What’s next.

GDPRCo powinieneś wiedzieć

o ogólnym rozporządzeniu o danych osobowych?

Spis treści04

Co CIO musi wiedzieć o RODO?

08 Unijna reforma ochrony danych osobowych – istotna zmiana, czy tylko zmiany kosmetyczne?

10Podejście Microsoft do implementacji RODO

12 Usługi doradcze w zakresie prywatności oferowane przez firmę Cisco: Ogólne rozporządzenie o ochronie danych

14 Badanie Trend Micro i VMware: ponad połowa polskich firm nie słyszała o rozporządzeniu GDPR

16 GDPR i nowe wyzwania cyberbez-pieczeństwa … przemyślenia eksperta Dimension Data

18Potrzeba podjęcia odpowiednich środków

20 Przygotowanie do wejścia w życie ogólnego rozporządzenia o ochronie danych

22 Komentarz Veeam Software na temat GDPR dla CIONET

23 Zarządzanie i ochrona informacji w kontekście GDPR

2

Przed nami jeszcze rok na przygotowania, a RODO już staje się

najbardziej znienawidzonym akronimem XXI wieku. Wydaje się, że

mamy idealny przykład tego, jak strategia FUD (Fear, Uncertainty,

Doubt) może działać w skali makro.

RODO jest daleko idącym aktem prawnym – nie pamiętam regulacji

wywołującej tak duże i bezpośrednie skutki biznesowe, organiza-

cyjne i technologiczne. Z drugiej strony rynek zalewają uproszczo-

ne komunikaty i narracje nastawione na wywołanie strachu, w pod-

tekście zachęcające do szybkiego nabywania usług, które strach ten

mają stłumić. Jak z każdą łatwą receptą na życie – ładnie wygląda,

ale niekoniecznie działa.

 

Z całą pewnością RODO jest rzeczywistością już teraz i już teraz

każda organizacja musi się z tą rzeczywistością zmierzyć. Każda na

swój sposób, stosownie do własnej specyfiki. Tymczasem, spectrum

postaw różnych organizacji wobec RODO jest szerokie, od zupeł-

nej nieświadomości, poprzez ignorowanie lub kwestionowanie

zmieniającej się rzeczywistości i związanych z tym zagrożeń, aż po

skrajną RODO-fobię. Gdzieś pomiędzy są organizacje, które starają

się sukcesywnie, ale też ostrożnie dostosowywać do nowych wy-

magań, śledząc jednocześnie rozwój sytuacji. Najprawdopodobniej

te organizacje nie przeinwestują, ani też nie pozwolą się zaskoczyć.

 

Dostosowanie procesów ochrony danych i ich przetwarzania wy-

maga czasu, zasobów i przede wszystkim jak najszerszego zaanga-

żowania organizacji w proces transformacji do standardów RODO.

To ważne, bo RODO wymaga transformacji organizacji jako całości

i wbudowania w jej DNA dbałości o prywatność. Z tego powodu

procesu dostosowania nie da się zlecić na zewnątrz, tak jak nie da

się wyoutsourcować w całości działań związanych z zapewnieniem

bezpieczeństwa. We wdrożeniu RODO można zatem pomóc, ale nie

można wyręczyć. Nie istnieje dostawca, który jednym ruchem do-

starczy magiczne rozwiązanie, wszelkie kłopoty usuwające. Żaden

dostawca nie zdoła poznać organizacji tak jak osoba z wewnątrz,

dlatego taki dostawca może wspierać, konsultować, doradzać, jed-

nak na końcu tego procesu to organizacja zdoła lub nie zdoła do-

stosować się do nowych zasad gry.

 

Przetwarzanie danych osobowych jest i będzie kluczową potrzebą

współczesnego biznesu. Nie możemy zapomnieć, że nadmiernie

asekuracyjne podejście może utrudniać a nawet blokować roz-

wój. Jak to ładnie ujął prawie sto lat temu John A. Shedd „A ship

in harbor is safe, but that is not what ships are built for”. Wygrają

podmioty, które będą potrafiły znaleźć rozsądną równowagę mię-

dzy dążeniem do realizacji celów biznesowych, a zgodnością z wy-

maganiami prawa. Takie, które będą płynąć dalej zgodnie z obraną

strategią i korzystnymi prądami, ale jednocześnie zrobią wszystko,

żeby nie dać się zatopić. Przegrają ci, którzy zostaną w porcie lub

wypłyną nieprzygotowani.

 

W świecie strategii FUD liczy się wiedza i odpowiednie decyzje.

Konieczne jest budowanie świadomości, co dla organizacji jest

groźne, a następnie zlokalizować skuteczne i optymalne dla bizne-

su metody  zapewnienia ochrony przed tymi zagrożeniami. RODO

przetestuje te umiejętności jak mało który akt prawny. I trzeba

przyznać, że choć przymusowe, będzie to najwyższej klasy wy-

zwanie intelektualne.

Mec. Marcin Maruta Jeden z najlepszych w Polsce ekspertów w zakresie prawa nowych technologii i własności intelektualnej. Nadzorował największe kontrakty technologiczne w Polsce, posiada ponad 20 lat doświadczenia w doradztwie dla dostawców i klientów sektora ICT.

3

Co CIO musi wiedzieć o RODO?

Sławomir Kowalski, Senior Associate w kancelarii Maruta Wachta sp. j.

Co CIO musi wiedzieć o RODO?

4

Rozporządzenie ogólne o ochronie danych

osobowych zacznie obowiązywać 25 maja

2018 r. Tego dnia obudzimy się w nowej

rzeczywistości ochrony danych osobowych

- dużo bardziej wymagającej i dużo mniej

przyjaznej, także dla działów informatyki

i CIO. Oto co nas czeka.

Po pierwsze kary finansowe – to na gruncie

polskim nowość. Obecnie za brak zgodności

z ustawą nie zapłacimy ani złotówki, w rze-

czywistości RODO ryzykujemy nawet 20 mln

EUR lub 4% całkowitego rocznego świato-

wego obrotu. Dotychczas zaniedbany przez

wiele organizacji obszar stanie się obszarem

ryzyka, które trudno będzie bagatelizować.

Po drugie zupełnie nowe wymagania –

jeśli organizacja przetwarza dane osobowe

zgodnie z aktualnymi regulacjami, to i tak

będzie musiała wykonać dużo dodatkowej

pracy. Jeśli w obszarze ochrony danych nie

zrobiła dotychczas nic, to będzie musiała

wdrożyć terapię szokową i mocno zająć się

tematem, jeśli nie chce się znaleźć w grupie

tych co nie zdążą. A jak prognozuje Gartner

nie zdąży 50% dużych firm.

Po trzecie nowe, oparte na ryzku podej-

ście – koniec z jednolitym traktowaniem

wszystkich przetwarzających. Im bardziej

ryzykowne procesy przetwarzania danych,

tym bardziej trzeba będzie o nie zadbać.

Jeśli przedsiębiorca opiera swój biznes na

przetwarzaniu danych, będzie musiał zrobić

dużo więcej niż ten, który dane przetwarza

jedynie pomocniczo. Jeśli ktoś uważa, że

danych osobowych nie przetwarza wcale,

cóż – jest w błędzie.

Po czwarte brak twardych wytycznych

– nie będzie już odgórnych, w miarę jed-

noznaczych (choć mało aktualnych) wy-

tycznych jak zmiana hasła co 30 dni. Na

podstawie analizy ryzyka uwzględniającej

takie czynniki jak rodzaj danych, skalę

i cel przetwarzania oraz jego kontekst,

trzeba będzie opracować dedykowaną

strategię obejmującą m.in. adekwatne

mechanizmy zabezpiecza-

jące. Nasza decyzja – nasza

odpowiedzialność.

Po piąte privacy by design

i privacy by default – ko-

nieczność nieustannego

dbania o prywatność i wyka-

zywania inicjatywy w kierun-

ku jak najlepszej jej ochrony.

Na każdym etapie procesu od

planowania, poprzez projek-

towanie sposobu działania,

aż po operacyjne stosowa-

nie, trzeba będzie uwzględ-

niać perspektywę ochrony

prywatności. Powszechne

obecnie podejście, polegające na uzyskaniu

możliwie szerokiego zakresu danych (a nuż

się przyda) i ich przetwarzaniu w sposób

maksymalizujący korzyści (bo czemu nie)

raczej się nie sprawdzi w czasach RODO.

Po szóste rozliczalność – trzeba będzie

wykazać, że rzeczywiście przestrzegamy

RODO. Aktualne na dziś polityki mogą nie

wystarczyć – bo z reguły są pisane na spo-

kojne czasy, w których zgodność z checkli-

stą w jest w praktyce zgodnością z prawem.

Rozliczalność natomiast wymaga wykazania,

że polityki przetwarzania danych są żywe,

z realną egzekucją i realnymi środkami wy-

muszania wewnętrznego podporządkowa-

nia organizacji zasadom ochrony danych.

