Původně jsem dneska chtěl past úplně něco jiného, ale můj kolega Martin Pavlis ve mně vyvolal potřebu, sednou a napsat tento článek. Původní nápad byl napsat konečně druhý díl seriálu o Operation Management Suite, nicméně mě pohltila potřeba napsat o novém zákonu, který bude uveden v platnost 25. 5. 2018 a hodně společností si určitě myslí, že je tudíž dost času na přípravu. Jedná se o úpravu zákona o ochraně a zpracování osobních údajů a citlivých informací, který bude vycházet ze zákona 101/2000 sb. ze dne 4. 4. 2000.
Nejprve obecně
Každý z nás kdo vlastní nějakou firmu ví, že informace o zákazníkovi a tím nemyslím jen jméno, ale veškeré běžné informace jako nabízí k evidování například Microsoft Dynamics CRM (kdy má zákazník narozeniny, kolik má dětí, jak jsou jeho děti staré, jaké má zájmy, co rád jí, atd..) jsou velkým přínosem pro dodavatele, který je pak schopen cílit reklamu, služby anebo jen prezenty zákazníkovi a budovat si s ním vztah nejen na obchodní, ale i osobní úrovni.
Malá odbočka: Nejsem sice úplně nadšený, že o mě můj dodavatel ví všechno (banka, operátor, atd..), ale svěřil jsem mu své citlivé informace dobrovolně a spoléhám na to, že tato data dokáže ochránit před útočníky nebo před interními zaměstnanci a má data nebudou sdílena na internetu. Rozhodně je tento scénář lepší než situace, kdy mi volá 3x za sebou v jednom týdnu slečna z nějakého Call centra a pokaždé mi nabízí stejný produkt a myslí si, že se dovolala novému zákazníkovi, a já jí 3x s „díky nechci“ odmítnu. Pokud by to udělala ta holčina po 4, tak bych už mohl být poměrně sprostý. To mi přijde velice smutné L, jelikož procesy pro „cold call“, ve společnostech jako jsou někteří naši operátoři, nefungují.
V každém z nás kdo má vlastní firmu a pracuje s daty zákazníků, tak se snaží zabezpečit své prostředí maximálním možným způsobem, jak mu jeho zkušenosti a cash flow dovolují. Hodně firem (nemohu jmenovat, ale pár jich znám) pracuje s daty zákazníků, ale zabezpečení na datové úrovni je velmi nízké až žádné a to nemluvím o bezpečnosti infrastrukturní, kdy každý 15-letý kluk co se podívá na youtube.com se dokáže do jejich systému nabourat s nějakým 3 roky starým payloadem spuštěným z Backtracku nebo KaliOS.
A těmto společnostem svěřujeme své citlivé informace? Možná je na čase, aby se to změnilo a právě proto možná přichází tato úprava zákona, na který nikdo nesáhl od doby, kdy byly počítače jako ten níže a internetová linka byla někde na úrovni modemu s 56kbps nebo jako jsem měl já 24kbps na downloadu. V té době také vyšel a byl použit jeden z nejúčinnějších virů ILOVEYOU J, který dokázal hodně lidem zamotat hlavu. V té době fungovali viry spíše jako destrukční nástroje pro ničení počítačů a nikdo tenkrát ještě nepřemýšlel (moje domněnka), že bude možné vykrádat identity a sledovat chování lidí vzdáleně a to jen díky počítačům a internetu.
Nový zákon
V květnu 2018 přijde v platnost nový Evropský zákon, který nařizuje, aby byla citlivá a osobní data chráněna. Bohužel se zatím neví přesně, jaká bude povinnost datové ochrany, ale již nyní se ví, že za porušení a odcizení citlivých informací bude společnosti hrozit pokuta až 20 milionů eur nebo 4% z celkového ročního OBRATU, záleží, co bude vyšší. Toto by mohlo být pro většinu firem likvidačním kritériem. Nepředpokládám, že by na Útvaru ochrany osobních údajů (ÚOOÚ) seděla armáda hackerů, kteří se budou snažit prolomit ochranu dané společnosti, ale klidně bych věřil, že za zveřejnění nebo udání bude vyplácena odměna (toto je jen spekulace) z vysouzené částky. Bohužel se zatím ani neví, jak bude částka vymáhána.
Očekávání
Zákon již hovoří o nové roly v organizaci, kterou nebude moci zastávat ani IT ani ředitel, či team leader, ale bude nutné vyspecifikovat osobu, která bude za data odpovědná. Tato osoba má mít pozici „Pověřenec za správu citlivých informací“, já bych tuto pozici nazval Security Officer, ale dle zákona se jedná o roly Data Protection Officera (dále také DPO).
Pokud bychom se podívali na platy.cz nebo jiný portál informující o platu takové osoby, pak se bude plat pohybovat v řádu desetitisíců korun (řekl bych spíše 100 000Kč hrubého v závislosti na odpovědnosti za svěřená data, úrovni specializace této osoby a velikosti organizace)
Myslím, že daná osoba by měla mít minimálně tento profil:
– IT znalý administrátor na všech vrstvách
– Přehled v technologiích a trendech IT
– Znalost procesních metodik jako ITIL
– Zkušenost z praxe s vytvářením bezpečnostních směrnic
– Se schopností prezentovat navržená řešení
– Důvěryhodný a precizní
A podle toho profilu, hledáte v dnešní době skoro Supermana, protože tací lidé prostě nejsou a pak je tedy otázkou, zda můžete připravit procesy, nasadit systémy, vyškolit lidi a outsourcovat třeba auditora, který k vám bude docházet jednou za 14 dní a kontrolovat procesy a jejich fungování.
