Bezpieczeństwo danych w procesach biznesowych
3. Możliwości minimalizacji ryzyka
Całkowite wyeliminowanie ryzyka w systemach informatycznych nie jest moż-liwe. Ze względu na złożoność i wciąż ewoluujący charakter zagrożeń nie jest tak-że możliwe uzyskanie trwałej ochrony na wysokim poziomie bez ciągłej aktualizacji zabezpieczeń technicznych. Jednak znając mapę potencjalnych zagrożeń i źródła ich powstawania, można na tej podstawie opracować system bezpieczeństwa danych.
Podstawowe decyzje w tym zakresie dotyczą zakresu współpracy z dostawcami oprogramowania i infrastruktury IT. Większość przedsiębiorstw wykorzystuje outso-urcing IT, korzystając z wiedzy i potencjału zewnętrznych dostawców, którzy oferują dodatkowo różnego typu zabezpieczenia dla systemów IT. Przedsiębiorstwo może zdecydować się zakup własnej architektury IT, a następnie na dzierżawę systemów i aplikacji, które będą działały na bazie tej architektury. Wówczas samo pozostaje administratorem danych, a w zakresie bezpieczeństwa danych obowiązują je ogólne procedury ochrony. Zgodnie z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych6, administrator danych osobowych zobowiązany jest do zapew-nienia ochrony przetwarzanych danych osobowych „przed ich udostępnieniem oso-bom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”. Jakość zapewnianej ochrony powinna być odpowiednia do zagrożeń oraz kategorii danych nią objętych. Ponadto zgodnie z art. 38 ustawy „administrator danych zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane”7. Oznacza to, że należy przygoto-wać co najmniej następujące środki bezpieczeństwa:
bezpieczna serwerownia – chronione i monitorowane miejsce do przechowy-wania danych i mocy obliczeniowej, z dostępem ograniczonym do pracowni-ków obsługi technicznej;
przyznanie dostępu do określonych zbiorów danych w systemie informatycz-nym dla poszczególnych pracowników;
wprowadzenie mechanizmu identyfikacji poszczególnych użytkowników sys-temu;
opracowanie zasad korzystania z komputerów i pozostałych urządzeń wyko-rzystujących dane z systemu IT, w szczególności zasad obowiązujących przy opuszczaniu miejsca pracy przez pracownika;
6 Tekst jednolity: Dz.U. 2002 Nr 101 poz. 926 z późn. zm.
7 ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych, GIODO, Wydawnictwo Sejmowe, Warszawa 2007, s. 5.
opracowanie mechanizmu kontroli pracy systemu (cykliczna weryfikacja uprawnień użytkowników, ciągły monitoring pracy systemu, wykrywanie nieprawidłowości; w szczególności alarmy dotyczące nieuprawnionego dostę-pu do danych i nietypowego zachowania zalogowanych użytkowników);
opracowanie systemu cyklicznego, automatycznego zapisu danych z systemu w kopii zapasowej;
wprowadzenie systemu kodowania danych w przypadku transmisji danych do i z zewnętrznych systemów IT;
opracowanie zasad polityki bezpieczeństwa danych w przedsiębiorstwie i za-pewnienie ciągłych szkoleń z zakresu świadomości zagrożeń i zasad tej po-lityki oraz szkoleń związanych z podnoszeniem kompetencji cyfrowych pra-cowników;
przygotowanie procedur reakcji na sytuacje kryzysowe – sposobu funkcjo-nowania przedsiębiorstwa w sytuacji czasowego zawieszenia pracy systemu, powiadomienie klientów i kontrahentów o zagrożeniu lub utracie danych, za-bezpieczenie danych w systemie w przypadku cyberataku;
zapewnienie mechanizmu odzyskiwania danych utraconych w wyniku awarii systemu lub cyberataku;
zapewnienie szybkiego przepływu informacji o zagrożeniu do wszystkich podmiotów, które potencjalnie mogą być narażone na skutki ataku.