Po siódme zarządzanie dostawcami –

zgodnie z RODO nie będzie można zlecać

przetwarzania niezweryfikowanemu pod-

miotowi. Dopuszczalne będzie korzystanie

tylko z takich dostawców, którzy gwarantują,

że przetwarzanie przez nich danych będzie

bezpieczne i zgodne z prawem. Trzeba bę-

dzie sprawdzić obecnych dostawców i za-

dbać o to, żeby w przyszłości wybierać tylko

takich, którzy zapewniają stabilność i bezpie-

czeństwo na odpowiednim poziomie.

Po ósme budowanie świadomości – klucz

do zgodności z RODO. Musimy wiedzieć

kto, co i dlaczego przetwarza, komu prze-

kazuje, od kogo i na jakiej podstawie dosta-

je. Bez tego ani rusz. Najlepsze procedury

i systemy nie uratują organizacji, która nie

ma pełnej świadomości tego, co robi z da-

nymi osobowymi.

Po dziewiąte umacnianie kultury organi-

zacyjnej – uniknięcie bolesnej konfrontacji

z RODO wymaga wykształcenia wrażliwo-

ści na ochronę prywatności u osób, które

przetwarzają dane. Generalnie wszystkich,

chociaż najważniejsze, aby taką wrażliwość

miały osoby zarządzające procesami prze-

twarzania danych i decydujące o nowych

sposobach ich wykorzystania. W głównej

mierze od tych osób zależy czy nasza orga-

nizacja okaże się RODO-proof.

Po dziesiąte mocne przełożenie na ob-

szar IT i systemy informatyczne – brak

konkretnych wytycznych odnoszących

się do IT może powodować błędne i nie-

bezpieczne wrażenie, że tego obszaru nie

trzeba będzie dostosować do RODO.

Tymczasem, wymagania dla IT są pochod-

ną innych wymagań, jakie przetwarzający

dane będą musieli spełnić. Realizacji czę-

ści obowiązków wynikających z RODO

po prostu nie sposób sobie wyobrazić

bez sprawnie działającego i odpowiednio

przygotowanego IT.

5

Obowiązek zapewnienia bezpieczeństwa

danych osobowych, poprzez zastosowanie

środków takich jak szyfrowanie czy

pseudonimizacja i przygotowanie

procedur awaryjnych – business

continuity czy disaster recovery, w zakresie

odpowiadającym wnioskom z oceny

ryzyka przetwarzania danych.

Trzeba wziąć pod uwagę, że koszty

dostosowania systemów i procedur IT oraz

czas potrzebny na ich przeprowadzenie, to

najprawdopodobniej największe wyzwanie

jakie stawia nam RODO. Polityki można

opracować szybko, ale rozszerzenie

funkcjonalności systemów IT to proces

dłuższy, w świecie PZP nawet bardzo długi.

03

05

Obowiązki w zakresie zarządzania cyklem

życia danych (od zebrania aż do usunięcia)

i realizowania po drodze praw podmiotów

danych, m.in. prawa do informacji, prawa

do usunięcia części lub całości danych

(prawo do bycia zapomnianym) czy prawo

do sprzeciwu wobec przetwarzania danych

w różnych odmianach.

Obowiązek notyfikowania naruszeń

ochrony danych osobowych do organu

nadzorczego oraz podmiotów danych, przy

czym notyfikacja do organu nadzorczego

powinna nastąpić w ciągu 72 godzin od

stwierdzenia naruszenia.

02

04

Obowiązek zapewnienia przenoszalności

danych, to jest umożliwienia podmiotom

danych zabranie danych ze sobą (pobrania),

w popularnym formacie, nadającym się

do maszynowego odczytu, np. w celu

przekazania ich innemu usługodawcy.

01

Kilka przykładów wymagań, które będą miały wpływ na IT:

6

Inwentaryzacja – sprawdźmy co mamy. Jakie procesy przetwarzania, jakie systemy,

jakie dane, jakich dostawców. To punkt wyjścia do dalszych działań

i od tego trzeba zacząć.

Identyfikacja – określmy obszary, które wymagają dostosowania do wymagań

RODO. To nam pozwoli określić ilość pracy, zaplanować zasoby

i budżet.

Step plan i jego realizacja – rozpiszmy działania dostosowujące na 2017 i 2018, tj.

opracowanie polityk, ocena ryzyka, przygotowanie nowych wzorów

umów i klauzul (zgody i informacyjnych), dostosowanie systemów,

szkolenie personelu– ostatecznie mamy jeszcze prawie półtora

roku. W tym czasie dużo można zrobić.

Monitoring – sprawdzajmy, jak zmienia się otoczenie RODO. Samo

rozporządzenie to nie wszystko, będą dodatkowe wytyczne,

będzie nowa polska ustawa o ochronie danych osobowych i będzie

dyskusja jak to wszystko przełożyć na praktykę. Warto być na

bieżąco z tematem.

01

02

03

04

Jak to ugryźć?

Jeśli chcemy być RODO-ready w maju 2018 to musimy wystartować już. To jest jeden

z tych tematów, w których ASAP oznacza wczoraj. Są tacy, którzy twierdzą, że jeśli

ktoś jeszcze nie zaczął, to już nie zdąży. Aż tak źle raczej nie jest, ale warto już teraz

przyjrzeć się następującym obszarom:

7

Rozporządzenie RODO dotyczy

praktycznie wszystkich Organiza-

cji przetwarzających dane osobowe

i wprowadza szereg istotnych zmian

takich jak konieczność pozyska-

nia zgody na przetwarzanie danych

w sposób jednoznaczny w stosunku

do określonego celu przetwarzania,

brak konieczności zgłaszania zbio-

rów danych osobowych do rejestru

prowadzonego przez GIODO, ko-

nieczność przeprowadzania analizy

ryzyka danych osobowych i stosowa-

nia adekwatnych do poziomu ryzyka

zabezpieczeń technicznych oraz

organizacyjnych, prawna dopusz-

czalność pseudoanonimizacji i szy-

frowania danych, czy też prawo do

bycia zapomnianym lub zaprzestania

przetwarzania danych. A to już nie są

zmiany kosmetyczne.

Warto również odnotować istotne

wzmocnienie znaczenia organów

nadzoru poprzez rozszerzenie kata-

logu ich zadań oraz dostępnych na-

rzędzi. Organ nadzorczy jakim jest

GIODO będzie musiał być informo-

wany o naruszeniach dotyczących

gromadzonych i przetwarzanych

danych osobowych nie później niż

w terminie 72 godzin po stwierdze-

niu naruszenia wraz z informacjami

odnośnie charakteru naruszenia czy

konsekwencji z niego wynikających

dla osób których incydent dotyczy.

Wyjątkiem mają być sytuacje kiedy

naruszenie stwarza niskie prawdo-

podobieństwo aby skutkowało ry-

zykiem dla praw osób fizycznych.

Jednak w przypadku zgłoszenia na-

stępującego po upływie 72 godzin

podmiot będzie miał obowiązek

dołączenia wyjaśnienia przyczyn

opóźnienia. Chociaż praktyka w tym

zakresie z przyczyn oczywistych niż

ostała jeszcze wypracowana, wydaje

się być nieuchronne, że oczekiwa-

niem regulatora będzie, że elemen-

tem składowym takiego wyjaśnienia

będzie analiza wpływu naruszenia

i związanego z nim ryzyka.

Wbrew pozorom zdolność organiza-

cji do zgłoszenia naruszenia we wła-

ściwym terminie nie musi być zada-

niem trywialnym. Przede wszystkim

organizacja musi posiadać mecha-

nizmy umożliwiające jej zidentyfiko-

wanie naruszenia. Mechanizmy inne

niż informacja w mediach, że dane

np. klientów sę dostępne gdzieś na

serwerach a Internecie. Jeżeli „zgło-

szenie” odbędzie się poprzez me-

dia można oczekiwać, że Regulator

szczególnie uważnie może zechcieć

przejrzeć się, czy organizacja doło-

żyła należytej staranności projektu-

jąc swój system zabezpieczeń i do-

statecznie poważnie podchodzi do

Unijna reforma ochrony danych osobowych – istotna zmiana, czy tylko zmiany kosmetyczne?

Konsekwencje finansowe do 4% globalnych przychodów grupy:

Kary finansowe za brak zgodności

mogą wynieść do 4% globalnych

przychodów grypy lub 20 milinów

EUR, w zależności od tego która

z kar jest bardziej dotkliwa. Kraje

członkowskie mogą uzupełnić kata-

log sankcji o dodatkowe elementy.

Inspektor Ochrony Danych osobowych:

Musi zostać powołany inspektor

ochrony danych osobowych (DPO)

w jednostkach publicznych oraz

jednostkach gdzie działalność pod-

stawowa wiąże się z regularnym

i systematycznym monitorowa-

niem i przetwarzaniem specjalnych

kategorii danych osobowych.

Szeroka definicja danych osobowych:

GDPR/RODO definiuje dane oso-

bowe jako jakiekolwiek informacje

odnoszące się do zidentyfikowanej

lub identyfikowalnej osoby w tym

dane pseudoanonimowe.

Zgłoszenie naruszenia:

RODO wymaga aby nie później niż

w terminie 72 godzin po stwierdze-

niu naruszenia zostało ono zgło-

szone właściwemu organowi nad-

zorczemu.

