Je možno bezpečnost dat zajistit v rozsahu daném GDPR a ev. Zákonem 110, 111/2019 Praha, 21.5.2019 Ing. Zdeněk Blažek, CSc. CISM GS-OS Sec Commerzbank Praha / May 21 st, 2019
Je možno bezpečnost dat zajistit v rozsahu daném GDPR a ev. Zákonem 110, 111/2019 Temata Bezpečnost dat a zákony na jejich ochranu Právo na přístup a nutnost zmapování umístění všech uchovávaných údajů Bezpečnost dat stáří dat, umístění dat, přístupy k datům Právo na přístup a nutnost zmapování umístění všech uchovávaných údajů Realizovatelnost GDPR Existuje ochrana dat? Bezpečnost a GDPR 2
Bezpečnost dat a zákony na jejich ochranu - GDPR Zabezpečení zpracování Oddíl 2 Zabezpečení osobních údajů Článek 32 1.S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; => BCM d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování. 3
Bezpečnost dat a zákony na jejich ochranu - GDPR 2.Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim. 3.Jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými v odstavci 1 tohoto článku, je dodržování schváleného kodexu chování uvedeného v článku 40 nebo uplatňování schváleného mechanismu pro vydávání osvědčení uvedeného v článku 42. 4.Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu V zásadě jde o klasické řízení rizik. 4
Bezpečnost dat a zákony na jejich ochranu 110/2019 Sb. 40 Zabezpečení zpracování osobních údajů (1) Spravující orgán přijme taková organizační a technická opatření, aby zajistil úroveň zabezpečení osobních údajů odpovídající povaze, rozsahu, okolnostem, účelu a riziku jejich zpracování. (2) Jsou-li osobní údaje zpracovávány automatizovaně, spravující orgán přijme nezbytná opatření, aby a) tyto osobní údaje zabezpečil před neoprávněným přístupem, přenosem, změnou, zničením, ztrátou, odcizením, zneužitím nebo jiným neoprávněným zpracováním, b) zajistil obnovitelnost těchto osobních údajů, -> GDPR??? c) zajistil možnost určit a ověřit osobu, která tyto osobní údaje vložila nebo které byly prostřednictvím zařízení pro přenos údajů předány nebo zpřístupněny, - CIA(A) d) zajistil bezpečnost a spolehlivost informačního systému, který tyto osobní údaje obsahuje, včetně hlášení výskytu chyb, a e) zabránil v neoprávněném přístupu k nosiči těchto osobních údajů nebo zařízení užívanému k jejich zpracování. (3) Povinnosti spravujícího orgánu stanovené v odstavcích 1 a 2 platí pro zpracovatele obdobně. 5
Bezpečnost dat a zákony na jejich ochranu 110/2019 Sb. 16 Zpracování osobních údajů za účelem vědeckého nebo historického výzkumu nebo pro statistické účely (1) Správce nebo zpracovatel při zpracování osobních údajů za účelem vědeckého nebo historického výzkumu nebo pro statistické účely zajistí dodržování konkrétních opatření k ochraně zájmů subjektu údajů, která odpovídají stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob. Taková opatření mohou zahrnovat zejména a) technická a organizační opatření zaměřená na důsledné uplatnění povinnosti podle čl. 5 odst. 1 písm. c minimalizace údajů nařízení Evropského parlamentu a Rady (EU) 2016/679 b) pořizování záznamů alespoň o všech operacích shromáždění, vložení, pozměnění a výmazu osobních údajů, které umožní určit a ověřit totožnost osoby provádějící operaci, a uchovávání těchto záznamů nejméně po dobu 2 let od provedení operace, c) informování osob zpracovávajících osobní údaje o povinnostech v oblasti ochrany osobních údajů, 6
Bezpečnost dat a zákony na jejich ochranu 110/2019 Sb. d) jmenování pověřence, e) zvláštní omezení přístupu k osobním údajům v rámci správce nebo zpracovatele, f) pseudonymizaci osobních údajů, g) šifrování osobních údajů, h) opatření k zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování, -> GDPR 32?? i) opatření umožňující obnovení dostupnosti osobních údajů a včasný přístup k těmto údajům v případě incidentů, j) proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování, k) zvláštní omezení přenosu osobních údajů do třetí země, nebo l) zvláštní omezení zpracování osobních údajů pro jiné účely. 7
Bezpečnost dat a zákony na jejich ochranu Bezpečnostní incident Porušení zabezpečení osobních údajů, které vede k náhodnému nebo úmyslnému (protiprávnímu) zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených či jinak zpracovávaných osobních údajů. Zjednodušeně lze za incident považovat jakoukoli událost, která představuje odchylku od zavedeného systému zabezpečení osobních údajů. 8
Právo na přístup a nutnost zmapování umístění všech uchovávaných údajů Čl. 15 recitál: Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost. To zahrnuje právo subjektů údajů na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci. Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Je-li to možné, měl by mít správce možnost poskytnout dálkový přístup k bezpečnému systému, který by subjektu údajů umožnil přímý přístup k jeho osobním údajům???!!! (identita, bezpečnost, ---Modlishka a jiné) Tímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení. Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací. Pokud správce zpracovává velké množství informací týkajících se subjektu údajů, měl by mít možnost před poskytnutím informací požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebočinností zpracování se jeho žádost týká. 9
