Ztracená fleška za miliony? Proč je kvůli GDPR dobré zkontrolovat přenosné disky

ITBiz.cz , 15. květen 2018 06:30 7 komentářů
Ztracená fleška za miliony? Proč je kvůli GDPR dobré zkontrolovat přenosné disky

Citlivá data jsou v ohrožení zvláště na cestách. Zkušenosti z Velké Británie ukazují, že nástup GDPR by měl v tomto ohledu velmi zajímat například právníky a advokáty. Ochrana flash disků se ale od 25. května tohoto roku bude týkat mnoha dalších profesí.

V roce 2014 uveřejnil britský Úřad pro ochranu informací (Information Commissioner’s Office, ICO) jako regulátor pro ochranu dat v UK blog, v němž zdůrazňoval, jak důležité je, aby advokáti a právní zástupci měli citlivé osobní údaje patřičně zabezpečené v návaznosti na četné případy úniků dat v oblasti právnických profesí. Úřad výslovně doporučil ukládání dat na zašifrovaná úložiště: „Kdekoli to je možné, ukládejte osobní údaje na šifrované USB disky nebo jiná přenosná zařízení. Jsou-li informace řádně zašifrované, nebude prakticky možné se k nim dostat, i kdyby došlo ke ztrátě zařízení nebo bylo ukradeno.“

V letech 2015 až 2016 se z celkového počtu 2029 případů úniků dat, k nimž došlo v UK a byly úřadu ICO nahlášeny, týkalo celkem 77 (čili 4%) právních zástupců, přičemž u 10 z nich tomu bylo z důvodu ztráty nebo krádeže zařízení pro ukládání dat, která šifrování neměla. Je tak pochopitelný úsudek ICO, že se právníci ještě nenaučili vnímat závažnost šifrování.

Záznamy o únicích dat v právnických profesích nám naznačují, že někteří z právních zástupců nové technologie stále nepoužívají – 20 případů úniků dat v letech 2015-16 se týkalo ztráty nebo krádeže listinných dokumentů a dokonce v některých případech byly dokumenty zaslány faxem na nesprávné číslo. Některé menší firmy mohou mít partnery, kteří nepoužívají vyspělé technologie jako ony, a neuvědomují si tak, jak se obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, čili GDPR) bude týkat jich (a jaké změny bude potřeba provést u jejich zaměstnanců, kteří používají notebooky, chytré telefony a přenosné USB disky). Když nebudete vědět, jakým způsobem váš tajemník, osobní asistentka nebo jiný podřízený s daty zachází, nemáte šanci rizika minimalizovat.

USB flashdisky a GDPR

Nové nařízení GDPR vejde v účinnost zanedlouho – dne 25. května 2018 – a zavede pro všechny společnosti a další organizace, které nakládají s osobními údaji, mnohem přísnější předpisy ohledně soukromých informací a jejich zabezpečení. Úřad ICO (u nás UOOU, Úřad pro ochranu osobních údajů) bude mít mnohem větší pravomoci, aby mohl chránit zájmy spotřebitelů a udělovat vyšší pokuty – až 17 milionů liber nebo až 4 procenta celosvětového obratu dané firmy v případě velmi závažných porušení. Když firmy nebudou nařízení respektovat, lze mezi důsledky kromě pokut zahrnout i vážnou ztrátu důvěry ve značku nebo dobrou pověst, pokles prodejů, náklady na odškodnění a kompenzace represivních škod.

V souvislosti s tím britský Úřad pro ochranu informací najme více vyšetřovatelů a auditorů. V nově nastaveném prostředí nebude od května stačit, že firma bude školit zaměstnance a instalovat firewally a antivirové programy. Nařízení GDPR bude vyžadovat prokázání, že veškeré bezpečnostní zásady jsou dodržovány, že školení probíhají průběžně a že pro zachování bezpečnosti osobních údajů byla implementována technická a organizační opatření. Podobná opatření plánuje i UOOU.

Zavedení nové legislativy na ochranu dat znamená, že se celé související prostředí mění: subjektu, jehož se citlivá data týkají, se dostává větší vážnosti a požadavky na společnosti a veřejné instituce (včetně právnických firem) týkající se ochrany osobních údajů budou vyžadovat překonávání větších zátěží a také budou nákladnější, přičemž firmy, které nové standardy a očekávání nesplní, budou čelit mnohem těžším následkům.

Marcin Gaczor ze společnosti Kingston dodává: “Je až zarážející, jak málo si firmy připouštějí problém, který spočívá v nechráněných flash discích. V západní Evropě je přitom v této oblasti uvědomělost firem úplně na jiné úrovni. Pořízení hardwarově kryptovaných flash disků je přitom ta nejjednodušší věc, kterou může firma udělat pro ochranu dat mimo kancelář. Týká se to samozřejmě i živnostníků, advokátů, lékařů či menších společností. Výhoda hardwarově šifrovaných flash disků je jednoznačná, nikdy nezapomenete data zašifrovat, automaticky se o to stará čip přímo uvnitř flashky.”

