Kolem GDPR (Nařízení evropského parlamentu a rady EU 2016/67, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů) již bylo napsáno hodně článků a rozborů, nicméně existuje mnoho mýtů, polopravd a omylů při vlastní implementaci požadavků tohoto nařízení. Odborníci na tuto problematiku se snaží tyto mýty vyvrátit a vysvětlit takovým způsobem, aby implementace požadavků GDPR byla, pokud možno, bezproblémová.
Tímto článkem jsem si dal za úkol vyvrátit alespoň jeden takový mýtus.
Jedním z mnoha, který se pohybuje kolem GDPR, je ten, že pokud si upravím dokumentaci, splním tak všechny požadavky plynoucí z tohoto nařízení, zkrátka budu mít hotovo a poté budu jen vyřizovat požadavky osob (splnění práva na informace, opravu osobních údajů, výmaz, …), nebo v případě nějakého úniku nahlásím požadované informace na Úřad pro ochranu osobních údajů a o víc se nemusím starat.
Opak je ale pravdou – GDPR je postaveno na rizikovém přístupu. Sice to v samotném textu nařízení přímo není zvýrazněno, ale pokud se zamyslíme nad článkem č. 24, musíme si uvědomit, že hodnocení rizik nutné je.
„S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením.“
Nařízení GDPR, na rozdíl od zákona č. 181/2014 Sb. o kybernetické bezpečnosti, přesně nedefinuje, jaké bezpečnostní opatření máme implementovat, přestože i zde je povinnost provést analýzu rizik. Musí se tedy najít vhodná metodika analýzy rizik a správné hrozby, které na ochranu osobních údajů v dané společnosti působí. V tomto případě doporučuji využít postupy definované v ČSN ISO/IEC 27005:2011 Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací, případně se dá použít metodika z předpisu č. 82/2018 Sb., vyhláška o kybernetické bezpečnosti.
Velkým problémem bude identifikace hrozeb, neboť zde vzhledem ke specifikům té které společnosti neexistuje jednotné univerzální řešení. Každá z nich čelí možná podobným, ale přesto zcela specifickým hrozbám. Na základě výsledků hodnocení těchto hrozeb se určí míra (hodnota) rizika způsobeného danou hrozbou. Pokud je tato hodnota vyšší než definovaná hodnota akceptace, je nutné přijmout bezpečnostní opatření snižující míru rizika.
První analýzu rizik doporučuji provést nad jednotlivými účely zpracování osobních údajů (v rétorice řízení rizik – aktivy) a nad základní bází hrozeb. Při opakované analýze rizik (je nutné tyto analýzy opakovat za účelem vyhodnocení účinnosti implementovaných bezpečnostních opatření) se báze hrozeb bude s největší pravděpodobností upravovat. Během provozování ochrany osobních údajů se totiž objeví hrozby, které jsme v průběhu první analýzy rizik neobjevili, a neuvědomili si tak jejich působení na osobní údaje. Postupovat by se proto mělo od jednodušší po podrobnější a složitější analýzu rizik, tedy dodržet cyklus PDCA (PDCA – z anglického plan-do-check-act, tedy naplánuj-proveď-ověř-jednej je iterativní, tj. opakující se cyklická metoda vedení založená na čtyřech základních krocích). Tuto metodu využívají společnosti, jejichž cílem je dosáhnout neustálého zdokonalování, které se týká například procesů, kvality výrobků, služeb, aplikací atd.
Nejde ale jen o hodnocení, ke správnému provozování požadavků GDPR je nutné rizika řídit a vyhodnocovat kontinuálně. Téměř denně se objevují nové typy útoků na informační systémy, dále zranitelnosti jednotlivých systémů včetně hardwarových chyb (vzpomeňme například na chyby v architektuře procesorů známé pod jmény Meltdown a Spectre). Tyto nové zranitelnosti a útoky musí někdo sledovat a vyhodnotit, zda je daná událost pro společnost relevantní. A pokud ano, je nutné tuto hrozbu zavést do systému řízení rizik, vyhodnotit míru rizika, kterou tato hrozba způsobuje, a pokud je vyšší, je nutné podniknout patřičné kroky, a to jak v rovině procesní, tak technologické.
