„Takie jak szyfrowanie”. Czyli jakie?

Szyfrowanie, GDPR, RODO

„Takie jak szyfrowanie”. Czyli jakie?

Nowe rozporządzenie o ochronie danych osobowych, które wejdzie w życie 25 maja 2018 roku, nakłada na nas obowiązek ochrony danych swoich klientów. Niestety prawodawca nie wskazuje nam w jaki sposób, jakimi narzędziami powinniśmy te dane zabezpieczyć. Stwierdza enigmatycznie, że „ (zabezpieczenia) powinny zapewnić odpowiedni poziom bezpieczeństwa, w  tym  poufność, oraz  uwzględniać stan  wiedzy technicznej oraz  koszty ich  wdrożenia w  stosunku do  ryzyka i  charakteru danych  osobowych  podlegających  ochronie.”.  Jedynym odstępstwem od tej zasady jest sformułowanie „takie jak szyfrowanie”, które w rozporządzeniu pojawia się kilkukrotnie. Prawodawca nie wskazuje precyzyjnie, że szyfrowanie danych będzie obowiązkowe, natomiast kilkukrotne wskazanie tego zabezpieczenia, spowoduje, że w przypadku kontroli, będziemy pytani o nie w pierwszej kolejności.

W przypadku zgłaszanie naruszenia ochrony danych osobowych na administratorze będzie spoczywał obowiązek udowodnienia, że „wdrożył odpowiednie techniczne i organizacyjne środki ochrony i  środki te  zostały zastosowane  do danych  osobowych,  których  dotyczy  naruszenie, w  szczególności środki takie  jak  szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych”. Udowodnienie, a raczej przekonanie inspektora danych osobowych, że podczas naruszenia danych  nie nastąpił ich wyciek, zwłaszcza w przypadku gdy przechowywane były one w postaci jawnej, będzie niezwykle trudne lub nawet niemożliwe. Zastosowanie szyfrowania umożliwi nam łatwiejsze przekonanie organu kontrolnego, że dopełniliśmy naszych obowiązków z należytą starannością. Pozwoli ono również zmniejszyć ryzyko ewentualnej kary, którą będziemy musieli solidarnie ponieść. 

Prawodawca nie wskazuje jakimi narzędziami należy zaszyfrować dane osobowe, jakie szyfry wybrać, czy też w jaki sposób ma odbywać się zarządzanie kluczami szyfrującymi. Natomiast nie mamy tutaj pełnej swobody. Powinniśmy kierować się dobrymi praktykami oraz stosować rozwiązania, co do których nie ma podejrzeń, że zawierają poważne błędy lub posiadają wbudowane nieautoryzowane funkcje.  Zastosowanie np. szyfru Cezara nie jest dobrym pomysłem, tak samo jak przechowywanie kluczy szyfrujących razem z zabezpieczonymi danymi, czy też zastosowanie programu TrueCrypt, do którego istnieją bardzo poważne zastrzeżenia. Warto zwrócić się do lokalnych instytucji certyfikujących z prośbą o rekomendację konkretnego produktu lub też jednostek akademickich zajmujących się tematyką szyfrowania. Szukajmy również referencji u znanych autorytetów w dziedzinie ochrony danych osobowych. 

 Rynek dostarcza kilku regulacji, które możemy wykorzystać jako dobre praktyki. Wprawdzie w wielu przypadkach nie będą one obowiązywały na terenie Polski czy też dla naszego sektora gospodarki, ale będą stanowić niezwykle cenną wskazówkę dotyczącą wdrożenia procesu szyfrowania.  Spośród wielu regulacji, które nakładają obowiązek szyfrowania należy wymienić: Payment Card Industry Data Security Standard (PCI DSS), Sarbenes-Oxley Act (SOX), Euro-Sox oraz Healt Insurance Portability & Accountability (HIPAA).

Przed rozpoczęciem wdrożenia  a nawet wyboru produktu musimy przede wszystkim określić jakie dane przetwarzamy (czy w ogóle mamy pozwolenie na ich przetwarzanie), gdzie (komputery pracowników, serwery w organizacji, serwery w chmurze)  i jak (plik, baza danych) je przechowujemy oraz komu je udostępniamy.

