Publikace o GDPR zodpovídá 10 základních otázek

Dodavatel řešení bezpečnosti v podnikových sítích, doporučuje SMB podnikům v souvislosti s nařízením GDPR, jež vejde v platnost v roce 2018, nepropadat zbytečné panice a využít technických prostředků k rozumnému posílení integrity svých dat a podnikových sítí.

Publikace Co jste chtěli vědět o GDPR a nestačili se zeptat, k tématu GDPR, poskytuje odpověď na nejčastější dotazy:

  • Kdy vstoupí GDPR nařízení v platnost?

25. května 2018.

  • Jak je zákonné nařízení GDPR rozsáhlé?

GDPR obsahuje 11 kapitol, 99 článků a 173 bodů odůvodnění.

  • Koho se týká?

GDPR nařízení se povinně týká všech organizací, které uchovávají, řídí a zpracovávají osobní data občanů Evropské unie.

  • Co se stane v případě jejího porušení?

Organizace obdrží pokutu za nedodržení nařízení, která může dosáhnout až 4 % z globálního obratu do maximální výše 20 milionů EUR.

  • Kdo rozhoduje o případné výši pokuty?

Úřady pro ochranu osobních údajů či podobné instituce v jednotlivých členských zemích EU.

  • Co je třeba udělat v případě úniku dat?

Vedle zjednání nápravy patří mezi nové povinnosti ohlášení úniku dat do 72 hodin od prvního zjištění.

  • Jak je to s ochranou dat v cloudu?

V cloudových či hybridních IT prostředích se zodpovědnost za splnění GDPR nařízení dělí mezi poskytovatele cloudu a jejich zákazníky.

  • Máme propadnout panice?

Určitě ne. Hlavním účelem nového zákona není šikana firem a organizací, ale posílení ochrany osobních dat v souvislosti se stále zvyšujícími se hrozbami jejich zneužití.

  • Jak se na GDPR připravit?

Zjistěte si, zda a jak v minulosti u vás došlo k nějakým únikům dat, analyzujte slabá místa a otestujte svou aktuální úroveň zabezpečení IT infrastruktury.

  • Jaká technická řešení máme nasadit?

Na základě výsledků své analýzy zvažte následující opatření:

  • Šifrování dat – Je základním technickým GDPR opatřením, a to jak pro data uložená na v podnikové síti, tak pro data během přenosu. Šifrování dat uložených na přenosných zařízeních je možné spravovat s pomocí „end point security“ řešení.
  • Správa přístupu – Řízení přístupu do podnikové sítě je klíčovým bezpečnostním prvkem, které zamezuje zneužití identity a přístupových údajů.   
  • Zajištění integrity sítě – Prostřednictvím síťových firewallů, webového monitoringu, a řešení pro detekci zranitelností a centralizovanou aktualizaci softwaru.
  • Zabezpečení elektronické pošty – Díky řešením pro skenování malwaru včetně nastavení a vynucování firemních pravidel proti náhodným či záměrným únikům dat prostřednictvím e-mailů.
  • Reakce na incidenty – S využitím řešení pro monitoring událostí a detekci bezpečnostních incidentů, které poskytují jak rychlou reakci na možné napadení, tak evidenci událostí k pozdějšímu prošetřování.
  • Auditování a reporting – Prostřednictvím nástrojů pro testování, hodnocení a zvyšování úrovně ochrany podnikových sítí požadovaných zákonem GDPR.

„V roce 2018 nás čeká dlouho ohlašovaný příchod nařízení GDPR, které bylo v letošním roce hlavním tématem mnoha odborných konferencí, článků a často katastrofických předpovědí,“ řekl Zdeněk Bínek, zodpovědný za prodej řešení GFI Software v České republice a na Slovensku. „SMB společnosti by určitě neměly GDPR podceňovat, na druhou stranu dnes jsou k dispozici procesy a nástroje umožňující doplnit stávající zabezpečení bez nutnosti naddimenzovaných investic. V této souvislosti GFI Software připravuje cenová zvýhodnění na balíčky produktů a služeb zaměřených na pokrytí požadavků GDPR.“ 

Autor: Petr Smolník, šéfredaktor

Další bezpečnostní problém - root heslo

Apple se nepoučil z předchozího problému s hesly a hackerům nevědomky nabídl další možnost k páchání kybernetického zločinu. Nové bezpečnostní riziko se navíc dočkalo velkého ohlasu, a to i díky prvotnímu zveřejnění informaci na Twitteru.

Výchozí heslo uživatele root je…

Ve verzi MacOS (High Sierra, aktuálně 10.13.1), lze velmi snadno získat heslo uživatele root – tedy administrátora s nejvyššími oprávněními. Průměrný počet pokusů nutných k odhalení tohoto hesla je … JEDEN.

