Jak se nebát GDPR

Již víte, co zkratka GDPR znamená? Pak jste již s největší pravděpodobností měli nejednu slabší chvilku při přemýšlení, jak se s ní vypořádat. Pokud ještě tuto zkratku neznáte, článek si přečtěte raději až ve chvíli, kdy se chcete nechat zkazit den.

GDPR označuje General Data Protection Regulation. Jedná se o nové regulatorní nařízení s platností v rámci celé Evropské unie. Vstoupí v platnost 25. května 2018 a přináší zásadní změny v problematice ochrany osobních údajů.

Organizace, které nebudou v souladu se vystavují riziku pokuty až 20 milionů Euro, nebo až 4 % celosvětového obratu za minulý fiskální rok. Což není zrovna málo a přiznejme si, mít takovou částku k dispozici, nepíši tento článek a vy ho pravděpodobně nečtete. Protože já ležím v tropickém ráji a vy možná letíte s Elonem na jinou planetu. :-)

Pokud jste organizace zpracovávající osobní data, budete muset zajistit soulad tohoto zpracování s GDPR. A zde náš příběh začíná. Jak poznat, zda jste takovou organizací? To je otázka, na kterou si musíte odpovědět v první řadě.

Co GDPR znamená

K tomu, abyste odpovědět dokázali, musíte znát GDPR, musíte umět definovat co jsou to osobní data a budete muset vědět, které systémy, aplikace či jednotlivci ve vaší společnosti s takovými daty zacházejí a jak je zpracovávají. Pro podrobnější doporučuji proto především prostudovat originál tohoto nařízení.

Lze s určitostí říci, že implementace takových opatření není jednorázovou záležitostí. Výsledkem je vznik kontinuálního procesu ochrany osobních dat napříč organizací. Se stejnou určitostí lze také říci, že GDPR genericky nevyřeší právě tato věta v podmínkách provozování služby, právě zakoupení tohoto systému, či právě tato změna v konfiguraci. Všechny ale mohou pomoci. Protože každá organizace funguje jinak, zpracovává jiná data, jiným způsobem a pravděpodobně v jiné aplikaci.

Co jsou to osobní data

Osobní data jsou taková data, která umožňují identifikovat konkrétní fyzickou osobu. Může se tedy jednat o konkrétní údaj či jejich kombinaci. Záleží také na důvodu jejich zpracování či šíři zpracování. Za osobní údaj tedy můžeme považovat například:

  • Jméno a příjmení
  • Pohlaví
  • Věk
  • Datum narození
  • Fotografie
  • Soukromá i firemní e-mailová adresa
  • Soukromá či firemní poštovní adresa
  • Soukromé nebo firemní telefonní číslo
  • IP adresa

Jak jsme si řekli, určující je možnost identifikovat konkrétní fyzickou osobu. Pokud tedy víte, že tento článek napsal Vlk, který z oněch 3260 v naší republice to byl? Nevíte. Pokud je to ale Vlk pracující v KPCS CZ, takový je vězte skutečně jen jeden. A vida, máte konkrétní fyzickou osobu.

Pro nás v IT se samozřejmě sporně může jevit například e-mailová adresa nebo IP adresa. Co když se za ní skrývá celé malé město, nebo Petr mající e-mail na seznam.cz? Jak jsme si řekli, určující je možnost identifikovat konkrétní fyzickou osobu. A také množství informací. Jsou takto anonymní všechny údaje ve vaší databázi. Nedokážete jejich další kombinací osobu přeci jen identifikovat? Všechny tyto údaje a především systémy tyto údaje zpracovávající budete muset nově chránit, pokud jste tak dosud nečinili.

Je nutné také upozornit, že existuje ještě skupina takzvaných citlivých osobních údajů, jako je například sexuální orientace, zdravotní stav, trestní záznamy či biometrické údaje, které jsou samostatnou kapitolou a vyžadují ještě speciálnější zacházení.

Práva fyzické osoby

Nová práva mohou občané, jejichž data zpracováváte, využít pro vyšší ochranu svých osobních údajů, ale bohužel i zneužít proti vám. Všechny tyto práva budou muset vaše systémy i procesy umět zajistit.

  • Přístup - Které údaje o mé osobě zpracováváte či uchováváte?
  • Oprava - Tento údaj není správně a žádám o jeho opravu.
  • Omezení zpracování - Nechci, abyste moje data předávali dalším zpracovatelům.
  • Přenositelnost údajů - Vydejte mi prosím moje osobní data ve strojově čitelné podobě.
  • Výmaz a „ právo být zapomenut“ - Již si nepřeji, abyste zpracovávali moje údaje a přeji si jejich odstranění.