Je to přece lidské

Člověk by si mohl říci, že když na ulici najde USB disk, je v lidské přirozenosti prohlédnout si, co na něm je uloženo. Na chodníku hned vedle policejní stanice ve Stalybridge někdo v roce 2010 našel USB disk, který byl zřetelně označen jako majetek policejních složek policie Velkého Manchesteru. Bylo možné jej snadno vrátit majiteli, stačilo pár kroků. Nálezce se však namísto toho rozhodl, že se podívá, co obsahuje – a protože data nebyla šifrována, mohl je následně poskytnout deníku Daily Star. Jiný USB disk nalezený na ulici patřil letišti Heathrow. Proslavil se v BBC News a dostal se na titulní stránky některých novin poté, co jeho nálezce prozkoumal jeho nešifrovaný obsah a následně jej předal médiím. Oba tyto incidenty dělilo 7 let, nicméně se nikdo o základních věcech nepoučil. USB disky musí vždy být šifrované.

Zavedením bezpečnostních zásad a školením zaměstnanců se nicméně nezabrání tomu, aby nedocházelo se ztrátám a krádežím zařízení, na nichž jsou data uložena. To lze například doložit tím, že v čistírnách oděvů v UK se každý rok najde asi 22.000 USB disků. Prostá náhoda a nedbalost lidí, kteří zapomenou USB disk v kapse, se může změnit ve skutečný problém, pokud data nejsou chráněna. Právnické firmy budou muset zajistit, aby veškerá data, která se budou kopírovat, a USB disky, DVD a další přenosná média pro ukládání dat, byla automaticky šifrována a aby použití zařízení, jež automatické šifrování neumožňují, bylo odepřeno. Školení stávajících zaměstnanců, jakož i nově příchozích, by mělo obsahovat i zaměření školení k používání šifrovaných úložišť pro jakákoli osobní data.

Jak připravena je vaše firma?

Právníci specializovaní na oblast obchodního práva by měli být schopni vysvětlit, co přesně nová legislativa říká, a poskytnout svým klientům rady a vodítka ohledně opatření, jejichž přijetí se jich může týkat, například aktualizaci interních směrnic pro ochranu soukromí a dohled nad tím, zda i dodavatelé s přístupem k osobním údajům předpisy GDPR splňují.

Nicméně titíž právníci jsou na praktické změny, které oni sami mají provést, často mnohem méně připraveni. Přestože během nedávných let došlo k mnoha případům úniků dat v právnické oblasti, úřad ICO i nadále každé čtvrtletí řeší incidenty, kdy právníci ztratili úložiště s nezašifrovanými daty.

Jednoduchá opatření pro snížení rizik

Nevětšími faktory, jež stojí za úniky dat, jsou chyby jednotlivých lidí a náhody (a stejně tak ale i hackeři a selhání technologií). Firmy nemohou zajistit, že lidé nebudou nikdy chybovat a že úplně přestanou vloupání do domácností (mimochodem, když byl při vloupání ukraden nezašifrovaný disk z domu policejního důstojníka, policie Velkého Manchesteru dostala pokutu 150.000 liber).

1. Opatření – Vynucené šifrování

Použijete-li šifrované disky od společnosti Kingston Technology, můžete najednou splnit hned několik požadavků nařízení GDPR, pokud vaše firma požaduje, aby všichni zaměstnanci používali šifrovaná úložiště dat, a pokud v tomto ohledu své zaměstnance školí. Šifrování produktů Kingston probíhá na hardwarovém základě, což znamená, že šifrované USB disky lze použít ihned po vybalení – bez nutnosti dalšího nastavení nebo konfigurace.

Podle nařízení GDPR budou firmy muset prokázat, že přijaly adekvátní „technická a organizační opatření“ pro zabezpečení údajů. Zavedou-li zásadu, že budou povinně používány šifrované disky Kingston a že na noteboocích a počítačích bude zavedeno omezení použití USB portů (tak, aby bylo možné používat pouze schválené – šifrované – disky), budou nejen chráněny před úniky dat, ale současně budou moci prokázat, že splňují požadavky dané v nařízení GDPR.

Šifrování nechrání jen data před jejich zneužitím, ale rovněž chrání firmy před ztrátou dobré pověsti a hodnoty značky. I když bude zařízení ztraceno nebo ukradeno, není možné se k datům dostat, pročež nemohou uniknout – a vy tak nebudete v titulcích novin, které vás mohly zničit.

