Ca urmare a intrării în vigoare, începând cu 25 Mai 2018, a Regulamentului General privind Protecția Datelor, managerii și factorii de decizie din întreaga Uniune Europeană (și nu numai) își pregătesc organizațiile pentru conformarea la acest Regulament.
Un capitol important în acest proces de conformare, îl reprezintă măsurile tehnice care trebuie aplicate atât în vederea securității datelor cât și pentru conformarea diferitelor forme de prelucare la cerințele Regulamentului. Punerea în practică a acestor măsuri, de cele mai multe ori, cade în sarcina departamentului IT – care face parte integrantă din echipa responsabilă cu implementarea GDPR. În acest sens, obictivele ce revin deparatmentului IT sunt multiple:
- În primul rând trebuie adresate amenințările ce țin de securitatea datelor pentru a evita pierderea, distrugerea sau scurgerea de date
- În al doilea rând este important ca prelucrare datelor cu mijloace automate să se realizeze de o manieră conformă cu GDPR și drepturile persoanelor vizate să poată fi respectate
Pentru a veni în spijinul acestor eforturi ne-am propus să oferim un set de recomandări cu privire la principalele amenințări la securitatea datelor și modul de adresare a lor, cât și la maniera de implementare a diferitelor forme de prelucare automatizată a datelor.
Mai jos se regăsește o listă de aspecte GDPR legate de securitatea IT care ar trebui cunoscute de către DPO, de echipele care implementează conformarea GDPR și bineînțeles de către managerii IT.
Email-ul
Statisticile spun ca 91% dintre atacurile cibernetice își au începutul pe email. Prin accesarea unui link sau atașament primit pe email se poate declanșa un întreg lanț de evenimente nefericite pentru rețeaua și compania dvs.
Email-ul poate însemna o breșă de securitate majora și din punct de vedere GDPR deoarece prin intermediul email-ului se pot trimite / primi mesaje care pot conține date cu caracter personal. O listă de exemple este mai jos:
- Nu se folosește corect funcția de CC/BCC atunci când se trimite un email către un grup de persoane. Astfel cine primește email-ul ar putea avea acces la o listă de adrese de email care poate fi folosită ulterior în alte scopuri. Deci mare atenție cum se trimit email-urile către o lista de persoane. Sugestia noastră este să se folosească BCC.
- Se greșește destinatarul și astfel putem ajunge în situația de a trimite un email care ar putea conține date cu caracter personal la un alt destinatar. Aici funcția de auto complete nu ne prea ajută. Sugestia noastră este să se folosească confirmarea de trimitere / citire a email-ului care ne poate ajuta să ne dîm seama mai repede că am trimis un mesaj către un destinatar greșit.
- Atașamentele nu sunt criptate sau protejate de parolă și astfel în cazul in care emailul este interceptat prin diverse mijloace, conținutul lui și al atașamentului este facil de citit. Sugestia noastră este ca toate documentele care conțin date cu caracter personal, care se trimit pe email, să fie protejate de parolă, arhivate și criptate.
Soluțiile sugerate de noi sunt:
- Filtrarea traficului de email pentru a reduce spam-ul și tentativele de Phishing. Sugerăm:
- Folosiți SpamAssassin sau unelte similare pentru a reduce mesajele nesolicitate. Cu toate că GDPR se aplica deja, încă se trimite mult spam. Tendința este de a folosi servere de email localizate în Republica Moldova sau Ucraina.
- Folosiți antivirus pentru serverul de email. Chiar și o aplicație gratuită este capabilă să blocheze cele mai comune tipuri de mesaje infectate.
- Implementarea DMARC “Domain-based Message Authentication, Reporting & Conformance” care asigură conformitatea celui care trimite un email.
- Investigați daca sunteți vulnerabili la tentativele de Phishing și încercați să implementați soluții specifice pentru fiecare dintre aceste vulnerabilități.