Váš příběh s GDPR může začít velmi lehce. Představte si životopis, ve kterém byl o sobě uchazeč dostatečně informačně sdílný. Přišel e-mailem do vašeho HR. Zde ho někdo uložit na sdílený disk, na USB médiu přinesl na domácí počítač a pro archivaci vytiskl do šanonu. To už máte 4 nechráněné kopie dokumentu, který obsahuje osobní informace. Jak se vypořádáte s tím, že někdo chce tato data najít a také smazat? Je nutné si tedy také říci, že GDPR se nedotýká jen elektronického zpracování dat, ale i papírové či sdělované formy. V té elektronické se nám ale bude pohybovat mnohem snáze.

Dopady GDPR

Dopady nejsou čistě technologické a budete je muset vyhodnotit napříč celou společností. GDPR ovlivňuje procesy, poskytované služby i samotné technologie. Implementace procedur pro ochranu osobních údajů bude nově povinnou součástí nových systémů. Stejně tak udělení souhlasu se zpracováním dat od samotného subjektu. Neautorizovaný přístup k těmto datům a jejich případný únik je nově nutné oznámit.

Jak reaguje Microsoft na všechny tyto dopady může napovědět tento ukázkový proces.

(1) Discover: Identify what personal data you have and where it resides. (2) Manage: Govern how personal data is used and accessed. (3) Protect: Establish security controls to prevent, detect, and respond to vulnerabilities and data breaches. (4) Report: Keep required documentation, and continuously review and update your data protection policies and practices.

Je dosti pravděpodobné, že ve vašem prostředí budou muset být některé aspekty fungování GDPR přizpůsobeny. Které to budou, musíte zjistit.

Implementace opatření

Před samotnou implementací byste měli mít zpracovánu analýzu, jaká opatření vlastně potřebujete. Které procesy ve vaší společnosti chybí, které technologie pomohou s ochranou dat, které uživatele budete školit z informační bezpečnosti. Jaké otázky si klást s ohledem na technologie a GDPR mohou napovědět tyto vzorové:

  • Jak je s daty nakládáno?
  • Jak jsou data zabezpečena?
  • Kdo má k datům přístup?
  • V jakých systémech se data objevují?
  • Jak jsou data přenášena?
  • Jak jsou data uchovávána a archivována?
  • Jaké jsou procedury při zjištění pokusu o odcizení dat?
  • Jaká jsou procedury při průniku a odcizení dat?

I na podobné otázky se zaměřuje například audit, který v rámci GDPR projektů dodáváme našim zákazníkům. Ať už radíme jak chránit firemní data i osobní údaje pomocí technologií a služeb EM+S či analyzujeme, jak nová legislativa ovlivní vaši práci a představujeme způsoby, kterými lze situaci nejlépe řešit a to i s pomocí našeho unikátního řešení KPCS ATOM. Díky snaze společnosti Microsoft a standardizaci online platformy je mnohem snazší doručit tento rámec v rámci právě těchto moderních služeb. Všechny potřebné materiály týkající se online služeb společnosti Microsoft a GDPR najdete na speciální stránce Trust Center.

Systémy a služby Microsoft a GDPR

Platforma Microsoft nabízí celou řadu způsobů, jak s GDPR pomoci. Leckdy se jedná o technologie, které již máme delší dobu, ale zatím jen nebyly v organizaci využity, nebo často nejsou správně konfigurovány. Ve většině případů bude postačovat jejich správné nastavení a procesní doplnění. Někdy bude nutné dokoupit nové služby či provést upgrade stávajících technologií. Jak jsme si již řekli, toto může být velmi individuální a v každé organizaci jiné. Někdy to bude o vhodné kombinaci služeb, někdy o změně licencování. Jindy o

Samotná společnost Microsoft prohlašuje, že jako poskytovatel online služeb bude s GDPR v rámci EU v souladu s tímto nařízením. Co si pod tím představit? Bude postačit zakoupit služby Office 365 a jsem chráněn? Ne nutně! Platforma jako taková umožňuje poskytnout možnosti zajistit soulad s GDPR a ochranu osobních dat. Její správné nastavení je ovšem na vás!

Příklad z praxe. Office 365 poskytuje možnost auditovat přístup k dokumentům. Tento audit je zabudován přímo v platformě a vy jej nedokážete změnit ani jako správce. Ale musíte jej jako správce zapnout! A v tom se skrývá celá podstata věci. Někdy bude řešení spočívat ve správném využití stávajících technologií, jindy o jejich konfiguraci, někdy procesním doplnění či sepsáním směrnice. Někdy ovšem bude snazší a celkově i levnější pořídit například vyšší plán s vyšší úrovní ochrany. To je jedním z bodů, který budete muset v rámci analýzy zpracovat.