Przedsiębiorstwa coraz powszechniej decydują się jednak na inny model systemu IT, a mianowicie bazujący na korzystaniu z usług IT dostępnych na zasadzie chmury obliczeniowej (cloud computing). Jest to grupa usług ukierunkowanych na ułatwienie procesu zarządzania danymi dzięki wykorzystaniu mocy obliczeniowej, pamięci ma-sowych, dostępu do sieci i różnorodnych aplikacji dostępnych na serwerach dostaw-ców zewnętrznych. Przedsiębiorstwa mają możliwość gromadzenia i przetwarzania danych, korzystając z zasobów IT dostawcy chmury. Dzięki komunikacji internetowej w firmie nie musi istnieć rozbudowana architektura informatyczna, a zamiast kupo-wać systemy i aplikacje – firma płaci abonament za korzystanie z gotowych lub two-rzonych specjalnie pod jej wymagania rozwiązań, dostępnych na serwerach dostawcy.
W takim przypadku obowiązki administratora danych spoczywają na dostawcy i to on jest zobowiązany zaoferować wcześniej omówione instrumenty do ochrony danych.
Korzystając z rozwiązań typu cloud, warto zatem sprawdzić poziom zabezpieczeń oferowany przez wybranego dostawcę, stosowane systemy kodowania danych oraz to, jaki plan reakcji i przekazywania informacji w sytuacji podejrzenia lub wykrycia naruszenia bezpieczeństwa zapewnia dostawca. Istotna może być również lokaliza-cja geograficzna serwerów, ponieważ w poszczególnych krajach przepisy dotyczące zasad dostępu do danych wrażliwych nie są jednolite. Pomoc techniczna ze strony dostawcy oraz szkolenia zwiększające świadomość zagrożeń cyfrowych i środków bezpieczeństwa przy używaniu konkretnych aplikacji i urządzeń to kolejne narzędzia wzmacniające bezpieczeństwo. W systemach chmurowych szkolenia dotyczące bez-pieczeństwa mają szczególne znaczenie, ze względu na to, że do systemu logują się pracownicy z wykorzystaniem urządzeń mobilnych, uzyskując niejednokrotnie nie tylko dostęp do danych, ale także możliwość ich modyfikacji z dowolnej lokalizacji.
Korzystanie z chmur obliczeniowych jest silnym trendem na rynku usług IT, a zatem jedną z kluczowych kwestii będzie właśnie poziom bezpieczeństwa oferowany przez dostawców.
Niezależnie od przyjętego modelu IT, w powinien obowiązywać ścisły rozdział odpowiedzialności za kwestie bezpieczeństwa informacji. W obliczu ciągłego wzro-stu skali cyberzagrożeń każda firma powinna włączyć zarządzanie bezpieczeństwem informacji do swojej strategii, a także zatrudniać specjalistę lub zespół osób, których zadaniem jest projektowanie, wdrażanie, monitorowanie i korygowanie systemu bez-pieczeństwa. Tworzone w ten sposób reguły bezpieczeństwa powinny mieć charak-ter kompleksowy, formalny i wykraczać poza wymagania ustawy o ochronie danych osobowych. W budowaniu polityki bezpieczeństwa w przedsiębiorstwie pomocne są wytyczne wynikające z aktów prawnych i norm dotyczących środków ochrony infor-macji. Do najważniejszych wytycznych należą:
ISO/IEC Technical Report 13335 GMIST (PN-I-13335) Wytyczne do zarządzania bezpieczeństwem systemów informatycznych, określające terminologię i metodykę planowania i prowadzenia analizy ryzyka, specyfikację wymagań stanowisk pracy związanych z bezpieczeństwem systemów informatycznych, techniki zarządzania bezpieczeństwem i ochroną informacji, zarządzanie konfiguracją systemów IT oraz metodykę doboru zabezpieczeń;
PN-ISO/IEC 17799:2003 (British Standard 7799 z 1995 r.) Technika informatycz-na. Praktyczne zasady zarządzania bezpieczeństwem informacji;
PN-I-07799-2:2005 (British Standard 7799-2 z 2002 r.) Systemy zarządzania bez-pieczeństwem informacji. Część 2: Specyfikacja i wytyczne stosowania;
ISO Guide 73:2002 Zarządzanie ryzykiem;
Ustawa o ochronie danych osobowych z 29.08.1997 r. (z późniejszymi zmianami);
Ustawa o ochronie informacji niejawnych z 22.01.1999 r. (z późniejszymi zmia-nami)8, dotyczy jednostek organizacyjnych podległych organom władzy pu-blicznej lub nadzorowanych przez te organy; przedsiębiorców zamierzających ubiegać się albo ubiegających się o zawarcie umów związanych z dostępem do informacji niejawnych lub wykonujących takie umowy albo wykonujących na podstawie przepisów prawa zadania związane z dostępem do informacji nie-jawnych;
Rozporządzenie MSWiA z 29.04.2004 r. w sprawie dokumentacji przetwarza-nia danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do prze-twarzania danych osobowych9, które określa sposób prowadzenia i zakres do-kumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych oso-bowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać
8 Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, Dz.U. z 1999 r. Nr 11 poz. 95.