Odpowiedzialność:

Organizacje są zobowiązane usta-

nowić kulturę odpowiedzialności

oraz świadomego rejestrowania

jakie dane osobowe posiadają, do

czego są wykorzystywane, zakres

kontroli mających zapewnić mi-

nimalizację przetwarzania danych

oraz ich retencji, w tym ustano-

wienie polityk oraz stosownych

procedur.

Materiał przygotowany przez firmę:

8

swoich obowiązków wynikających

z Rozporządzenia. A konsekwencje ja-

kie może wyciągnąć Regulator mogą

być bardzo bolesne…

Po wtóre samo wykrycie incydentu

to jeszcze zbyt mało. Wiele podmio-

tów funkcjonujących na rynku nie do

końca posiada, lub wręcz zupełnie

zaniedbało wypracowanie procedur

w zakresie zarządzania kryzysowego

w tym zasady komunikacji wewnątrz

i na zewnątrz organizacji, w tym z Za-

rządem firmy, mediami i regulatorem.

Nawet jeżeli zasady takie istnieją to

często nie brano pod uwagę rygoru

72 godzinnego okienka, kiedy taka

komunikacja musi zaistnieć.

Reagowanie na naruszenie danych bę-

dzie wymagało dobrze przemyślane-

go zbioru działań przeprowadzonych

przez różnych ludzi, a raportowanie

do Regulatora będzie jednym z tych

działań. Definiowanie tych działań

i prewencyjne testowanie będzie tylko

usprawniać cały proces oraz skracać

czas odpowiedzi przy rzeczywistym

naruszeniu danych.

Nowe obowiązki Przetwarzania DanychJedną z najbardziej istotnych wśród

nowych regulacji dotyczących prze-

twarzania danych jest przekazanie

odpowiedzialności jednostkom kon-

trolującym oraz przetwarzającym

dane poprzez wdrożenie organiza-

cyjnych i technicznych środków ma-

jących na celu zapewnienie bezpie-

czeństwa przetworzonych danych

osobowych.

Podczas gdy Dyrektywa z 1995 przy-

pisywała tą odpowiedzialność tylko

kontrolerom danych, teraz również

w obszarze procesu przetwarzania

danych należy wdrożyć odpowied-

nie zabezpieczenia w celu osiągnię-

cia wymagań ustalonych w RODO.

Jednostki przetwarzające dane będą

musiały ocenić, czy wdrożone środ-

ki są wystarczające jeśli chodzi o cel

i zakres przetwarzania, ilość zebra-

nych danych, okres składowania da-

nych oraz dostęp do danych. Umowa

przetwarzania pozostanie podstawą

ustalenia celu i zakresu czynności

przetwarzania pomiędzy kontrolowa-

niem a przetwarzaniem danych, gdzie

określenie środków bezpieczeństwa

jest możliwe (i pożądane).

Pomimo tego, iż możliwe będą tak do-

tkliwe kary, nie spodziewamy się, aby

regulator nakładał na przedsiębior-

stwa nie wywiązujące się ze swoich

obowiązków wynikających z rozpo-

rządzenia najdotkliwsze z dostępnych

sankcji. Przynajmniej nie w ciągu

najbliższych kilku lat. Duże organi-

zacje, które przetwarzają praktycznie

nieograniczone ilości danych osobo-

wych, powinny jednak pamiętać, że

będą jednymi z pierwszych do których

organy ochrony danych zapukają do

drzwi w celu sprawdzenia zgodności

procesów z RODO.

Niemniej jednak, warto aby każda

z organizacji, a zwłaszcza te prze-

twarzające dane osobowe na skalę

masową, zweryfikowały na jakim eta-

pie są w swojej drodze do uzyskania

zgodności z wymogami wynikający-

mi z unijnego rozporządzenia. Jeżeli

nie zaczęliśmy jeszcze drogi, warto

sięgnąć po owoce wiszące najniżej –

analiza luki jako punkt wyjścia wydaje

się być najbardziej sensownym punk-

tem wyjścia. Po wtóre – dokumenta-

cja. Polityki, procedury, opis środo-

wiska przetwarzania danych i zasady

ich zabezpieczania. Bez tego trudno

będzie dowieść, że organizacja doło-

żyła należytej staranności w zakresie

ochrony danych osobowych, które

zostały jej powierzone.

Ocena wpływu:

Powinien zostać ustanowiony pro-

ces regularnego testowania I oceny

skuteczności technicznych I orga-

nizacyjnych mechanizmów wdro-

żonych przez organizację mają-

cych na celu zapewnić bezpie-

czeństwo zgromadzonych danych

osobowych.

Zarządzanie dostawcami:

Podmioty którym powierzono

przetwarzanie danych również

są obarczone odpowiedzialności

I podlegają rozporządzeniu. Są zo-

bowiązani do utrzymywania rejestru

działalności jeżeli przetwarzają dane

osobowe.

Transgraniczne przetwarza-nie danych osobowych:

Osoba odpowiedzialna za za dane

osobowe zobowiązana jest znać

wszystkie podmioty przetwarzające

dane osobowe za które są odpo-

wiedzialni. Osoba ta jest odpowie-

dzialna wspólnie z przetwarzający-

mi dane za zapewnienie zgodności

z wymogami RODO.

Rozszerzenie indywidualnego prawa do prywatności:

Osobom, których dane są gro-

madzone nadano dodatkowe

uprawnienia w zakresie dostępu

do danych, udzielania zgody na

ich gromadzenie i przetwarzanie,

w tym profilowanie na potrzeby

marketingu.

Prywatność “by design and default”:

RODO modyfikuje wymogi tech-

niczne w zakresie ochrony danych

osobowych tak aby były one brane

pod uwagę na etapie projektowania

mechanizmów zabezpieczających.

9

10

Microsoft tworzy i udostępnia usługi sto-

sując się do czterech zasad: zapewnienia

bezpieczeństwa, ochrony prywatności, za-

pewnienia zgodności z wymaganiami prawa

oraz przejrzystości. Przy wdrożeniu RODO

nasi klienci mogą oczekiwać:

• Technologii, które spełniają wyma-

gania prawne – szeroka gama usług

w chmurze obliczeniowej może być

wykorzystana do wdrożenia wymogów

RODO, m.in. usuwania, modyfikacji,

przesyłania, dostępu i sprzeciwu wobec

przetwarzania danych osobowych.

• Zobowiązań umownych – wspieramy

działania naszych klientów w  zobowią-

zaniach umownych dotyczących usług

w chmurze, np. wsparcia bezpieczeństwa

i powiadomień o naruszeniu bezpieczeń-

stwa danych zgodnych z nowymi wymo-

gami RODO. W najbliższym czasie nasze

umowy licencyjne będą zawierały zobo-

wiązania zgodności z RODO.

• Dzielenia się doświadczeniami – dzie-

limy się naszymi doświadczeniami we

wdrażaniu zapisów RODO bazując na

naszej praktyce.

Podejście Microsoft do implementacji RODO

Jak Microsoft może pomóc w przygotowaniach do wdrożenia RODO?

Celem Microsoft jest ułatwienie proce-

su wdrożenia rozporządzenia u naszych

klientów i partnerów. Staramy się to osią-

gnąć dzięki naszym technologiom, do-

świadczeniom oraz obopólnej współpra-

cy. Pomożemy zbudować bezpieczniejsze

środowisko, uprościmy wdrożenie zgod-

ności z RODO oraz udostępnimy narzędzia

i środki potrzebne, by zapewnić zgodność

z obowiązującym prawem.

The new General Data Protection Regulation (GDPR)  is the most significant

change to European Union (EU) privacy law in two decades. The GDPR re-

quires that organizations respect and protect personal data – no matter

where it is sent, processed or stored. Complying with the GDPR will not be

easy. To simplify your path to compliance, Microsoft is committing to be

GDPR compliant across our cloud services when enforcement begins on

May 25, 2018.1

Brendon Lynch – Chief Privacy Officer, Microsoft

Opublikowano: 15 lutego 2017 r.

1 blogs.microsoft.com/on-the-issues/2017/02/15/get-gdpr-compliant-with-the-microsoft-cloud/ #sm.0000ehu9cr12jneqsqmjpj68sf1df, dostęp: 27 lutego 2017r.

Materiał przygotowany przez firmę:

11

W związku z rosnącą świadomością konsumen-

tów na temat konsekwencji naruszeń danych

osobowych i możliwości ich nielegalnego wy-

korzystania, w prowadzeniu działalności biz-

nesowej na znaczeniu zyskują takie czynniki jak

zaufanie i odpowiedzialne praktyki w zakresie za-

rządzania informacjami. Jest to szczególnie istot-

ne w kontekście rozwiązań cyfrowych umożli-

wiających gromadzenie i analizę coraz większych

ilości informacji o klientach i pracownikach.

Do roku 2018 organizacje znajdujące się

w posiadaniu danych dotyczących obywateli

UE, na podstawie których możliwa jest iden-

tyfikacja osoby fizycznej, będą musiały dosto-

sować się do zapisów Ogólnego Rozporzą-

dzenia o Ochronie Danych (ang. General Data

Protection Regulation, GDPR).

