Ochrana osobních údajů a dalších dat nejen v podmínkách strojírenství

 

Za kryptickou zkratkou GDPR se skrývá podobně malebné české označení „nařízení Evropské unie o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů“. Jeho implementace a vůbec celá problematika ochrany osobních údajů jsou v současné době velmi diskutovanými tématy a bylo toho o nich napsáno a řečeno již mnoho. Tento článek se proto blíže zaměří na úskalí při implementaci tohoto nařízení v sektoru strojírenství a jemu blízkých oborech.

Evropské nařízení o ochraně osobních údajů se týká v podstatě všech. Výjimku tvoří pouze subjekty, které s osobními údaji pracují výlučně pro osobní či domácí činnost. GDPR se také nedotkne státních orgánů, které zpracování provádějí za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Veškeré ostatní instituce a soukromé společnosti, které zpracovávají osobní údaje za jiným účelem, musí splnit požadavky evropského nařízení v plném rozsahu.

Co jsou osobní údaje?

Pro správnou a efektivní implementaci GDPR si v první řadě musíme uvědomit, co to vlastně osobní údaje jsou. Ačkoliv, jak uvidíme za chvíli, je snadnější vyjmenovat spíše to, co mezi osobní údaje nespadá, neboť tato množina bude mnohem menší. GDPR definuje osobní údaje jako „veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.“ Ve zkratce jde tedy o cokoliv, co má nějaký vztah k fyzické osobě.

Mnoho firem se možná bude snažit povinnosti vyplývající z GDPR zjednodušit tvrzením, že mezi jejich zákazníky patří pouze právnické osoby. Nicméně i výrobní a průmyslové společnosti budou muset povinnosti vyplývající z nařízení GDPR splnit. Osobní údaje, které zpracovávají, jsou mimo jiné také údaje jejich vlastních zaměstnanců nebo sezónních pracovníků a dále kontaktní údaje právnických osob v roli dodavatelů nebo odběratelů, neboť i za právnickou osobou stojí osoba fyzická, se kterou bude společnost jednat. Například v souvislosti s brigádníky pak vyvstává otázka, zda si firmy mohou vést jejich databázi za účelem jejich dalšího oslovení s nabídkou další brigády nebo stálého zaměstnání. Nově to půjde jen za předpokladu, že budou mít informovaný souhlas těchto osob, který firmě poskytnou na předem stanovenou dobu a za jasně definovaným účelem. Pro osoby, které souhlas se zpracováním osobních údajů udělují, pak musí být zřetelné, kde jsou jejich údaje uloženy a kdo všechno k nim má přístup.

Jak úspěšně implementovat GDPR?

K úspěšné implementaci požadavků GDPR by si každá společnost měla s jistotou dokázat kladně odpovědět na následující otázky:

  1. Víte opravdu o všech osobních údajích, které zpracováváte?

    1. Uvědomujete si, že osobním údajem mohou být i e-mailové či IP adresy, veškeré pohyby a transakce na internetu či v interních systémech?

    2. Opravdu máte pod kontrolou i všechny polooficiální procesy, včetně rozesílání novinek, věrnostních systémů, různých „dočasných“ evidencí apod.?

  2. Můžete s jistotou uvést, proč a jak tyto údaje zpracováváte?

    1. Nemáte nějaké údaje „zbytečně navíc“?

  3. Máte ke všem údajům relevantní právní titul?

    1. Nejlepší je mít zákonný důvod, či přímo povinnost osobní údaje zpracovávat. V ostatních případech potřebujete souhlas dotyčného subjektu.

  4. Můžete s jistotou uvést, kde jsou tyto osobní údaje uloženy, jak jsou zpracovávány a také kdo a proč k nim přistupuje?