Nie będziemy zagłębiać się w tematykę samych danych osobowych, natomiast pamiętajmy, że zasady legalności, celowości, adekwatności oraz ograniczenia czasowego dalej będą obowiązywać. Pamiętajmy również, że to na administratorze będzie spoczywał obowiązek udowodnienia, że podmiot udzielił zgody na przetwarzanie jego danych osobowych.

Następnym krokiem będzie określenie gdzie znajdują się dane osobowe. Na których konkretnie serwerach, na których komputerach pracowników (w tym, czy ci pracownicy zostali dopuszczeni do przetwarzania danych osobowych) oraz określenie w jaki sposób są one udostępniane. Krypto system musi być spójny. To znaczy, że dane osobowe muszą być zabezpieczone podczas spoczynku, podczas pracy na nich oraz ich udostępniania. Przesłanie danych mailem w postaci niezaszyfrowanej należy uznać za błąd, tak samo jak zapisanie ich w systemie za pomocą protokołu HTTP bez wykorzystania TLS/SSL. Krypto system będzie zatem składał się z poszczególnych serwerów/komputerów oraz bezpiecznych połączeń między nimi.

Gdy wiemy już, jak dane osobowe są przetwarzane w naszej organizacji musimy przeprowadzić analizę ryzyka. Wynika to z zapisu „W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko”. Bez niej nie będziemy w stanie dobrać odpowiednich środków ochrony. 

Podczas analizy ryzyka musimy wskazać, w jakich sytuacjach może dojść do ujawnienia danych osobowych oraz wskazać zabezpieczenie eliminujące ewentualną podatność. W analizie ryzyka powinniśmy wziąć pod uwagę następujące elementy:

Zagrożenie Podatność Zabezpieczenie
Utrata urządzenia mobilnego Odczyt danych osobowych przechowywanych na laptopie przez osoby nieupoważnione Szyfrowanie typu FDE lub poszczególnych plików
Utrata nośnika danych (np. pendrive) Odczyt danych osobowych przechowywanych na zewnętrznym nośniku przez osoby nieupoważnione Szyfrowanie danych umieszonych na nośnikach

Zakaz wykorzystania nośników

Kradzież serwera przechowującego dane Odczyt danych osobowych na serwerze przez osoby nieupoważnione Administracyjne oraz techniczne środki kontroli dostępu do serwerowni
Podsłuch transmisji Odczyt transmisji danych osobowych przez osoby nieupoważnione Tunele kryptograficzne (SSL, IPSec lub podobne)

Jeden zaufany środek komunikacji przyjazny dla użytkownika

Infekcja wirusem Utrata integralności oraz odczyt danych osobowych przechowywanych na komputerach pracowników i serwerach Produkty typu antymalware, IPS, antybot, antyransomware

Bezpiecznego kontener na najważniejsze pliki

Selektywne szyfrowanie danych

Regularne kopie zapasowe

Zdalny odczyt danych przez interfejs publiczny (np. SQL injection) Zdalny odczyt danych osobowych udostępnianych przez interfejs publiczny  przez osoby nieupoważnione Audyt kodu, testy penetracyjne

Web Application Firewall, Firewall, DB Firewall

Selektywne szyfrowanie danych

Zdalny, nieautoryzowany dostęp do serwera (shell) Zdalny odczyt danych osobowych przechowywanych na komputerach pracowników i serwerach przez osoby nieupoważnione

Utrata integralności danych osobowych

Produkty typu antymalware, IPS, antybot, antyransomware, Firewall

Selektywne szyfrowanie danych

Kontrola dostępu do danych

Kradzież danych przez pracownika Odczyt danych osobowych lub ich kopii zapasowych przechowywanych na serwerze, komputerze pracownika lub na nośniku zewnętrznym przez osobę zaufaną Selektywne szyfrowanie danych

Separacja uprawnień

Kworum podczas dostępu do najważniejszych danych

System DLP

Uwierzytelnianie i rozliczalność

 

Przypadkowe ujawnienie danych przez pracownika Odczyt danych osobowych przez osoby nieupoważnione po przypadkowym udostępnieniu (np. pomyłka w adresie email) Prosty interfejs użytkownika

System DLP

Uwierzytelnianie i rozliczalność

Selektywne szyfrowanie danych

Nieautoryzowane logowanie do systemu Zdalny odczyt danych osobowych przez osoby nieupoważnione, wykorzystujące skradzione dane logowania Silne uwierzytelnianie

 

Powyższa analiza stanowi tylko przykład, natomiast zwraca uwagę na jedną, bardzo ważną rzecz. W zdecydowanej większości przypadków szyfrowanie jest niezbędne do eliminacji podatności.

