Regulamentul General privind Protecţia Datelor (GDPR sau Regulamentul) a generat foarte multă atenţie în ultimul timp atât în România cât şi în alte ţări din Uniunea Europeană. Nu este o reacţie neaşteptată, ţinând cont de cuantumul amenzilor care pot fi aplicate – respectiv, până la 4% din cifra globală de afaceri sau 20 milioane de euro.
De altfel, aceasta a fost şi intenţia legiuitorului având în vedere că principiile şi obiectivele legislaţiei precedente, deşi solide, nu mai sunt suficiente pentru a reduce riscurile legate de nerespectarea unui drept fundamental în Uniunea Europeană - dreptul la protecţia datelor cu caracter personal - într-un moment în care colectarea, procesarea şi transferul acestora a evoluat rapid datorită tehnologiei şi globalizării economiei.
Acest articol este adresat în principal specialiştilor din zona de securitate a informaţiei, dar este relevant şi pentru alte departamente sau structuri de conducere din cadrul unei companii, deoarece GDPR are implicaţii în cea mai mare parte a unei organizaţii - juridic, IT, conformitate, marketing, financiar, resurse umane, audit intern, etc.
Din punct de vedere al securităţii informaţiei, GDPR menţionează că datele cu caracter personal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea şi confidenţialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizării neautorizate a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare, o secţiune întreagă fiind dedicată doar acestui subiect.
Aşadar, Regulamentul este relevant pentru directorul departamentului de securitate a informaţiei (CISO) cel puţin pentru trei aspecte:
i) promovarea şi sprijinul pentru asigurarea securităţii datelor cu caracter personal pe toată durata existenţei acestora în companie (din momentul colectării lor, pe parcursul utilizării/procesării acestora, cât şi al păstrării/arhivării, şi până la transferul, ştergerea/distrugerea acestora),
ii) asistenţa în procesul de notificare al încălcării securităţii datelor cu caracter personal, şi
iii) coordonarea echipei de intervenţie în cazul producerii unor incidente care afectează securitatea informatică.
De asemenea, controalele, procesele, echipamentele şi aplicaţiile legate de securitatea informaţiei sunt strâns legate de protecţia datelor cu caracter personal – securitatea datelor cu caracter personal fiind un element a securităţii informaţiilor. Iar acestea se află în responsabilitatea CISO. Deşi poate părea simplu, în realitate, procesul de implementare a cerinţelor GDPR este unul foarte complex. Acest fapt, care este deja recunoscut la nivel european, este cu atât mai complicat pentru România, unde suntem la început de drum: România nu a avut o legislaţie în domeniul securităţii informaţiilor, cu excepţia unor reglementari sectoriale, şi ca atare atenţia a fost limitată la minimul necesar dat de incidentele detectate.
De asemenea - şi din păcate - investiţiile în domeniul securităţii informaţiilor sunt impulsionate în principal de cerinţele de reglementare, situaţie confirmată şi de studiul comun „Securitatea într-o lume digitală” realizat la începutul anului 2017 de către PwC şi Microsoft România, cât şi de multe alte analize realizate la nivel internaţional.
Astfel, deşi au existat în trecut investiţii în infrastructură şi aplicaţii, principalele priorităţi la data studiului au fost investiţiile în capacitatea de a restabili disponibilitatea datelor şi accesul la acestea în timp util în cazul unui incident (disaster recovery), managementul identităţilor şi accesului (IAM) şi soluţii de prevenire a pierderilor de date (DLP) – toate cu impact direct în GDPR (secţiunea 2, articolul 32 – securitatea prelucrării datelor cu caracter personal). Şi dacă acestea sunt priorităţile societăţilor mari, în cazul societăţilor mici şi mijlocii – multe din ele furnizori sau clienţi – situaţia este şi mai complicată.
Deficitul personalului specializat, stadiul de dezvoltare al ecosistemului de servicii suport, al capacităţii de a face schimb de informaţii şi de bune practici, dar şi cel al conştientizării scăzute a riscurilor cibernetice la nivelul angajaţilor şi al conducerii companiilor, reprezintă realitatea de azi din România şi punctul de plecare al implementării GDPR până în 25 mai 2018.
