Od 25 maja 2018 r. obowiązuje rozporządzenie o ochronie danych osobowych, RODO (ang. General Data Protection Regulation, GDPR). Nowe prawo zupełnie inaczej niż dotychczas definiuje zasady przetwarzania i zabezpieczania danych osobowych, uwzględniając bezpieczeństwo informatyczne. Nie znajdziemy, jak w poprzedniej ustawie o ochronie danych osobowych wskazówek, mówiących o ilości znaków w haśle do naszego komputera, czy jak często powinniśmy wykonywać kopię bezpieczeństwa, czy dysk laptopa powinien być zaszyfrowany. W odniesieniu do RODO, to przedsiębiorąca musi wykazać, że zabezpieczył swoje środowisko informatyczne możliwie najlepiej przy wykorzystaniu dostępnej wiedzy i środków.
Należy pamiętać, że RODO dotyczy praktycznie każdego przedsiębiorcę, począwszy od jednoosobowej działalności gospodarczej, na potentacie przemysłowym zatrudniającym tysiące pracowników, kończąc. W dobie dzisiejszego poziomu informatyzacji każdy wykorzystuje komputer, serwer, sieć informatyczną, czy Internet, gdzie przetwarza dane osobowe. Jak zabezpieczyć dane osobowe skoro przepisy RODO nie wskazują rozwiązań technicznych?
Jako osoba zajmująca się bezpieczeństwem informatycznym oraz ochroną danych osobowych w SPARK-IT, postaram się na kilku prostych przykładach przybliżyć zabezpieczenia techniczne środowiska informatycznego.
UTM – inteligentna zapora sieciowa
UTM to rozbudowany, inteligentny firewall, który zabezpieczy sieć wewnętrzną firmy, znajdujące się w niej komputery, serwery, drukarki przed złośliwym oprogramowaniem, czy wirusami. Odpowiednio skonfigurowany zatrzyma spam i zapewnieni filtrowanie treści, zablokuje niechciane kategorie witryn internetowych. Uruchomienie prywatnej sieci VPN pozwoli na bezpieczną zdalną pracę poza biurem firmy za pomocą łącz internetowych bez obaw, że dane wpadną w niepowołane ręce. UTM stanie na straży naszej sieci w razie wystąpienia ataku hakera internetowego. Przedarcie się przez regularnie aktualizowane zabezpieczenia w urządzeniu przysporzy amatorowi cudzych danych wielu kłopotów, co pozwoli odstraszyć wielu z nich. W większości przypadków instalacja w sieci firmowej zabezpieczenia, jakim jest UTM, nie jest kłopotliwa i nie wymaga kosztownej modernizacji infrastruktury informatycznej, a zalety są bezdyskusyjne.
Szyfrowanie danych
Szyfrowanie danych jest jednym z podstawowych zabezpieczeń systemów informatycznych, serwerów, komputerów, laptopów, telefonów, czy tabletów. Wszelkie elektroniczne nośniki danych, jak pendrive, karty pamięci, na których zapisane są dane, a w szczególności dane osobowe, winny być bezwzględnie zaszyfrowane. Zajmując się na co dzień świadczeniem wsparcia informatycznego dla firm, każdy dostarczony lub zakupiony przez klienta laptop (lub inne urządzenie mobilne) jest obowiązkowo szyfrowany. W znakomitej większości są to urządzenia z systemem Microsoft Windows, który od kilku już wersji umożliwia włączenie w systemie szyfrowania, jako dodatkowej funkcji BitLocker bez konieczności zakupu dodatkowego oprogramowania. Poświęcenie kilku chwil jest w stanie zabezpieczyć nasze dane w razie utraty urządzenia / nośnika danych, co może się przytrafić każdemu. Konsekwencje utraty, a w rezultacie wykorzystania danych naszych, czy naszych klientów lub współpracowników mogą mieć poważne konsekwencje.
