W razie wycieku danych-zaniedbanie może kosztować nawet 20 milionów euro lub 4 proc. rocznego obrotu. Tej wysokości kary przewiduje RODO (Rozporządzenie o Ochronie Danych Osobowych). To już nie są żarty i grożenie palcem, tylko realne ryzyko biznesowe, które trzeba wziąć pod uwagę – mówi Piotr Fabiański, Prezes Infonet Projekt SA-spółki świadczącej usługi w zakresie dostarczania innowacyjnych rozwiązań technologicznych, kompleksowych wdrożeń oraz konsultingu na wszystkich etapach prowadzonych projektów. Infonet Projekt jest również znanym producentem oprogramowania do zarządzania infratrukturą IT-ITManager.

Jaki jest Pana zdaniem najważniejszy trend we współczesnym IT?

Trudno jest jednoznacznie wskazać ten najważniejszy, gdyż najnowsze technologie się nawzajem przenikają i zazębiają. Technologie pozwalają zwiększyć ilość danych, jakimi dysponują firmy w rodzaju Google, Amazon czy Microsoft. Dzięki tym danym mogą one rozwijać swoje nowe produkty, wykorzystujące sztuczną inteligencję czy uczące się maszyny.

Jednak w moim odczuciu, z perspektywy biznesu najważniejsza jest chmura obliczeniowa. Sama w sobie nie jest ani nowa, ani niezwykła. Pierwsze konta e-mail zakładane na darmowych serwerach również są formą chmury obliczeniowej, gdyż użytkownik otrzymuje od dostawcy technologii wyłącznie usługę, bez martwienia się o infrastrukturę czy oprogramowanie. Współczesny biznes może uzyskać dzięki chmurze wcześniej niespotykane możliwości w postaci kilkudziesięciu usług, a w niedługim czasie kilkuset. To kolejna rewolucja IT, która dzieje się na naszych oczach.

Skoro firma nie ma kontroli ani nad tym, gdzie jest serwer, ani gdzie są dane, czy to bezpieczne rozwiązanie?

Jesteśmy na rynku już 23 lata i widzieliśmy już podobne rewolucje. Najpierw zastąpiono interfejs tekstowy graficznym i odbiorcy bali się, że trudno będzie obsługiwać programy firmowe myszką. Potem pojawił się Internet i wtedy również pytano, czy to nie jest groźne. Inny przykład to wirtualizacja, gdzie wielu wątpiło w skuteczność technologii i bezpieczeństwo danych. Chmura to kolejny krok w rozwoju technologii informacyjnych. Choć w przypadku chmury pracownik firmy nie wie, gdzie znajduje się serwer czy dane (firmowy administrator ma to w 100% pod kontrolą), to paradoksalnie jest to rozwiązanie znacznie bezpieczniejsze niż poprzednie rewolucje.

Jak to możliwe?

Chmurę obliczeniową można rozumieć jako gigantyczną serwerownię, w której każda korzystająca firma ma swój kącik, za który płaci. Wiodącym operatorom chmur nie opłaca się kupowanie gorszych serwerów czy opracowywanie innej polityki zabezpieczeń dla konkretnych grup klientów, bo wiązałoby się to z komplikacjami-a ewentualne oszczędności, jeśli by w ogóle wystąpiły-byłyby niezauważalne. Tym samym-każdy klient otrzymuje dokładnie taką samą ofertę, tyle, że kupuje sobie inny „kawałek”. Jedna organizacja kupuje przestrzeń o rozmiarze 100 gigabajtów, a kolejna potrzebuje 500 terabajtów. Konkretne „kawałki” różnią się wielkością, wydajnością czy innymi parametrami, jednak zabezpieczenia i jakość są dokładnie takie same. Małej firmy nie stać na wysokiej klasy specjalistów od zabezpieczeń, ale na chmurę już tak.

Oznacza to, że dzięki przeniesieniu się do chmury mała firma, zatrudniająca pięć, dziesięć czy sto osób, otrzymuje zabezpieczenia wystarczające dla amerykańskich szpitali i szwajcarskich banków. Coś, czego własnymi środkami i metodami nigdy nie osiągnie. Szczególnie, że chmury największych dostawców muszą być dopasowane do najwyższych wymagań, na przykład restrykcyjnej amerykańskiej normy HIPA, dotyczącej przetwarzania danych medycznych, czy też obowiązującego od maja przyszłego roku w całej Europie Rozporządzenia o Ochronie Danych Osobowych, czyli RODO.

W jaki sposób RODO zmieni biznes? Czy warto tylko ze względu na to prawo przestawiać całą firmę na chmurę?

RODO to akt prawny inny niż wszystkie. W przeciwieństwie do obecnych przepisów, nie wskazuje, jak długie ma być hasło zabezpieczające komputery. Zamiast tego zobowiązuje firmy do samodzielnej oceny ryzyka oraz wykazania, że podjęte zostały „najlepsze dostępne środki” zapewniające danym bezpieczeństwo. W tym kontekście, upieranie się przy zachowaniu własnej serwerowni-gdzie dostępna jest znacznie bezpieczniejsza chmura obliczeniowa, może być odebrane jako zaniedbanie.

A warto wiedzieć, że w razie wycieku, zaniedbanie takie może kosztować nawet 20 milionów euro lub 4 proc. rocznego obrotu, bo tej wysokości kary przewiduje RODO. To już nie są żarty i grożenie palcem, tylko realne ryzyko biznesowe, które trzeba wziąć pod uwagę.

Jakie zagrożenia są szczególnie ważne w przypadku RODO?