- Training pentru personalul care folosește email-ul și politici clare de folosire a email-ului. Menționați ce este permis si ce nu este permis, ce trebuie raportat ca și incident către departamentul IT. O echipă pro activă duce la o reducere semnificativă a riscurilor.
- Politici clare legate de folosirea email-ului personal la locul de munca. Dacă este interzis (deoarece poate produce breșe de Securitate) sau permis cu anumite restricții. Sugestia noastră este să nu se permită accesul la email-ul personal de pe dispozitive pe care sunt stocate sau procesate date cu caracter personal.
Rețelele WiFi
Orice rețea Wifi poate fi utilizată pentru a colecta anumite informații despre echipamentele conectate la ea. O rețea prea puțin securizată (să nu spunem una deschisă) poate expune multe date.
Majoritatea companiilor pun la dispoziția partenerilor / clienților / vizitatorilor o rețea WiFi care poate fi folosită. Este esențial ca acestă rețea să fie izolată de rețeaua principală în care sunt operate și procesate date cu caracter personal.
De asemenea, dacă se pune la dispoziția angajaților o rețea WiFi la care pot conecta dispozitivele lor mobile, este important să se respecte aceeași regulă, sa fie izolată de rețeaua principală.
Legat de dispozitivele mobile ale angajaților este important să existe o politică clară care să specifice modul în care se pot folosi acestea. Recomandarea noastră este să nu se permită accesul către date cu caracter personal de pe dispozitive personale. Acestea pot fi pierdute sau furate și informația poate fi expusă.
Practic nici un dispozitiv pe care nu-l controlați – la nivel de inventar hardware / software și politici de acces nu ar trebui să poată vizualiza, procesa sau stoca date cu caracter personal și nu ar trebui să primească acces în rețeaua principală a firmei / instituției.
Inventarul hardware și software
Este esențial din punct de vedere GDPR să existe o inventariere hardware și software pentru a identifica aplicațiile și sistemele care sunt folosite pentru vizualizarea, procesarea sau stocarea datelor cu caracter personal.
Poate suna banal, însă o aplicație care procesează date cu caracter personal este și browser-ul care poate fi folosit pentru a accesa o aplicație CRM sau ERP cu interfață web.
Sugestia noastră este să se înceapă cu inventarierea echipamentelor din rețeaua internă și apoi să se continue cu cele externe (cloud, VPS, FTP, etc.).
Practic fiecare echipament: computer desktop sau laptop, server, telefon mobil, router, switch sau imprimanta trebuie inventariat si menționat:
- Sistemul de operare, modul în care se fac actualizările (recomandarea este sa se facă automat), cine are acces la echipament, cum se face accesul (de exemplu utilizator si parola sau 2 factor authentication)
- Dacă se accesează / stochează / procesează / tranzitează (vorbim aici de echipamente de rețea) date cu caracter personal.
- Daca nu – atunci echipamentul respective nu are legătura cu conformarea GDPR
- Daca da – atunci echipamentul trebuie configurat / monitorizat pentru a asigura conformarea GDPR.
- Sistem de operare actualizat la zi
- Autentificare obligatorie
- Softurile care permit acces la date cu caracter personal
- Monitorizarea procesărilor automate și manuale (exemplu imprimarea unui document care conține date cu caracter personal sau copierea unui astfel de fișier pe un dispozitiv USB)
- Politica clară legată de modul de folosire a aplicațiilor și raportare a posibilelor probleme (gen sistemul de operare se comportă ciudat)
- Criptarea tuturor dispozitivelor mobile (laptopuri sau telefoane mobile) care stochează sau accesează date cu caracter personal. Astfel în caz de pierdere sau furt datele vor fi securizate.
- Recomandam implementarea unui sistem SIEM (Security Information and event management) care sa permită vizibilitatea / alertarea în timp real a evenimentelor din rețea care pot produce breșe de Securitate.