2. Opatření – Řešení formou řízení přístupu

Společnost Kingston nabízí USB disky, které umožňují uplatnění řídicího softwaru, takže diskům lze přiřadit názvy a pak je lokalizovat na úrovni řídicí konzole – podobně jako je tomu u funkce „Najdi můj iPhone“. Zařízení, které ztratíte v kanceláři, představuje menší riziko, než zařízení, které zapomenete ve vlaku.

Velká britská pojišťovna Royal Sun Alliance (RSA) dostala v roce 2017 pokutu 150.000 liber za ztrátu přenosného úložiště dat ze zabezpečené místnosti v pobočce RSA v Horshamu, kam byl vstup zakázán. Disk z prostorů společnosti zcizil buď její zaměstnanec, nebo někdo z dodavatelských firem, uložená data nebyla šifrována a zařízení se nikdy nenašlo. Při udělení pokuty, kterému média věnovala velkou pozornost, úřad ICO zdůraznil skutečnost, že data nebyla šifrovaná. Podobné pokuty může udělit i UOOU, pokud dojde k podobnému narušení dat.

Funkce mazání nebo znehodnocení disku na dálku

K dispozici jsou i další funkce v rámci správy disků, které mohou ještě více snížit riziko poškození dobré pověsti firmy.

Když bude nahlášeno, že byl USB disk ztracen nebo ukraden, lze jej na dálku důkladně smazat („wipe“) prostřednictvím konzole správce nebo webové aplikace. To znamená, že veškerá šifrovaná data uložená na zařízení budou odstraněna, jakmile dojde k pokusu ztracený nebo ukradený USB disk použít na počítači nebo notebooku připojeném k internetu. Podobnou funkcí je zničení („kill“), po jejíž aktivaci již nebude zařízení možné použít vůbec.

Takže i když dojde k nejhoršímu, mohou dálkově řízené funkce úplného vymazání a zničení poskytnout další stupeň zabezpečení v úsilí zabránit potenciální katastrofě.

Oznamování úniků dat

Předpis GDPR vyžaduje, aby veškeré úniky dat (například ztracená nebo zcizená úložiště dat) byla UOOU nahlášena do 72 hodin od chvíle, kdy se správce dat o ztrátě nebo krádeži dozví – a také, že všechny subjekty, jichž se data týkají, musí být informovány o tom, že k úniku jejich údajů došlo a jaká byla podniknuta opaření. Pokud však byly údaje zašifrovány a nedošlo k úniku či prolomení šifrovacího klíče, nemůže se k uniklým datům dostat nikdo nepověřený. K vlastnímu úniku osobních údajů tedy nedošlo a v téměř všech případech nebude nutné o incidentu informovat subjekty, jichž se citlivá data týkají.

Závěr

Vzhledem k tomu, že obecné nařízení o ochraně osobních údajů GDPR právnickým firmám přidělá spoustu práce, mají-li dodržet jeho požadavky, které budou platit od května roku 2018, naplní použití šifrovaných USB disků – zvláště je-li jejich součástí řešení vzdálené správy společnosti Kingston Technology – hlavní požadavky GDPR a zásadním způsobem sníží riziko úniků dat a následných pokut nebo poškození dobré pověsti. Už samo použití těchto řešení je důkazem, že firmy požadovaná opatření splnily.

Ztratit malé přenosné zařízení je prostě lidské. Ztráty a krádeže USB disků nelze nikdy absolutně vyloučit. I případy ztracených USB disků u policejní stanice ve Stalybridge a na letišti v Heathrow by bývaly mohly být nicotné a nikdo by se jimi nemusel hlouběji zabývat – stačilo jen, aby byly zašifrované.


Komentáře

argus #0
argus 15. květen 2018 09:03

naplní použití šifrovaných USB disků – zvláště je-li jejich součástí řešení vzdálené správy společnosti Kingston Technology – hlavní požadavky GDPR...

Krásná reklama. :-)

Peter #1
Peter 15. květen 2018 19:14

Ale lepší je ten popis funkcionality znehodnotenia externého pam. média na diaľku. To si akože nálezca bude inštalovať z internetu nejaké exe aby mu to zlikvidovalo nájdený disk? Meh ...

Jiří Olšanský #2
Jiří Olšanský 17. květen 2018 15:14

Nikoliv, vše je právě uvnitř flash paměti. Nic si neinstaluje. Pokud je paměť nastavená ne vyšší zabezpečení, pak se bude chtít připojit ke svému serveru. Pokud to spojení nedostane, tak nenechá uživatele ani zkusit zadat heslo. Pokud se připojí, ze serveru se dozví, že je ztracená a místo kolonky pro zadání hesla ukáže custom zprávu. Tu si můžete nastavit jakou chcete, jako například odevzdejte paměť tam a tam, odměna za navrácení, atd.

