Jak se nezbláznit z GDPR radil Veracomp partnerům na semináři

Co v reálu zavedení GDPR znamená pro partnery a jejich zákazníky a jak se na přechod připravit, rozebíral seminář value added distributora, společnosti Veracomp.

Jak se nezbláznit z GDPR radil Veracomp partnerům na semináři



GDPR přináší dosud největší revoluci v ochraně osobních údajů pro celou EU. Zájem budí i astronomické pokuty, které hrozí za její porušování. Veracomp to vnímá ve spolupráci s partnery jako obrovskou příležitost, uvedl v úvodu semináře obchodní ředitel Lukáš Mirovský.

Lukáš Mirovský, VeracompProto VAD distributor ve spolupráci s advokátní kanceláří Novalia připravil seminář na téma GDPR v konferenčním centru GreenPoint v Praze.

„540 milionů korun, to je částka, kvůli které se vyplatí přijít na konferenci,“ zahájil svou prezentaci Jakub Císař Novalie s odkazem na maximální pokutu, která můžete být udělena za hrubé porušení nařízení GDPR.

Od 25. 5. 2018 nabývá platnosti Obecné nařízení o ochraně osobních údajů (GDPR), které navazuje, nebo doplňuje Zákon o ochraně osobních údajů. Základní koncept zůstává – jakýkoliv údaj, který můžete propojit s konkrétním člověkem, je považovaný za osobní. Správce pak udává, jaká data  daného subjektu ukládá a k jakému účelu a případně s daty nakládá dále zpracovatel (podle nařízení správce).

Pozitivními novinkami GDPR jsou podle Císaře ukončení povinnosti registrace u ÚOOÚ a rozšíření možnosti zpracování dat bez souhlasu subjektu, pokud je v to v oprávněném zájmu správce či třetí strany. Podmínkami jsou proporcionalita a šifrování, resp. pseudonymizace dat.

Mezi nové klíčové povinnosti GDPR pak patří zabezpečení dat, získání souhlasu od subjektu a omezení uložení dat a další.

Jakub Císař, NovaliaJakub Císař připomenul, že úroveň zabezpečení je nutné přizpůsobit riziku a citlivosti údajů. O úrovni rozhoduje sám správce, jako opatření může použít zmíněnou pseudonymizaci a šifrování. K prokázání souladu lze použít tzv. osvědčení, která budou vydávat certifikační autority. Ty jmenuje národní úřad a zatím neexistují. GDPR také očekává, že sami správci budou uvnitř svých odvětví vytvářet vlastní oborové kodexy chování. Ty zatím také neexistují.

Vzniká také právo na přenositelnost údajů. Kdokoliv sbírá a zpracovává údaje automaticky (což jsou v podstatě všichni), je povinný na vyzvání subjektu všechna jeho data poskytnout ve strukturované podobě. Může to být zajímavé např. při přenosu těchto dat mezi e-shopy, nebo z jedné sociální sítě do druhé.

Císař také dodal, že právo na výmaz je sice úplné, ale má určité technické výjimky, např. v oblasti archivace a zabezpečení dat.

Hlavní doporučení společnosti Novalia:

  1. Udělat přehled jaké údaje, kterých subjektů a jakým způsobem organizace zpracovává.
  2. Mírnit se ve zpracování údajů (co nejméně údajů, pouze u subjektů, u kterých je potřebuji a jen po dobu, kdy je to nutné) – tedy zavedení monitoringu a pravidelného čištění databáze.
  3. Důkladná ochrana údajů.

 

V dalším pásmu prezantací a přednášek vystoupili systémoví inženýři a architekti společnosti Veracomp. Alois Andrýsek upozornil, že chránit je potřeba také údaje, které umožňují nepřímou asociaci s danou osobou. Jde také o lokační údaje vč. IP adres, fyzické a fyziologické údaje.

