65 – tyle dni pozostało nam do wprowadzenia w życie rozporządzenia GDPR. Zdawać by się mogło, że to „wielkie zmiany w Europie” nie zawsze dotyczące nas wszystkich. Jednak w tym przypadku warto na chwilę się zatrzymać i szerzej poznać zakres tej wielowątkowej ustawy, która znacząco wpłynie na nasze życie. W jaki sposób chronić dane swoje, a także swojej firmy? Co zrobić w przypadku zgubienia pamięci USB z cennymi informacjami? Przez najbliższe kilka tygodni razem z Kingston Technology postaramy przybliżyć się te zagadnienia. Zapraszamy do lektury.

Mały, istotny i niezbędny element układanki GDPR… Jak uwzględnić szyfrowane pamięci USB w strategii osiągnięcia zgodności z rozporządzeniem GDPR?

Często spotykana sytuacja – pracownik kopiuje dane ze służbowego komputera na pamięć USB, być może chce je zarchiwizować, popracować nad nimi w domu lub wykorzystać w trakcie prezentacji. Pracownik wychodzi z biura i w drodze do domu gubi pamięć USB. Dane zapisane w pamięci nie są zaszyfrowane i każdy może uzyskać do nich dostęp po podłączeniu pamieci do dowolnego komputera. Według badania przeprowadzonego niedawno robi tak połowa osób znajdujących pamięci USB. W najlepszym przypadku zgubienie pamięci USB oznacza tylko niewielki kłopot. Ale utrata pamięci USB, na której zapisano poufne informacje lub dane osobowe to zupełnie inna kategoria problemów.

24. maja 2018 r. obowiązujące obecnie przepisy o ochronie danych z roku 1995 zostaną w pełni zastąpione Ogólnym Rozporządzeniem o Ochronie Danych Osobowych w UE (EU General Data Protection Regulation – EU GDPR).

Rozporządzenie EU GDPR ma na celu wzmocnienie ochrony danych osobowych obywateli UE dzięki wprowadzeniu „prawa do bycia
zapomnianym” oraz zabezpieczeniu legislacji z zakresu ochrony danych w UE przed wyzwaniami przyszłości. Rozporządzenie to stanowi też próbę ujednolicenia przepisów obowiązujących w państwach członkowskich, których zakresy się pokrywają, a zapisy różnią, co może prowadzić do nieporozumień. Oznacza to, że organizacje zostaną zmuszone do podjęcia dodatkowych działań mających na celu zapobieganie wyciekom, utracie i kradzieżom danych. Kary pieniężne za wyciek danych osobowych, takich jak imiona, nazwiska, daty urodzenia, dane bankowe lub dokumentacja medyczna mogą osiągać poziom 4% wszystkich przychodów organizacji lub 20 milionów euro (w zależności od tego, która z dwóch kwot jest wyższa). Ponadto o każdym przypadku naruszenia ochrony danych osobowych należy informować osoby, których dane dotyczą oraz organy nadzorcze. Oznacza to, że tego typu naruszenia – obok kosztów bezpośrednich w postaci kar pieniężnych lub wydatków na obsługę prawną – będą automatycznie generować koszty pośrednie, będące skutkiem negatywnego rozgłosu, utraty
klientów i w końcu zamówień. Z tego względu organizacje powinny przeprowadzić analizy i kontrole swoich wewnętrznych
procesów i polityk IT już teraz, aby mieć czas na ich odpowiednie dostosowanie.

Jednym z najczęściej niedostrzeganych niebezpieczeństw jest nieszyfrowanie danych na służbowych pamięciach USB. Wiele osób sądzi, że pamięci USB wychodzą z użycia. Niemniej jednak w niedawnym badaniu dotyczącym użytkowania pamięci USB wykazano, że 90% badanych używa co najmniej jednej pamięci USB w celach służbowych. Z tej liczby badanych zatrważające 44% przyznało, że co najmniej jedna pamięć USB wykorzystywana przez nich w celach służbowych zaginęła (50% z tych przypadków opisano jako zagubienie, 11% jako kradzież, a 39% użytkowników nie wiedziało, co się dokładnie stało).

Badanie to ujawniło jeszcze inny niepokojący fakt. Niemal połowa ankietowanych pracowników przyznała, że używa tych samych pamięci USB do przenoszenia zarówno danych służbowych, jak i prywatnych.