Rozporządzenie GDPR wprowadza kryterium

odpowiedzialności, zgodnie z którym podmio-

ty gospodarcze muszą zarówno przestrzegać

regulacji, jak i wykazać zgodność z ich zapisa-

mi. Artykuł rozporządzenia GDPR 5 (1f) stano-

wi, że „dane osobowe muszą być przetwarzane

w sposób zapewniający odpowiednie bezpie-

czeństwo danych osobowych, w tym ochronę

przed niedozwolonym lub niezgodnym z pra-

wem przetwarzaniem oraz przypadkową utra-

tą, zniszczeniem lub uszkodzeniem, za pomo-

cą odpowiednich środków technicznych lub

organizacyjnych („integralność i poufność”).

Artykuł 32 (1) nakłada na przedsiębiorstwa

obowiązek „wdrożenia odpowiednich środków

technicznych i organizacyjnych, aby zapewnić

stopień bezpieczeństwa odpowiadający temu

ryzyku”. W rozporządzeniu GDPR nie określo-

Korzyści

Zakomunikowanie dobrej znajomości wymogów rozporządzenia GDPR w odniesieniu do prywatności i ochrony danych

Opracowanie i wdrożenie skutecznego programu GDPR

Wiedza o skutkach rozporządzenia GDPR w zakresie cyfryzacji i rozwiązań IoT

Większe zaufanie klientów dzięki wdrożeniu efektywnego programu zgodności z rozporządzeniem GDPR

Plan rozwoju opartego o transformację i przystosowanie się do rozporządzeń obowiązujących w skali globalnej

Ograniczenie kosztów stałych i ryzyka naruszenia danych

Szybsza implementacja programu GDPR przy wsparciu doświadczonych konsultantów i wykorzystaniu sprawdzonej metodologii

Najważniejsze jest zaufanie klientów

Usługi doradcze w zakresie prywatności oferowane przez firmę Cisco: Ogólne rozporządzenie o ochronie danych

Materiał przygotowany przez firmę:

12

Analiza wpływu i zakresu

rozporządzenia GDPR

Odniesienie się do wymogów regulacyjnych określonych w rozporządzeniu GDPR

• Ocena poziomu, w jakim dane, partnerzy i podmioty organizacji mają odpowi-

adać zapisom rozporządzenia GDPR

• Poznanie bieżącego stanu wdrażanego programu zgodności oraz zdefiniowan-

ie kroków, które należy podjąć w celu opracowania skutecznego programu pry-

watności spełniającego kryteria określone w rozporządzeniu GDPR

• Analiza programu zgodności z rozporządzeniem GDPR mająca na celu dostoso-

wanie go do zmian w usługach biznesowych, nowych rynków, wprowadzania

rozwiązań technologicznych, współpracy z partnerami i zmian regulacyjnych

• Identyfikacja pozostałych zobowiązań w obszarze zgodności, uwzględnionych

w planach biznesowych

Opracowanie i ocena programu

GDPR

Opracowanie programu ochrony danych i prywatności zgodnego z rozporządze-

niem GDPR, uwzględniającego konkretne potrzeby organizacji i nowe regulacje

• Ewaluacja kryteriów i obowiązków określonych w rozporządzeniu GDPR

• Poznanie konkretnych potrzeb biznesowych, cyklu życia informacji, planów

rozwojowych i sposobów wykorzystania technologii

• Ocena wpływu na prywatność (ang. Privacy Impact Assessment) w celu zdefin-

iowania informacji umożliwiających identyfikację osób – chodzi o to, jakie dane

są gromadzone, w jakim celu, jak zostaną wykorzystane i zabezpieczone, jak

będą przechowywane i przekazywane.

• Ocena istniejącego programu i porównanie go ze standardowym zestawem

odpowiednich założeń odnoszących się do dojrzałości procesów

• Opracowanie kompleksowego planu dotyczącego programu prywatności, który

spełni zarówno oczekiwania przedsiębiorstwa, jak i wymogi rozporządzenia

GDPR w zakresie zgodności

GDPR – wsparcie w zakresiezgodności

i certyfikacji

Konsolidacja i przyspieszenie skutecznej implementacji istniejących inicjatyw

w programie GDPR

• Udzielanie niezależnych i cennych sugestii dotyczących tego, jak w praktyczny

sposób sprostać wymaganiom dotyczącym prywatności i ochrony danych

• Szybsze przygotowanie i wdrożenie programu GDPR dotyczącego prywatności

i ochrony danych

• Przekształcenie wymogów rozporządzenia GDPR w zakresie zgodności w prak-

tyczny program i plan implementacji

• Analiza mechanizmów nadzoru nad istniejącym programem GDPR w zakresie

zgodności oraz ocena gotowości do certyfikacji

GDPR – usługi w zakresie ochrony danych

Opis świadczonych usługno konkretnej metody bezpiecznego prze-

twarzania danych – firmy same muszą zadbać

o wdrożenie mechanizmów kontrolnych do-

stosowanych do poziomu ryzyka, na które na-

rażone są dane osobowe. Największy sukces

osiągną organizacje, które zdecydują się na

współpracę z partnerami rozumiejącymi jed-

nolity rynek cyfrowy UE i potrafiącymi spełnić

kryteria zgodności obowiązujące w technicz-

nej strukturze ramowej.

Firma Cisco już od kilku dekad koncentruje

się na tworzeniu i ochronie sieci (oraz zarzą-

dzaniu nimi), które łączą systemy z ich użyt-

kownikami. Nasze rozwiązania umożliwiają

skuteczne poznanie technologii, ich segmen-

tację i zarządzanie nimi w samym sercu po-

łączonego świata – na poziomie sieci, ser-

werów, aplikacji, użytkowników i danych. To

właśnie ta dogłębna znajomość skompliko-

wanych powiązań między różnymi domena-

mi technicznymi oraz interakcji z procesami

biznesowymi i wymogami zgodności pozwa-

la firmie Cisco pomagać klientom w przygo-

towaniu i wdrożeniu odpowiednich mecha-

nizmów zarządzania informacją. A wszystko

to z myślą o realizacji skutecznych strategii

w dziedzinie ochrony prywatności i danych

w cyfrowym świecie.

Usługi doradcze w zakresie prywatności i ochrony danych oferowane przez

firmę Cisco zapewniają rzetelne i wszechstronne wsparcie. Nasi doświadcze-

ni konsultanci ds. technologicznych i prywatności określą kryteria wynikające

ze zobowiązań biznesowych i regulacyjnych odnoszących się do zarządzania

informacjami umożliwiającymi identyfikację osób (ang. Personally Identifiable

Information, PII) oraz innymi wrażliwymi danymi klientów. Eksperci ds. bez-

pieczeństwa pomagają naszym partnerom poznać konkretne wymogi doty-

czące odpowiedniego programu zarządzania informacjami, oceniają ich ak-

tualny potencjał i opracowują indywidualnie dopasowaną infastrukturę umoż-

liwiającą lepszą ochronę prywatności. Pomagamy również w lepszym zrozu-

mieniu kryteriów biznesowych, opcji rozwoju i prognozowanych przypadków

użytkowych, co sprzyja tworzeniu zrównoważonej struktury ramowej GDPR

i opracowaniu planu wdrożenia działań w obszarze zgodności związanych

z inicjatywami cyfrowymi i technologicznymi.

W efekcie powstaje projekt dojrzałego, kontrolowanego i zgodnego

z zapisami rozporządzenia GDPR programu w dziedzinie prywatności,

który pozwala utrzymać zaufanie klientów w kwestii inicjatyw cyfrowych

i wprowadzanie innowacyjnych technologii.

13

Trend Micro oraz VMware we współpracy

z agencją badawczą ARC Rynek i Opinia

przeprowadziły wśród polskich przedsię-

biorców badanie poświęcone znajomości

unijnego rozporządzenia o  ochronie da-

nych (GDPR). Wyniki są niepokojące: po-

nad połowa (52%) firm nigdy nie słyszała

o GDPR, natomiast aż dwie trzecie (67%)

z nich nie zdaje sobie sprawy z tego, ile cza-

su pozostało na wdrożenie rozporządzenia.

Dokładnie 25 maja 2018 r. zaczną funkcjo-

nować nowe przepisy dotyczące ochrony

danych, a firmy będą musiały przejść przez

żmudny proces weryfikacji wewnętrznych

procedur cyberbezpieczeństwa. Cho-

dzi o ogólne rozporządzenie o ochronie

danych osobowych, czyli GDPR (od an-

gielskiej nazwy General Data Protection

Regulation). Nowe prawo będzie mieć

zastosowanie w przedsiębiorstwach oraz

instytucjach przetwarzających lub groma-

dzących dane osobowe osób przebywają-

cych w krajach UE. Zmianie ulegną zasady

rejestrowania, przechowywania, przetwa-

rzania i udostępniania danych wszystkich

osób fizycznych.

„Dokument GDPR jest sformułowany

w sposób odmienny od obecnie obowiązu-

jących przepisów. Dotychczasowe podej-

ście polegało na stosowaniu określonych

procedur w przetwarzaniu informacji oso-

bowych w celu uświadomienia obywatelom

samego faktu ich zbierania. Obecne rozpo-

rządzenie skupia się na problemie jawności

bezpieczeństwa zbioru danych – każdy

przypadek naruszenia bezpieczeństwa,

strategia cyberbezpieczeństwa do 25 maja 2018 r.

