Ztracená fleška za miliony? Proč je kvůli GDPR dobré zkontrolovat přenosné disky

Citlivá data jsou v ohrožení zvláště na cestách. Zkušenosti z Velké Británie ukazují, že nástup GDPR by měl v tomto ohledu velmi zajímat například právníky a advokáty. Ochrana flash disků se ale od 25. května tohoto roku bude týkat mnoha dalších profesí.
V roce 2014 uveřejnil britský Úřad pro ochranu informací (Information Commissioner’s Office, ICO) jako regulátor pro ochranu dat v UK blog, v němž zdůrazňoval, jak důležité je, aby advokáti a právní zástupci měli citlivé osobní údaje patřičně zabezpečené v návaznosti na četné případy úniků dat v oblasti právnických profesí. Úřad výslovně doporučil ukládání dat na zašifrovaná úložiště: „Kdekoli to je možné, ukládejte osobní údaje na šifrované USB disky nebo jiná přenosná zařízení. Jsou-li informace řádně zašifrované, nebude prakticky možné se k nim dostat, i kdyby došlo ke ztrátě zařízení nebo bylo ukradeno.“

V letech 2015 až 2016 se z celkového počtu 2029 případů úniků dat, k nimž došlo v UK a byly úřadu ICO nahlášeny, týkalo celkem 77 (čili 4%) právních zástupců, přičemž u 10 z nich tomu bylo z důvodu ztráty nebo krádeže zařízení pro ukládání dat, která šifrování neměla. Je tak pochopitelný úsudek ICO, že se právníci ještě nenaučili vnímat závažnost šifrování.

Záznamy o únicích dat v právnických profesích nám naznačují, že někteří z právních zástupců nové technologie stále nepoužívají – 20 případů úniků dat v letech 2015-16 se týkalo ztráty nebo krádeže listinných dokumentů a dokonce v některých případech byly dokumenty zaslány faxem na nesprávné číslo. Některé menší firmy mohou mít partnery, kteří nepoužívají vyspělé technologie jako ony, a neuvědomují si tak, jak se obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, čili GDPR) bude týkat jich (a jaké změny bude potřeba provést u jejich zaměstnanců, kteří používají notebooky, chytré telefony a přenosné USB disky). Když nebudete vědět, jakým způsobem váš tajemník, osobní asistentka nebo jiný podřízený s daty zachází, nemáte šanci rizika minimalizovat.

USB flashdisky a GDPR

Nové nařízení GDPR vejde v účinnost zanedlouho – dne 25. května 2018 – a zavede pro všechny společnosti a další organizace, které nakládají s osobními údaji, mnohem přísnější předpisy ohledně soukromých informací a jejich zabezpečení. Úřad ICO (u nás UOOU, Úřad pro ochranu osobních údajů) bude mít mnohem větší pravomoci, aby mohl chránit zájmy spotřebitelů a udělovat vyšší pokuty – až 17 milionů liber nebo až 4 procenta celosvětového obratu dané firmy v případě velmi závažných porušení. Když firmy nebudou nařízení respektovat, lze mezi důsledky kromě pokut zahrnout i vážnou ztrátu důvěry ve značku nebo dobrou pověst, pokles prodejů, náklady na odškodnění a kompenzace represivních škod.

V souvislosti s tím britský Úřad pro ochranu informací najme více vyšetřovatelů a auditorů. V nově nastaveném prostředí nebude od května stačit, že firma bude školit zaměstnance a instalovat firewally a antivirové programy. Nařízení GDPR bude vyžadovat prokázání, že veškeré bezpečnostní zásady jsou dodržovány, že školení probíhají průběžně a že pro zachování bezpečnosti osobních údajů byla implementována technická a organizační opatření. Podobná opatření plánuje i UOOU.

Zavedení nové legislativy na ochranu dat znamená, že se celé související prostředí mění: subjektu, jehož se citlivá data týkají, se dostává větší vážnosti a požadavky na společnosti a veřejné instituce (včetně právnických firem) týkající se ochrany osobních údajů budou vyžadovat překonávání větších zátěží a také budou nákladnější, přičemž firmy, které nové standardy a očekávání nesplní, budou čelit mnohem těžším následkům.