Inne odpowiedzi wskazują, że w około 20% badanych firm pracownicy zapisują w pamięciach USB dane wrażliwe. Mimo to 93% z nich wskazało, że do zapisywania tych danych nie używają sprzętowo szyfrowanych pamięci USB. Z powyższego wynika, że niedbałość organizacji i pracowników posługujących się pamięciami USB stanowi źródło poważnego ryzyka dla firm. Oczywiście doskonalenie bezpieczeństwa sieci i
cyberbezpieczeństwa jest nigdy niekończącym się zadaniem dla działów IT, ponieważ liczba włamań i prób wymuszania okupu za odzyskanie danych stale rośnie. Jednak w coraz bardziej mobilnym świecie, gdy pracownicy często pracują zdalnie lub wykorzystują do celów służbowych prywatne komputery, firmy muszą podejmować działania nakierowane na eliminację zagrożeń bezpieczeństwa związanych z przenoszeniem danych. W celu zapewnienia zgodności z rozporządzeniem EU GDPR w odniesieniu do danych przynoszonych na pamięciach USB zalecamy podjąć następujące działania. Przede wszystkim odpowiednie osoby w organizacji muszą rozumieć nowe rozporządzenie i jego skutki. Po drugie konieczne jest określenie, jakie dane osobowe i wrażliwe są przetwarzane w organizacji, kto ma do nich dostęp oraz jakie dane są wynoszone na zewnątrz.

Po przeprowadzeniu takiej oceny należy zdefiniować strategię dotyczącą danych i politykę dostępu do różnych kategorii danych oraz nośników wykorzystywanych do ich transportu. Kolejne działanie dotyczy stosowanych technologii. I tutaj właśnie pojawiają się szyfrowane pamięci USB. Rozporządzenie EU GDPR nie wskazuje technologii, która ma zostać użyta w celu zapewnienia ochrony danych osobowych, ale wspomina o szyfrowaniu jako jednej z możliwości wartej rozważenia.

Szyfrowane pamięci USB są często najbardziej rozsądnym i przystępnym cenowo rozwiązaniem ochrony przenoszonych danych. I wreszcie organizacje muszą gwarantować, że ich pracownicy znają nowe przepisy oraz że stosują najlepsze praktyki ochrony danych i używają właściwych technologii. Na tym etapie należy pamiętać, że wszystkie te rozważania nie dotyczą wyłącznie danych objętych prawnym obowiązkiem ochrony, ale też danych wrażliwych ważnych dla prowadzonej przez organizację działalności.

Aby ułatwić organizacjom wdrożenie działań zapewniających zgodność z rozporządzeniem EU GDPR, firma Kingston Technology oferuje niedrogie urządzenia klasy biznesowej (DTVP 3.0), z podwyższonym poziomem zabezpieczeń (DT4000 G2) oraz chronione kodem wpisywanym z wbudowanej klawiatury (DT2000). Ponadto firma Kingston wykorzystuje linię produktową niedawno przejętej spółki IronKey, aby oferować certyfikację FIPS 140-2 Level 3 organizacjom wymagającym najwyższego dostępnego poziomu bezpieczeństwa i szyfrowania. Co więcej, DataLocker Inc., czyli producent oprogramowania współpracujący z firmą Kingston, oferuje platformy SafeConsole i Enterprise Management Services (EMS), które umożliwiają zarządzanie szyfrowanymi pamięciami marek Kingston i IronKey. Obie platformy pozwalają administratorom IT centralnie zarządzać szyfrowanymi pamięciami USB. Ma to na celu zachowanie zgodności z przepisami i lepsze wsparcie użytkowników. Dostępne funkcje obejmują zdalne ustalanie haseł, konfigurowanie zasad dotyczących haseł i urządzeń, uruchamianie audytów sprawdzających zgodność z procedurami, zdalne dezaktywowanie pamięci i wiele innych.

Jak już wspomniano, szyfrowanie danych osobowych jest obecnie jedną z najnowocześniejszych metod ich zabezpieczania. Nie jest to skomplikowane, ponieważ szyfrowanie danych w pamięci USB odbywa się automatycznie w tle. Użytkownik musi jedynie wprowadzić hasło po podłączeniu pamięci do komputera. Wdrożenie i użytkowanie tego rozwiązania jest proste, ponieważ nie wymaga ono żadnej wiedzy technicznej. To niezwykle ważna cecha, gdyż niepotrzebne skomplikowanie rozwiązań powoduje podwyższenie prawdopodobieństwa, że pracownicy nie będą ich używać.

Inwestując w pamięci USB chronione z zastosowaniem 256-bitowego szyfrowania sprzętowego AES, organizacje mogą „odhaczyć” mały, ale ważny punkt na liście zadań zawiązanych z wdrażaniem rozporządzenia GDPR. Dla niektórych organizacji mogą to być nowe zagadnienia, jednak mamy pewność, że potrafimy pomóc każdej bez wyjątku firmie w osiągnięciu zgodności z wymaganiami rozporządzenia GDPR oraz
bezproblemowym wdrożeniu zasad ochrony danych zgodnych z nowymi przepisami.

Autor: Kingston Technology Europe