Okrem opatrení proti neoprávnenému prístupu a krádeži či poškodeniu údajov treba zároveň zaistiť dostupnosť a odolnosť služieb spracovania. To, či sú tieto opatrenia skutočne účinné, sa musí vopred otestovať. Osobné údaje teda musíme vo firme chrániť podľa úrovne ich citlivosti a tiež vedieť, že táto ochrana funguje.
Poskytovateľ cloudu ako podpora
Zodpovednosť vašej firme vzniká ako pri spracovaní vo vlastnom dátovom centre, tak pri spracovaní v cloude. Poskytovatelia cloudových služieb sa ale o mnoho vecí postarajú za vás. Mali by ste sa teda zamyslieť, či zvýšenie bezpečnosti spracovania dát a preukázanie účinných opatrení pred úradmi nie je v danom prípade rýchlejšie a jednoduchšie u cloudového spracovateľa, ktorý už opatrenia zaviedol a môže sa preukázať priemyselnými certifikáciami a auditovými správami. GDPR upravuje aj požiadavky na zmluvu medzi správcom a spracovateľom údajov, teda poskytovateľom cloudu, čím možno zasa aspoň čiastočne preniesť zodpovednosť za opatrenia na spracovateľa.
Pozrime sa teda, aké sú možnosti zabezpečenia v cloude v oblasti prevencie. Nabudúce si preberieme opatrenia v oblasti detekcie a zvládania incidentov.
Ako šifrovať dáta
Šifrovanie dát je dôležitým opatrením proti neoprávnenému prístupu a zneužitiu. Uložené dáta môžeme v databázach šifrovať pomocou technológie Transparent Data Encryption, na ktorej je postavené aj cloudové Dynamics 365 pre riadenie predaja a vzťahov so zákazníkmi. V cloude je veľmi dôležité mať ošetrenú správu šifrovacích kľúčov. Pri šifrovaní veľkých objemov dát musia byť tieto kľúče k dispozícii v dobe spracovania v cloude. To rieši napríklad technológia Azure Key Vault. Azure obsahuje moduly Thales nShield, ktoré sú certifikované pre použitie v armádach krajín NATO a v súčasnosti predstavujú špičku toho, čo je k dispozícii na správu šifrovacích kľúčov.
Veľké objemy neštruktúrovaných dát sa môžu efektívne ukladať do prakticky neobmedzených úložísk Azure Storage Service, ktoré majú rovno dve úrovne šifrovania. Jedna slúži pre pevné pamäťové disky, druhá je na úrovni aplikácie a je pod kontrolou správcu dát.
Šifrovanie a riadenie prístupu v cloude sa zavádza aj do moderných non-SQL databáz, ako napríklad Cosmos DB v Microsoft Azure. Tu môžeme ukladať živé toky dát z internetu vecí (IoT), v ktorých sa môžu objaviť osobné údaje. Azure teda rieši pri správe a ochrane dát kopec problémov.
Cloud rieši všetky zariadenia
GDPR požaduje aj vysokú dostupnosť osobných údajov, čo môže vaše IT vyriešiť pomocou takzvaných skupín dostupnosti (Avalaibility Groups) v cloudových datacentrách až po chybovo odolné klastre (Always On Failover Clusters).
Cloud môže pomôcť aj s prevenciou na koncových zariadeniach vo vašej firme. Nástroje ako Microsoft Enterprise Mobility and Security (EMS) tak môžu zaviesť bezpečnostné politiky a šifrovanie dát na firemný priestor smartfónu alebo notebooku. Ak niekto vo vašej firme používa napríklad služobný telefón alebo notebook aj súkromne, môže váš IT odborník dáta diaľkovo spravovať, prípadne vymazať ich firemnú časť. Pri strate zariadenia je potom veľký rozdiel, či boli dáta šifrované alebo nie. Podľa GDPR navyše netreba oznamovať incidenty subjektom údajov, ak dáta unikli v šifrovanej podobe.
Pozor na Shadow IT
Rovnako ako v Azure, aj Microsoft EMS je všeobecne široko využiteľný nástroj pre bezpečnosť vašich dát v cloude. Firmy sa často obávajú neautorizovaného využívania „free“ cloudových služieb, tomu sa dnes hovorí „Shadow IT“. Tu zasa dobre poslúži Cloud App Security, ktorá je súčasťou EMS. Tento nástroj na perimetri danej firmy rozozná viac ako 13 tisíc cloudových služieb, posudzuje ich bezpečnosť a hlási, ktoré z týchto služieb využívajú vaši zamestnanci.
Ako sme uviedli vyššie, správcovia osobných údajov musia zvoliť „primerané“ bezpečnostné opatrenia, ktoré sú výsledkom nejakej formy analýzy rizík. Ako nápoveda môžu poslúžiť už vzorové analýzy rizík od spracovateľa, ktoré poskytuje Microsoft, a ktoré si môžete vy alebo vaše IT vyžiadať cez partnera, ktorý spravuje váš cloud.
Zabezpečenie údajov je pre implementáciu nariadenia GDPR zásadné. Preto si nabudúce rozoberieme, ako detekovať kyberútoky a ako tak povediac „zvládať incidenty“, teda situácie, kedy vašej firme hrozí zneužite dát alebo ich strata. Aj na to existuje kopec riešení a nástrojov, ktoré vašej spoločnosti pomôžu.
Podrobný návod, ako využiť cloud k zaisteniu zhody s GDPR, nájdete TU.
Autor článku: Zdeněk Jiříček, riaditeľ pre technologické štandardy, Microsoft Česko a Slovensko
V seriály ako prežiť GDPR zatiaľ vyšlo
Ako začať? Zmapujte si terén(1)
Ako zvládnuť správu dát? Čo nepotrebujete, vyhoďte(2)
Ako veľmi sú údaje citlivé? Určite, kto k nim má prístup (3)