    1. Doporučuji minimalizovat systémy, procesy, úložiště i všechny osoby, které mají k osobním údajům přístup.

  5. Máte jistotu, že dokážete splnit všechny požadavky GDPR?

    1. Uvědomujete si všechna posílená práva subjektů (např. právo na přístup k údajům a jejich výmaz), i všechny vaše zesílené povinnosti (trvalá ochrana informací, poctivé, důkladné a rychlé hlášení incidentů do 72 hodin apod.)?

Jsou to relativně jednoduché otázky, nicméně k jejich poctivým a stoprocentně kladným odpovědím povede ještě složitá cesta.


 

 

Při ochraně osobních údajů se musí zvážit určité vtahy mezi správcem, dozorovým úřadem a fyzickými osobami, které svoje osobní údaje ke zpracování zapůjčily. Na obrázku výše však není znázorněna ještě jedna strana, které se GDPR svým způsobem dotýká. Tou je útočník, pro nějž jsou osobní údaje cennou komoditou. Čím podrobnější informace o fyzické osobě získá, tím je cena takto získaných údajů na černém trhu vyšší. Za svůj cíl si tedy takový útočník klade získat co nejvíce informací o každém, jehož údaje jsou v daném napadeném systému zrovna k dispozici.

Typické útoky mohou zasáhnout i vás

Kybernetické útoky se v dnešní době nevyhýbají žádnému sektoru, což dokládá např. i nedávný útok vyděračským virem WannaCry, který mimo jiné zasáhl také francouzského dodavatele stavebních materiálů Saint-Gobain. Dle antivirové společnosti ESET se při tomto útoku Česká republika stala devátým nejvíce zasaženým státem. Další hrozbou dneška jsou tzv. phishingové útoky, kdy např. na finanční oddělení přijde e-mail, jehož odesílatel se tváří jako někdo z vrcholového managementu. V příloze e-mailu pak můžeme nalézt např. fakturu, profesní CV a jiné dokumenty, které mohou být nakažené. Cílem takového útoku je infikovat systémy některým z typů vyděračských virů, nebo klasickým virem, který hledá „citlivé“ informace včetně osobních údajů. V krajním případě má útočník snahu, aby zaslaná faktura byla proplacena. Bohužel u nás zatím neexistuje povinnost tyto incidenty hlásit a každý se je z důvodu udržení pozitivní image firmy snaží spíše zatajit.

Nicméně poskytnout informace o těchto útocích skupinám typu CSIRT (Computer Security Incident Response Team) je více než vhodné. Tito odborníci mohou na základě informací o daném útoku a dalších zpráv doporučit buď implementaci nových nástrojů, nebo zlepšení nastavení těch stávajících takovým způsobem, který omezí, v lepším případě pak zabrání opakování podobných útoků.

Jaký je běžný stav ochrany proti těmto hrozbám?

Jako příklad můžeme použít dům s ukrytým pokladem (rozumějme firmu a v ní důležitá data, o která nechceme přijít). Pro lepší ochranu našeho majetku kolem domu postavíme plot (v IT světě implementujeme ochranu perimetru, např. firewally, antivirovou ochranu aj.). Pokud nám to prostředky dovolí, plot vyměníme za dostatečně vysokou zeď, přes kterou na náš pozemek nikdo neuvidí. Když ani to nepostačí, podnikneme další nutná opatření a do domu nainstalujeme např. detekci pohybu, celý systém napojíme na pult centrální ochrany (PCO) a domluvíme, při kterém poplachu PCO vyrozumí policii, v jakém případě bude nutný výjezd a podobně. Musíme zkrátka počítat s tím, že každou zeď jde relativně snadno překonat.

V rámci kybernetické ochrany bohužel většina společností pomyslnou zeď pouze zvyšuje, přestože i v tomto světě existují nástroje na detekci pohybu v počítačové síti a „pulty centrální ochrany“, jen se jim říká jinak. Řeč je o tzv. SOC (Security Operation Center), které při dobře nastavených pravidlech a právech dokáže s požadavky GDPR spolupracovat a ví, že má v případě porušení ochrany osobních údajů dané společnosti hlásit tuto skutečnost úřadu do 72 hodin. V případě zjištění kybernetického vetřelce pak také dokáže zabránit odeslání firemních informací vně podniku.