9 Dz.U. z 2004 r. Nr 100 poz. 1024.
urządzenia i systemy informatyczne służące do przetwarzania danych wych; wymagania w zakresie odnotowywania udostępniania danych osobo-wych i bezpieczeństwa przetwarzania danych osoboosobo-wych;
projektowana Dyrektywa UE NIS (ang. Network and Information Security), ma-jąca na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii Europejskiej – wejdzie w życie w II połowie 2016 roku.
Aby zapewnić sobie dodatkową ochronę, przedsiębiorstwo może także zdecy-dować o ubezpieczeniu swojej działalności od skutków cyberataków oraz innych naruszeń bezpieczeństwa informacji. Jest to szczególnie korzystne w wypadku ko-nieczności rekompensowania i naprawiania szkód związanych z naruszeniem bez-pieczeństwa.
Dostawcy technologii IT oferują swoim klientom szeroki wachlarz usług związa-nych z zapewnieniem bezpieczeństwa dazwiąza-nych. Przykładem może być Oracle, który proponuje podział danych klienta na cztery stopnie wrażliwości i dla każdej z grup danych oferuje odpowiednie narzędzia ochrony. Na poziomie podstawowym znaj-dują się dane związane z działaniem wewnętrznego portalu, katalogi organizacyjne itp., a więc informacje o niewielkiej wrażliwości. Do ochrony tego segmentu danych dostawca przewiduje narzędzia kontroli dostępu do danych oraz ograniczanie dostę-pu dla użytkowników wyłącznie do niezbędnych im operacji. Kolejny poziom to dane handlowe transakcji, zamówień etc. Do ochrony tych danych stosuje się szyfrowanie przechowywanych danych, szyfrowanie transmisji danych w sieci oraz maskowanie części danych dla potrzeb działań związanych z testowaniem lub rozwijaniem baz danych. Wyższy poziom obejmuje dane osobowe i handlowe pracowników i klientów podlegające prawnej ochronie określonej dla danych osobowych. Narzędzia ochrony tych danych to, oprócz tych stosowanych na poprzednich poziomach, także zaawan-sowane instrumenty ochrony dostępu do danych, takie jak Virtual Private Database, Oracle Label Security i Real Application Security. Stosuje się również monitorowanie ru-chu SQL – języka zapytań służącego do korzystania z baz danych, np. poprzez stoso-wanie zapór typu firewall. Natomiast na najwyższym poziomie wrażliwości znajdu-ją się zazwyczaj dane stanowiące własność intelektualną przedsiębiorstwa, raporty z wyników działalności czy kody źródłowe. Do ochrony tych danych dodatkowo sto-suje się narzędzia kontroli operacji w bazach danych, pozwalające na wykrycie nie-prawidłowych operacji w dostępie użytkowników czy blokady nieautoryzowanego ruchu SQL10.
10 M. Malcher, P. Needham, S. Rotondo, Securing Oracle Database 12c. A Technical Primer. http://www.
oracle.com/us/products/database/securing-oracle-database-primer-2522965.pdf (15.04.2016); T. Hau-nert, Guard the Crown Jewels, “Oracle Magazine” May-June 2015.
Podsumowanie
Cyberprzestępczość przynosi gospodarce światowej i poszczególnym przedsię-biorstwom ogromne straty. W dobie wszechobecnej cyfryzacji nakłady na system bezpieczeństwa informacji należy traktować jako inwestycje o charakterze strategicz-nym, pozwalają one bowiem znacząco zmniejszyć ryzyko utraty pozycji konkuren-cyjnej i wiarygodności biznesowej na skutek zaniedbań w tej dziedzinie. Podstawowa ochrona danych osobowych nie jest wystarczająca do zapewnienia bezpieczeństwa wartości intelektualnych firmy oraz interesów jej klientów i kontrahentów w zakresie bezpieczeństwa danych. Na cyberataki narażone są obecnie przedsiębiorstwa i orga-nizacje we wszystkich branżach. Konsekwencją tych ataków są straty finansowe, wi-zerunkowe oraz ewentualna konieczność dochodzenia roszczeń na drodze sądowej.
