Przejdz do tresci
Avanet
RODO: w jaki sposób Sophos może pomóc

RODO: w jaki sposób Sophos może pomóc

29. MARCA 2018

Od chwili, gdy Parlament Europejski przyjął 14 kwietnia 2016 r. nowe ogólne rozporządzenie o ochronie danych – bardziej znane jako RODO (ang. GDPR) – minęło już sporo czasu. Rozporządzenie zaczyna obowiązywać 25 maja 2018 r., a więc firmy miały prawie dwa lata, aby się przygotować. W międzyczasie dużo o nim pisano, również dlatego, że także przedsiębiorstwa z USA są zobowiązane do przestrzegania General Data Protection Regulation.

W tym artykule chcemy pokazać, w jakim stopniu Sophos może pomóc w spełnieniu wymagań nowego rozporządzenia. Nie będziemy szczegółowo omawiać treści wszystkich 11 rozdziałów i 99 artykułów. Wiele zapisów jest nadal dość ogólnych i pozostawia spore pole do interpretacji. Lobbystom udało się doprowadzić do sytuacji, w której duże przedsiębiorstwa mogą sobie pozwolić na wieloletnie spory sądowe o pojedyncze sformułowania. Dla MŚP nie jest to idealne rozwiązanie – zdecydowanie lepsze byłyby jasne, jednoznaczne regulacje. Pierwsze procesy pokażą, jak należy interpretować poszczególne artykuły.

Na wstępie warto zaznaczyć, że choć Avanet ma siedzibę w Szwajcarii, to również szwajcarskie firmy posiadające klientów w UE podlegają przepisom RODO.

Wiele firm w tej chwili nie robi nic i świadomie akceptuje ryzyko pozwów. Niektóre państwa członkowskie UE zapowiedziały już, że nie dysponują zasobami, aby rozpatrywać wszystkie skargi.

Co tak naprawdę oznacza nowe rozporządzenie?

Poniżej przedstawiamy kilka przykładów, aby lepiej zobrazować temat oraz rolę, jaką może odegrać bezpieczeństwo IT:

  • Obywatele UE mają prawo zażądać od firmy informacji o tym, jakie dane osobowe na ich temat są przetwarzane.Dla części przedsiębiorstw już to stanowi problem. W najgorszym przypadku pracownik będzie musiał poświęcić wiele godzin na zebranie wszystkich wymaganych informacji.
  • Obywatele UE mogą zażądać usunięcia swoich danych.To kolejne wyzwanie dla działu IT – również kopie zapasowe są objęte tym obowiązkiem. Nie każda rozwiązanie do backupu pozwala na usunięcie pojedynczych rekordów, a dodatkowo wymóg ten może kolidować z przepisami o obowiązkowym okresie przechowywania danych.
  • W przypadku wycieku danych firma ma obowiązek zgłoszenia incydentu, chyba że dane były zaszyfrowane.Tym samym dotykamy sedna sprawy – właśnie w tym obszarze bezpieczeństwo IT nabiera kluczowego znaczenia.

Bezpieczeństwo IT trzeba traktować poważnie

Z naszego punktu widzenia pozytywne jest to, że RODO dostarcza kolejnych argumentów, aby wreszcie poważnie potraktować temat bezpieczeństwa IT. Każdy, kto to ignoruje i nadal uważa, że nie potrzebuje solidnego rozwiązania dla swojej firmy, prędzej czy później może zostać ukarany za rażące niedbalstwo. Nadal zbyt często widzimy komputery, serwery i inne systemy bez żadnej ochrony podłączone bezpośrednio do Internetu, na których dodatkowo ignoruje się krytyczne aktualizacje i poprawki.

To, że Windows XP nie otrzymuje już aktualizacji, w żadnym razie nie oznacza, że system jest bezpieczny. Może się to wydawać zabawne, ale naprawdę istnieją osoby, które tak myślą.

Często widzimy też użytkowników korzystających z przeglądarek, które od dawna nie były aktualizowane. Zawsze używaj nowoczesnej przeglądarki, która jest aktualna pod względem bezpieczeństwa.

Branża ransomware też się zmienia

Żyjemy w czasach, w których ransomware i exploity należą do najskuteczniejszych metod ataku. Ta „branża” oczywiście również przygotowuje się na 25 maja. Pojawiły się już nowe odmiany ransomware, które nie szyfrują danych, aby zażądać w zamian Bitcoinów, lecz przez tygodnie po cichu wykradają dane firmowe, po czym wyświetlają komunikat:

Mamy Twoje dane! Prześlij XXX Bitcoinów, w przeciwnym razie je opublikujemy.

W takiej sytuacji kopie zapasowe – które wiele osób uważało za idealne rozwiązanie w przypadku klasycznego ransomware – nie wystarczą. Jeśli skradzione dane zostaną upublicznione, konsekwencje są dwojakie: szkoda wizerunkowa i kara finansowa od UE, sięgająca 20 mln euro lub 4% rocznego obrotu.