Alois Andrýsek, VeracompVyšší úroveň zabezpečení vyžaduje speciální úprava pro citlivé údaje typu rasového, národnostního či etnického původu a politického vyznání. Za citlivé údaje se považují samozřejmě i informace o zdravotním stavu a genetické či biometrické údaje.

Koho se GDPR týká zejména? Odvětví bankovnictví, pojišťovnictví, retailového trhu a internetových obchodů, výroby a služeb, zdravotnictví nebo veřejné správy, pošty a právních kanceláří.

Poté Andrýsek ukázal diagram standardní firemní sítě a upozornil na falešnou představu: „máme skvělé bezpečnostní technologie, špičkový UTM firewall, SSL VPN certifikáty, jedno z nejlepších antispamových řešení, uživatelé nemají přístup do internetu, takže jsme připravení na GDPR“.

Veškerý zabezpečený perimetr však v době BYOD a externistů s vlastními zařízeními padá. Poté Andrýsek ukázal řadu incidentů, o kterých jste se mohli dočíst za poslední tři týdny i v českých médiích.

Problém po zavedení GDPR totiž nastane s možností vydírání. Pokud organizaci někdo odcizí osobní data, může po oběti chtít zaplatit za to, že je nezveřejní/neposkytne ÚOOÚ.

Alois Andrýsek zdůraznil potřebu udělat bezpečnostní audit, který mohou externě poskytovat i partneři, případně ve spolupráci s distributorem.

Analýza zabezpečení podle Veracompu vyžaduje:

  • Definovat, co je nutné zabezpečit, jak, proč a proti čemu.
  • Nastavit segmenty sítě a jejich zabezpečení.
  • Rozhodnout, zda půjde využít současnou platformu, nebo je nutné nasadit novou.
  • Definovat datové toky.
  • Zajistit spolupráci jednotlivých systémů mezi sebou – zajištění výkonu, stability, kompatibility při akceptovatelných nákladech.
  • Monitorovat a automaticky vyhodnocovat bezpečnostní incidenty.

V čem je hlavní problém? Doposud hrozil žádný nebo „směšný“ postih. Od května 2018 bude ale ze zákona nutné únik nahlásit a doložit (nejde zatloukat jako doposud). Navíc hrozí pokuta ve výši až 20 milionů eur nebo 4 % z celosvětového ročního obratu organizace.

Co je nutné vyřešit v rámci bezpečnosti podle Veracompu

  • Autorizace všech fyzických zařízení do sítě – ARP spoofing atd.
  • VPN – dvoufaktorová autentizace – nejen ověření hardwaru, ale i osob
  • Zabezpečení perimetru a DMZ v návaznosti na zbytek sítě.
  • Monitoring a bezpečnostní vyhodnocení veškerých datových toků uvnitř sítě.
  • Autorizace uživatelů a oprávněnosti datových toků v rámci segmentů vnitřní sítě.
  • Detekce nových zařízení v síti.
  • Kombinace různých typů detekce (přes signatury a behaviorálně).
  • Automatické audity zařízení v síti – zranitelnosti, SOX, PCI DDS compliance atd.
  • Průběžný monitoring a audit práce s osobními data (ochrana, monitoring a audit DB).
  • Ochrana serverů ve vnitřní síti (Linux, Windows).
  • Zajištění dostupnosti aktualizací a aplikace bezpečnostních záplat napříč platformami.
  • Kompletní zabezpečení, autorizace a audit koncových zařízení včetně BYOD.
  • Centrální logování a on-line vyhodnocování stavu sítě z pohledu bezpečnosti.
  • Bezpečná záloha a obnova dat.

Zdroj: Veracomp

Ondřej Večl pak podrobněji na příkladu standardní firemní sítě s několika pobočkami ukázal, jak je ohrozitelná z růstných vektorů – ať už od koncových zařízení připojených do LAN (i přes Wi-Fi), tak z internetu, resp. z napojení do veřejného cloudu nebo vlastního datacentra. Pak samozřejmě poradil, jak takovou síť chránit a auditovat v návaznosti na požadavky GDPR.