Iar GDPR nu aduce un set standard de controale şi nu impune un anumit cadru în domeniul securităţii, dar stabileşte principii importante care impun o analiză de risc şi o strategie care trebuie implementată în mod consecvent, ideal pe baza unei taxonomii recunoscute pentru a reduce probabilitatea ca o autoritate de reglementare să le considere inadecvate.
Analiza privind securitatea informaţiilor din GDPR include evaluarea riscurilor pe care le prezintă prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, în mod accidental sau ilegal, care pot duce în special la prejudicii fizice, materiale sau morale, etc.
Un accent special trebuie pus pe evaluarea riscurilor inerente prelucrării datelor cu caracter personal şi pe implementarea unor măsuri pentru atenuarea acestor riscuri, cum ar fi, de pildă, criptarea datelor. Aceste măsuri trebui să asigure un nivel corespunzător de securitate, şi inclusiv de confidenţialitate, luând în considerare gradul de conformitate faţă de normele de protecţie a datelor, cât şi costurile de implementare în raport cu riscurile şi cu natura datelor cu caracter personal a căror protecţie trebuie asigurată.
Exemple de matrice de controale şi ghiduri de analiză a maturităţii se pot regăsi atât la nivelul standardelor general acceptate la nivel internaţional – cum sunt ISO 27001, COBIT 5, NIST framework– cât şi la nivel sectorial – de exemplu, normele Autorităţii de Supraveghere Financiară, Băncii Naţionale a României, etc. Complexitatea controalelor trebuie însă să fie proporţională cu riscurile identificate iar măsurile implementate trebuie sa fie aliniate strategiei în domeniul securităţii informaţiei adoptate de către conducerea societăţii şi documentate în mod corespunzător pentru a permite autorităţilor să le înţeleagă şi să le analizeze. Un model ridicat de maturitate este un model în care strategia şi politicile sunt definite şi aprobate, implementate, evaluate şi îmbunătăţite în mod regulat.
Documentaţia este doar începutul – sistemele implementate, resursele umane, utilizarea terţilor – trebuie să corespundă strategiei adoptate şi documentate. Nu în ultimul rând va trebui elaborată şi implementată o procedură de comunicare cu noii utilizatori ai informaţiilor - conducerea societăţii, ofiţerul responsabil pentru protecţia datelor cu caracter personal şi după caz, autoritatea de supraveghere.
Trebuie menţionat că GDPR solicită ca în cazul în care riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile şi al costurilor implementării, autoritatea de supraveghere ar trebui să fie consultată înainte de începerea activităţilor de prelucrare. Un astfel de risc ridicat este susceptibil să fie generat de anumite tipuri de prelucrare, precum şi de amploarea şi frecvenţa prelucrării, care pot duce şi la producerea unor prejudicii sau pot atinge drepturile şi libertăţile persoanelor fizice.
În aliniere cu zona de procese, componenta de tehnologie joacă un rol critic în susţinerea conformităţii cu GDPR. În primul pas, acela al identificării datelor cu caracter personal şi a surselor aferente, pot fi folosite cu succes tehnologiile Microsoft din suita Enterprise Mobility and Security, întrucât aici se poate realiza catalogarea aplicaţiilor existente şi folosite cu ajutorul Azure AD App Catalog, restricţionarea granulară a accesului la aplicaţii cloud neaflate în gestiunea departamentului IT cu ajutorul Cloud App Security, în timp ce identificarea automatizată a datelor cu caracter personal se realizează cu ajutorul Azure Information Protection. În plus, Microsoft Intune administrează securitatea dispozitivelor mobile şi identifică aplicaţiile mobile cu un factor de risc pentru integritatea dispozitivului. Un rol foarte important îl joacă şi capabilităţile de Advanced eDiscovery din Office 365 care foloseşte puterea instrumentelor de Machine Learning pentru a învăţa sistemul cum să caute inteligent şi eficient în volume foarte mari de date.