Microsoft za vás GDPR nevyřeší jako mávnutím kouzelného proutku. Ale nabízí vám onen kouzelný proutek. Mávnout už musíte vy. S čím a jak tedy mohou pomoci technologie a služby Microsoft?

Microsoft Office 365

Online služby Office 365 nabízejí mnoho funkcí, které pomohou s uložením, zpracováním a zabezpečením citlivých informací.

Data Loss Prevention - DLP politiky pomohou identifikovat obsah, který je nutné chránit a to napříč všemi službami. V kombinaci například s transportními pravidly v Exchange Online pak dokáží eliminovat možnost jejich úniku.

eDiscovery - Možnost najít obsah v rámci SharePoint Online, Exchange Online, Skype for Business Online a OneDrive for Business je kritickou záležitostí k doručení evidence nakládání s osobními údaji či v případě soudních sporů nebo auditu.

Customer Lockbox - V případě, kdy potřebuje technická podpora přistoupit k datům vaší online organizace, vy jako vlastník dat explicitně musíte s touto akcí vyjádřit souhlas, který je evidován.

Advanced Threat Protection - Aby se ke koncovým uživatelům nedostaly škodlivé infekce či útoky směřující na osobní údaje, tato ochrana automaticky kontroluje odkazy ve zprávách a přiložené přílohy, zda neobsahují škodlivý kód. Tyto kontroly obsahují i virtuální počítače, které kontrolují, zda se například příloha PDF nechová nestandardně a zda například nevytvoří EXE soubor na disku po otevření.

Advanced Security Management - Identifikuje nestandardní aktivity uživatelů a dovoluje na ně reagovat. Nestahují například po novém přihlášení z nové lokality uživatelé příliš mnoho dat?

Audit Logs - Pokročilé logování aktivit v online službách dovoluje identifikovat, kdo k jakým datům přistupoval, jak s nimi zacházel a zda se nejedná o nekalou aktivitu.

Proč se zajímat? Platforma pro online spolupráci bude již ze své podstaty obsahovat citlivé a pravděpodobně i osobní údaje. Dokážete jej najít a ochránit?

Microsoft Azure

Platforma Azure nabízí mnoho služeb, které mohou pomoci zajistit soulad s GDPR a především zabezpečením nejen osobních, ale i firemních dat. Ty nejdůležitější jsou:

Azure Active Directory - Pouze korektně ověření uživatelé mohou přistupovat k aplikacím, které jim přiřadíte. Pokud s ní integrujete další aplikace, mohou uživatelé do všech systémů používat jednu identitu. Identitu, kterou budete moci mnohem lépe ochránit díky centralizovanému logování přístupu, řízení jejich životního cyklu i možnostem pro podmíněný přístup k aplikacím například pouze z firmou spravovaných zařízení.

Azure Multi-Factor Authentication - Druhý faktor poskytuje značné zvýšení bezpečnosti přihlášení, kdy je kromě kombinace jména a hesla validováno i jednorázové potvrzení ze strany uživatele například pomocí uživatelsky příjemné push notifikace či opsáním kódu z aplikace.

Azure AD Privileged Identity Management - Stejně jako na koncových stanicích by správci neměli používat účty doménových administrátorů, podobné by to mělo být v online službách. Pomocí této služby zajistíte, že všichni pracují v kontextu běžného uživatele a pouze na vyžádání získají oprávnění vyšších správců.

Azure Information Protection - Klíčová komponenta, která může pomoci s ochranou informací a dat bez ohledu na to, kde jsou data uložena či s kým sdílena. Můžete využít klasifikace dat pomocí jednoduchých a pro uživatele pochopitelných štítků, či automatické klasifikace na základě obsahu. Soubor je následně zašifrován a při přístupu je vyžadováno přihlášení identitou, které jsou k takovému obsahu přidělena tvůrcem práva. A to práva například omezující tisk či kopírování obsahu z takto chráněných dokumentů.

Log Analytics (Operations Management Suite) - Pomocí centrálního uložiště logů a jejich vyhodnocení můžete identifikovat možné mezery ve vašem prostředí či škodlivou činnost a automaticky na ní reagovat například uzamknutím účtu či aspoň notifikací bezpečnostního týmu.

