PR články

7 kroků, jak přežít GDPR: Jak data zabezpečit? Prevence je základ (4)

Už víme, kde které osobní údaje máme, umíme je zkrotit, či chcete-li kategorizovat, a nyní se už dostáváme k samotné ochraně dat. Jak tedy osobní data zabezpečit před možným zneužitím?
7 kroků, jak přežít GDPR: Jak data zabezpečit? Prevence je základ (4)
Klepněte pro větší obrázek
Šifra mistra Leonarda: Jak zajistíte, aby vaše data byla dostatečně chráněna?

Podle předpisu GDPR je třeba zavést přiměřená a vývoji techniky odpovídající opatření pro zajištění důvěrnosti, integrity, dostupnosti a odolnosti. Zároveň je potřeba zavést mechanismy testování účinnosti těchto opatření. To znamená, že osobní údaje musíme chránit podle úrovně jejich citlivosti a také mít otestováno, že ochrana funguje.

Není lepší cloud?

Tato odpovědnost pro každou organizaci vzniká při zpracování ve vlastním datovém centru i při zpracování v cloudu. Měli bychom se tedy zamyslet, jestli zvýšení bezpečnosti zpracování dat a prokázání účinných opatření před úřady není v daném případě rychlejší a jednodušší u cloudového zpracovatele, který se může prokázat průmyslovými certifikacemi a auditními zprávami. GDPR upravuje i požadavky na smlouvu mezi správcem a zpracovatelem údajů, tedy poskytovatelem cloudu, čímž lze alespoň částečně přenést odpovědnost za opatření na zpracovatele.

Podívejme se tedy, jaké existují možnosti zabezpečení v cloudu v oblasti prevence. Příště si probereme opatření v oblasti detekce a zvládání incidentů.

Jak šifrovat data

Uložená data a transakční logy můžeme v databázích šifrovat pomocí technologie Transparent Data Encryption (TDE), na které staví i cloudové Dynamics 365 pro řízení prodeje a vztahů se zákazníky. V cloudu je velmi důležité ošetřit správu šifrovacích klíčů. Pokud by správci měli snadný přístup ke klíčům v cloudu, úrovni zabezpečení by to moc nepomohlo. Z hlediska rychlosti toku dat při šifrování velkých objemů ale musí být klíče v době zpracování k dispozici v cloudu. To řeší například technologie Azure Key Vault.

Jde o způsob hardwarového generování a úschovy klíčů v zařízeních Thales nShield v cloudu Azure. To dává správcům údajů exkluzivní přístup k těmto klíčům, možnost jejich vlastního generování, řízení přístupu k nim a auditu jejich použití. Moduly Thales nShield jsou certifikované pro použití v armádách zemí NATO a představují v současné době špičku toho, co se pro správu šifrovacích klíčů nabízí.

Správa dat ve velkých úložištích

Velké objemy nestrukturovaných dat, jako jsou například radiologické snímky ve zdravotnictví, se mohou efektivně ukládat do prakticky neomezených úložišť Azure Storage Service, která mají dvě úrovně šifrování. Jedna je na úrovni paměťových disků a druhá na úrovni tenanta cloudové služby, tedy pod kontrolou správce dat.

Šifrování a řízení přístupu v cloudu se zavádí i do moderních non-SQL databází, jako je například Cosmos DB v Microsoft Azure. Zde můžeme ukládat živé toky dat z internetu věcí (IoT), v nichž se mohou objevit osobní údaje.

Na všech zařízeních

GDPR požaduje i vysokou dostupnost osobních údajů, což lze v cloudu jednoduše zajistit pomocí takzvaných skupin dostupnosti (Avalaibility Groups) až po chybově odolné klastry (Always On Failover Clusters).

Cloud může pomoci i s prevencí na koncových zařízeních. Nástroje jako Microsoft Enterprise Mobility and Security (EMS) pomohou zavést bezpečnostní politiky a šifrování dat na firemní prostor chytrého telefonu nebo notebooku.

