Trwa ładowanie...
Notowania
Przejdź na
Artykuł Sponsorowany
|
aktualizacja
Artykuł sponsorowany Sygnanet

Ranking systemów do ochrony sygnalistów pod względem bezpieczeństwa danych

Podziel się:

Fundacja AVLab dla Cyberbezpieczeństwa przygotowała raport analizujący rozwiązania dla sygnalistów pod względem zgodności z dobrymi praktykami bezpieczeństwa i ochroną danych osobowych. Wdrożenie oprogramowania do ochrony sygnalistów jest obowiązkowe w sektorze publicznym, instytucjach finansowych, a także w firmach zatrudniających co najmniej 250 pracowników. Od przyszłego roku obejmie także wszystkich przedsiębiorców, którzy zatrudniają minimum 50 pracowników. Tożsamość osób raportujących musi być chroniona prawnie – należy im zapewnić poufność. Ranking obejmuje siedmiu czołowych producentów oprogramowania. Badanych było siedem kluczowych obszarów bezpieczeństwa.

Ranking systemów do ochrony sygnalistów pod względem bezpieczeństwa danych
(materiały partnera)

Oprogramowanie chroniące sygnalistów zgodne z dyrektywą

Sygnalista to osoba, który zgłasza nieprawidłowości w firmie. Dzięki unijnej dyrektywie zgłoszenia te muszę następować za pośrednictwem bezpiecznego systemu, który gwarantuje pracownikom poufność. Dbanie o bezpieczne miejsce pracy, właściwy sposób promowania kultury otwartej i uczciwej komunikacji w przedsiębiorstwie może znacznie ograniczyć lub pomóc nie dopuścić do powstawania strat finansowych i wizerunkowych w firmach.

"Aby dyrektywa miała realny wpływ na działania przedsiębiorstw musi zostać spełniony szereg warunków. Po pierwsze pracownik – potencjalny sygnalista, musi mieć pewność, że jego działania nie będą niosły za sobą działań odwetowych ze strony przedsiębiorstwa. Takiego poczucia bezpieczeństwa nie otrzymamy korzystając ze standardowych rozwiązań typu nowy adres mailowy do zgłaszania nadużyć. Zobowiązania które ustanawia unijna dyrektywa, będą wymagały znacznie większego nakładu pracy, niż to miało miejsce w przypadku RODO. Jednak sama dyrektywa czy też wewnętrzne przepisy nie wystarczą. Mamy ciekawy przykład Portugalii, która podobne przepisy ma wdrożone od dłuższego czasu. Portugalczycy bardzo niechętnie informują o naruszeniach, kierując się strachem przed "donosicielstwem". W Polsce z uwagi na historyczne uwarunkowania będziemy się mierzyć z podobnymi problemami. Dopiero uczymy się jako społeczeństwo, że istnieje dobro wspólne przedsiębiorstw i instytucji, które należy chronić przed nadużyciami. Dobry system ochrona sygnalistów znosi spory ciężar z barków pracowników, dając im gwarancję bezpieczeństwa. I tym właśnie kierowaliśmy się tworząc Sygnanet. Idea która nam przyświecała to stworzenie systemu, który będzie w pełni szyfrowany gwarantując maksymalną ochronę wszystkim stronom procesu. Na tym się skupiliśmy to nasza największa rynkowa przewaga i to właśnie doceniają nasi klienci" - mówi mec. Katarzyna Abramowicz, wydawca Sygnanet – szyfrowanej platformy do przyjmowania zgłoszeń od sygnalistów.

Kryteria wyboru systemu ochrony sygnalistów

Fundacja AVLab dla Cyberbezpieczeństwa opracowując raport przebadała siedem obszarów dotyczących bezpieczeństwa systemu ochrony sygnalistów. Były to: zabezpieczenie logowania do systemu, wybrany przez producenta rodzaj szyfrowania kryptograficznego, metoda szyfrowania danych na serwerze, dostępne metody ochrony tożsamości sygnalisty, anonimowość sygnalisty dla pracodawcy i producenta aplikacji, metoda deszyfrowania, a także potencjalny cyberatak na infrastrukturę serwera systemu albo użytkownika aplikacji.

"Wybierając system wspierający proces obsługi zgłoszeń sygnalistów warto zwrócić szczególną uwagę na kwestie szyfrowania danych i tego gdzie do szyfrowania dochodzi. Dobry system powinien zapewniać szyfrowanie zgłoszenia (w tym plików) metodą kryptograficzną na urządzeniu zgłaszającego - tak jak dzieje się to w Sygnanet. Mechanizm ten gwarantuje odpowiedni poziom bezpieczeństwa zarówno danych osobowych jak i innych informacji np. związanych z metadanymi, które mogą identyfikować osobę. Posiadanie narzędzia Sygnanet w trakcie projektowania procesu zgłoszeń naruszeń pozwala na zminimalizowane dużej ilości ryzyk w obszarze technologicznym i prawnym. Dlatego zdecydowaliśmy się jako LexDigital zostać Partnerem Sygnanet - zwycięzcy tego rankingu" – skomentowała Katarzyna Ellerik, Head of Data Protection Team w LexDigital.