Zákon se dotkne nejvíce společností, které provozují e-shopy, telco služby, bankovní služby, státní a obecní instituce, atd… Bohužel v těchto subjektech je předpoklad značného kapitálu k zajištění bezpečnosti, ale co malé e-shopy (firma 10 – 50 lidí) ta by v případě úniku citlivých informací mohla zavřít a částku splácet do smrti.
Co jsou citlivé informace a co bude zákonem sledováno v rámci GDPR?
Informace, které se vztahují k identifikované nebo identifikovatelné fyzické osobě.
Veškeré informace – obrazové, slovní, rentgenové snímky, IP adresa, Cookies,
Dané obsahem – např. jméno, adresa, pracovní pozice. (pouze jméno není osobní údaj se smyslu GDPR, jen na základě jména nelze jednoznačně identifikovat).
Obecné: Jméno, Pohlaví, Věk a datum narození, osobní stav, občanství IP adresa, fotografický nebo biometrický údaj
Organizační: osobní nebo pracovní adresa, osobní nebo pracovní telefonní číslo, osobní nebo pracovní email, identifikační čísla vydaná státem (např. rodné číslo)
Speciální: etnický původ, náboženské vyznání, členství v odborech, zdravotní stav, sexuální orientace, genetické a biometrické údaje
Začněme, ale od začátku
Je potřeba začít jednat nyní? Nemůžeme třeba počkat na konec roku, až budeme mít ty nevyčerpané budgety, které bychom investovali? Moje odpověď je NE, musíte začít hned, nemyslím tím zítra, ale minimálně tento měsíc J. Rád bych na vás apeloval, abyste neudělali tu chybu, že nasadíte systém a budete si myslet, že jste vše vyřešili. Tak to bohužel není, jelikož musíte vždy nejprve plánovat, analyzovat a pak teprve dělat.
A jak tedy na to?
Nejprve je důležité naučit společnost přemýšlet jinak, a to tak, že data, se kterými pracují, jsou data citlivá a osobní, a že každému z nich by se také nelíbilo, kdyby s jejich informacemi někdo nakládal neuváženě, čímž uvedete v život proces práce s dokumenty a to i za cenu, že jste nenasadili jediný systém, ale jen změnili uvažování společnosti. Abyste však mohli vyhodnotit a prokázat, že proces funguje, musíte jej měřit a vyhodnocovat. Jelikož se jedná o obrovská data („Big Data“) tak je nutné vše dělat velmi efektivně.
Dalším krokem by ve vašem případě mělo být nastavení přesné směrnice, která bude definovat minimálně:
– Jak je s daty nakládáno
– Jak jsou data zabezpečena
– Kdo má k datům přístup
– Jaká jsou eskalační schémata při zjištění pokusu o odcizení dat
– Jaká jsou eskalační schémata při průniku a odcizení dat
– V jakých systémech se data objevují
– Jak jsou data přenášena
– Jak jsou data uchovávána a archivována
– Atd..
Následně bude nutné uvést v život tuto směrnici a stanovit procesy, kontrolovat a hlavně měřit. Někde jsem četl jedno MOTTO (asi někde na LinkedIn) „Co neměřím, to neřídím“ a stejné je to se směrnicemi. Společnosti je píší, ale nedokáží kontrolovat, zda jsou dodržovány, jelikož si evidentně myslí, že vydání směrnice společnost vyvazuje z odpovědnosti a že udělaly maximum pro to, aby prosadily svou vůli.
Abychom mohli proces a jeho funkčnost měřit, je nutno provádět audit a to ne jen tak ledajaký, ale je potřeba provádět datový audit online (při každé změně, zapsání, smazání nebo stažení záznamu s citlivým údajem), bohužel se bude jednat (v závislosti na velikosti organizace) o obrovské objemy dat jako v případě jedné z položek zákona o Kybernetické bezpečnosti, kdy je nutno uchovávat logy ze systémů k pozdějšímu vyhodnocení.
Jelikož je, podle mého názoru, velice těžké měřit zda se směrnice dodržují, musí přijít na řadu ten horší způsob a tím je technologie – zamezení přístupu a sledování aktivity s daty – „big brother nad daty zákazníků“
A nyní přicházíme konečně po 3 stránkách textu k věci. Jelikož jsem osoba orientovaná na Microsoftí technologie budu vše pasovat do IT Roku 2017 a výše J tudíž do cloudu, kam někteří z vás nechcete.
Technologie
Myslíte si stále, že je dost času na implementaci po tom co vám někdo řekl, že nejprve bude potřeba proces? Pojďme si to namapovat na vrstvy, abychom věděli kde, co chceme chránit:
– Fyzická bezpečnost
– Switche
– Firewally
– Hypervisory
– Virtuální servery
– Databáze
– Souborové servery
– Identitní systémy
– Aplikační servery
– Webové servery
– Aplikace
– Klientské operační systémy
Kybernetická bezpečnost je však mnohem komplexnější proces a nevychází jen z vlastních vrstev od Hardware až po aplikace a koncové operační systémy, ale také sleduje chování osob, jejich tendence k prozrazení citlivých informací formou konzultace s kamarádem, atd.. a i tyto procesy je nutno mapovat a prověřovat. Níže je uvedená krásná Mind mapa (autor: Henry Jiang, CISO, CISSP), která ukazuje vrstvy a oblasti kybernetické bezpečnosti.
My se v této oblasti budeme zabývat tou oranžovou částí s názvem Security Engineering“ a částečně žlutou oblastí „Security Operation“ a jen lehce se podíváme i do fialové části „Threat Inteligence“, ale těch oblastí zájmu je ještě mnohem a mnohem více, ale spousty jich jsou právě obtočeny okolo procesů a certifikací společnosti.