Ve skutečnosti vlastně není heslo vůbec nutné zjišťovat, protože v daný okamžik je už známé, je totiž prázdné. Postup ke zneužití uvedeného bezpečnostního problémů je velmi snadný - stačí se přihlásit jako uživatel root bez vyplněného hesla.

Z dostupných informací lze předpokládat, že společnost Apple se vůbec neobtěžovala heslo pro uživatele root nastavit. Důvodem může být fakt, že při běžných aktivitách není tento účet využíván. Místo něj si majitelé počítače obvykle vytváří jeden nebo více běžných účtů s právy administrátora – v případě potřeby stačí zadat vlastní heslo a provést požadovanou činnost. Teoreticky jde o vcelku dobrý bezpečnostní mechanismus, protože jako administrátor nemusí být uživatel přihlášený po celou dobu práce s počítačem, není nutné sdílet jedno heslo mezi více správci a díky jasnému provázání provedených kroků s konkrétním uživatelem je zodpovědnost každého z administrátorů obvykle o něco větší,“ konstatuje Patrick Müller, Channel Account Executive pro Českou republiku a Slovensko ve společnosti Sophos.

Zneužití tohoto bezpečnostního incidentu je v praxi naštěstí složitější. Pokud je například účet root na počítač aktivní a má vyplněné heslo, bez jeho znalosti se neobejdete. Ideální je, pokud k nastavení hesla dojde již během instalace systému a má náhodnou podobu a nikdo jej tedy nezná. Výhodou tohoto přístupu je snadnější zamezení nežádoucím situacím, jako je například náhodné použití administrátorského hesla při běžné práci. Pokud uživatel root heslo nastavené nemá, je vhodné tento účet nastavit tak, aby neumožňoval přihlášení – bez ohledu na to, kolik a jaké způsoby kybernetičtí zločinci pro pokus o získání přístupu pod uživatelem root vyzkouší.  

Existuje řešení?

Bezpečnostní problém MacOS je sice závažný, ale není nutné propadat panice. Stačí pro uživatele root nastavit dostatečně silné heslo, které nikdo jiný nezná a nelze jej odvodit nebo uhádnout. Samotná kontrola aktuálního stavu a zajištění nápravy je tak velmi snadná. Stačí otevřít Terminál, zadat passwd root a třikrát stisknout klávesu Enter. Není nutné mít z tohoto postupu obavy, pokud již nějaké heslo pro uživatel root existuje, k jeho změně nedojde.

$ passwd root

Old Password: [stiskněte Enter – žádné heslo nezadávejte]

New Password: [ještě jednou stiskněte Enter, opět bez zadání hesla]

Retype New Password: [a do třetice …]

Pokud již heslo existuje a není prázdné, bude o tom systém informovat hláškou:

passwd: authentication token failure

Tato zpráva je důkazem, že je vše v pořádku a popisovaný bezpečnostní problém se takového počítače netýká (protože účet root s heslem již existuje).

Pokud po třetím stisknutí klávesy Enter ke zobrazení uvedené zprávy nedojde, heslo pro uživatel root je prázdné a je nutné jej změnit. Opět to není nic těžkého, stačí zopakovat již vyzkoušený postup. Jen součástí druhého a třetího kroku je zadání nového – a dostatečně silného – hesla.

Nicméně, pokud žádnou zprávu nevidíte, vaše základní heslo bylo a stále je nevyplněné, což znamená, že je nutné jej změnit:

$ passwd root

Old Password: [stiskněte Enter – žádné heslo nezadávejte]

New Password: ****** [zadejte heslo a stiskněte Enter]

Retype New Password: ****** [zopakujte heslo a stiskněte Enter]

A to je vše, nyní již heslo pro účet root existuje.

Vlastně ani není nutné si nové heslo pamatovat. Nelze ale zadávat úplné nesmysly, heslo z druhého a třetího kroku se totiž musí shodovat. I nadále je možné počítač spravovat pomocí běžného účtu s administrátorskými oprávněními – samozřejmě až po zadání hesla spojeného právě s tímto „běžným“ účtem.

Autor: Petr Smolník, šéfredaktor

Unikla vám data? Připravte se na ohlašovací povinnost!

logo GDPR

Jakou další velkou změnu přinese nařízení GDPR? Jde o povinnost ohlašovat narušení bezpečnosti zpracovávaných dat, souhrnně tzv. data breaches. Spadají sem případy zničení, ztráty, změny, neoprávněného poskytnutí nebo zpřístupnění zpracovávaných osobních údajů.

České právo tuto povinnost ukládalo jen sektoru telekomunikačních sítí a internetových služeb, nyní se bude vztahovat na všechny správce osobních údajů. Pro drtivou většinu správců půjde o naprostou novinku a další administrativní zátěž, na kterou je třeba se připravit.