Angajații
Angajații pot fi veriga slabă când vine vorba de Securitate și conformare GDPR. De acea noi recomandăm un set de acțiuni care să asigure conformarea:
- Informați toți angajații despre politicile de Securitate care se aplică în companie. Sugestia noastră este ca acestă informare să fie clară și concisă și să conțină:
- Modul de autentificare pe sistemele de operare / aplicațiile software
- Modul în care aplicațiile pot fi folosite: lista de aplicații cu care este permis accesul / operarea de date cu caracter personal
- Dacă se face filtrarea traficului pe internet și motivele pentru care se face asta (Securitate este un exemplu foarte bun. Foarte multe atacuri de tip Phishing folosesc clone a website-urilor celebre pentru a colecta date cu caracter personal)
- Dacă se face filtrarea email-ului și motivele acestei filtrări (securitate este un exemplu foarte bun și aici. După cum am menționat 91% dintre atacurile cibernetice își au începutul pe email)
- Dacă este monitorizată activitatea pe calculator și motivele acestei monitorizări (aici motivele pot fi securitate, productivitate și nu în ultimul rând conformare GDPR. Trebuie sa știți de exemplu faptul că fișierul ”Clienți2017.xlsx” a fost copiat pe un stick USB de către Ionel Popescu în data de 21 Mai 2018 la ora 13:20)
- Dacă sunt monitorizate imprimantele și motivele aceste monitorizări (aici motivele pot fi securitate, evitarea abuzurilor și nu în ultimul rând conformare GDPR). Trebuie să știți dacă documentul „factură proforma 21230” a fost tipărit pe imprimanta HP de către Ionel Popescu în data de 21 Mai 2018 la ora 13:25)
- Dacă este supraveghere video și motivele acestei monitorizări (securitate sau conformitate). Un aspect important îl reprezintă notificarea angajaților cu privire la scopul – temeiul legal în baza căruia se efectuează monitorizarea: aspecte ce țin de securitatea persoanelor sau a bunurilor, de calitatea proceselor de business sau orice alt interes legitim ce justifică acest gen de prelucrare. De asemenea trebuie indicată perioada de retenție a logurilor și enunțate drepturile persoanelor vizate cu privire la această formă de prelucrare. În afară de notificarea persoanelor vizate este importantă și semnalizarea corespunzătoare a monitroizării video. Trebuie urmarită și proporționalizate aceste măsuri raportate la scopul urmărit și evitarea înregistrării domeniului public sau a unor spații sensibile cum ar fi vestiarele, toaletele etc.
- Daca exista forme de monitorizare a convorbirilor telefonice sau a discuțiilor pe chat ale angajaților cu clientii (aici motivele pot fi – interesul legitim al operatorului, calitatatea procesului de vânzare, gestionarea reclamațiilor, evaluarea performanței personalului etc.). Această politică de monitorizare trebuie adusă la cunoștința persoanelor vizate monitorizate – atât angajați ai operatorului cât și clienți sau potențiali clienți . Și în acest caz prelucrarea trebuie să respecte anumite norme – cum ar fi perioada de retenție a logurilor, măsuri tehnice de securizare a datelor, posibilitatea de a oferi acces persoanelor vizate la datele prelucrate etc.
- Dacă dispozitivele lor mobile sunt criptate și modul în care acestea pot fi folosite în afara programului, acces VPN în rețea, etc.
- Politica de lock a stațiilor de lucru, cum se face în mod automat și procedura manuală pe care ei trebuie să o urmeze în momentul în care părăsesc stația de lucru
- Politica de folosire a usb-urilor, dacă este permisă folosirea acestor dispozitive și în ce condiții
- Politica de folosire Bluetooth , dacă este permisă folosirea acestor dispozitive și în ce condiții
- Politica de parole, cât de complexe să fie, cât de des expiră etc.
- Politica de backup care li se aplica direct și indirect
- Este recomandată autentificarea de tip 2 factor authentication care asigură o protecție mai bună în cazul în care o parolă a fost compromisă.