Pokud někdo v organizaci používá například služební telefon nebo notebook i soukromně, lze data dálkově spravovat a případně vymazat pouze jejich firemní část. Při ztrátě zařízení je velký rozdíl, zda byla data šifrována. Podle GDPR navíc není třeba oznamovat incidenty subjektům údajů, pokud data unikla v šifrované podobě.

Pozor na Shadow IT

Microsoft EMS je obecně široce využitelný nástroj pro cloudové bezpečnostní politiky. Firmy se často obávají neautorizovaného využívání "free" cloudových služeb, tomu se dnes říká "Shadow IT". Zde zase dobře poslouží Cloud App Security, jenž je součástí EMS. Tento nástroj na perimetru organizace rozezná více než 13 tisíc cloudových služeb a hlásí, které jsou využívány vašimi firemními uživateli, aniž by bylo narušeno jejich soukromí. Auditoři totiž nemusí vidět skutečná jména uživatelů, ale jen jejich pseudonymy.

Jak jsme uvedli výše, správci musí zvolit „přiměřená“ bezpečnostní opatření, která jsou výsledkem nějaké formy analýzy rizik. Jako vodítko mohou posloužit vzorové analýzy rizik od zpracovatele. Jde například o spisovou službu v Azure (Gordic GINIS), zpracování zdravotnických informací v Azure (ICZ PACS) a dokonce i vzorové „posouzení vlivu“ DPIA pro Office 365.

Zabezpečení údajů je pro implementaci nařízení GDPR zásadní. Proto si příště rozebereme, jak detekovat kyberútoky a jak takzvaně "zvládat incidenty", tedy situace, kdy nám hrozí zneužití dat nebo jejich ztráta. I k tomu existuje spousta řešení a nástrojů, které vám ve vaší organizaci pomůžou.

Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete ZDE.

Autor článku: Zdeněk Jiříček, ředitel pro technologické standardy, Microsoft Česko a Slovensko

Další článek: Rusko zvažuje zákaz Facebooku. Sociální síť je adeptem na zablokování

Témata článku: PR články


Určitě si přečtěte

Čím nahradit Total Commander: 11 správců souborů nejen pro profíky

Čím nahradit Total Commander: 11 správců souborů nejen pro profíky

** Total Commander je fernomén mezi správci souborů ** Našli jsme 11 povedených alternativ ** Zvládnou to samé a ke všemu jsou většinou zadarmo

Karel Kilián | 76

12 netradičních map České republiky, které jste ještě nikdy neviděli

12 netradičních map České republiky, které jste ještě nikdy neviděli

** Tušíte, kolik je u nás hřbitovů a jak jsou velké? ** Dokážete si představit mapu českých řek a potoků? ** Udělali jsme to všechno za vás nad daty ČÚZK

Jakub Čížek | 8

Teachable Machine: Umělá inteligence za pět minut i bez doktorátu z ČVUT

Teachable Machine: Umělá inteligence za pět minut i bez doktorátu z ČVUT

** Pochopit techniky a principy A.I. je složité ** Ale nebojte, jde to i bez doktorátu z IT a matematiky ** Vyzkoušíme generátor neuronových sítí od Googlu

Jakub Čížek | 9

Proč byste měli rozmazávat SPZ aut na fotkách, které vystavujete na web

Proč byste měli rozmazávat SPZ aut na fotkách, které vystavujete na web

** Na fotkách aut nahraných na web je dobré rozmazat SPZ ** Značku dokáže z obrázku přečíst Google i Facebook ** SPZ může naplnit podstatu osobního údaje

Karel Kilián | 73


Aktuální číslo časopisu Computer

Megatest 24 PC zdrojů

Jak využít umělou inteligenci

10 špičkových sluchátek s ANC

Playstation 5 vs Xbox Series X