Eksperci zwracają szczególną uwagę na kwestie ochrony bezpieczeństwa danych przy wyborze oprogramowania dla sygnalistów.

System zgłaszania nieprawidłowości powinien w szczególności zapewniać najwyższy poziom bezpieczeństwa danych i komunikacji. Osoba zgłaszająca powinna mieć pewność, że treść zgłoszenia oraz dalsza komunikacja w sprawie nie są ujawniane osobom nieuprawnionym, a dane chronione są dzięki rygorystycznie dobranym środkom bezpieczeństwa. Poza bezpieczeństwem kluczowe są także budowanie zaufania do stosowanych mechanizmów, np. poprzez szkolenie pracowników dostępne na platformie" – dodała Monika Wieczorek, radca prawny z Kancelarii Wieczorek.

 Ranking zwraca uwagę na pożądane dla bezpieczeństwa danych szyfrowanie zgłoszeń w systemach z zastosowaniem kryptografii metodą end-to-end. (E2E).

Raport stwierdza, że we wszystkich badanych obszarach oprogramowanie trzeba zwrócić uwagę na metody zabezpieczania danych. Sygnanet zapewnia dostateczne zabezpieczania i jest w czołówce rozwiązań w Polsce.

Na co zatem zwrócić szczególną uwagę wybierając dostawcę tej usługi? System powinien zapewniać szyfrowanie zgłoszenia metodą end-to-end (zero-knowledge service) kluczem kryptograficznym generowanym na komputerze pracownika. Według ekspertów niedopuszczalne jest używanie marketingowego opisu producenta dla "szyfrowania TLS" w architekturze systemu komputerowego typu klient-serwer, gdyż nie można wówczas mówić o zatajeniu istotnych danych sygnalisty, a jedynie o szyfrowaniu informacji przesyłanych z formularza webowego z przeglądarki do serwera. W ostatecznym rozrachunku nie oznacza to, że dane będą szyfrowane na serwerze, jeżeli system dla sygnalisty tego nie obsługuje. Wszyscy badania dostawcy zapewnili szyfrowanie warstwy aplikacyjnej protokołem w minimalnej wersji TLS 1.2 lub TLS 1.3.

Na ocenę systemów miał wpływ rodzaj zastosowanego szyfrowania kryptograficznego, ponieważ prawie wszystkie systemy, oprócz Sygnanet przekazują plik z jawną treścią zgłoszenia na serwer. Należy się zastanowić, co się dzieje z plikiem przekazanym przez sygnalistę i czy jest pewność, że oryginalny plik zostanie skasowany i nie będzie przechwycony w cyberataku?

"W naszej ocenie szyfrowanie zgłoszenia (w tym plików) metodą kryptograficzną na urządzeniu zgłaszającego jest najbezpieczniejszym sposobem. Działanie takie ma na celu zminimalizowanie ryzyka dostępu do danych osób nieuprawnionych i pozwoli lepiej wypełniać regulacje dotyczące RODO" – powiedział Mariusz Stasiak, Ekspert ds. rozwoju systemów informatycznych na rynku Administracji Publicznej OPW Doskomp.

System powinien także zapewniać szyfrowanie zgłoszenia (w tym plików), aby lepiej wypełniał regulacje dotyczące RODO. Szyfrowanie jest najbezpieczniejszym sposobem zachowania zgodności z niektórymi aspektami unijnego rozporządzenia o ochronie danych osobowych i jest metodą zapewniającą "pseudoanimizację". Dane sygnalisty podlegają ochronie prawnej, dlatego ich ujawnienie na przykład w następstwie cyberataku, może mieć negatywne konsekwencje dla zaatakowanej organizacji.

Należy także zabezpieczyć przed dostępem osób przypadkowych. Zatem logowanie powinno być chronione dodatkowym kodem pochodzącym z aplikacji generującej jednorazowe tokeny np. Google Authenticator. W bardziej rozbudowanych środowiskach roboczych mogą to być wspierane protokoły LDAP lub framework OAuth Maksymalnie bezpieczny system nie powinien mieć też żadnej możliwości wglądu do załączników które są przesyłane przez sygnalistów.

Dobry system ochrony sygnalistów powinien gwarantować anonimizowanie adresów IP sygnalistów: nie może zapisywać trwale żadnych informacji (numeru IP, nazwy komputera, odcisku palca przeglądarki), które mógłby ujawnić tożsamość sygnalisty.

Raport pozwolił ukazać biznesowe spojrzenie na wiele wątków związanych z bezpieczeństwem systemów dla sygnalistów i cech, które warto znać. Jednocześnie pokazuje z jak wieloma wyzwaniami przyjdzie zmierzyć się organizacjom wdrażającym nowe przepisy o zgłaszaniu nieprawidłowości w zakresie cyberbepieczeństwa.

Artykuł sponsorowany Sygnanet
Oceń jakość naszego artykułu:
Twoja opinia pozwala nam tworzyć lepsze treści.
Źródło:
Artykuł sponsorowany