Azure Security Center - Bezpečný provoz služeb je pro oblast GDPR prioritou a leckdy nevyřčeným požadavkem. Služba za vás ochrání a upozorní na všechny nesprávně či ne dostatečně bezpečné konfigurované služby v rámci Azure platformy.

Proč se zajímat? Pokud své aplikace hostujete u poskytovatele služeb, třetí strany, je nutné si klást otázku, k jakým datům tento poskytovatel může získat přístup a jak jsou z jeho strany chráněna.

Microsoft Enterprise Mobility+Security

V případě, že potřebujete rozšířit zabezpečení svého prostředí i směrem k identitám, aplikacím a systémům i v lokálním prostředí, je sada EM+S přímo nutností. Mimo níže uvedených najdete v sadě EM+S také Azure AD, Azure Information Protection, Azure MFA, které jsme si popsali výše.

Azure AD Proxy - Bezpečná publikace lokálních aplikací s integrací jednotné identity je základem, jak zvýšit bezpečnost perimetru.

Microsoft Cloud App Security - Pomůže s identifikací aplikací provozovaných online v cloudu, identifikovat uživatele, kteří ji používají a zda tato služba splňuje potřebné zabezpečení a jaká data se v ní nacházejí. Stejně tak pomůže definovat podmínky pro identifikace nestandardního chování uživatelů napříč jednotlivými službami. Přihlašuje se uživatel z Číny, ačkoliv jste ryze česká firma? Nepoužívají uživatelé neschválené služby a nebují u vás šedé IT?

Microsoft Intune - Správa mobilních zařízení a aplikací umožňující nasadit zásady zabezpečení, aplikace i potřebnou konfiguraci například pro automatické připojení k Wi-Fi či VPN při spuštění aplikace, která vyžaduje přístup k lokálním datům.

Microsoft Advanced Threat Analytics - Identifikovat nestandardní chování či útoky na AD bývá velmi složité a mnoho administrátorů nedokáže do všech zákoutí AD dohlédnout. ATA dokáže identifikovat tyto útoky a pomoci vám je eliminovat hned v počátku.

Proč se zajímat? Pokud máte data uložena v Office 365, ale na lokální zařízeních se může nalézat například off-line kopie těchto dat, měli byste zabezpečit i tuto kopii nebo samotná zařízení, či se bez off-line kopie obejít.

Microsoft Dynamics 365

I online služby pro podporu obchodních procesů jsou připraveny poskytnout oporu pro implementaci opatření pro soulad s GDPR. Ať už díky integrovaným funkcím, nativním šifrováním dat při uložení i přenosu, nebo pomocí kombinace s použitím identit z Azure AD a přihlášením chráněným Azure MFA.

Role-based security - K citlivým datům a sekcím mohou přistoupit pouze uživatelé s patřičnou rolí a pověřením.

Record-based security - I na úrovni samotného záznamu můžete omezit přístup uživatelům, kteří by daná data neměli vidět.

Field-level security - Pokud nestačí úroveň samotného záznamu, je možné omezit i možnost vidět data v jednotlivých polích patřičného záznamu.

Proč se zajímat? Právě databáze zákazníků bývají častým cílem útočníků a také se bude jednat o jeden ze systému v organizaci, kde se s určitostí osobní data nalézají.

Windows 10

Koncové operační systémy jsou bránou do většiny prostředí. Ať po stránce výskytu lokálních dat, aplikací, ale především informací, které uživatelé z těchto stanic zadávají či k nim přistupují.

AppLocker - Vestavěné řešení umožňující explicitně blokovat v prostředí nechtěné aplikace, nebo dovolit spuštění pouze schváleným. Umožňuje zabránit používat neschválené komunikační programy či blokovat virové nákazy.

Windows Hello - Přihlašování pomocí biometrických prvků je mnohem bezpečnější variantou než jen kombinací jména a hesla. V mnohých případech také poskytuje mnohem lepší uživatelskou zkušenost díky rychlejšímu přihlášení. Přihlášení, které je spjato s konkrétním počítačem.

Dynamic Lock - S mobilním telefonem chodíme snad všude. Při spárování telefonu s počítačem dojde při jeho detekované nepřítomnosti k mnohem rychlejšímu uzamknutí počítače i před vypršením stanoveného času na spuštění heslem chráněného spořiče. Tím se snižuje opět možnost kompromitace uživatelského přístupu a tím i úniku dat.

Windows Defender - Vestavěná obrana proti virové nákaze. Již delší dobu nepatří mezi základní řešení, ale umisťuje se na předních příčkách v detekci škodlivých aplikací.

