Report: DNS s výrobci ukázala, jak vyzrát na GDPR

19. ročník konference IT Infrastructure & Security, kterou pořádá distributor s přidanou hodnotou, společnost DNS, se zaměřila na konkrétní řešení, která pomohou se v adekvátním čase připravit na obecné nařízení o ochraně osobních údajů.

Report: DNS s výrobci ukázala, jak vyzrát na GDPR



Petr Kuliš, výkonný ředitel DNS

Účastníky z řad koncových zákazníků i partnerských společností přivítal v sále Empiria konferenčního centra City v Praze výkonný ředitel společnosti DNS Petr Kuliš.

V úvodním slově shrnul roli value added distributora a rozsah pomoci, kterou může svými znalostmi a kapacitami poskytnout při dodávkách technologií z oblasti bezpečnosti a infrastruktury, ale i konzultacích v souvislosti s organizačními a technickými opatřeními, které vyžaduje GDPR.

Po úvodní prezentaci, ve které Jan Mazal, šéfredaktor ChannelWorldu jako mediálního partnera konference překlopil vnímaný „problém s GDPR“ na problém s „bezprizorními daty“, vystoupil Miloslav LujkaCheckpoint Software Technologies. Upozornil, že ačkoliv je GDPR buzzword, má svůj reálný důvod – ochranu dat. A v té je z pohledu bezpečnosti potřeba rozlišovat mezi „děláním věcí správně“ a „děláním správných věcí“. Cílem GDPR je pak samozřejmě mít pořádek a přehled v tom, že dodržujete nařízení.

Připustil, že žádný IT výrobce neumí vyřešit komplet problematiku GDPR ve vaší firmě, ale měl by vysvětlit, kde je konkrétně jeho místo. CheckPoint může pomoci se zajistit proti úniku dat (DLP), s klasifikací a šifrováním dat (Capsule Docs), s prevencí před jejich zcizením a před neznámými hrozbami (Sandblast) a pak samozřejmě se zabezpečením koncových bodů.

Když budete bezpečnost řešit jednotlivými řešeními, budete je muset složitě integrovat, uvedl Lujka. Proto doporučuje mít jednu správu a monitoring, a řešit tak alespoň bezpečnost z jednoho místa.

 Miloslav Lujka z Checkpoint Software TechnologiesCelý bezpečnostní koncept z pohledu technického řešení pak přednesl Petr Kadrmas v odpoledním bloku.

Miloslav Lujka také vzpomenul poslední vlny ransomwaru WannaCry a Petya a úniky dat ze seznamky Ashley Meddison, Dropboxu, České spořitelny či T-Mobilu. Útoky jsou reálné a poslední měsíce ukazují, že se nevyhýbají ani České republice.

Doplnil také, že ochrana není jen o GDPR, ale legislativně do již „zasahuje“ také zákon o kybernetické bezpečnosti, zákon o ochraně osobních údajů, nebo směrnice NIS.

O čem je GDPR konkrétně? Miloslav Lujka vypočítává, že je o tom, aby osobní (a citlivé) údaje byly chráněné (např. pseudonymizované), je o transparentnosti a souhlasu subjektu o nakládání s jeho daty, o posílení práv subjektů, o technických a procesních požadavcích na ochranu dat (technické, procesní…) a o povinnosti hlásit významnější úniky dat do 72 hodin.

Projekt GDPR může mít podle CheckPointu dvě základní fáze:

  1. Analýza stavu, souladu a nedostatků (inventura dat – jaká data zpracováváte, kde jsou uložena a co s nimi děláte; procesní analýza – podle jakých pravidel je zpracováváte; obchodní analýza – jaké jsou obchodní důvody pro zpracování, komu slouží, s jakým účelem a jaká jsou rizika)
  2. Implementační fáze: procesní a smluvní opatření (zrušit sběr/zpracování, získat souhlasy, nastavit procesy a směrnice, upravit smlouvy) a technická a organizační opatření (šifrování a pseudonymizace, zálohování, školení, analýzy rizik, testy, nastavení DLP, řízení přístupu a monitoringu a detekce incidentů).

 

Zdeněk Jiříček z pozice Microsoftu ukázal, jak může zpracovatel osobních údajů pomoci správci s dosažením souladu s požadavky GDPR. „Máme cloud a (procesní a analytické) nástroje, které dáváme do rukou konzultantů, aby dokázali zajistit své zákazníky,“ uvedl Jiříček.

Zdeněk Jiříček, MicrosoftS čím může Microsoft pomoci, ukázal na konkrétních článcích nového nařízení: např. s některými funkcemi spojenými přímo s výkonem práv subjektů (nalezení údajů, přístup, omezení, výmaz, přenositelnost), reflektovat smluvní požadavky zpracovatele a vést záznamy o činnostech zpracování, zavést pseudonymizaci a šifrování nebo pomoci při šetření a ohlašování incidentů.

Společnost od 1. 9. zavedla nové podmínky poskytování služeb. Ty mají standardně přílohu, která explicitně cituje všechny části z článků 28, 32 (průmyslové certifikace, standardy a auditní zprávy) nebo 33 týkajících se ohlašování. Klienti jsou tedy smluvně zajištění, aby poskytnutý audit „přežil“ kontrolu dozorového úřadu, dodává Zdeněk Jiříček.