Povinnost informovat bude mít správce (firma nebo jakákoliv instituce) vůči Úřadu pro ochranu osobních údajů (ÚOOU) a také vůči subjektům, jejichž data zpracovává, typicky občanům. Vůči ÚOOU se ohlašovací povinnost vztahuje na všechna porušení zabezpečení osobních údajů až na výjimky, kdy je nepravděpodobné, že by mohlo dojít k ohrožení práv a svobod dotčených osob. Typicky jsou to úniky už veřejně dostupných údajů nebo údajů bezpečně zašifrovaných.

eva 150x150

Ohlašujte bez odkladů

Ohlášení by měl správce provést bez zbytečného odkladu, maximálně do 72 hodin od chvíle, kdy se o něm dozvěděl. Pozdější ohlášení musí být důsledně odůvodněno. Pravděpodobně by obstál například argument o souhrnném ohlášení většího počtu identických úniků dat, například v důsledku více vln hackerských útoků.

Správce by měl popsat povahu porušení, uvést, jaké kategorie údajů byly zasaženy a kolika osob se situace týká. Je potřeba uvést kontaktní místo v rámci vlastní organizace, se kterým bude moci ÚOOU komunikovat a které by mělo mít veškeré dostupné informace. Pracuje-li ve vaší organizaci pověřenec pro ochranu osobních údajů (DPO), bude právě on touto kontaktní osobou. Správce by měl úřad dále obeznámit s pravděpodobnými důsledky porušení a s popisem nápravných opatření, která za účelem zmírnění těchto důsledků přijal.

Veškeré případy se musí dokumentovat

Nařízení GDPR počítá s tím, že správce nebude mít všechny informace dostupné během požadované doby nebo přesně vyčíslené. Proto umožňuje, aby informace byly poskytovány postupně. Je však třeba v této fázi udržovat maximální komunikaci s ÚOOU a o situaci úřad průběžně informovat. Veškeré případy porušení bude muset správce dokumentovat, spolu s jejich důsledky a přijatými nápravnými opatřeními.

O trochu méně přísnosti, ale…

Ohlášení konkrétním osobám je, naštěstí pro správce, méně přísné. O porušení ochrany osobních údajů musí správce informovat jednotlivé subjekty pouze v případech, kdy pro jejich práva bude porušení znamenat vysoké riziko. Má se tak předejít příliš častému obtěžování občanů zbytečnými a pro mnohé matoucími ohlášeními. Nutno dodat, že praxe jistě uvítá osvětlení hranice mezi „vysoce rizikovým“ a „obyčejným“ porušením. Snad se toho dočkáme díky vysvětlujícím stanoviskům WP29 či rozhodovací praxe evropských dozorových úřadů. Do té doby doporučujeme o porušení, které by se mohlo vykládat jako vysoce rizikové, pro jistotu občany informovat.

Organizace by se měly důkladně připravit na to, že v případě úniku dat jednotlivých osob budou muset kontaktovat v některých případech až statisíce osob, což může firmu snadno paralyzovat.

Míra rizikovosti konkrétního porušení se bude stanovovat hned podle několika kritérií. Záležet bude především na tom, jaké osobní údaje byly postiženy, v jakém množství, jakých subjektů se týkají, jakým způsobem byly chráněny, za jakým účelem byly zpracovávány a konečně jaká je pravděpodobnost jejich zneužití.

Ohlášení konkrétním občanům by měl správce opět provést bez zbytečného odkladu, a to jasným, srozumitelným a transparentním způsobem. Ohlášení by tak mělo být samostatnou zprávou, jejíž obsah bude „osobě průměrného rozumu“ pochopitelný. Nedoporučujeme ohlášení spojovat s jakýmkoliv jiným nesouvisejícím obsahem, například nabídkou služeb a produktů. Za ideální způsob komunikace doporučujeme e-mail, SMS či jiný přímý kontakt. Správce by však vždy měl zvolit takové prostředky, aby šance na předání informace byla maximální, a to i kdyby měl komunikačních kanálů zvolit více. Pokud nejde konkrétního člověka kontaktovat přímo, lze využít i ohlašování v médiích či na jiných veřejně přístupných informačních kanálech.

Prověřte vnitřní procesy, proškolte zaměstnance

Aby organizace dokázala minimalizovat výše popsaná rizika, musí dopředu přizpůsobit své vnitřní procesy a proškolit zaměstnance. Sebeúčinnější systém nakládání s osobními údaji nikdy zcela nevyloučí případy porušení zabezpečení osobních dat. Zda firma v tomto ohledu obstojí, bude záležet především na míře jejího přehledu a kontroly nad systémem zpracovávání osobních údajů tak, aby každé narušení bylo co nejdříve a co nejpřesněji zjištěno, zdokumentováno a ohlášeno. Organizace by neměly zapomínat ani na finanční postih. Následky neplnění ohlašovací povinnosti budou zásadní. Pokuty mohou dosahovat až 10 milionů eur nebo dvou procent správcova celosvětového ročního obratu.

Mgr. Eva Škorničková, www.gdpr.cz