, że dokonywana operacja wymaga korelacji między rachunkiem i obrazem klienta oraz tego, jak powiązane dane będą przechodziły przez różne systemy. W tym przykładzie skonfigurowanie jednej z kamer jako serwera czasu i zsynchronizowanie go ze wszystkimi innymi elementami sieci informatycznej przynosi wiele korzyści, na które składają się prostota, niezawodność i dokładność rozwiązania – przekonuje U. Dörr.

Wybiegając w przyszłość
Rozporządzenie RODO stanowiące przełom w zarządzaniu danymi staje się najbardziej restrykcyjnym aktem prawnym dotyczącym ochrony prywatności, z jakim organizacje miały kiedykolwiek do czynienia. Może też być uważane za wykładnię dla przyszłych regulacji na całym świecie. Aby zapewnić zgodność z nowymi przepisami, administratorzy danych muszą wykazywać się odpowiedzialnością i przejrzystością w odniesieniu do wszystkich swoich decyzji związanych z wykorzystaniem danych osobowych. RODO przyczynia się do szybkiego wzrostu na rynku chmury publicznej. Dzieje się tak, ponieważ przekazanie zadań zewnętrznym ekspertom od pamięci masowej ułatwia organizacjom osiągnięcie zgodności z nowymi przepisami.