Ondřej Večl, VeracompStručně řečeno je nutné chránit prostupy mezi sítěmi i přístup do VPN. Dále je třeba auditovat konfiguraci a kvůli snadné správě mít přístup z jednoho místa, což nepůjde bez aplikační kontroly.

Po přestávce na kávu se Alois Andrýsek zaměřil na ochranu komunikace mezi jednotlivými segmenty sítě. Vycházel z potřeby síťové vizibility toků v síti, tedy nutnosti toky vizualizovat a hledat nestandardní chování hlavně za použití behaviorální analýzy.

Adam Postl poté přiblížil, jak to je se síťovým monitoringem, přičemž ukázal nepříliš známou technologii - network packet broker, který slouží k inteligentnímu přesměrovávání síťových toků k další analýze. NPB dokáže např. vybrat specifický datový provoz a redistribuovat jej na konkrétní detekční bezpečnostní nástroj.

Adam Postl, VeracompZ pohledu ochrany osobních informací jsou zajímavé hlavně funkce packet slicing, která dokáže „seříznout“ část paketu tak, aby šel na analýzu bez samotného obsahu citlivých informací, a masking, který umí zamaskovat důvěrné informace v paketu, jenž je nutné poskytnout k analýze v plném rozsahu.

Radek Langkramer se na problematiku GDPR podíval optikou open-source řešení. Upozornil, že podle analýzy agentury Coverity je open-source bezpečnější než uzavřený SW. Uvedl, že certifikovaný open-source používá ve svých datacentrech také NBÚ.

Zdeněk Tlustý si připravil přednášku o nutnosti autentizace a autorizace přístupu do sítě a ukázal, jak lze uživatele identifikovat v síti i jinými způsoby než přihlášením do Active Directory, zejména při použití zařízení s jinými OS než Windows.

Po obědě si Jan Šveňha ve své prezentaci dal za úkol přesvědčit účastníky, že při budování bezpečnosti je potřeba začít do koncových bodů (PC, serverů, telefonů, tabletů), ne od sítě. Koncové zařízení je totiž jediné místo, kde můžete zajistit, že kontrolou projdou všechny soubory, které se po síti pohybují, vysvětil Šveňha.

Jan Šveňha, VeracompZdůraznil, že GDPR nařizuje zajistit údaje tak, aby nedošlo k náhodné ztrátě, zničení či poškození. To je problém, pokud jsou data uložena na PC, mobilech a smartphonech. Zásadní je vždy zálohování. Šveňha také uvedl, že pro ochranu před neoprávněným či protiprávním zpracováním je potřeba ošetřit jak lidský faktor (DLP, šifrování, device control, MDM), tak hrozby z venku (antimalware, IPS, atd.)

Jan Ryneš vystoupil s prezentací „nestačí jen věřit, někde je potřeba i zkontrolovat a doložit“. Ukázal, jak logovat aktivity lidí včetně samotného správce. Jen tak lze monitorovat, zda jsou dodržována nastavená pravidla, zda je někdo obchází nevědomě nebo záměrně a reagovat na to.

Jak udržet logy na jednom místě a jak se v nich vyznat ukázal Adrián Kocián, který představil řešení pro log management a SIEM. Nasazení systému je jen první krok bezpečnosti, když máte jednu databázi logů, můžete lépe korelovat události a získat lepší přehled o anomáliích a incidentech, vysvětlil Kocián. Z pohledu GDPR jde však také o ochranu, jak zajistit logy pro případy nutnosti prokázat nějaký incident. Útočník se totiž vždy bude snažit po průniku zahladit stopy.

Veracomp - jak na GDPR

Zdroj: ChannelWorld









Úvodní foto: ChannelWorld

Komentáře