Temat numeru: GDPR w erze mobilności

BANK 2017/10

Urządzenia przenośne stały się wszechobecne i nikogo już nie dziwi, że czasem musi nosić ze sobą dwa czy trzy urządzenia. W ten sposób dane są wynoszone poza bezpieczną sieć firmową. Pracownicy przeglądają poufne dokumenty na prywatnych komputerach, odczytują e-maile na prywatnych telefonach czy tabletach i przechowują dane w chmurze, nie dbając o zabezpieczanie kopii.

 

Konrad Polaczek

Millenialsi, osoby w wieku od dwudziestu kilku do trzydziestu kilku lat, którzy zdaniem PwC około 2020 r. będą stanowić połowę globalnej liczby pracowników, podbijają rynki pracy. Mają swoje przyzwyczajenia i nawyki, które niedługo zmienią wiele obszarów naszego życia. Przykładowo, młodzi ludzie lubią dzielić się wydarzeniami z życia w mediach społecznościowych, wykorzystując do tego celu smartfony. Tymczasem każdy, kto korzysta z bezpłatnych aplikacji w telefonie czy z portali społecznościowych udostępnia o sobie szereg informacji. Jeśli dodatkowo znajduje się przy biurku i nie ma wystarczającej świadomości może narazić pracodawcę na stratę ważnych dla niego informacji.

Korzystanie z prywatnych smartfonów czy tabletów w miejscu pracy stało się poważnym wyzwaniem dla działów bezpieczeństwa. Z badań McKinsey & Company wynika, że obecnie około 80% firm umożliwia pracownikom łączenie prywatnych urządzeń z firmową siecią. Coraz częściej chcą oni mieć także możliwość korzystania z poczty i innych aplikacji firmowych na osobistych urządzeniach. Ten trend, nazywany BYOD (Bring Your Own Device, czyli „przynieś własne urządzenie”), stwarza wiele nowych zagrożeń dla bezpieczeństwa. Dlatego w sektorze bankowym najczęściej pracownicy nie mogą korzystać z prywatnych urządzeń przy wykonywania obowiązków zawodowych.

– Bank obecnie wyklucza możliwość korzystania z prywatnych urządzeń w pracy. Przetwarzanie danych bankowych, w szczególności danych osobowych i objętych tajemnicą bankową, nakłada na instytucje finansowe konieczność szczególnej ochrony tych informacji. W przypadku wdrożenia BYOD konieczne byłoby wypracowanie i ścisłe przestrzeganie praktyk związanych ze zgubieniem urządzenia czy kradzieżą (wtedy konieczna jest zdalna możliwość usunięcia wszelkich danych znajdujących się na urządzeniu lub w przypadku urządzeń z separacją danych prywatnych od danych firmowych – zdalne usunięcie tych drugich). Podejście BYOD związane jest dodatkowo z kwestiami podatkowymi (dochodzi do użyczenia prywatnego sprzętu) – przekonuje Jacek Mainda, starszy specjalista ds. Bezpieczeństwa Informacji, Departament Bezpieczeństwa Informacji w banku Credit Agricole.

Ujednolicone procedury

Aby podejście BYOD mogło w pełni zaspokoić obowiązki, które nakłada GDPR, jak i instytucje nadzorcze, każda instytucja powinna spełnić kilka warunków i przeprowadzić kilka działań. Należy określić jednolitą flotę urządzeń mobilnych i sposób zarządzania nią. Rozwiązaniem mogłaby być zawarta w polityce bezpieczeństwa lista urządzeń uznanych za „dopuszczone do użytku”. Pojawia się jednak kolejna kwestia związana z ogromną liczbą producentów sprzętu, jak i częstotliwością wprowadzania przez nich nowych modeli – taka lista musiałaby być często aktualizowana.

Należy również wprowadzić szyfrowanie. Niepodważalna jest konieczność szyfrowania nośników, na których znajdują się dane firmowe. Niemniej szyfrowanie takie może być odczuwalne jako obniżające wydajność urządzenia przy użytkowaniu prywatnym (gry, aplikacje społecznościowe etc.). Bardzo ważne jest wprowadzenie adekwatnej blokady urządzenia (hasło, PIN, odcisk palca). Następnie należy wprowadzić możliwość korzystania z konta administracyjnego, tzw. rooting. Mechanizmy zastosowane dla urządzeń BYOD muszą wykrywać próby zwiększenia uprawnień i blokować przesyłanie danych dla takich urządzeń, na których ktoś obcy zalogował się jako administrator. Trzeba też wprowadzić możliwość blokowania instalacji aplikacji z nieznanych źródeł oraz uznanych za mogące wyrządzić szkody, instalować oprogramowanie antywirusowe oraz wprowadzić możliwość lokalizowania urządzenia.

– Podsumowując, aby prawidłowo, w rozumieniu GDPR, KNF, US, wprowadzić urządzenia BYOD, należałoby uregulować – w formie umowy pomiędzy instytucją a użytkownikiem – prawa i obowiązki związane z używaniem prywatnego urządzenia. Umowa ta byłaby rodzajem polityki bezpieczeństwa, opisującej w sposób kompletny zasady posługiwania się urządzeniami. Nasuwa się więc inne pytanie: skoro na użytkownika zostałoby nałożone tak wiele obostrzeń, to czy nadal podejście BYOD byłoby atrakcyjną formą pracy? – zastanawia się Jacek Mainda.

Edukacja i szkolenia

Jak zauważa Marek Piotrowski, dyrektor Departamentu Infrastruktury Teleinformatycznej Plus Banku, największym wyzwaniem jest okiełznanie nonszalancji pracowników i podniesienie ich świadomości odnośnie zagrożeń. Wsparciem w tym procesie jest technologia, która pewne zachowania może ograniczać lub utrudniać.