Kopia danych
Na co dzień jesteśmy przyzwyczajeni, że włączamy nasz komputer, system się uruchamia, robimy kawę i rozpoczynamy pracę. A co w sytuacji, kiedy komputer się nie włączy, gdy nasz system informatyczny pokaże „czerwoną kartkę”, albo poprosi nas o zapłacenie kilku tys. euro, bo nasze dane zostały zaszyfrowane przez wirus komputerowy. Realizując opiekę informatyczną firm, spotykamy się z taki sytuacjami regularnie. Mamy kopię danych, która wykonała się w nocy – powie większość naszych klientów. Niestety wiele sytuacji jest takich, kiedy zwracający się do SPARK-IT przedsiębiorąca nie posiada kopii. Utrata danych zawsze równa się stratom finansowym, wizerunkowym, jest okupiona mnóstwem stresu i czasu, który trzeba poświęcić na szukanie jakichkolwiek kopii czy odzyskiwanie danych. Jest wiele możliwości uniknięcia problemów związanych z utratą danych i wcale nie muszą to być skomplikowane, czy wyjątkowo drogie systemy. Podstawowe zasady, to regularność wykonywania kopi danych, przechowywanie jednej kopii z dala od systemu informatycznego. Ale to nie wszystko. Bardzo istotnym jest również regularne testowanie poprawności wykonanej kopii poprzez jej odtworzenie i weryfikację. Do rzeczy. Najprostszą i bardzo skuteczną metodą wykonywania kopii, jest zastosowanie dwóch zewnętrznych dysków USB, na które rotacyjnie, codziennie wykonywana jest kopia. Odpowiednio zainstalowane i skonfigurowane (nawet darmowe) oprogramowanie automatycznie wykona kopie niezwłocznie po podłączeniu dysku do serwera / komputera. Tak wykonana i zaszyfrowana kopia pozwoli osiągnąć podstawowy poziom bezpieczeństwa i w razie konieczności w dość krótkim czasie odzyskać utracone dane. Bardzo dobrym rozwiązaniem jest zastosowanie dodatkowego poziomu kopii bezpieczeństwa np. NAS, czy inne urządzenie magazynujące dane. Kolejną dodatkową formą zabezpieczenia danych może być kopia do „chmury”. Poprzez takie rozwiązanie zyskujemy uniezależnienie i separację danych od jednego środowiska informatycznego oraz kolejny poziom zabezpieczenia dla naszych danych. Istnieje jeszcze wiele innych możliwości zabezpieczenia danych i zwiększenia poziomu dostępności naszej infrastruktury informatycznej, jak choćby replikacja danych, gdzie jednocześnie na dwóch systemach zapisywane są wszystkie dane, a awaria jednego z nich nie paraliżuje pracy całości systemu, ale ten artykuł ma głównie wskazać na istotę sprawy i podstawowe rozwiązania.
Zasilanie awaryjne
Prąd to bez wątpienia najważniejszy czynnik determinujący działanie każdego systemu, w tym informatycznego. Nikogo chyba nie trzeba przekonywać do zalet zasilania awaryjnego. Co się może wydarzyć, jeśli nie mamy w systemie informatycznym rozwiązania podtrzymującego zasilanie, zabezpieczającego naszą infrastrukturę pod kątem zasilania? Przepięcie elektryczne, awaria instalacji elektrycznej może spowodować awarię serwerów, urządzeń aktywnych sieci informatycznej, komputerów, drukarek, itd. Mówiąc ogólnie, utrata sprzętu, danych, brak dostępności do systemów. Decyzja Zarządu – kupujemy UPS. Jak to w branży informatycznej jest, nie wszystko oczywiste, jest proste. Zastanówmy się, zapytajmy fachowców. Wybór zasilacza awaryjnego uzależniony jest od posiadanej infrastruktury informatycznej oraz funkcji, jaką ma urządzenie pełnić. Może to być centralny system zasilania awaryjnego, który zapewni zasilanie części wydzielonej instalacji elektrycznej i podłączonych do niej urządzeń lub może to być UPS, który w razie braku zasilania, dostarczy energię dla urządzeń szafy teleinformatycznej. W pierwszym kroku należy dokonać odpowiednich obliczeń, które wykażą odpowiednią moc dla nowej „baterii”. UPS powinien posiadać możliwość komunikacji z systemem informatycznym, by w razie awarii zasilania w odpowiednim momencie zdecydować o bezpiecznym wyłączeniu systemu informatycznego, zanim akumulatory zostaną całkowicie rozładowane. Dobrą praktyką jest ustawienie w BIOS serwera opcji automatycznego uruchomienia systemu z chwilą przywrócenia zasilania elektrycznego.