CEL

Czas działać!

FIRM NIE SŁYSZAŁO JESZCZE O GDPR

FIRM NIE WIE, ILE CZASU POZOSTAŁO

NA WDROŻENIE ROZPORZĄDZENIA

FIRM JEST CAŁKOWICIE PEWNYCH

POSIADANYCH ZABEZPIECZEŃ

KARY FINANSOWE

ODPOWIEDZIALNOŚĆ TAKŻE POZA UE

INFORMOWANIE O NARUSZENIACH

PRAWO DO BYCIA ZAPOMNIANYM

FIRM ZA BARDZO DOTKLIWĄ UZNAŁO MAKSYMALNĄ MOŻLIWĄ KARĘ:

4% ROCZNEGO OBROTU

FIRM NIE WIE, KTO PONOSI ODPOWIEDZIALNOŚĆ W SYTUACJI

NARUSZENIA DANYCH PRZEZ USŁUGODAWCĘ Z USA

NIE MA WDROŻONYCH ŻADNYCH PROCEDUR INFORMOWANIA ORGANU OCHRONY DANYCH O ZAISTNIAŁYCH

NARUSZENIACH

FIRM NIE DYSPONUJE NARZĘDZIAMI I TECHNOLOGIAMI DAJĄCYMI

KONSUMENTOWI PRAWO DO BYCIA ZAPOMNIANYM

Ogólne rozporządzenie o ochronie danych*

52% 67% 26%

72%

42%

96%

50%

14

wyciek lub modyfikacja musi być ujawnia-

ny klientom firmy, a odpowiednie organa

powiadamiane o fakcie włamania. Ma to

ukrócić dotychczasową praktykę ukrywania

faktów naruszeń bezpieczeństwa przed opi-

nią publiczną, co powodowało powszech-

ne ignorowanie tego problemu jako rze-

komo mało istotnego i niewymagającego

jakichkolwiek inwestycji. Dlatego kolejną

nowością wprowadzaną przez GDPR jest

konieczność zastosowania adekwatnych

zabezpieczeń technologicznych. Nie są

przy tym wskazywane konkretne technolo-

gie, ale stawiany jest wymóg odpowiedniej

jakości owych zabezpieczeń. Świadczy to

o strategicznym podejściu UE, które ma za-

chęcić firmy do tego, aby myślały o bezpie-

czeństwie w bardziej kompleksowy sposób”

– mówi Michał Jarski, Regional Director

CEE w firmie Trend Micro.

Rozporządzenie GDPR przyznaje również

osobom fizycznym prawo do bycia zapo-

mnianym, czyli zażądania niezwłocznego

usunięcia danych osobowych. Wobec tego

organizacje muszą na życzenie usunąć

wszystkie dane osobowe i związane z nimi

odnośniki. Alarmujący jest fakt, że – jak

wynika z badania – aż połowa ankietowa-

nych firm (50%) nie dysponuje procedurami

i technologiami zapewniającymi konsu-

mentowi prawo do bycia zapomnianym

To nie koniec niepokojących informacji.

Niestety aż 42% organizacji nie ma wdro-

żonych żadnych procedur informowania

organu ochrony danych o zaistniałych na-

ruszeniach. A takie są niezbędne do tego,

aby realizować założenia nowego prawa,

które obliguje firmy do zgłoszenia incy-

dentu w ciągu maksymalnie 72 godzin od

jego wystąpienia. W razie zaniechania ta-

kiego działania, przedsiębiorstwa te mogą

być ukarane grzywną w wysokości nawet

4% rocznych obrotów. Prawie trzy czwar-

te firm (72%) uważa, że taka kara jest bar-

dzo dotkliwa.

„Zachowanie zgodności z nowym prawem

nie podlega dyskusji i to w interesie orga-

nizacji leży dołożenie wszelkich starań, aby

ostrożnie i z rozmysłem zaplanować wszyst-

kie kroki mające zapewnić pełne przestrze-

ganie zasad zawartych w rozporządzeniu.

Szkolenia są tu nieodzowne” – mówi Paweł

Korzec, Regional Presales Manager, Eastern

Europe w firmie VMware.

Nowe przepisy stworzą organom regula-

cyjnym realne możliwości przeciwdzia-

łania nadużyciom. Nie będzie już miejsca

na nieprzestrzeganie zasad, a firmy, które

zlekceważą zapisy rozporządzenia, będą

surowo karane. Aby uniknąć takich sytu-

acji, w ciągu nadchodzących kilkunastu

miesięcy przedsiębiorstwa powinny opra-

cować i wdrożyć odpowiednią strategię

cyberbezpieczeństwa.

O badaniuBadanie przeprowadzono jesienią 2016 r. na

grupie odpowiedzialnych za ochronę da-

nych przedstawicieli 200 firm zatrudniają-

cych powyżej 100 osób. Struktura próby jest

reprezentatywna ze względu na proporcje

sektorowe (przemysł/usługi/handel).

Polscy przedsiębiorcy wciąż nie są przygotowani na wejście w życie

unijnego rozporządzenia o ochronie danych

Badanie Trend Micro i VMware: ponad połowa polskich firm nie słyszała o rozporządzeniu GDPR

Pełna wersja raportu jest

do pobrania na stronie VMware

http://bit.ly/raportGDPR_PL

Materiał przygotowany przez firmę:

15

Materiał przygotowany przez firmę:

Bieżące przygotowania przedsiębiorstw na

spotkanie z rozporządzeniem unijnym GDPR

i wynikającymi z tego nowymi przepisami pol-

skimi RODO oscylują przede wszystkim wokół

wyznaczenia ABI (Administrator Bezpieczeń-

stwa Informacji), przygotowania nowej treści

zgód oraz analizy celów przetwarzania. Część

przedsiębiorców uważa, iż nowe przepisy nie

wymuszą zmian w procesie zarządzania danymi

osobowymi wewnątrz ich firm, gdyż w ich prze-

konaniu wcześniejsze przystosowanie proce-

sów do dotychczas obowiązujących przepisów

już ich do tego przygotowało. Ponadto liczba

osób skazanych prawomocnie w procesach kar-

nych za łamanie obecnie obowiązującej ustawy

jest do tej pory tak niska, iż aspekt konsekwencji

nie jest czynnikiem motywującym. W naszym

przekonaniu nowa regulacja zmieni ten stan

i drastycznie zwiększy liczbę takich przypadków.

W branży widać wyczekiwanie na projekt pol-

skiej wersji unijnej regulacji, który najpewniej

pojawi się na wiosnę br. oraz tego jak będzie

wyglądała nowa organizacja GIODO i jej plany

związane z realizacją nowej ustawy. Patrząc

na to, jak przygotowują się urzędy w innych

krajach na moment wejścia regulacji w życie,

związany z tym wzrost zatrudnienia w urzę-

dach i fiskalny charakter tych przygotowań -

należy oczekiwać, że polscy urzędnicy pójdą

w tą samą stronę.

Warto podkreślić, iż dobrze skompletowa-

na skarga skierowana do GIODO już dzi-

siaj skutkuje wizytą prokuratora a nie in-

spektora. Założenie, że inspektorzy skierują

się w maju przyszłego roku (wejście w życie

RODO) przede wszystkim w stronę bogatszych

branż i że nie wystarczy im zasobów do tego,

aby uruchomić strumień kar naszym zdaniem

jest błędne. Już dzisiaj urząd w dużym stopniu

angażuje ABI w kompletowanie informacji nt.

przetwarzania danych w wybranych gałęziach

gospodarki. Niestety część z nich zmaga się

z problemem braku zrozumienia dla wymo-

gów nowej regulacji na poziomie zarządów

firm, braku akceptacji wniosków na niezbędne

inwestycje i przygotowanie firmy nie tylko na

audyty RODO, ale na inwestycje w IT.

Przepisy RODO oznaczają konieczność wy-

posażenia ABI w odpowiednie narzędzia a po-

tencjalne kary finansowe wynikające  z niewy-

pełnienia nowych regulacji, nienależytego

zabezpieczenia infrastruktury i przygotowania

pracowników powinny być motywacją do in-

westycji. Z naszych doświadczeń wynika, że

zakupy narzędzi security następują przeważnie

po odnotowaniu incydentu, choćby ze wzglę-

du na to, że ta część IT zawsze była postrze-

gana, jako koszt nie biorący udziału w budo-

waniu przewagi konkurencyjnej. Wysokość kar

zapisanych w nowej unijnej regulacji zapewne

skłonią przedsiębiorców do wcześniejszego

zadbania o ten obszar.

Ponadto należy mieć na uwadze inny aspekt,

czyli jak zmienią się zachowania osób fizycz-

GDPR i nowe wyzwania cyberbezpieczeństwa… przemyślenia eksperta Dimension Data

Mieszko Jeliński, Business Line Manager – Security, Dimension Data Polska

Co CIO musi wiedzieć o RODO?