- Sunt recomandate proceduri (pentru departamentul IT) de urmat în momentul în care se face o angajare nouă sau o concediere. Scopul primordial este securitatea însă și conformarea GDPR deoarece confidențialitatea datelor trebuie păstrată și după încheierea relațiilor de munca.
- Nu este recomandat să permiteți folosirea acelorași credențiale (login pe sistemul de operare sau în aplicații) de către mai mulți utilizatori (aici exemplu foarte cunoscut – ne logam toți cu user ”admin” și parolă ”admin” pe oricare dintre computerele din firma/instituție). Este un risc major deoarece în cazul unei breșe de securitate nu veți putea identifica autorul. De asemenea lipsa autentificării sau autentificare cu un utilizator fără parola este și mai periculoasă.
- Folosiți un sistem centralizat de autentificare care să permită definirea de profile de utilizator cu drepturi și limitări.
Este bine de știut că aceleași politici de securitate ar trebui să se aplice și angajaților externi sau freelancerilor cu care compania dvs. colaborează daca ei accesează / procesează sau stochează date cu caracter personal.
Infrastructura
Pentru conformarea GDPR (și nu numai) trebuie luate un set de măsuri:
- Toate website-urile (în special cele care colectează date cu caracter personal) trebuie să folosească SSL. Este important de știut că astfel de certificate se pot obține gratuit, pe sume modice sau sume mai consistente și serverul web trebuie să folosească o adresa IP dedicată pentru a putea instala / configura un astfel de certificat.
- Website-urile trebuie securizate, indiferent că vorbim de platforme foarte cunoscute precum WordPress, Drupal, Joomla! sau Magento sau platforme proprii. Exista o serie de teste și unelte care permit scanarea site-urile web și evidențierea de vulnerabilități.
- Trebuie să faceți clar distincție intre autentificare și autorizare. Autentificarea se referă la dreptul de acces pe o platforma web și autorizarea se referă la drepturile pe care le are utilizatorul după ce s-a autentificat, cum ar fi să acceseze anumite resurse, să vizualizeze / modifice / descarce date (posibil și cu caracter personal).
- Verificați vulnerabilitățiile la SQL, Cross Site Scripting (XSS), sau chiar LDAP injections dacă este conectat cu website-ul
- Autentificarea care poate să se facă automat daca cache-ul aplicației web nu este bine configurat sau identificatorii de sesiuni sunt prea puțin complecși sau au o durată de viată prea lungă nu în ultimul rând parole necriptate în tranzit sau stocate în baza de date.
- Mediul de producție trebuie să fie diferit de mediul de testarte. Astfel:
- Aplicațiile web nu trebuie rulate în mod debug deoarece acest mod de rulare ar permite multor utilizatori avansați să vadă cum funcționează aplicația noastră
- Listarea directoarelor de pe server nu trebuie permisă sub nici o formă.
- Folosirea de unelte depășite (neactualizate) și cunoscute ca surse de probleme (exemplu PHP My Admin)
- Pe serverul web rulați procese și servicii care nu sunt neapărat necesare și care pot ridica riscuri de securitate. De exemplu perl sau pyton când aplicația este una php.
- Nu ați schimbat datele de login inițiale pentru serverul web. Deși la prima vedere nu pare un aspect important se pare ca numărul celor care folosesc datele implicite sunt folosite de peste 40% dintre utilizatori.
- Statisticile web trebuie sa respecte prevederile GDPR. Probabil majoritatea folosesc Google Analytics care va permite sa specificați perioada de retenție a datelor cat si anonimizarea adreselor IP. Majoritatea serviciilor web similare cu Google Analytics permit aceleași setări.
- Asigurați-va ca rețeaua interna nu este accesibila din exterior. Pentru cei care au nevoie de acces din exterior asigurați-va ca se folosește VPN. Alegeți un protocol VPN cat mai securizat (evitați PPTP de exemplu). Monitorizați conexiunile externe.