Bezpečnost dat stáří dat, umístění dat, přístupy k datům Právo na přístup a nutnost zmapování umístění všech uchovávaných údajů Mapování datových umístění Problémy: chaotický vývoj IT kombinace materiálních a nemateriálních dat archivace media uchovávající data (>35 let) ztráta historických znalostí (odchody zaměstnanců, výměna HW/SW,...) nízké povědomí zaměstnanců o datech, se kterými pracují (př....kde všude se pohybují data zaměstnanců?... ) zákoník práce ochrana soukromí zaměstnanců (mail, umístění dat atp.) nové metody práce s IT cloud, SaaS, IaaS,... formáty dat, nekompatibilita aplikací atd. Realizovatelnost Vzhledem k výše uvedenému nastává situace, kdy schopnost většiny subjektů zmapovat data a zajistit k nim komplexní přístup je silně omezena. V některých případech by snaha o vyrovnání se s požadavky GDPR vedla k neúnosným nákladům, protože taková akce může vyžadovat kompletní výměnu IT. Neúměrnéí náklady. 10
Právo na přístup a nutnost zmapování umístění všech uchovávaných údajů Mapování datových umístění Problémy: chaotický vývoj IT kombinace materiálních a nemateriálních dat archivace media uchovávající data ztráta historických znalostí (odchody zaměstnanců, výměna HW/SW,...) nízké povědomí zaměstnanců o datech, se kterými pracují (př....kde všude se pohybují data zaměstnanců?... ) zákoník práce ochrana soukromí zaměstnanců (mail, umístění dat atp.) nové metody práce s IT cloud, SaaS, IaaS,... formáty dat, nekompatibilita aplikací atd. Realizovatelnost Vzhledem k výše uvedenému nastává situace, kdy schopnost většiny subjektů zmapovat data a zajistit k nim komplexní přístup je silně omezena. V některých případech by snaha o vyrovnání se s požadavky GDPR vedla k neúnosným nákladům, protože taková akce může vyžadovat kompletní výměnu IT. Neúměrnéí náklady. 11
Realizovatelnost GDPR Existuje ochrana dat? Podívejme se na ochranu dat z hlediska technické rezlizovatelnosti: bezpečnost IT ochrana dat lidský faktor vzdělání, kvalita Nereálné požadavky na ochranu dat: viz Art. 32 Zabezpečení zpracování 1.S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování. 2.Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim. 12
Realizovatelnost GDPR Existuje ochrana dat? Vzhledem k tomu, že v zásadě neexistuje bezpečný či zabezpečený informační systém, Je nutno si klást otázku, zda je vůbec možné zajistit úroveň ochrany osobních dat, tak jak je p 15.1.2019 Společnost ORACLE vydala bezpečnostní varování a aktualizace vesměs kritické. Problém je, že v balíčku jsou opravovány chyby a bezpečnostnmí mezery od roku 2014!!! Další příklad téže firmy: 13
Realizovatelnost GDPR Existuje ochrana dat? 14
Realizovatelnost GDPR Existuje ochrana dat? Pokud si uvědomíme, že jde o zranitelnosti známé již od roku 2014, tak běží o to, jak zajistit ochranu dat v těchto případech. Zbývá obezdít tyto systémy. To je ovšem již na jednotliuvých administrátorech a jejich zkušenostech. Ministerstvo zahraničí omylem zveřejnilo, jak být napadeno hackery 14. ledna 2019 20:01, aktualizováno 20:01 Když předloni vyšlo najevo, že z počítačů ministerstva zahraničí roky hackeři kradli komunikaci diplomatů, byl to skandál. Vláda slibovala rozsáhlá utajená opatření. Detailní popis zásadních děr v zabezpečení i nové obrany za sto milionů korun ovšem úředníci následně nahráli veřejně na web. Dle expertů tím pozvali další hackery. Mizerně jsou na tom i další ministerstva... Problém OP Slovensko,. Estonsko,... 15
Bezpečnost a GDPR Problémy s bezpečností Archivní data viz předchozí stránka Aktuální data Organizační opatření Nejefektivnější a nejlacinější. Jde o přístupy k datům, které mají být organizovány dle principu NTK (Need To Know). Pravidelně prováděné tzv. Recertifikace rolí a přístupů. Závazná pravidla pro chování na síti (sociální sitě, přístupy, stahování souborů, nahrávání obsahu na internet apod.) Zákaz USB zařízení... Technická opatření Ochrana perimetru, DMZ, přiřazení portů jednotlivým zařízením, blokace instalací, Blokace příloh Několikazónová ochrana před škodlivým kódem atd. 16
Bezpečnost a GDPR, zdroj Europol OSINT DASHBOARD, 19. week Malware 17
Bezpečnost a GDPR, zdroj Europol OSINT DASHBOARD, 19. week Incidents 18
Bezpečnost a GDPR, zdroj Europol OSINT DASHBOARD, 19. week Groups of attackers 19
Je možno bezpečnost dat zajistit v rozsahu daném GDPR a ev. Zákonem 110, 111/2019 Občané, můj pokus je dokončen, avšak můj názor propříště je, že nic nesmí být ukvapeno, ani pokrok ne. Věda nesmí předbíhat zvyky a mravy. Je prospěšné provádět rozvoj, nikoliv rozvrat. Jednou větou, nikdo a nic nesmí přicházet dříve než v pravý čas. Přišel jsem dnes příliš brzy, než abych zvítězil nad zájmy sobě odporujícími a rozdělenými.. Jules Verne, Robur dobyvatel, 1886 20