Skuteczne i kompleksowe

zabezpieczenie przedsię-

biorstwa stało się bar-

dzo kosztowne a rozwój

metod hakerskich sprawia

iż nie ma 100% zabezpie-

czenia przed atakiem.

16

nych, które nie tylko najprawdopodobniej za-

leją firmy wnioskami o udzielenie informacji

ale także, co nieuniknione, skargami w stronę

GIODO. Nie ma branży, która może spać spo-

kojnie – co widać na przykładzie ostatnich

kontroli GIODO w przychodniach medycz-

nych po skargach pacjentów.

Security Operations CenterSkuteczne i kompleksowe zabezpieczenie

przedsiębiorstwa stało się bardzo kosztowne

a rozwój metod hakerskich sprawia iż nie ma

100% zabezpieczenia przed atakiem. Wysiłek

specjalistów zmierza w kierunku umożliwienia

firmom radzenia sobie ze skutkami, oceny ja-

kie dane zostały wykradzione. Same produkty

zabezpieczające nie są tak kosztowne jak bu-

dowa własnego zespołu Security Operations

Center (SoC) i odpowiednie doposażenie

tego zespołu w narzędzia. Regulacja RODO

nakazuje poinformować GIODO nie później,

niż w przeciągu 72 godzin od momentu po-

wzięcia wiadomości o wycieku, a osoby któ-

rych dane dotyczą nakazuje poinformować

bez zbędnej zwłoki.

Specyfika regulacji zobowiązuje przedsiębior-

ców do posiadania środków technicznych,

które umożliwią stwierdzenie, jakie dane pod-

legały naruszeniu. Ta część jest najbardziej

kosztowna i w praktyce bardzo trudna do

zrealizowania poza grupą największych przed-

siębiorstw z budżetami IT umożliwiającymi

odpowiednie inwestycje. Problemem jest tak-

że brak możliwości zatrudnienia fachowców,

gdyż luka pomiędzy podażą i popytem na ryn-

ku pracy szybko rośnie.

W uproszczeniu kosztowność wyposażenia

firmy w zdolność do udokumentowania ta-

kiego naruszenia polega na wyposażeniu

zespołu SoC w narzędzia do monitoro-

wania i nagrywania każdego istotnego

przepływu danych wszelkimi wykorzy-

stywanymi w firmie kanałami, zbieraniu

logów z zachowania urządzeń informa-

tycznych, w które firma jest wyposażo-

na – a w przypadku wystąpienia incydentu

zaangażowanie tego zespołu, z konieczności

będącego elitą wśród fachowców IT, w zi-

dentyfikowanie miejsca i zakresu naruszenia.

Nieuchronność wejścia nowych przepisów

w życie spowodowała nasilenie rekrutacji na

i tak już mocno wydrenowanym ze specjali-

stów rynku. Ekspert stał się najbardziej rzadkim

zasobem w procesie przygotowywania firm do

RODO. Ponadto liczba integratorów w kraju

mających kompetencje we wdrażaniu i utrzy-

mywaniu tak zaawansowanych systemów bez-

pieczeństwa jest ograniczona.

Z dużą dozą prawdopodobieństwa można za-

łożyć, iż duża grupa przedsiębiorstw o narusze-

niach ochrony danych osobowych dowie się,

jak to się niestety dzieje obecnie, w ramach po-

stępowania kontrolnego lub prokuratorskiego.

Z naszych obserwacji wynika, że spora część

przedsiębiorców oczekując na polską wersję

regulacji RODO nie podejmuje żadnej konkret-

nej decyzji w tym obszarze. Brak adekwatnej

reakcji zarządów na oczywiste potrzeby za-

pewnienia zgodności z przepisami i nowymi

wymogami w chwili obecnej spiętrzy problem

w momencie, gdy nowe GIODO zacznie eg-

zekwować zapisy ustawy. W konsekwencji

zapewne otworzy to drogę do popularyzacji

usług outsourcingu funkcji ABI, gdyż kontrak-

ty B2B efektywniej ograniczą ryzyka pracy ta-

kiego ABI operującego w trudnych warunkach

bez wsparcia Zarządu w porównaniu do umów

o pracę.

Model subskrypcyjny – usługa bez inwestycjiAlternatywą do wysokich kosztów inwestycji

w zabezpieczenia środowiska IT już w tej chwi-

li są usługi outsourcingu platform i procesów

zapewniających bezpieczeństwo – z zespołem

SoC pracującym dla wielu klientów dostarcza-

jącym użytkownikom końcowym niezbędne

licencje narzędzi security w modelu subskryp-

cyjnym. Taki model wyniesienia zadania wy-

posażenia przedsiębiorstwa w zdolność do

przejścia certyfikacji RODO na zewnątrz może

okazać się też jedynym pasującym do kalenda-

rza. Powód? – niesamowicie trudno jest zbu-

dować kompleksowe środowisko spełniające

wymagania nowych regulacji w krótkim czasie

oraz przy dużym problemie z rekrutacją spe-

cjalistów. Przykładem wspomnianej usługi jest

platforma zbudowana wspólnie przez NASK

oraz Dimension Data.

Usługi bezpieczeństwa dostarczane wspólnie przez Dimension Data i NASK

Usługi oferowane wspólnie przez Dimen-

sion Data i NASK zapewniają kompleksowe

zabezpieczenie danych, aplikacji i systemów

wraz z zarządzaniem środowiskiem IT.

RODO

Security Ops

Center

Monitoringbaz danych

Strategiarozwoju

cyber-sec

Audyt RODO

Obieg dokumentów

Systemy Security

DLP

ABI

Elementy usługi ochrony środowiska IT

17

ZALETY proaktywnej ochrony

Proaktywna ochrona źródeł danych war-

tościowych i wrażliwych, a także urządzeń

końcowych i poczty elektronicznej pra-

cowników, stwarza możliwość powstania

“data lake”, które dla całego przedsiębior-

stwa przekłada się na realne korzyści. Ta-

kie podejście eliminuje w praktyce potrze-

bę utrzymywania oddzielnych zbiorów

danych, zrzutów całej zawartości dysków

i masowych zrzutów danych (np. na po-

trzeby eDiscovery lub dochodzeń), co

zwykle wiąże się z dużymi kosztami prze-

twarzania i analizy. “Data Lake” pozwala

również na ograniczenie lub nawet na

wyeliminowanie zewnętrznych narzędzi

do synchronizacji i udostępniania danych

oraz kosztownych platform wyszukiwania

klasy korporacyjnej. Zapewniony jest przy

tym łatwy dostęp do zdecydowanej więk-

szości - istotnych danych.

Szefowie odpowiedzialni za pracę działów

IT muszą teraz podjąć świadome i możli-

wie najbardziej perspektywiczne decyzje

w kwestii inwestycji w rozwój struktury sys-

temów. Istotne jest utrzymanie równowagi

pomiędzy koniecznością skonsolidowania

zarządzania danymi, a potrzebą rozwiązy-

wania bieżących problemów operacyjnych

w tym zakresie.

Dedykowanym rozwiązaniem są wyspecja-

lizowane produkty służące centralizacji za-

rządzania danymi. Wprowadzenie GDPR jest

więc jednocześnie czynnikiem, który stymulu-

je rynek dostawców specjalistycznego opro-

gramowania.

DANE NIEUSTRUKTURYZOWANE - NAJ-

WIĘKSZE WYZWANIE Największym spośród

wyzwań, z którymi będą musieli się zmierzyć

managerowie IT, będzie zapewnienie firmie

kontroli nad danymi nieustrukturyzowany-

mi. Jakkolwiek rozwiązania do przetwarza-

nia danych strukturalnych zawierają funkcje

zarządzania ich zgodnością z przepisami,

to trudno mówić tu o zapewnieniu takiej

zgodności w przypadku danych niestruktu-

ralnych. Zwłaszcza dla mobilnych czy sta-

cjonarnych urządzeń końcowych wiadomo-

ści e-mail czy serwerów z setkami, a nawet

tysiącami autoryzowanych użytkowników.

Pośród tych wątpliwości rodzi się kolejne

pytanie: Jak najbardziej optymalnie i kom-

pleksowo rozwiązać ten problem bez korzy-

stania z wielu niszowych produktów?

KOMPLEKSOWE ROZWIĄZANIE KWE-

STII ZGODNOŚCI Z GDPR Commvault®

Data Platform integruje operacje związane

z ochroną danych o znaczeniu krytycznym,

zapewnieniem ich zgodności i wyszukiwa-

niem informacji — wszystko w ramach jed-

nego, spójnego rozwiązania. Dzięki temu na-

rzędziu możliwe jest nie tylko weryfikowanie

posiadanych danych nieustrukturyzowanych,

ale i wypełnianie obowiązków definiowanych

przez Rozporządzenie o Ochronie Danych

Osobowych oraz wykazywanie zgodności

działań firmy z jego przepisami wobec orga-

nów regulacyjnych.