Stihnete to za půl roku?

Jestli je reálné dosáhnout shody s GDPR během šesti měsíců rozebral Tomáš Veselý ze společnosti M-Com. Celý projekt rozdělil na tři fáze.

Nejprve je nutné udělat analýzu dopadů, která zahrnuje audit řízení IT, datovou inventuru a audit fyzického a technického zabezpečení (jen ten zabere až tři týdny). Výstupem vám budou podklady pro analýzu rizik.

Poté navazuje fáze přípravy technických opatření (návrh všech projektů pro IT i fyzickou bezpečnost) na 1-4 týdny, organizačních opatření (souhlasy a nakládáním osobních údajů, nastavení archivačního a skartačního řádu, vnitřní předpis nakládání s výpočetní technikou) na 2-4 týdny a smluvních opatření (kontrola externích služeb a udělovaných souhlasů subjektů údajů) na 1-2 týdny.

Tomáš Veselý ze společnosti M-ComVe třetí, realizační fázi by mělo dojít ke schválení projektů, realizaci technických a organizačních opatření a školení lidi, aby věděli, jak se mají podle nařízení chovat – tohle trvá v řádu měsíců.

Na základě poznatků z předchozích auditů Tomáš Veselý uvedl, že v organizacích často neexistují pravidla pro práci s výpočetní technikou, zaměstnanci nejsou školení v oblasti bezpeční práce s IT a není definovaný životní cyklus zaměstnanců

Dodal, že je sice možné zajistit shodu za 4-6 měsíců, avšak řízení IT musí být na dobré úrovni, musí mít vnitřní procesy zohledňující zákon č. 101 a znát všechny aplikace, dokumenty a procesy…

Uzavřel to tím, že do května 2018 musíte mít realizována všechna opatření, ale je důležité znát všechna data, která máte, a nastartovat všechny procesy.

Sedm hříchů GDPR

Daniel Přívratský konzultant z NGSS.cz shrnul hlavní prohřešky související s novým nařízením o ochraně osobních údajů. Ze zkušenosti NGSS 100% jejich klientů se mýlí v představě o rozsahu prováděného zpracování osobních údajů, 70 % klientů s implementovanými opatření pro zákon č. 101 ho řešilo stylem „Potěmkinových vesnic“ a 70 % klientů nebude k datu účinnosti GDPR schopno doložit shodu s požadavky.

Daniel Přívratský konzultant z NGSS.czNejčastější problém, se kterým se organizace potýkají, je identifikace toho, co je vlastně osobní údaj. Organice často nerozumí základním termínům. Sice vycházejí ze zákona č. 101, ale ani v tom neměla řada lidí jasno, dodává Přívratský. Například v identifikaci odpovědnosti – kdo je správce a co to znamená.

Druhý hřích vychází z „principu složeného klíče“ – pokud se dokážete ze spojení různých údajů dostat ke konkrétní osobě, lze je považovat za osobní údaj (například evidence jízd jednotlivých vozidel a tabulka výpůjček vozidel jednotlivými zaměstnanci). Dejte si pozor, i která technická data mohou být osobními údaji.

Třetím hříchem je přehazování odpovědnosti na někoho jiného (manažer IT bezpečnosti či vyšší management apod.) Přitom správné určení odpovědnosti je klíčové pro úspěch projektu i následní řízení shody, upozorňuje Přívratský.

Čtvrtým hříchem je vyčkávání na pokyny z ministerstva, doporučení ÚOOÚ, národní legislativu, zlevnění služeb dodavatelů… Pročekali jsme rok a půl a ničeho jsme se nedočkali, situace se spíš horší, varuje Přívratský s tím, že je nejvyšší čas začít s analýzami prostředí.

Pátý hřích souvisí se souhlasy se zpracováním údajů. Firmy spoléhaji na to, že souhlas byl nejlepší právní titul a pojistka pro zpracování. S GDPR se to však mění. Je třeba revidovat existující právní tituly pro jednotlivá zpracování a ořezat nadbytečné či nevhodné využívání.

DNS IT Infrastructure & Security 2017

Šestý hřích spočívá v opomíjení dokumentace a logování. Jenže podle GDPR platí presumpce viny správce dat – pokud nedokážete prokázat opak stížnosti subjektu, automaticky jste vinni.

Sedmý hřích je o spoléhání se na oprávnění zájem (typicky kopírování občanského průkazu). Pozor, zákon o občanských průkazech říká, že k jeho kopii/zpracování osobního údaje je nutný souhlas dané osoby, a ten je nutné doložit. Naplnění požadavků GDPR totiž předpokládá, že dodržujete i související právní předpisy.

Součástí celodenního programu bylo 22 prezentací a technických přednášek necelých dvou desítek společností. Z dalších, výše nejmenovaných, prezentovali také zástupci firem Dell EMC, Fortinet, Thales, ForcePoint, Commvault, Gemalto, IBM, Panda, T-Mobile, Ixperta, Mainstream Technologies a Sefira.

Setkání završilo losování tomboly a večerní neformální program, který obohatila standup comedy show Daniela Čecha a Karla Hynka.

Zdroj: ChannelWorld




Galerie





Úvodní foto: Channelworld

Komentáře