Marcin Gaczor ze společnosti Kingston dodává: “Je až zarážející, jak málo si firmy připouštějí problém, který spočívá v nechráněných flash discích. V západní Evropě je přitom v této oblasti uvědomělost firem úplně na jiné úrovni. Pořízení hardwarově kryptovaných flash disků je přitom ta nejjednodušší věc, kterou může firma udělat pro ochranu dat mimo kancelář. Týká se to samozřejmě i živnostníků, advokátů, lékařů či menších společností. Výhoda hardwarově šifrovaných flash disků je jednoznačná, nikdy nezapomenete data zašifrovat, automaticky se o to stará čip přímo uvnitř flashky.”

Je to přece lidské

Člověk by si mohl říci, že když na ulici najde USB disk, je v lidské přirozenosti prohlédnout si, co na něm je uloženo. Na chodníku hned vedle policejní stanice ve Stalybridge někdo v roce 2010 našel USB disk, který byl zřetelně označen jako majetek policejních složek policie Velkého Manchesteru. Bylo možné jej snadno vrátit majiteli, stačilo pár kroků. Nálezce se však namísto toho rozhodl, že se podívá, co obsahuje – a protože data nebyla šifrována, mohl je následně poskytnout deníku Daily Star. Jiný USB disk nalezený na ulici patřil letišti Heathrow. Proslavil se v BBC News a dostal se na titulní stránky některých novin poté, co jeho nálezce prozkoumal jeho nešifrovaný obsah a následně jej předal médiím. Oba tyto incidenty dělilo 7 let, nicméně se nikdo o základních věcech nepoučil. USB disky musí vždy být šifrované.

Zavedením bezpečnostních zásad a školením zaměstnanců se nicméně nezabrání tomu, aby nedocházelo se ztrátám a krádežím zařízení, na nichž jsou data uložena. To lze například doložit tím, že v čistírnách oděvů v UK se každý rok najde asi 22.000 USB disků. Prostá náhoda a nedbalost lidí, kteří zapomenou USB disk v kapse, se může změnit ve skutečný problém, pokud data nejsou chráněna. Právnické firmy budou muset zajistit, aby veškerá data, která se budou kopírovat, a USB disky, DVD a další přenosná média pro ukládání dat, byla automaticky šifrována a aby použití zařízení, jež automatické šifrování neumožňují, bylo odepřeno. Školení stávajících zaměstnanců, jakož i nově příchozích, by mělo obsahovat i zaměření školení k používání šifrovaných úložišť pro jakákoli osobní data.

Jak připravena je vaše firma?

Právníci specializovaní na oblast obchodního práva by měli být schopni vysvětlit, co přesně nová legislativa říká, a poskytnout svým klientům rady a vodítka ohledně opatření, jejichž přijetí se jich může týkat, například aktualizaci interních směrnic pro ochranu soukromí a dohled nad tím, zda i dodavatelé s přístupem k osobním údajům předpisy GDPR splňují.

Nicméně titíž právníci jsou na praktické změny, které oni sami mají provést, často mnohem méně připraveni. Přestože během nedávných let došlo k mnoha případům úniků dat v právnické oblasti, úřad ICO i nadále každé čtvrtletí řeší incidenty, kdy právníci ztratili úložiště s nezašifrovanými daty.

Jednoduchá opatření pro snížení rizik

Nevětšími faktory, jež stojí za úniky dat, jsou chyby jednotlivých lidí a náhody (a stejně tak ale i hackeři a selhání technologií). Firmy nemohou zajistit, že lidé nebudou nikdy chybovat a že úplně přestanou vloupání do domácností (mimochodem, když byl při vloupání ukraden nezašifrovaný disk z domu policejního důstojníka, policie Velkého Manchesteru dostala pokutu 150.000 liber).

1. Opatření – Vynucené šifrování

Použijete-li šifrované disky od společnosti Kingston Technology, můžete najednou splnit hned několik požadavků nařízení GDPR, pokud vaše firma požaduje, aby všichni zaměstnanci používali šifrovaná úložiště dat, a pokud v tomto ohledu své zaměstnance školí. Šifrování produktů Kingston probíhá na hardwarovém základě, což znamená, že šifrované USB disky lze použít ihned po vybalení – bez nutnosti dalšího nastavení nebo konfigurace.