Nutnost reagovat na nově zjištěné a zveřejněné zranitelnosti a typy útoků je tedy logicky na místě. Problémem může být, jakým způsobem se o těchto zranitelnostech můžeme dozvědět včas, a tak předejít případné katastrofě. Opět to není žádný složitý oříšek, vždyť v současnosti existují bezpečnostní portály, které tyto informace zveřejňují. Osobně odebírám informace o těchto útocích a zranitelnostech od minimálně těchto dvou poskytovatelů, které mohu doporučit. Jde o:
Navíc, nemusím jejich web navštěvovat opakovaně, ale díky RSS kanálu (RSS – RichSiteSummary je rodina formátů určených pro čtení novinek na webových stránkách a obecněji syndikaci obsahu) mi novinky chodí automaticky do poštovního klienta.
Jedním z největších bezpečnostních rizik je selhání lidského prvku, a to jak úmyslné, tak i neúmyslné (zmiňme nedávný omyl služby Ghostery). Do řízení rizik a především do systému bezpečnosti informací, tedy při implementaci technických a organizačních opatření, proto doporučuji nutnost zařazení tzv. systému budování bezpečnostního povědomí.
Pod tímto názvem není skryté nic více ani méně než práce s uživateli výpočetní techniky, a to nejen s těmi, co pracují s nejcitlivějšími daty a údaji, ale opravdu se všemi. Případný útočník se může do systému dostat totiž jakýmkoliv způsobem a zaútočit na jakoukoliv osobu. Většinou si vybírá ty nejméně zabezpečené koncové body a pokud možno i neznalé uživatele, které si lehce vytipuje pomocí jejich stopy v digitálním světě. Minimum, které může každá společnost dělat, je prosté pravidelné školení informační bezpečnosti – tedy informovat všechny uživatele o interních pravidlech používání výpočetní techniky včetně základních informací o typických útocích na koncové stanice – od projevů virové nákazy až po phishingové zprávy.
Praxe však ukázala, že pouhé školení nestačí a uživatele je nutné vzdělávat i za pomoci různých ukázek a testů, včetně kontroly reakcí na podvržené phishingové maily.
Pokud toto vzdělávání uživatelů doplníme vhodnými technickými bezpečnostními mechanismy, jako například systémem DLP (Data LostProtection) v režimu Protection či nějakým zařízením typu honeypod a sandbox, snížíme riziko selhání člověka v procesu bezpečnosti informací, ať už jde o neúmyslné chyby nebo částečně i úmyslné škodlivé činnosti.
Pevně věřím tomu, že mnoho společností již systém řízení rizik, tedy kontinuální hodnocení rizik a reakce na tato rizika, má již zavedený a bude tedy jednoduché do tohoto systému zavést i požadavky GDPR. Konkrétně rozšířit registr aktiv o datová aktiva obsahující osobní údaje, identifikovat další hrozby, které jsou relevantní pro porušení ochrany osobních údajů, včetně nového průchodu analýzy rizik a přehodnocení implementace bezpečnostních mechanismů.
Druhá (osobně doufám, že menší) skupina společností bude muset tento systém teprve zavést, tedy pokud si svých dat a informací cení a chce se otázkou bezpečnosti intenzivně zabývat. Zpočátku to sice bude hodně práce, ale pokud se daná firma domluví s někým, kdo má notnou praxi a předmětné problematice rozumí, nemusí to být tak složité. Případný poradce může společnosti poskytnout metodickou pomoc – naimplementovat celý systém ale nedokáže, neboť nezná firemní procesy a neví, jaká data firma zpracovává a jakou jim přisuzuje hodnotu. Dokáže vás ale tímto procesem provést tak, abyste žádný krok nevynechali a nevydali se špatnou cestou. Vlastní systém řízení rizik si díky jeho pomoci pak dokážete nastavit tak, aby vyhovoval procesům vaší společnosti a neboural již fungující informační toky.
Zbyněk Malý, Senior Security Consultant společnosti ANECT