Aktualizacja systemów informatycznych
Każdy produkt posiada wadę – bardzo mi przykro. Czy to będzie samochód – regularnie słyszymy o akcjach serwisowych, chyba każdego koncernu motoryzacyjnego bez wyjątków, czy telewizor, nie ma znaczenia. Tym bardziej narażone są systemy informatyczne i to bez względu na producenta, Microsoft, Linux, Google, Apple, czy inny. Nieustannie grupa pseudo specjalistów szuka błędów producentów oprogramowania, by bezwzględnie wykorzystać je najczęściej przeciwko użytkownikowi. Jest sposób by się nie poddawać – regularne aktualizacje systemów operacyjnych i oprogramowania. Producenci staja na głowie, by dostarczyć „łaty” w możliwie krótkich terminach, więc korzystajmy, ale z głową. Realizując wsparcie informatyczne dla firm mamy sprawdzone metody i rozwiązania, by aktualizacje przebiegały w sposób kontrolowany i bezpieczny dla systemów naszych klientów. Dwie złote zasady, to kopia zapasowa i testy. Przed wgraniem aktualizacji do produkcyjnego systemu operacyjnego, np. serwera, sprawdzamy poprawność wykonania kopii zapasowej aktualizowanego systemu, a następnie dokonujemy instalacji aktualizacji w środowisku testowym, bacznie weryfikując wpływ wprowadzonych zmian na stabilne funkcjonowanie środowiska. Dzięki tym prostym zabiegom osiągamy sukces aktualizacji. Brak aktualizacji to poważne ryzyko, z którym w bardzo realny sposób wiąże się możliwość wycieku danych osobowych z systemów informatycznych. Hakerzy szukają i czekają na okazję. Utrudnijmy im życie.
Oprogramowanie antywirusowe
Antywirus = konieczność!!! Każdy z nas przyjął w dzieciństwie obowiązkowy pakiet szczepień, dzięki czemu nie chorujemy. Zakładam, że nikt z nas nie chciałby doprowadzić do choroby swojego systemu informatycznego. Należy go również traktować jako żywy organizm. Nie wybierzemy pierwszej z brzegu szczepionki, tak samo zastanówmy się nad systemem antywirusowym. Wybierzmy rozwiązanie sprawdzone, wspierane przez producenta, z możliwością konfiguracji, regularnie aktualizowane. Jeśli w naszej infrastrukturze informatycznej jest serwer zadbajmy przede wszystkim o dane zapisane w głównej, zarazem centralnej lokalizacji. To tutaj najczęściej zlokalizowane są najistotniejsze systemy informatyczne przetwarzające dane osobowe. Jednocześnie należy mieć na uwadze, że całość naszego antywirusowego zabezpieczenia jest tak silna, jak najsłabsze jego ogniwo. Mam na tu na uwadze stacje robocze, jak i urządzenia mobilne telefony, tablety. Te ostatnie biorą udział w przetwarzaniu danych osobowych, jak i dostępie do naszej sieci lokalnej na równych prawach, jak pozostałe urządzenia. O zagrożeniach, jakie niosą za sobą infekcje wirusów komputerowych nie będę się zbytnio rozwodził, bo to każdy już wie, ale słowo wspomnę o wirusach typu ransomware. To w ostatnich czasach chyba jeden z najgorszych mikrobów. Odmiany tych wirusów potrafią w tle bez wiedzy użytkowników szyfrować wszystkie dane na wszystkich urządzeniach, komputerach, serwerach i dopiero po zaszyfrowaniu wszystkich urządzeń, blokują dostęp do danych. Następnie żądają okupu często w kwotach kilku tysięcy euro, po opłaceniu, którego zostaną nam udostępnione klucze umożliwiające odszyfrowanie zablokowanych naszych danych. Niestety nigdy nie ma pewności, że po wpłaceniu pokaźnej kwoty jeszcze kiedyś zobaczymy dane do których dostęp został nam permanentnie zablokowany.