Materiał przygotowany przez firmę:

POTRZEBA PODJĘCIA ODPOWIEDNICH ŚRODKÓW

18

E-maile lokalne lub w chmurze

Użytkownicy zdalni i lokalni

Rozwiązania do przetwarzania w chmurze

Centrum przetwarzania danych

PROAKTYWNA OCHRONA

Zintegrowany backup i odtwarzanie kopii zapasowych oraz archiwizacja

Zintegrowane, wirtualne repozytorium danych docelowych, umożliwiające wyszukiwanie

Automatyczne zarządzanie danymi

Globalne zmniejszenie kosztów przechowywania i zarządzania danymi

Niezależność od platformy sprzętowej i dostawcy chmury

DOSTĘP ANALIZA ZARZĄDZANIE WYTWARZANIE LUB KASOWANIE

Bezpieczny dostęp użytkowników

Wtyczki do programów Outlook® i Explorer® Żądania dostępu lub

kasowania danych

eDiscovery i przeprowadzanie dochodzeń

Retencja z uwzględnieniem typu zawartości

Wykrywanie wycieków danych

Mapowanie danych

Lepsza widzialność dzięki federacyjnemu wyszukiwaniu danych

Pracownicy i źródła danych Warstwy 1 CAB

Dostęp na potrzeby zapewnienia zgodności

XML

Usuwanie

30 LAT

Pracownicy i źródła danych małego ryzyka

1 ROK

B

B

C

A

A

Z automatyczną obsługą storage tiering

Commvault® Data Platform integruje funkcje zapisywania i odtwa-

rzania kopii zapasowych oraz archiwizacji danych, co pozwala na

utworzenie jednego, zintegrowanego repozytorium wartościowych

informacji nieustrukturyzowanych. Co ważne - dane te mogą być

z łatwością przeszukiwane. To wszystko sprawia, że omawiane roz-

wiązanie stanowi solidny fundament do prowadzenia nadzoru korpo-

racyjnego nad danymi. Zapewnia ono bowiem nie tylko jasny wgląd,

ale i pełną kontrolę nad danymi, co jest niezbędne do wypełnienia

obowiązków nakładanych przez GDPR.

UZYSKAJ PEŁEN WGLĄD W DANE OSOBOWE PRZECHOWYWANE

PRZEZ KAŻDY DZIAŁ TWOJEJ FIRMY

• Dostęp do informacji o miejscach przechowywania danych osobo-

wych w obrębie całego przedsiębiorstwa pozwala na optymalizację

kontroli dostępu, a także konsolidację oraz ustalanie odpowiednich

priorytetów działaniom na rzecz bezpieczeństwa.

DYNAMICZNA REAKCJA NA WNIOSKI PODMIOTÓW, KTÓRYCH DO-

TYCZĄ PRZECHOWYWANE DANE

• Postaw prewencyjnie na rozwiązanie, dzięki któremu zminimali-

zujesz lub nawet wyeliminujesz mało wydajne operacje dokony-

wane ad-hoc w chaotycznym zbiorze danych. Przyspiesz proces

wyszukiwania, tworzenia oraz - w razie potrzeby - usuwania da-

nych osobowych.

ZAUTOMATYZUJ RESPEKTOWANIE POLITYKI DOTYCZĄCEJ PRZE-

CHOWYWANIA DANYCH

• Bieżące usuwanie nieaktualnych danych z urządzeń końcowych,

poczty elektronicznej czy źródeł w centrach przetwarzania danych,

a także kopii zapasowych i archiwalnych, w celu respektowania prze-

pisów dotyczących przechowywania danych.

UCZYŃ ŁATWIEJSZYM PRZESTRZEGANIE ZASAD BEZPIECZEŃSTWA

I PRYWATNOŚCI DANYCH

• Wykrywaj ewentualne wycieki danych, co minimalizuje potrzebę nie-

wydajnego sprawdzania systemów i urządzeń końcowych.

• Usuwaj dane objęte szczególną ochroną z nieautoryzowanych loka-

lizacji.

• Uzyskaj dodatkową ochronę przed zagrożeniami typu ransomware.

• Skorzystaj z szybkiej, alternatywnej metody oceny skali zagrożenia

w przypadku naruszenia ochrony. Ułatwiaj tym samym prawnym in-

teresariuszom zaplanowanie powiadomienia o naruszeniu.

ELASTYCZNOŚĆ I DOSTĘPNOŚĆ NARZĘDZIA

• Szybkie odzyskiwanie danych w przypadku incydentu.

• Możliwość odtworzenia danych do dowolnej lokalizacji (fizycznej lub

do chmury), a nawet w kilku lokalizacjach jednocześnie.

SOLIDNY FUNDAMENT DO WPROWADZENIA zintegrowanego nadzoru korporacyjnego nad danymi

19

Pierwsze wyzwanie związane ze spełnieniem

wymogów określonych w ogólnym rozporzą-

dzeniu o ochronie danych dotyczy zbadania

– i w stosownych przypadkach zmodyfikowania

– sposobu, w jaki organizacja gromadzi, prze-

chowuje i przetwarza dane osobowe zgodnie

z tymi prawami. W przypadku niektórych orga-

nizacji może być to dobra okazja do uproszcze-

nia operacji poprzez zaprzestanie gromadzenia

niepotrzebnych danych oraz ograniczenie ich

przetwarzania wyłącznie do zakresu, w jakim

jest to niezbędne do realizacji podstawowych

celów biznesowych.

Zgłaszanie przypadków naruszeniaW ogólnym rozporządzeniu o ochronie danych

nakłada się również na organizacje nowy obo-

wiązek powiadamiania właściwych organów

o naruszeniu ochrony danych osobowych1,

które może wiązać się z wysokim ryzykiem na-

ruszenia praw lub wolności osób fizycznych.

W przypadku uznania ryzyka za „wysokie” za-

wiadomienie należy skierować również do osób

będących przedmiotem naruszenia, których

dane dotyczą. Zawiadomienia należy dokonać

„bez zbędnej zwłoki”, a jeżeli jest to wykonalne,

nie później niż w terminie 72 godzin po stwier-

dzeniu naruszenia.

Istotną kwestią, którą należy podkreślić, jest

związek między wykryciem a zgłoszeniem na-

ruszenia. Zgodnie z przepisami zawiadomienia

należy dokonać w ciągu 72 godzin. Pierwszy

nieautoryzowany dostęp, którego dopuścił się

haker, mógł jednak mieć miejsce na wiele dni,

tygodni lub nawet miesięcy przed faktycznym

naruszeniem danych. Według sprawozdania

M-Trends z 2016 r. średni czas miedzy pierw-

szym nieautoryzowanym dostępem a jego wy-

kryciem wynosi 146 dni. Zasadnicze znaczenie

dla powodzenia naruszenia ochrony danych ma

pojawienie się „okazji”, a zmniejszenie prawdo-

podobieństwa lub całkowite uniemożliwienie

jej wystąpienia jest niezbędne do zapewnienia

ochrony danych organizacji. Ponieważ każde

naruszenie ochrony danych rozpoczyna się

od pierwszego nieautoryzowanego dostępu,

pierwszym krokiem w kierunku ochrony da-

nych i przestrzegania przepisów ogólnego roz-

porządzenia o ochronie danych powinno być

zapewnienie wystarczającego bezpieczeństwa

wykorzystywanej sieci.

Zabezpieczanie sieciDlaczego wciąż dochodzi do takich przypad-

ków naruszenia ochrony danych

Jedną z przyczyn jest z pewnością trudność

w dotrzymaniu kroku zmieniającemu się cha-

rakterowi zagrożeń. Ogromne zyski płynące

z cyberprzestępczości, nie wspominając o po-

Materiał przygotowany przez firmę:

Przygotowanie do wejścia w życie ogólnego rozporządzenia o ochronie danych

Patrick Grillo, EMEA Sales and Marketing Director, Fortinet

tencjale tego procederu w kontekście prowa-

dzenia wojny zastępczej, zapewniają sprawcom

takich przestępstw zasoby i możliwość korzy-

stania z innowacyjnych rozwiązań, które mogą

istotnie przewyższać zasoby i możliwości do-

stępne dla pojedynczych przedsiębiorstw czy

nawet rządów państw.

Jednak czynnikiem, który należy uznać za jesz-

cze istotniejszy w tym kontekście, jest kwestia

kierunku, w jakim sieć działająca w przedsię-

biorstwach ewoluowała na przestrzeni cza-

su. W miarę jak przedsiębiorstwa przyswajały

różnego rodzaju technologie, m.in. internet,

dostęp bezprzewodowy i przechowywanie da-

nych w chmurze, aby czerpać z nich konkretne

korzyści biznesowe, każda z tych technologii

generowała również nowe zagrożenia dla bez-

pieczeństwa sieci. W większości przypadków

dochodziło do zmiany topologii, ale nie ochro-

ny obwodowej sieci, co sprawiało, że stawała

się ona podatna na nowe kierunki ataków. Tę

cechę sieci powszechnie określa się jako jej

„bezgraniczność”.

Inną powszechną praktyką powiązaną z bez-

granicznym charakterem sieci, ale odrębną

od tej cechy, jest łączenie i dopasowywanie

różnych technologii bezpieczeństwa dostar-

czanych przez różnych dostawców, często

w reakcji na ostatnie przypadki naruszenia

ochrony danych. Choć poszczególne pro-

dukty, z jakich korzysta dane przedsiębior-

stwo, mogą działać zgodnie ze swoim prze-

znaczeniem, w wielu przypadkach zdarza się,

że twórcy tych produktów nie przewidzieli

możliwości ich skutecznego współdziałania

1 W niniejszym dokumencie naruszenie ochrony danych definiuje się jako jakiekolwiek naruszenie bezpieczeństwa skutkujące zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych.