Windows Defender Advanced Threat Protection - Pokročilá obrana proti sofistikovaným útokům. Na základě detekce chování systému, aplikací, PowerShell skriptů i síťových spojení dokáže detekovat i zatím neznámé hrozby nebo zpětně detekovat vstupní vektor škodlivé nákazy. Ve firemním prostředí dokáže zablokovat tyto vektory dříve, než se nakazí další koncové stanice. Taktéž může pomoci s izolací nakažených a zahájit jejich investigaci.

Device Guard - AppLocker na druhou. Spuštění je povoleno opravdu a pouze jen schváleným aplikacím, které jsou podepsány důvěryhodným certifikátem. Na rozdíl od AppLocker nelze obejít při získání systémových práv.

BitLocker - Ochrana pevného disku či výměnných uložišť šifrováním. Při ztrátě či krádeži techniky pak není možné přečíst obsah chráněné jednotky. Základní ochranný prvek, který by měla zvážit každá organizace.

Windows Information Protection - Velmi sofistikovaná metoda ochrany citlivých informací pracující na základě šifrování obsahu při detekci firemního uložiště a zabránění možnosti opuštění tohoto prostředí.

Proč se zajímat? Nakažení koncových stanic pomocí ransomware či aplikací sbírající přihlašovací údaje k mnohem citlivějším systémům bývá pro útočníka většinou velmi snadné. Získání dalšího přístupu či citlivých informací je pak otázkou dalšího šíření v prostředí.

Windows a SQL Server

Samozřejmě i ty serverové systémy nabízejí metody a technologie pro ochranu dat. Je ovšem o to složitější uvažovat v celé šíři, než jen u aplikací provozovaných v online světě. Pokud například logujete přístup k SQL databázi obsahující citlivé údaje, jste opravdu schopni říci, že po získání práva administrátora, nedokáže útočník tento log upravit?

Dynamic Data Masking nebo Row-level security, šifrování databáze, audit aktivit i řízení přístupu dokáže v rámci lokálních SQL databází pomoci se zajištěním ochrany dat.

Shielded Virtual Machines - Jak odepřít správcům virtualizační vrstvy přístup k citlivým virtuálním strojům a jejich obsahu.

Just Enough Administration & Just in Time Administration - Omezení oprávnění správce jen na schválené úlohy a pouze v čase, kdy je jsou tato práva skutečně potřeba.

Proč se zajímat? Ne všechny systémy nyní provozujeme ryze online. Ochrana a zajištění souladu lokálních systémů je samozřejmě také nutností, pokud mají konfigurované připojení do online prostředí. Nenalezneme například v servisní úloze heslo k online systému?

Další systémy

Je pravděpodobné, že ne všechny vaše systémy jsou nyní na platformě Windows. Jak zabezpečit webové aplikace, databázové systémy, servery s Linux operačním systémem, síťové prvky i další systémy, které mohou obsahovat osobní data nebo umožnit útočníkovi k nim získat přístup, je otázka, kterou si budete muset také položit a vyřešit pomocí systémů třetích stran nebo například pomocí Operations Management Suite či řešeních poskytovatelů jakým může být například KPCS ATOM.

Každá minuta do května se počítá

Do května příštího roku opravdu mnoho času nezbývá. Pokud jste si na základní otázku, zda se vás, vašeho podnikání a organizace GDPR dotýká, měli byste začít uvažovat nad analýzou dopadů a následně i nad zjištěním, které procesní, technologické či jiné opatření budete muset přijmout. Bude to otázka papírového boje, nebo se budete muset pustit do úpravy vaší aplikace. Přeji vám, ať je pro vás implementace GDPR nikoliv jen zbytečnou nutností, ale ať posune zároveň bezpečnost vašeho prostředí a dat na novou úroveň. Na úroveň, kdy budete moci klidněji spát a nebudete se bát GDPR, ale ani zákeřného útočníka. Takového, který se bohužel s WannaCry může objevit každým dnem.

Podělte se s námi o váš názor k GDPR či praktické postřehy z implementace v komentářích pod článkem.

KPCS CZ je předním poskytovatelem řešení nad platformou služeb a technologií Microsoft. Naše expertní znalosti nás činí unikátními. Oblasti bezpečnostního auditu, bezpečné konfigurace, implementace Office 365, EM+S, Azure i služeb KPCS ATOM pomáhají našim zákazníkům zajistit soulad s GDPR. Disponujeme kvalifikovanými partnery i pro oblast právní analýzy. GDPR za vás nevyřešíme. S námi to ale budete mít o nemálo snazší.

- Petr Vlk (KPCS CZ, WUG)