GDPR startuje, pro firmy může být problém obyčejný flash disk

Řada firem si s ochranou přenosných zařízení neví rady, proto je plošně zakazuje. Odborníci ale doporučují zavést řešení, která zajistí dostatečné ohlídání uložených dat. Nejsložitější je přitom změnit zažité návyky zaměstnanců.



Kopírování dat na flash disky patří ve firmách i mezi podnikateli k běžným postupům při přenášení většího množství dat. Od 25. května 2018 však mohou podnikatelé i zaměstnanci firem narazit. Začalo totiž platit evropské nařízení o ochraně osobních údajů známé pod zkratkou GDPR.

To klade výrazně větší nároky na zabezpečení dat. Ze statistiky společnosti Kingston přitom vyplývá, že drtivá většina flash disků používaných v Česku a na Slovensku je nezabezpečených. Z 1,2 až 1,5 milionu flash disků všech značek prodaných na obou trzích za rok je hardwarově šifrovaných pouze 0,29 procent.

„Je až zarážející, jak málo si firmy připouštějí problém, který spočívá v nechráněných flash discích. V západní Evropě je přitom v této oblasti uvědomělost firem na úplně jiné úrovni. Přesná data sice nemohu uveřejnit, ale procentuální poměr prodeje zabezpečených disků Kingston je v těchto zemích téměř v řádu dvouciferných čísel,“ říká Marcin Gaczor ze společnosti Kingston.

Pořízení hardwarově kryptovaných flash disků je podle něj ta nejjednodušší věc, kterou může firma udělat pro ochranu dat mimo kancelář. „Týká se to samozřejmě i živnostníků, advokátů, lékařů či menších společností. Výhoda hardwarově šifrovaných flash disků je jednoznačná, nikdy nezapomenete data zašifrovat, automaticky se o to stará čip přímo uvnitř flashky,” dodává Marcin Gaczor.

Ztráta disku může skončit pokutou

Evropské nařízení GDPR sice výslovně nenařizuje přesnou úroveň zabezpečení flash pamětí a přenosných médií, uvádí však, že „jedním z prvků zabezpečení osobních údajů je například jejich pseudonymizace nebo šifrování.” Pokud se však ztratí nezabezpečený flash disk s daty podléhajícími GDPR, musí firma takový incident nahlásit a hrozí jí velké pokuty.

U hardwarově kryptovaných disků je situace zcela jiná. O těchto ochranných prvcích nařízení GDPR uvádí, že „jejich dobrovolné nasazení může správci přinést i zproštění například povinnosti ohlásit případ porušení zabezpečení osobních údajů subjektu údajů”.

Pro firmy je přitom často složité zorientovat se v tom, jak by měly na GDPR reagovat a jak konkrétně data zajistit. Možností mají více. „GDPR samo o sobě nikoho nic šifrovat nenutí. Šifrování je v GDPR pouze zmíněno jako jedna z možností, kterou je možno zvážit při zajišťování bezpečnosti osobních údajů. GDPR zde také není proto, aby firmám bránilo ve zpracování osobních údajů, které potřebují ke svému businessu. GDPR si uvědomuje, že firmy zpracovávají osobní údaje kvůli svým zákazníkům. Zákazníci jim svěřili svoje osobní údaje, aby pro ně firmy poskytovaly nějaké služby, které zákazníci sami chtějí. GDPR jen požaduje, aby organizace dbaly na ochranu těchto údajů,“ upozorňuje odborník na IT bezpečnost Ondřej Ševeček z počítačové školy Gopas.

Velké korporace a globální organizace často řeší bezpečnostní hrozby zákazem používání přenosných paměťových zařízení pro své zaměstnance. Po jejich vzoru k tomu s nástupem GDPR často přistupují i další firmy a podnikatelé. Podle odborníků to však není nevyhnutelné. „ Na jedné straně jsou přenosná média vždy rizikovější, protože se jednodušeji ztratí nebo odcizí, na druhé straně GDPR tu není od toho, aby bránilo firmám je používat, pokud je potřebují ke své činnosti. Jen musí zajistit bezpečnost dat na nich uložených proti neoprávněnému přístupu,“ upozorňuje Ondřej Ševeček.