- Asigurați-vă ca toate sistemele de operare sunt actualizate la zi. Evitați folosirea unor sisteme de operare depășite (precum Windows XP). Forțați partea de auto update pe automatic.
- Folosiți antivirus actualizat pentru a minimiza riscurile. Chiar si o soluție antivirus gratuita protejează împotriva riscurilor cele mai frecvente. Ca si cele mai bune practici recomandam un antivirus cu o consola de management centralizată care sa va permită vizibilitatea problemelor din rețea. Va recomandam AV-TEST pentru a găsi lista celor mai bune soluții antivirus.
- Folosiți software de backup pentru toate datele importante. Exista soluții gratuite sau la preturi rezonabile precum si soluții centralizate care permit efectuarea de back-upuri de la distantă – inclusiv cu posibilitatea de criptare.
Aplicațiile
Daca sunteți dezvoltatori de aplicații sau simpli administratori ai aplicațiilor este foarte important de știut:
- Ce aplicații se folosesc pentru procesarea datelor cu caracter personal si sa va asigurați ca este sunt conforme GDPR. In sensul acesta nou recomandam contactarea producătorilor aplicațiilor respective pentru detalii legate de conformitate.
- Ce date si unde le stochează fiecare aplicație in parte. Toate aceste tipuri de date ar trebui menționate în politica de confidențialitate deoarece sunt șanse mari ca în cazul unei breșe de securitate, datele sustrase să fie apoi publicate. Din punctul nostru de vedere faptul că pot fi date procesate / stocate care nu sunt menționate în politica de confidențialitate este la fel de grav ca și breșa de securitate în sine.
- Pentru cei care dezvoltă aplicații / website-uri este important să țină cont de următoarele funcționalități cerute de către GDPR:
- “Uitați de mine” – nu simpla dezactivare a contului cu păstrarea id-urilor în baza de date
- Legat de punctul de mai sus – trebuie să vă asigurați (prin API de exemplu) că toate datele legate de clientul respectiv vor fi șterse – inclusive din alte sisteme adiacente.
- Restricționarea procesării care trebuie să-i permită clientului să își marcheze profilul ca fiind restricționat și din acel moment profilul lui nu ar mai trebui să fie vizibil. Ca și implementare este probabil cel mai simplu, se rezolvă prin adăugarea unui un câmp în tabela de utilizatori care să fie marcat dacă utilizatorul a folosit acestă opțiune
- Export data care să permită clientului să primească informațiile stocate despre el într-un format portabil recomandat fiind JSON, XML sau CSV. De asemenea s-ar putea ca utilizatorii să dorească doar să vadă datele despre ei fără a dori un export în fișier. Noi recomandăm și implementare unei astfel de opțiuni.
- Editarea profilului este deja prezentă în majoritatea aplicațiilor, însă noi recomandăm să includeți aici și lista de consimțăminte și statusul lor. Practic de aici se poate retrage sau da un consimțământ pentru o anumita procesare. De exemplu – primirea de mesaje comerciale.
- Verificarea de vârsta este de departe cel mai greu de implementat. Este practic imposibil ca un sistem automat / soft să detecteze vârsta unui utilizator însă aici trebuie ceva inventivitate. Cea mai simplistă formă este un checkbox prin care utilizatorul menționează ca are peste 13 / 16 / 18 ani – în funcție de profilul aplicației site-ului.
- Criptați:
- Comunicațiile – tranzitul de date – HTTPS / SSL
- Baza de date
- Back-upurile
- Logati accesul și procesările de date personale în cadrul aplicației. Asigurați-vă totuși ca nu logati efectiv datele cu caracter personal in log.
- Nu permiteți acces anonim direct sau indirect (prin API) la date cu caracter personal
- Asigurați-vă că volumul de date colectate este minim. Nu are sens să stocați date cu caracter personal de care nu aveți nevoie.
Acesta este un set de măsuri recomandate de noi și în cadrul cursurilor susținute și sunt parte integrantă a programului de consultanță.