– Nie jesteśmy w stanie przeciwdziałać zachowaniom, które wynikają z determinacji pracownika, który nieświadomy zagrożeń znajdzie sposób na wysłanie bazy klientów na prywatny e-mail. To świadomy pracownik jest najlepszą obroną przed wyciekiem danych. Zarówno ten na szczeblu biurowym, jak i technicznym, każdy w swoim zakresie kompetencji i adekwatnie do poziomu uprawnień i ryzyk związanych z dostępem do chronionych informacji. Dlatego wdrażając rozwiązania mające ułatwić biznesowi pracę z urządzeniami mobilnymi nie można zapomnieć o podnoszeniu poziomu świadomości pracowników i ich weryfikacji, wspierając jednocześnie pracownika technologią, która umożliwi dostęp do danych w akceptowalnej przez organizację formie. W praktyce dostępna technologia oferuje odpowiedni poziom zabezpieczeń. Dane, szczególnie te biznesowe, są jednym z cenniejszych, jeśli nie najcenniejszym zasobem organizacji. Świadomość ich możliwej utraty lub utraty ich poufności wraz z ewentualnymi konsekwencjami będzie najlepszą przestrogą – podkreśla Marek Piotrowski.

Nakłanianie pracowników do zaprzestania używania urządzeń i aplikacji, które nie są kontrolowane, prawdopodobnie nie będzie skuteczne. Wszechobecność smartfonów i tak sprawia, że korzystają oni z sieci społecznościowych i osobistych aplikacji w chmurze, niezależnie od tego, czy polityka firmy to dopuszcza, czy nie. Bardziej efektywne może być edukowanie użytkowników, a także wdrażanie technologii – takich jak szyfrowanie danych, kontrola dostępu i monitorowanie ruchu – w celu zarządzania tym problemem.

Jak spełnić wymogi GDPR i uniknąć konsekwencji ich nieprzestrzegania?

Zatrudnienie specjalisty ds. ochrony danych. To jeden z wymogów GDPR. Funkcję tę może pełnić osoba zatrudniona w pełnym wymiarze godzin, pracownik, dla którego jest to jedynie część obowiązków lub agencja zewnętrzna. Warto zaznaczyć, że specjaliści ds. ochrony danych będą mogli oferować swoją pracę w modelu usługowym, dlatego niektórzy integratorzy systemów lub sprzedawcy będą mogli uruchomić stosowną usługę, rozwijając w ten sposób swoją ofertę.

  • Wdrożenie niezawodnego rozwiązania do kontroli dostępu. Możliwość kontroli dostępu do aplikacji, które dają wgląd w dane osobowe obywateli Unii Europejskiej – a w szczególności w dane nieusystematyzowane – to element kluczowy dla ochrony danych i zgodności z przepisami GDPR. Kontrola ta zwykle wymaga okresowych przeglądów praw dostępu, przeprowadzanych przez kierowników pionów, oraz wydawania certyfikatów potwierdzających, że uprawnienia są adekwatne do zadań pracowników i nie zagrażają bezpieczeństwu danych.
  • Zarządzanie kontrolą dostępu. Aby spełnić wymagania GDPR, pracownicy i współpracownicy muszą dysponować uprawnieniami dostępu, umożliwiającymi im wykonanie tylko i wyłącznie zadań, które faktycznie zostały im powierzone. Odpowiednie technologie, które pozwalają kontrolować dostęp do danych na tym poziomie, to uwierzytelnianie wieloskładnikowe, bezpieczny dostęp zdalny, zabezpieczenia oparte na ryzyku oraz zabezpieczenia adaptacyjne, precyzyjne zarządzanie hasłami i pełna kontrola nad danymi uwierzytelniającymi i aktywnością użytkowników uprzywilejowanych.
  • Ochrona granic zewnętrznych. Wdrożenie zapór firewall nowej generacji (NGFW) pozwala zmniejszyć podatność sieci na cyberzagrożenia i zniwelować ryzyko wycieków danych, które mogą doprowadzić do naruszenia bezpieczeństwa danych, skutkującego surowymi karami, nakładanymi na mocy GDPR. Należy również zadbać o zgromadzenie informacji na potrzeby ewentualnych dochodzeń, niezbędnych do udowodnienia zgodności z przepisami i wdrożenia stosownych korekt po incydencie naruszenia.
  • Zapewnienie bezpiecznego dostępu mobilnego. Warto wspierać bezpieczny przepływ chronionych danych, jednocześnie umożliwiając pracownikom dostęp do aplikacji i danych biznesowych wtedy, gdy ich potrzebują, w preferowany przez nich sposób i za pomocą wybranych przez nich urządzeń. Bezpieczeństwo danych można zwiększyć poprzez połączenie komponentów związanych z tożsamością użytkowników, zmiennych reprezentujących urządzenia i czynników czasowych (czas, lokalizacja itp.), aby stworzyć elastyczne, oparte na ryzyku rozwiązanie, które zawsze i nieprzerwanie zapewnia właściwy dostęp, a zarazem poprawia ochronę danych i zgodność z przepisami GDPR.
  • Zapewnienie bezpieczeństwa poczty elektronicznej. Aby spełnić wymagania GDPR, należy zadbać o pełną kontrolę i przejrzystość aktywności w obszarze poczty elektronicznej. Pomoże to zniwelować zagrożenie w postaci phishingu i innych ataków na informacje chronione, opartych na wiadomościach e-mail. Jednocześnie umożliwi to bezpieczną, zgodną z przepisami wymianę poufnych i zastrzeżonych danych.

Źródło: Dell