Povinnosti řeší vnitřní předpisy

Mnohé organizace podle něj mají nakládání s přenosnými médii ošetřeno vnitřními předpisy. „Například je zaměstnanci nesmějí vynášet z prostor organizace, jsou označena, mohou být správcem také jen jednotlivě a konkrétně povolována. Zaměstnanci mohou být školeni, co jsou osobní údaje, a na co si mají dávat pozor a kam je mohou, nebo naopak nemají nahrávat. Šifrování je samozřejmě velmi vhodné, může být ale zařízeno na vyšší než hardwarové úrovni,“ navazuje Ondřej Ševeček.

Podle něj existují ochranné softwary, které vyžadují instalaci na počítačích, mají centrální správu a šifrují až data na discích. „Pro firemní uživatele to může být dokonce úplně neviditelné, a tudíž velmi pohodlné. Zatímco člověk mimo firmu, nebo z jiné uživatelské skupiny, si obsah ani neprohlédne. Takové technologie se obvykle poskytují jako součást takzvaného data leakage prevention (DLP) řešení,“ popisuje Ondřej Ševeček.

Každá ochrana ale něco stojí. „Ať už po finanční stránce, nebo i v nutnosti změnit přemýšlení a chování. I toto si GDPR uvědomuje a výslovně stanovuje, že organizace mají aplikovat ochrany s ohledem na aktuální možnosti technologií a náklady s tím spojené, vzhledem k rizikům konkrétních osobních údajů. Nikdo tedy ani neřekl, že si musíte rovnou koupit DLP řešení za milióny. Jde prostě o data, která se na takové disky ukládají nebo neukládají,“ upozorňuje Ondřej Ševeček.

Právě tyto náklady na straně změny chování a nutnosti o věcech přemýšlet jinak patří podle něj ve firmách mezi ty nejcitlivější. „Naopak bez toho ani žádné šifrování nic samo o sobě neochrání. Já vždycky říkám, že můžete mít bezpečnostní dveře s mnoha ochranami za desetitisíce, ale pokud necháváte klíče pod rohožkou, tak to bezpečné stejně nebude. A naopak i jednodušší dveře, které jsou pečlivě zamykané, zabrání mnoha incidentům lépe,“ zdůrazňuje Ondřej Ševeček. Právě proto se podle něj šifrovací technologie a DLP systémy snaží práci uživatelům obvykle co nejvíce zjednodušovat, a tím je také chránit proti vlastním chybám, nepozornosti a laxnosti.

Viry cestují hlavně emaily

Mnoho firem nedůvěřuje flash diskům nejen kvůli riziku ztráty dat, ale i kvůli šíření virů. Jde především o podniky, které byly před lety zvyklé kontrolovat klasické diskety před viry. V  současnosti podobně podezřívavě nakládají i s flash disky. Podle odborníků však dnes nepatří mezi nástroje, které by v oblasti šíření virů hrály dominantní roli.

„Dnešní malware už není ve formě klasických virů, které napadaly jiné programy. Dnešní malware se šíří buď emailem jako spustitelná příloha, možná komprimovaná v nějakém archivu, nebo si ho lidé prostě dobrovolně stahují z internetu maskovaný jako ‚hru‘, nebo jinou zábavu. Právě proto je vhodné zavést na podnikových počítačích ochrany ve formě aplikačního white-listingu,“ radí Ondřej Ševeček.

Toto opatření zakáže spouštění všech programů, které nebyly přímo výslovně povoleny správcem. „Opět je to záležitost nákladná, ani ne tak na technologie, jako na podporu a řešení potíží, protože se musí nejprve zjistit, co všechno se ve firmě musí spouštět, a také to dlouhodobě udržovat,“ konstatuje Ondřej Ševeček.

Dalibor Dostál

• Oblasti podnikání: Software a ICT služby

Doporučujeme