Ochrona: prosta i stosunkowo niedroga

Istnieje kilka podstawowych zasad, których zawsze warto przestrzegać:

  • Korzystaj z aktualnego systemu operacyjnego (na komputerach, serwerach, smartfonach i urządzeniach IoT).
  • Regularnie instaluj aktualizacje oprogramowania.
  • Zastosuj profesjonalne rozwiązanie antywirusowe. → Naszym zdaniem rozwiązania takie jak Avira, Avast, Windows Defender itp. nie są wystarczające, jeśli spojrzymy na zastosowaną technologię. Celowo mówimy o technologii, ponieważ marketing i opisy tych produktów są często bardzo przekonujące. Jeśli im wierzyć, darmowe produkty chronią przed wszystkim. Dodatkowo zawsze polecamy Sophos Intercept X. Dla serwerów dostępne jest Sophos Server Protection.
  • Szyfruj nośniki danych (dyski twarde, pamięci USB itp.). → To pomaga w razie zgubienia lub kradzieży urządzenia. BitLocker dla Windows i FileVault dla macOS to dobre opcje. Można je włączyć ręcznie na kilku komputerach albo zarządzać większą liczbą urządzeń centralnie, korzystając z Sophos Device Encryption.
  • Szyfruj pliki. → Istnieją narzędzia takie jak VeraCrypt (darmowy następca TrueCrypt) czy Cryptomator. VeraCrypt umieszcza wszystkie dane w jednym kontenerze, co jest niewygodne i nieoptymalne z punktu widzenia bezpieczeństwa (np. jedno hasło do wszystkich danych). Cryptomator (również darmowy) rozwiązuje to lepiej: każdy plik jest szyfrowany własnym kluczem (łącznie z nazwą pliku), a pliki pozostają oddzielne, co jest korzystne również dla kopii zapasowych. Co oferuje Sophos? Dla mniejszych firm, naszym zdaniem, nie ma jeszcze idealnego rozwiązania – chyba że ktoś zdecyduje się uruchomić serwer Windows z bazą danych i integracją z AD, wówczas Sophos SafeGuard może być dobrym wyborem. Niezależnie od wybranego produktu, skuteczne szyfrowanie opiera się na silnym haśle – i nie należy używać tego samego hasła wszędzie.

RODO wprost wskazuje szyfrowanie jako odpowiednią metodę ochrony danych na wypadek naruszenia (art. 34).

  • Przeszkol użytkowników. → Mechanizmy ochronne powinny istnieć, ale najlepiej, aby nigdy nie musiały zostać wykorzystane – podobnie jak kopie zapasowe. Niestety, niektórzy użytkownicy nie zdają sobie z tego sprawy, klikają każdy link i reagują na wiadomości phishingowe w sposób, który poważnie zagraża bezpieczeństwu IT. Z pomocą przychodzą narzędzia takie jak Sophos Phish Threat, dzięki którym można przygotować kampanie phishingowe, przetestować użytkowników i następnie ich przeszkolić. Celem jest zwiększenie świadomości, że wiadomość e‑mail nie zawsze jest autentyczna, nawet jeśli wygląda na perfekcyjnie przygotowaną.
  • Zabezpiecz urządzenia mobilne. → Firmowa poczta elektroniczna, kontakty i kalendarze bardzo często znajdują się na urządzeniach mobilnych. Coraz częściej również dane firmowe są „noszone przy sobie”. Laptopy, smartfony i tablety powinny być zatem odpowiednio zabezpieczone, objęte spójną polityką oraz – w razie potrzeby – możliwe do zdalnego wyczyszczenia. W tym pomaga Sophos Central Mobile.
  • Zabezpiecz sieci. → Jeśli co najmniej połowa powyższych punktów jest już spełniona, można zająć się bezpieczeństwem sieci. Prawidłowo skonfigurowany firewall może zrobić ogromną różnicę i zapewnić bezpieczeństwo również sieciom bezprzewodowym. Warto przyjrzeć się Sophos XG Firewall.
  • Szyfruj pocztę elektroniczną. → O szyfrowaniu e‑maili mówi się od lat, ale poza niektórymi branżami rozwiązanie to nadal jest rzadko stosowane, głównie ze względu na niewygodę. Sophos ma w tym obszarze kilka rozwiązań, ale – mówiąc szczerze – nie uważamy ich jeszcze za w pełni dojrzałe ani szczególnie dobrze dopasowane do realiów MŚP.

To, w dużym skrócie, najważniejsze punkty, które naszym zdaniem warto wdrożyć, aby nie znaleźć się w gronie pierwszych firm, które nieświadomie naruszą przepisy RODO. 😉

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.