Secţiunea 2 a GDPR (Securitatea datelor cu caracter personal) stabileşte că operatorul şi persoana împuternicită de acesta au obligaţia să implementeze măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
a) pseudonimizarea şi criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
d) un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.
Cum putem asigura pseudonimizarea datelor, dar şi securitatea by design and by default? La nivel de baze de date, Microsoft, SQL vine cu o funcţionalitate care identifică automat datele cu caracter sensibil prin Dynamic Data Masking - DDM. În plus, autentificarea şi autorizarea accesului în SQL sunt procese distincte care se realizează făcând uz de acelaşi DDM, care maschează datele pentru acei utilizatori ai aplicaţiei care nu ar trebui sa aibă acces la ele.
Atunci când avem de-a face cu date care nu fac momentan obiectul unei tranzacţii, date at rest, componentele de Transparent data encryption criptează bazele de date, backup-urile asociate, dar şi log-urile de tranzacţie la nivelul storage-ului fizic.
Când lucram însă cu date aflate în tranzit, componenta de Transport Layer Security (TLS) le protejează prin conexiunile la bazele de date SQL
La evaluarea nivelului adecvat de securitate, se ţine seama cel puţin de:
- stadiul actual al dezvoltării in domeniul tehnologiilor de securitate
- costurile implementării
- natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice.
In mod special, sunt menţionate riscurile prezentate de prelucrare, generate, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
Un alt aspect cheie al GDPR este notificarea autorităţii de supraveghere în cazul încălcării securităţii datelor cu caracter personal care, chiar dacă nu este explicit în obligaţia CISO, depinde semnificativ de informaţiile furnizate de acesta şi departamentul de securitate al informaţiei.
Astfel, dacă este posibil, notificarea trebuie sa fie realizată în termen de cel mult 72 de ore de la data la care s-a luat la cunoştinţă de încălcarea securităţii datelor cu caracter personal (cu anumite excepţii), notificarea urmând să descrie:
- caracterul încălcării securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ al persoanelor vizate în cauză;
- categoriile şi numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
- consecinţele probabile ale încălcării securităţii datelor cu caracter personal;
- măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securităţii datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
Aceste acţiuni nu pot fi posibile fără instrumente de urmărire pentru log-urile de audit. Plecând de la banala autentificare în Active Directory - AD, există tool-uri de monitorizare a tentativelor de sign-in, locaţiilor de sign-in şi a politicilor de acces. ATA sau Advanced Threat Analytics determină imediat şi alertează asupra unui breach, monitorizând atât traficul cu exteriorul organizaţiei, cât şi pe cel din interiorul reţelei. Auditarea log-urilor se întâmpla atât la nivelul suitei de productivitate Office 365, cât şi la nivel de SQL Database şi SQL Server, pentru că se monitorizează atât activităţile curente, cât şi cele trecute, pentru a identifica ameninţările potenţiale şi încălcări ale regulilor de Securitate. În plus, SQL Server Threat Detection foloseşte un set de algoritmi inteligenţi prin care învaţă comportamentul standard şi detectează imediat orice abatere în fluxurile de date.
De asemenea, operatorul trebuie să păstreze documente referitoare la toate cazurile de încălcare a securităţii datelor cu caracter personal, care cuprind o descriere a situaţiei de fapt în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse.
Nu în ultimul rând, compania are obligaţia informării persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal.
Toate aceste obligaţii, nu se pot realiza însă fără investiţii, inclusiv în resurse umane, fără un efort de a aduce la zi sistemele / aplicaţiile utilizate, evaluări periodice ale riscurilor şi vulnerabilităţilor, fără instruirea şi informarea angajaţilor, fără un plan adecvat şi testat de continuitate a activităţii, sau fără un plan testat de răspuns în situaţii de criză datorate incidentelor informatice.
Mai multe informaţii în legătură cu reglementările GDPR se regăsesc aici.
Acest material editorial face parte dintr-o campanie pe tema Regulamentului General privind Protecţia Datelor realizată de Microsoft cu sprijinul Ziarului Financiar.