Jaká opatření tedy přijmout?

Opět využijeme předchozí srovnání. V případě, že máme doma nějaké cennosti, posoudíme jejich hodnotu a zjistíme, jakým rizikům mohou podléhat (např. oheň, ztráta, krádež aj.). Tyto hrozby se pak snažíme nějakým způsobem eliminovat. Proti požáru můžeme nainstalovat požární čidla, případně i samozhášecí systémy atd.

Podobné je to i v IT světě, kdy nejprve posoudíme cenu informací, identifikujeme hrozby a přijmeme přiměřená opatření na eliminaci těchto hrozeb. Přiměřená přitom v tomto případě znamená přímo úměrná hodnotě dat, s nimiž pracujeme. Ke zjištění stavu bezpečnosti dat vám pomůže tzv. analýza rizik, která mimo jiné doporučí také výši investice pro potřebné zabezpečení. Nicméně jak lze vidět například u americké úvěrové firmy Equifax, analýzu rizik nestačí provést pouze jednou a definovaná rizika eliminovat. V kybernetickém prostoru musí analýza rizik přejít do systému řízení rizik. Tedy k soustavnému sledování nových hrozeb a zranitelností. Společnost Equifax tento systém podcenila a nereagovala na potenciální zranitelnost svého webového portálu, přes který se útočníci dostali až k databázím s citlivými údaji přibližně 143 milionů osob.

Další věcí, na niž by si měly dát firmy pozor, je užívání pracovních notebooků. Většina z nás ke své práci již nepoužívá klasický stolní počítač, ale právě notebook, který může obsahovat určitý typ osobních údajů, náchylných ke ztrátě nejen prostřednictvím hackerského útoku, ale také zcizením samotného zařízení. V případě užívání systému Windows je možné ztrátě nebo krádeži dat předejít. Pouze hrstka uživatelů ví, že od verze 7 má v sobě tento operační systém zabudovaný integrovaný nástroj na šifrování pevného disku, který umožňuje integraci do centrální správy. V případě podobného incidentu u takto ochráněného notebooku pak vznikne ztráta pouze v ceně daného zařízení. Pokud navíc pravidelně zálohujete svá data a sdílené know-how, tyto informace ani případné další osobní údaje nedojdou k újmě.

Nejcennější informace ve strojírenském sektoru představuje právě know-how dané firmy, mimo něj je ale před případným útočníkem zapotřebí chránit také další údaje. Vždyť i informace o specialistech (konstruktérech, návrhářích, designérech, jejich ocenění, znalostech a projektech) se mohou stát pro případnou konkurenci velkou výhodou.

Závěrem

Implementace požadavků GDPR nebude jednoduchá, povinnost přijmout nutná bezpečnostní opatření však platí pro každou společnost. V současné době je přitom nevětším rizikem čas. Evropské nařízení o ochraně osobních údajů platí od dubna 2016 a účinnosti nabude 25. května příštího roku. Hlavním záměrem jeho zavedení je dát lidem větší kontrolu nad tím, co se s jejich osobními daty děje. Společnosti by si tak měly uvědomit, že data, s nimiž pracují, nevlastní a jsou jim pouze zapůjčena na předem definovanou dobu a k předem definovanému účelu. Jakékoliv porušení této úmluvy se subjektem dat ponese následky, přičemž v krajních případech porušení povinností při zpracovávání osobních údajů jde o pokuty ve výši až 20 milionů eur, popřípadě 4 % globálního ročního obratu společnosti.

Zbyněk Malý, Senior Security Consultant společnosti ANECT, člen týmu SOCA

 

Celý článek ke stažení zde:

CI1703_30_31_Ochrana osobníc_CI_SABLONA.pdf