Zabezpieczenie sieci WIFI
Dlaczego? Dlaczego sieć WIFI jest traktowana, jako coś czego nie widać? To jest taki sam segment sieci, jak ten, do którego dostęp uzyskujemy po wpięciu kabla sieciowego do laptopa. Realizując wsparcie informatyczne z ramienia SPARK-IT dla wielu firm, przeprowadzając audyty bezpieczeństwa napotykam sieci WIFI, które są mizernie zabezpieczone, a przedstawiciele służb IT dumnie prezentują bardzo drogie urządzenia sieciowe zabezpieczające ich infrastrukturę informatyczną. Chciałbym być dobrze zrozumiany, nie mam nic przeciwko sieci WIFI – sam korzystam. Ale od początku. WIFI w firmie, dlaczego nie? Zaopatrzmy się w urządzenia, które będą gwarantowały odpowiednio wysoki poziom bezpieczeństwa. Znam urządzenia dystrybuujące sygnał WIFi, które kosztują kilkadziesiąt złotych, szczerze nie polecam. O zagrożeniach nie piszę wcale, bo każdy jest w stanie wyobrazić sobie intruza w sieci, który korzysta z naszych danych jak chce, bo WIFI było niezabezpieczone. No to jak to WIFI zrobić dobrze? Po pierwsze dobre urządzenie. Na starcie konfigurujemy dostęp do samego urządzenia. Zabierzmy możliwość dostania się do urządzenia zdalnie z poza sieci wewnętrznej firmy. Konfigurujemy zawsze dwie sieci, jedna dla pracowników, a druga dla gości. Gość po podłączeniu do sieci ma dostęp jedynie do Internetu!!! Nie ma dostępu do danych firmowych w szczególności do danych osobowych. Hasło, oczywiste, że do sieci firmowej ustawimy silne hasło, ale do sieci gościa też musimy się postarać, a co ważniejsze regularnie je zmieniać. O ile z pewnym, ale akceptowalnym minimum zabezpieczeń dla sieci WIFI gościa możemy się pogodzić, to firmowa sieć WIFI powinna być wyposażona w dużo, głównie z naciskiem na dużo wyższy poziom zabezpieczeń. Zaczynając od ukrycia widoczności (SSID) sieci, ograniczając dostęp tylko do dozwolonych MAC adresów urządzeń. Uwierzytelnianie WPA2, uwierzytelnianiu WPA2 powinno towarzyszyć szyfrowanie AES, nic poniżej. To tak podstawowo. Wszelkie kolejne zabezpieczenia naszego dostępu WIFI będą w dużej mierze uzależnione od zaawansowania sprzętu jaki nabyliśmy lub od oprogramowania jakim dysponujemy. W tym aspekcie też nie zapominamy o aktualizacjach.
Szkolenia z bezpieczeństwa informatycznego
Szkolenia z bezpieczeństwa informatycznego, podstawowa wiedza, świadomość, zrozumienie, to fundamenty, które zapewniają stabilne środowisko IT. Śmiało możesz zapomnieć o elaboracie, który wysmarowałem powyżej, który i tak jest jedynie drobnym fragmentem zakresu bezpieczeństwa informatycznego w firmie, jak Twoi pracownicy nie będą posiadali podstawowej wiedzy co mogą, o co muszą pytać, a czego nie wolno dotykać korzystając z komputera w dzisiejszych czasach. Może Ty wiesz, ale to nie znaczy, że wiedzą to wszyscy. Tak naprawdę nie wiele trzeba żeby wiedzę fachowców SPARK-IT przekazać w przystępnej formie normalnym ludziom, którzy nie są specjalistami informatykami. Wystarczy 2h, żeby pokazać grupie pracowników podstawowe, najważniejsze aspekty związane z bezpieczeństwem informatycznym. Zainteresowanym jestem w stanie przesłać agendę szkolenia Bezpieczny pracownik.
Napisz: biuro@spark-it.pl
Zadzwoń: +48 81 820 04 10
to nic nie kosztuje.
Zdaję sobie doskonale sprawę, że artykuł jedynie zaczepia bezpieczeństwo informatyczne w firmie w odniesieniu do RODO i przetwarzania danych osobowych. Nie ma możliwości zastosowania dla wszystkich, ale nie miał mieć. Bardzo chętnie indywidualnie odniosę się, pomogę, doradzę wszystkim zainteresowanym poruszanymi w artykule zagadnieniami.
0 komentarzy