Celem Rozporządzenia jest zwiększenie ochrony danych osobowych obywateli Unii Europejskiej i nieistotne jest przy tym, czy mieszkają w Polsce, Niemczech czy innym kraju UE oraz z usług jakiej firmy korzystają. Co więcej, firmy są odpowiedzialne również za swoich podwykonawców. Jeśli z powodu niedopatrzenia firmy z Indii wyciekną należące do francuskiej firmy dane polskich klientów, jest to naruszenie RODO.

Najgroźniejszymi incydentami są oczywiście wycieki danych osobowych. Z tego względu RODO kładzie tak duży nacisk na tworzenie odpowiedniej polityki bezpieczeństwa, procedury, potwierdzenia i skodyfikowane zasady. Udowodnienie przed urzędem, że polityka bezpieczeństwa była dobra i skuteczna jest możliwe. Wyzwaniem jest jednak kontrola, czy faktycznie procedury są przestrzegane.

W jaki sposób dane wyciekają?

Media najczęściej donoszą o działaniach hakerów, którzy poprzez wyrafinowane ataki wykradają dane z banków i telekomów. To oczywiście się zdarza, a pozyskane dane to dla cyberprzestępców gigantyczny zarobek.

Błędem byłoby jednak postrzeganie wycieku wyłącznie jako wyniku zewnętrznego zagrożenia. Według serwisu breachlevelindex.com hakerzy i przestępcy odpowiadają za 60 proc. wycieków danych. Jednak kolejne 22 proc. to przypadkowa utrata tych danych, a 13 proc. przypadków to działanie człowieka wewnątrz organizacji.

W jaki sposób dane można zgubić?

Bardzo prosto, jeśli firma ich nie pilnuje. W 2011 NHS, brytyjski odpowiednik naszego NFZ przyznał, że zgubił laptopa z danymi prawie 9 milionów pacjentów, wliczając w to informacje dotyczące chorób, HIV czy nowotworów. Laptop po prostu zniknął, a wcześniej spokojnie leżał w magazynie. Podkreślam – w magazynie leżały sobie dane medyczne ponad 9 milionów ludzi!

Innym przykładem jest bank JP Morgan Chase, którego pracownicy w 2007 roku wyrzucali bankowe dokumenty do koszy na śmieci w całości, bez wcześniejszego zniszczenia.

Oba te wycieki, gdyby wówczas obowiązywało RODO, a ich skutki dotknęły obywateli UE, skończyłyby się dla tych instytucji gigantycznymi karami.

Nawet w Polsce doszło do sytuacji, w której recepcjonistka przez pomyłkę rozesłała do wszystkich gości hotelowych maile ujawniając ich adresy i została za to pociągnięta do odpowiedzialności karnej. Coś takiego, źle wysłany mail, pomylony załącznik, zgubiony pendrive czy ukradziony komputer, zdarzyć się może wszędzie.

Jak się przed takimi sytuacjami bronić?

Jedyną odpowiedzią jest współpraca technologii oraz procedur i działu prawnego. Oprogramowanie, którego jesteśmy producentem- ITManager stosowany jest do wsparcia i zarządzania procesami IT w organizacjach i pozwala w szczegółowy sposób kontrolować dostępy do danych. Pod wpływem sugestii klientów, dodaliśmy panel dedykowany dla Administratora Bezpieczeństwa Informacji, który ma możliwość szybkiego sprawdzenia, który pracownik ma dostęp do jakich danych. W organizacjach liczących dziesiątki lub setki pracowników jest to bardzo przydatne narzędzie.

Co więcej, możliwe jest działanie w drugą stronę. ABI wybiera konkretny komponent infrastruktury, na przykład serwer z danymi klientów na potrzeby programów lojalnościowych i sprawdza, którzy pracownicy mają do niego dostęp oraz w jakim zakresie. Dzięki temu możliwe jest ograniczenie dostępności danych do jedynie wąskiej, wyselekcjonowanej grupy, która realnie ich potrzebuje w codziennej pracy. Sytuacja, w której dane osobowe klientów i pracowników leżą sobie gdzieś na ogólnodostępnym współdzielonym dysku w folderze „dane klientów” i każdy może tam zajrzeć jest niedopuszczalna i stanowi ogromne zagrożenie.

Jakie jeszcze można stosować zabezpieczenia?

W wielu organizacjach wciąż stosowane są pamięci USB. Choć często najlepszym wyjściem jest zablokowanie dostępu do nich, to czasem są one potrzebne. Dlatego w naszym oprogramowaniu możliwe jest stworzenie autoryzowanych kluczy USB, które są następnie dokładnie monitorowane – do którego komputera zostały przypięte i co zostało na nie zgrane.

W breachlevelindex zaznaczono, że ponad 13 proc. wycieków spowodowane jest działalnością pracownika o złych intencjach. Można mieć różne pobudki – od chęci zysku aż po zemstę na nielubianym szefie. Wdrożenie naszych rozwiązań potrafi takie zapędy znacznie utrudnić.

Opisane oprogramowanie pozwala wykryć nie tylko potencjalne wycieki, ale i inne próby oszustwa. Dzięki monitorowaniu wykorzystywanych aplikacji i przeglądanych stron internetowych wiemy, czy pracownik nie przesiedział połowy dnia na Skype, a drugiej na Facebooku, cały dzień udając pracę. Coraz częściej tym rozwiązaniem zainteresowane są instytucje publiczne. Możliwe jest także monitorowanie aktywności komputera. Jeśli procesor i pamięć RAM u jednego pracownika są obciążone ponad miarę, warto zerknąć przez ramię, czy na jego ekranie nie uśmiecha się krzywo Geralt z Rivii.

Może się wydawać, że to są drobiazgi, jednak z perspektywy firm oszustwa ze strony pracowników czy niefrasobliwość związana z opieką nad danym to realny problem. To stracony czas i pieniądze, a wraz z wejściem RODO perspektywa kar finansowych.

Infonet