Krzysztof Kryszyn, Enterprise Country Manager - Poland & Baltics, Symantec

Wielkimi krokami zbliża się termin wdrożenia dyrektywy RODO. W stosunku do obecnych przepisów o ochronie danych osobowych nowa regulacja wprowadza kilka nowych obowiązków i olbrzymie kary finansowe. Sankcje, które są w stanie doprowadzić do upadku każdą firmę.

Regulator doskonale zdaje sobie z tego sprawę, dlatego dla instytucji publicznych zagwarantował kary raczej symboliczne. Ponieważ do wdrożenia nowego prawa potrzebny jest ogromny wysiłek organizacyjny i znaczące inwestycje finansowe nasuwa się podstawowe pytanie – czy to ma sens? Czy dane osobowe będą chronione lepiej niż obecnie?

Żeby odpowiedzieć na to pytanie trzeba odpowiedzieć na inne podstawowe pytanie, czyli, co to znaczy ochraniać dane? Najbardziej intuicyjną odpowiedzią na to pytanie jest stwierdzenie, że ochrona danych to powstrzymywanie ich wycieku do osób nieuprawnionych. Po pierwsze nie jest to odpowiedź prawdziwa a po drugie nawet gdyby była, to prowadzi do problemu, który będzie spędzać sen z powiek ABI/IOD. Uniknięcie wycieków nie jest możliwe i są one tylko kwestią czasu i wartości zgromadzonych danych.

Dane są zbierane w celu przetwarzania oraz współdzielenia i bez względu na ilość szkoleń udzielonych pracownikom oraz podjęte organizacyjne i techniczne środki bezpieczeństwa, wcześniej czy później muszą się dostać w niepowołane ręce. Stanie się tak w wyniku błędu ludzkiego, celowego przestępczego działania, wtargnięcia złośliwego oprogramowania lub błędnie zaprojektowanego procesu biznesowego. Niestety musimy się z tym pogodzić i nawet zaakceptować niewielkie wycieki informacji. Gdybyśmy chcieli zapobiec wszystkim wyciekom informacji to przy biurku każdego pracownika należałoby postawić strażnika, chociaż to nadal nie daje gwarancji, bo kto będzie pilnował pilnującego?

Jest wątpliwe czy nowa regulacja doprowadzi do zwiększenia bezpieczeństwa danych, ale na pewno wywoła spore zamieszanie a nawet panikę. Termin RODO jest obecnie używany przez wiele firm audytorskich i technologicznych jako wehikuł do sprzedaży produktów i usług. W ostatnim czasie wystarczyło wypowiedzieć zaklęcie RODO i zarządy firm wyciągały portfele wypchane pieniędzmi, żeby przede wszystkim kupić spokój sumienia. Przykładowo, w projektach zakupowych na systemy DLP (ang. Data Loss Prevention) skupiano się na setkach aspektów funkcjonalnych takich jak np. blokowanie kopiowania plików na dyski zewnętrzne lub wysyłania ich za pomocą e-mail lub web. Sama analiza tych wymagań doprowadza do wniosku, że osoby które je tworzyły nie rozumieją co jest istotą ochrony informacji.

Ochrona informacji to przede wszystkim proces a nie narzędzia, który polega na skatalogowaniu informacji, sklasyfikowaniu ich i monitorowaniu czy nie opuszczają prawidłowo zdefiniowanego procesu biznesowego służącego do prowadzenia działalności operacyjnej firmy. Tylko z tego ostatniego faktu wynika, że ochrona informacji nie może być zbyt rygorystyczna i blokowanie współdzielenia danych powinno być tylko reakcją na anomalie w prawidłowym procesie biznesowym. Jednym z zawodnych elementów tego procesu jest człowiek, dlatego stosuje się narzędzia informatyczne wspomagające automatyzację pewnych zadań takich jak np. szyfrowanie informacji wychodzących na zewnątrz organizacji.

Systemy DLP nie są magicznym narzędziem do wyeliminowania wszystkich wycieków informacji – sprytny użytkownik może je oszukać lub obejść np. przepisując chronione dane na kartkę. Systemy DLP służą między innymi do identyfikacji ryzykownych zachowań użytkowników zanim doprowadzą oni do poważnego wycieku informacji. Incydenty generowane przez te systemy trzeba codziennie analizować i robić dwukierunkową remediację pomiędzy procesami biznesowymi i sposobem działania tych systemów. Jest to ogromna praca i nie każda firma jest przygotowana na nią organizacyjnie.

Doszliśmy do bardzo niebezpiecznego momentu, kiedy niedemokratyczna, urzędnicza struktura pod szczytnymi hasłami ochrony danych osobowych wprowadziła niejednoznaczne, interpretowalne, niemożliwe do pełnego przestrzegania prawo z zabójczymi karami. Ponadto rozporządzenie 2016/679 Parlamentu Europejskiego i Rady (UE) trudno określić inaczej niż hipokryzja. Firmy działające komercyjnie będą bezwzględnie karane i doprowadzane do upadku, podczas gdy instytucje publiczne udostępniają miliony danych osobowych w Internecie. O kilku takich przykładach i procesowym podejściu do tworzenia systemów ochrony informacji będę mówił na konferencji SecureTech Congress w dniu 18 kwietnia w Warszawie.