Charakter cyberzagrożeń jest zmienny, a ich skala i częstotliwość rośnie, co spra-wia, że nie jest możliwe całkowite wyeliminowanie ryzyka ich wystąpienia. Niemniej w działalności każdego przedsiębiorstwa możliwe jest zastosowanie narzędzi, któ-re to ryzyko minimalizują. Do narzędzi tych należy powołanie komóktó-rek odpowie-dzialnych za bezpieczeństwo informacji, które identyfikują ryzyko i możliwość jego wystąpienia w konkretnej działalności, w sposób ciągły monitorują zagrożenia oraz ich możliwe konsekwencje, wprowadzają system zabezpieczeń i przygotowują plany działania na wypadek zaistnienia sytuacji kryzysowych.
Należy oczekiwać, że wraz z rozwojem nowych trendów w gospodarce cyfrowej, takich jak np. internet rzeczy czy chmury obliczeniowe, pojawiać się będą nowe za-grożenia bezpieczeństwa danych, które będą wymagały podjęcia bardziej zaawanso-wanych środków ochrony, zarówno po stronie stosozaawanso-wanych technologii, organizacji pracy, jak i zasad kooperacji przedsiębiorstw.
Bibliografia
ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycz-nych, GIODO, Wydawnictwo Sejmowe, Warszawa 2007.
Allianz Risk Barometer 2016, http://ssileng.eu/wp-content/uploads/2016/02/Allian-zRiskBarometer2016.pdf (10.04.2016).
Czas na przyspieszenie. Cyfryzacja gospodarki Polski, Raport, Polityka Insight, Warsza-wa 2016, http://zasoby.politykainsight.pl/politykainsight.pl/public/Czas-na-przyspieszenie--Cyfryzacja-gospodarki-Polski.pdf (15.03.2016).
Haunert T., Guard the Crown Jewels, “Oracle Magazine” May-June 2015.
Malcher M., Needham P., Rotondo S., Securing Oracle Database 12c. A Technical Primer.
http://www.oracle.com/us/products/database/securing-oracle-database-pri-mer-2522965.pdf (15.04.2016).
Rozporządzenie MSWiA z 29.04.2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny od-powiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Dz.U. z 2004 r. Nr 100 poz. 1024.
The Global Risks Report 2016, World Economic Forum, http://ssileng.eu/wp-content/
uploads/2016/01/TheGlobalRisksReport2016.pdf (01.04.2016).
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U. z 2002 r. Nr 101 poz. 926 z późn. zm. Tekst jednolity.
Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, Dz.U. z 1999 r. Nr 11 poz. 95.
W obronie cyfrowych granic, czyli 5 rad, aby realnie wzmocnić ochronę firmy przed CYBER ryzykiem, Raport, PWC, styczeń 2016, www.pwc.pl/badaniebezpieczenstwa (15.03.2016).
Streszczenie
W rozdziale przedstawiono rozważania dotyczące istoty i skali zjawiska zagrożeń bezpieczeństwa danych cyfrowych w działalności biznesowej. Określono rodzaje ry-zyka związane z gromadzeniem i przetwarzaniem poszczególnych typów informacji w systemach informatycznych w przedsiębiorstwach z niektórych branż oraz moż-liwości jego identyfikacji. Przedstawiono klasyfikację źródeł powstawania zagrożeń oraz możliwe skutki naruszeń bezpieczeństwa danych. Na tym tle określono możliwe środki ostrożności możliwe do zastosowania w odniesieniu do przyjętego modelu funkcjonowania systemu IT w przedsiębiorstwie.
SUMMARY
This chapter presents security issues related to safety and security of business data. Businesses and public sector organizations store data in their databases. There are various types of risk regarding the processes of data gathering and processing within IT systems and appliances. Data breaches are now targeting different industries and different types of information. The identification of risk factors is an essential step to create a security information system. There is a variety of risk sources in each enterprise and industry, however the possible consequences of every information breach are serious.
The goal of this chapter is to identify and analyze the sources of risk factors in business. Risk asses-sment then allows to develop possible security mechanisms. There is no single solution that prevents all methods of attack, however by implementing various tools that work together it is possible to address risk factors.