Podle nařízení GDPR budou firmy muset prokázat, že přijaly adekvátní „technická a organizační opatření“ pro zabezpečení údajů. Zavedou-li zásadu, že budou povinně používány šifrované disky Kingston a že na noteboocích a počítačích bude zavedeno omezení použití USB portů (tak, aby bylo možné používat pouze schválené – šifrované – disky), budou nejen chráněny před úniky dat, ale současně budou moci prokázat, že splňují požadavky dané v nařízení GDPR.

Šifrování nechrání jen data před jejich zneužitím, ale rovněž chrání firmy před ztrátou dobré pověsti a hodnoty značky. I když bude zařízení ztraceno nebo ukradeno, není možné se k datům dostat, pročež nemohou uniknout – a vy tak nebudete v titulcích novin, které vás mohly zničit.

2. Opatření – Řešení formou řízení přístupu

Společnost Kingston nabízí USB disky, které umožňují uplatnění řídicího softwaru, takže diskům lze přiřadit názvy a pak je lokalizovat na úrovni řídicí konzole – podobně jako je tomu u funkce „Najdi můj iPhone“. Zařízení, které ztratíte v kanceláři, představuje menší riziko, než zařízení, které zapomenete ve vlaku.

Velká britská pojišťovna Royal Sun Alliance (RSA) dostala v roce 2017 pokutu 150.000 liber za ztrátu přenosného úložiště dat ze zabezpečené místnosti v pobočce RSA v Horshamu, kam byl vstup zakázán. Disk z prostorů společnosti zcizil buď její zaměstnanec, nebo někdo z dodavatelských firem, uložená data nebyla šifrována a zařízení se nikdy nenašlo.
Při udělení pokuty, kterému média věnovala velkou pozornost, úřad ICO zdůraznil skutečnost, že data nebyla šifrovaná. Podobné pokuty může udělit i UOOU, pokud dojde k podobnému narušení dat.

Funkce mazání nebo znehodnocení disku na dálku

K dispozici jsou i další funkce v rámci správy disků, které mohou ještě více snížit riziko poškození dobré pověsti firmy.

Když bude nahlášeno, že byl USB disk ztracen nebo ukraden, lze jej na dálku důkladně smazat („wipe“) prostřednictvím konzole správce nebo webové aplikace. To znamená, že veškerá šifrovaná data uložená na zařízení budou odstraněna, jakmile dojde k pokusu ztracený nebo ukradený USB disk použít na počítači nebo notebooku připojeném k internetu. Podobnou funkcí je zničení („kill“), po jejíž aktivaci již nebude zařízení možné použít vůbec.

Takže i když dojde k nejhoršímu, mohou dálkově řízené funkce úplného vymazání a zničení poskytnout další stupeň zabezpečení v úsilí zabránit potenciální katastrofě.

Oznamování úniků dat

Předpis GDPR vyžaduje, aby veškeré úniky dat (například ztracená nebo zcizená úložiště dat) byla UOOU nahlášena do 72 hodin od chvíle, kdy se správce dat o ztrátě nebo krádeži dozví – a také, že všechny subjekty, jichž se data týkají, musí být informovány o tom, že k úniku jejich údajů došlo a jaká byla podniknuta opaření. Pokud však byly údaje zašifrovány a nedošlo k úniku či prolomení šifrovacího klíče, nemůže se k uniklým datům dostat nikdo nepověřený. K vlastnímu úniku osobních údajů tedy nedošlo a v téměř všech případech nebude nutné o incidentu informovat subjekty, jichž se citlivá data týkají.

Závěr

Vzhledem k tomu, že obecné nařízení o ochraně osobních údajů GDPR právnickým firmám přidělá spoustu práce, mají-li dodržet jeho požadavky, které budou platit od května roku 2018, naplní použití šifrovaných USB disků – zvláště je-li jejich součástí řešení vzdálené správy společnosti Kingston Technology – hlavní požadavky GDPR a zásadním způsobem sníží riziko úniků dat a následných pokut nebo poškození dobré pověsti. Už samo použití těchto řešení je důkazem, že firmy požadovaná opatření splnily.

Ztratit malé přenosné zařízení je prostě lidské. Ztráty a krádeže USB disků nelze nikdy absolutně vyloučit. I případy ztracených USB disků u policejní stanice ve Stalybridge a na letišti v Heathrow by bývaly mohly být nicotné a nikdo by se jimi nemusel hlouběji zabývat – stačilo jen, aby byly zašifrované.