Metelka #3
Metelka 18. květen 2018 12:13

Sama se připojí přez svůj vnitřní modem? Spíš bude spouštět nějakou binárku která pojede/nepojede podle systému a ta se pak někam přípojí/nepřipojí podle firewalu zabezpečení atd. Takže mám paměť použitelnou jenom někde a jenom online. To už můžu rovnou mít v kapse klíč a data na serveru, je to náročnější na přenosy, ale jinak samé výhody. V rámci firmy je pak nejlepší celou flaškovou kulturu poslat k disketám kam patří.

Peter #4
Peter 19. květen 2018 08:13

A navyše mi ten humoristický produkt silno pripomína tie všetky akože kryptované pam.médiá ktoré boli prístupné cez univerzálne heslo.

Tento typ bezpečnostného sebaklamu by mali zákonom zakázať, ale to by polucajti nemohli kontrolovať ovčanov bez zvolenia prokurvátora.

Petr #6
Petr 21. květen 2018 12:55

Také si myslím, že šifrování by mohlo patřit až na vyšší úroveň, tedy na disku by byl třeba i čitelný souborový systém ale v souborech by pro normálního uživatele (bez dešifrování) byl binární šrot. Nic ale nebrání tomu zašifrovat i samotný souborový systém. Myslím že řešení, při kterém dešifrování probíhá uvnitř flešky si říká o prolomení daleko více, než když se o dešifrování stará software v PC.
Zajímalo by mě i vnitřní uspořádání. Běžně bývají flešky uspořádané tak, že tam je řadič a jeden nebo několik paměťových čipů. Pokud by tomu tak bylo, bude pravděpodobně řadič tím, kdo přístup blokuje a rozumný hacker tedy půjde přímo k jádru věci a tedy vyčte si data z paměťového čipu, která potom podrobí nějaké analýze. Pokud jsou šifrovaná tak asi nic nedostane, protože i při použití všeho výpočetního výkonu světa jsou údajně dnešní šifry neprolomitelné (budeme tedy ve stejné situaci, jako když by de/šifrování probíhalo vně). Ale co když najde způsob, jak se dostat ke klíči. No a pokud probíhá dešifrování ve flešce, tak tam někde jistě bude. Ovšem pokud je vše v jednom čipu, budou naděje hackera daleko menší, pokud ten čip nebude mít nějaké back-doors (nebo debug) features.

Martin Tolley #5
Martin Tolley 19. květen 2018 08:32

Thank you for your sharing. Thanks to this article I can learn more things. Expand your knowledge and abilities. Actually the article is very practical http://gmailloginhelp.wordpress.com/

RSS 

Komentujeme

Pravidlo dvou pizz

Petr Zavoral , 22. květen 2018 00:00
Petr Zavoral

Úvodem pozdrav všem nerdům a geekům. Prostě celé naší IT komunitě. Zdá se to být zbytečné, ale věřte...

Více







RSS 

Zprávičky

ČBA: Češi si nemění hesla a nepoužívají antiviry na mobilech

Pavel Houser , 23. květen 2018 11:00

Zabezpečení chytrého telefonu skončilo mezi třemi nejhoršími faktory zkoumanými v rámci Indexu bezpe...

Více 0 komentářů

IT a podnikové služby patří v ČR k nejatraktivnějším oborům

Pavel Houser , 23. květen 2018 10:00

Podnikové služby překonaly např. bankovní sektor, telekomunikace či automobilový průmysl....

Více 0 komentářů

USA a Čína se blíží k dohodě ohledně ZTE

ČTK , 23. květen 2018 09:00

Dohoda Číny a USA snížila obavy z obchodní války mezi dvěma největšími ekonomikami světa....

Více 0 komentářů

Starší zprávičky

Technologická "Nobelova cena" za procesory

ČTK , 23. květen 2018 08:00

Finský vědec Suntola oceněn za depozici atomárních vrstev (ALD), která se používá při výrobě velmi t...

Více 0 komentářů

V Amazonu prý manažeři vyhoří, navíc je o ně zájem jinde

ČTK , 22. květen 2018 10:00

Amazon přišel o dalšího klíčového muže. Firmu opustil Jim Freeman, který stál za virtuální asistentk...

Více 0 komentářů

Výrobce Nokií získává 100 milionů dolarů pro financování dalšího růstu

Pavel Houser , 22. květen 2018 09:00

Současná tržní hodnota firmy HMD Global, který stojí za telefony Nokia, přesahuje miliardu dolarů....

Více 0 komentářů

Fujifilm hodlá žalovat Xerox kvůli odstoupení od dohody o spojení

ČTK , 22. květen 2018 08:00

Japonská společnost Fujifilm Holdings plánuje zažalovat amerického výrobce kopírek a tiskáren Xerox ...

Více 0 komentářů