Bardzo ważnym elementem krypto systemu jest człowiek. Musi on dokładnie wiedzieć w jaki sposób może przetwarzać dane, co jest zabronione, do kogo zwrócić się w razie wątpliwości. Dlatego zasady powinny być proste a interfejs przyjazny użytkownikowi. Musi on również wiedzieć, że jest rozliczany z każdej czynności, a w razie wątpliwości będzie go można wskazać z imienia i nazwiska jako źródło naruszenia.

Jeżeli dane przechowywane są wyłącznie w postaci pliku, zadanie wdrożenia krypto systemu wydaje się być stosunkowo proste. Należy wdrożyć jedno, spójne narzędzie, które zaszyfruje dane zarówno na komputerach pracowników, jak i na serwerze – najlepiej w sposób selektywny (tylko konkretne pliki, aby nie obniżyć wydajności systemu) oraz utworzy bezpieczną platformę wymiany danych między upoważnionymi pracownikami. Zaadresuje ono większość zidentyfikowanych podatności. Dodatkowo, w przypadku pracowników mobilnych można wykorzystać pełne szyfrowanie dysku (Full Disk Encryption), aby uniemożliwić dostęp do innych przechowywanych danych. Pamiętajmy jednak, że rozwiązanie FDE nie gwarantuje rozliczalności i nie adresuje problemów z wymianą danych czy też nieautoryzowanym dostępem zdalnym i naszym zdaniem powinien on stanowić dodatek do głównego krypto systemu.

Regulacja o ochronie danych osobowych nie zabrania przechowywania danych w chmurze, natomiast w tym przypadku będziemy musieli dodatkowo zaadresować inne zagrożenia. np. nieautoryzowany zdalny dostęp do interfejsu zarządzającego, nieautoryzowany dostęp nieuczciwego pracownika do nośników danych itp. Problemem może być również prawo do bycia zapomnianym.  W chmurze bardzo trudno jest śledzić, gdzie dokładnie znajdują się nasze dane. Operator infrastruktury w celu zachowania ciągłości działania może wielokrotnie replikować nasze dane (również do innych dostawców!).  Dlatego jeżeli chcielibyśmy skorzystać z chmury powinniśmy uzyskać od jej operatora konkretne informacje, jak dane są przechowywane, gdzie są replikowane, w jaki sposób następuje ich usunięcie oraz co najważniejsze gdzie i jak przechowywane są klucze szyfrujące.  Dobrym pomysłem będzie skorzystanie z lokalnych operatorów, którzy nie odmówią pomocy w przypadku wątpliwości organu kontrolnego i w klarowny sposób przedstawią architekturę systemu. Jeżeli takie informacje przedstawi również producent krypto systemu, nie powinniśmy się bać wysyłania danych do chmury.

Podsumowując, przy zastosowaniu szyfrowania (ogólnego jak i selektywnego) będziemy mogli w prosty sposób udowodnić, że dane osobowe nie zostały utracone oraz udowodnić, że dołożyliśmy wszelkich starań podczas ich zabezpieczenia. Będziemy mogli również pokazać, że dbamy o swoich klientów, co będzie dla nich dodatkowym argumentem aby przekonać ich do skorzystania ze swoich usług. Miejmy na uwadze, że w tak specyficznej dziedzinie wiedzy jaką jest kryptografia, musimy przede wszystkim trzymać się dobrych praktyk, opinii autorytetów oraz certyfikatów wystawionych przez biegłe w temacie jednostki organizacyjne. Warto również zaufać rodzimym produktom, Polska może przecież poszczycić się wspaniałym dziedzictwem w kryptologii. 

WordPress Appliance - Powered by TurnKey Linux