20

ŚWIADOMA ZGODA prawo do uzyskania jasnych informacji

na temat tego, dlaczego dane są potrzebne

oraz w jaki sposób zostaną wykorzystane.

Zgoda musi zostać udzielona w sposób

wyraźny i może zostać wycofana

w dowolnym momencie;

DOSTĘPprawo do nieodpłatnego dostępu do wszystkich

zgromadzonych danych oraz do uzyskania

potwierdzenia co do sposobu ich przetwarzania;

KOREKTAprawo do skorygowania danych,

jeżeli są nieprawidłowe;

ZAPEWNIENIE PRAWA DO BYCIA ZAPOMNIANYMprawo do zwrócenia się o usunięcie danych

dotyczących danej osoby;

MOŻLIWOŚĆ PRZENOSZENIA DANYCH

prawo do pobrania i ponownego wykorzystania danych

osobowych do celów własnych w zakresie różnych usług.

Prawa osób fizycznychPodstawą ogólnego rozporządzenia o ochronie danych jest określenie praw osób fizycznych w zakresie ochrony danych.

Prawa te można zasadniczo podsumować w następujący sposób:

z pozostałymi technologiami wchodzącymi

w skład sieci – sytuacja ta komplikuje sposób

działania sieci, co może doprowadzić do błę-

dów w jej konfiguracji i innego rodzaju błędów

ludzkich. Ponieważ większość tych produktów

wymaga dostępu do bazy danych dotyczącej

zagrożeń, aby móc pełnić swoje funkcje, za-

rządzanie szeregiem źródeł danych na temat

zagrożeń bez gwarancji, że wszystkie te źródła

pozwolą w jednakowym stopniu przeciwdzia-

łać zagrożeniom i je wykrywać, zwiększa ryzy-

ko wystąpienia luk w poziomie ochrony, które

będą mogły zostać następnie wykorzystane

przez cyberprzestępcę lub hakera.

Ostatnim problemem, z jakim muszą się obec-

nie mierzyć organizacje, jest problem wydajno-

ści, który nie wynika jednak z niedostatecznej

przepustowości. Jeżeli chodzi o przepusto-

wość sieci, w ostatnich latach można było

zaobserwować bardzo istotną poprawę tego

parametru – obecnie większość sieci działa

z prędkością 10 Gb/s lub wyższą. Problem po-

lega na tym, że większość sieciowych narzę-

dzi bezpieczeństwa nie jest przystosowana do

działania z taką prędkością. W konsekwencji

przedsiębiorstwa są zmuszone do obniżenia

poziomu swojej ochrony, aby utrzymać wy-

dajność działania aplikacji. Jest to decyzja, do

podjęcia której żadna organizacja nie powinna

zostać zmuszona. Choć istnieje bardzo wiele

powodów, dla których uzyskanie nieautory-

zowanego dostępu do sieci może przekształ-

cić się w skuteczną próbę naruszenia ochrony

danych, sieć narażona na oddziaływanie tych

trzech czynników – bezgraniczności, powol-

nego działania i złożoności – okaże się łatwym

celem dla cyberprzestępcy lub hakera.

Fortinet Security Fabric – bezpieczeństwo od samego początkuFortinet Security Fabric to wizja technologicz-

na przedsiębiorstwa Fortinet mająca na celu

rozwiązanie bieżących problemów – bezgra-

niczności, powolnego działania i złożoności –

oraz ciągły rozwój, aby móc rozwiązywać pro-

blemy, jakie mogą pojawić się w przyszłości.

Jej filozofia jest prosta – oferując pełną gamę

rozwiązań Fortinet, Fortinet Security Fabric

może zapewnić szerokie, silne i automatyczne

bezpieczeństwo.

Fortinet Security Fabric osiąga to poprzez

umieszczenie odpowiednich technologii zabez-

pieczających we właściwych miejscach w całej

sieci. Ze względu na architekturę ASIC jednost-

ki procesora zabezpieczającego poszczególne

produkty są w stanie spełnić wszystkie oczeki-

wania związane z działaniem i umożliwiają opła-

calne skalowanie w celu spełnienia rosnących

wymogów w zakresie wydajności.

Po uruchomieniu technologie te współpra-

cują ze sobą w celu usunięcia złożoności

i w pierwszej kolejności zablokowania cy-

berprzestępcy przed wejściem do sieci oraz

w celu wykrycia wszelkich przypadków nie-

autoryzowanego dostępu, jakie miały miej-

sce w przeszłości. Tego rodzaju wielopo-

ziomowe podejście jest możliwe tylko dzięki

ścisłej integracji między poszczególnymi

elementami rozwiązań i ma decydujące zna-

czenie dla utrzymania najwyższego poziomu

integralności sieci oraz zminimalizowania

lub nawet wyeliminowania okien umożliwia-

jących uzyskanie dostępu, z których chcą

skorzystać hakerzy. Po wykryciu nieautory-

zowanego dostępu informacje o aktywno-

ści w sieci można następnie wykorzystać do

przeprowadzenia analizy, dlaczego i w jaki

sposób doszło do nieautoryzowanego do-

stępu, przyspieszając tym samym proces

ograniczania wycieków i odzysku.

Chociaż ochrona danych i bezpieczeństwo

sieci funkcjonują na różnych poziomach

w organizacji, nie można zignorować związ-

ków między nimi. Bez zabezpieczonej sieci

zdolnej do zablokowania zagrożeń i wykrycia

nieautoryzowanego dostępu „okazja”, na jaką

liczy haker, będzie dostępna wystarczająco

długo, aby doszło do naruszenia ochrony da-

nych. Fortinet Security Fabric zapewnia wizję

realizowaną poprzez szereg rozwiązań Forti-

net, której celem jest zapewnienie bezpiecznej

podstawy wymaganej do uniemożliwienia po-

jawiania się takich „okazji” i wspieranie ochro-

ny danych w całej organizacji.

21

Choć unijne rozporządzenie o ochronie danych osobowych (GDPR)

wejdzie w życie dopiero w maju 2018 roku, już dziś perspektywa

jego przyszłej implementacji wpływa na podmioty tworzące krajo-

braz cyfrowej transformacji w Polsce i całej Europie. Do wymogów

nowego prawa muszą się zastosować wszystkie przedsiębiorstwa

oraz instytucje przetwarzające lub gromadzące dane osób prze-

bywających w krajach UE. Dokument GDPR podkreśla ogrom-

ne znaczenie danych elektronicznych a jego wdrożenie stawia

przed organizacjami także wyzwania natury technologicznej. Aby

móc respektować prawa użytkowników zapisane w nowym roz-

porządzeniu, przedsiębiorstwa muszą zagwarantować m.in. stałą

dostępność danych w centrach, które służą ich przechowywaniu

i przetwarzaniu. Muszą również zapewnić sobie narzędzia sku-

tecznie chroniące przed utratą danych i przestojami w dostępie

do nich. Jednym z praw sformułowanych w rozporządzeniu GDPR

jest możliwość żądania przez użytkownika dostępu do swoich da-

nych, przechowywanych przez określoną firmę lub instytucję. Je-

śli obywatel będzie chciał skorzystać z prawa dostępu do danych,

administrator będzie musiał przekazać mu nie tylko informacje

o kategoriach zbieranych danych osobowych, jak dzieje się obec-

nie, ale również wydać kopię danych podlegających przetwarzaniu.

W przypadku, gdy firma utraci te informacje, np. w skutek awarii

w centrum danych, będzie narażona na dotkliwe konsekwencje

prawne i kary finansowe. Dlatego już dziś przedsiębiorstwa powin-

ny zainwestować w modernizację swojego zaplecza IT, tak by prze-

twarzane dane były zawsze dostępne na każde żądanie upoważnio-

nych do tego osób czy organów administracyjnych.

Jak wskazał niedawny sondaż ARC Rynek i Opinia, 52 proc. rodzi-

mych przedsiębiorców nigdy nie słyszało o GDPR, natomiast aż 67

proc. z nich nie zdaje sobie sprawy z tego, ile czasu pozostało na

wdrożenie rozporządzenia. Stąd problem należy potraktować po-

ważnie, podejmując działania dostosowujące zaplecze IT do no-

wych przepisów Unii Europejskiej.

Komentarz Veeam Software na temat GDPR dla CIONET Krzysztof Rachwalski, Regional Director, Eastern Europe Veeam Software

Materiał przygotowany przez firmę:

22

Zarządzanie i ochrona informacji w kontekście GDPR

GDPR, czyli nowa regulacja europejska

General Data Protection Regulation, któ-

ra  wprowadza znaczące obostrzenia do-

tyczące ochrony informacji zawierających

dane osobowe. W szczególności zakłada

„data privacy by design and default” tak,

by prywatność była normą a nie wyjąt-

kiem. Czy w takim razie musimy kom-

pletnie przeprojektować nasze systemy

informatyczne i kulturę organizacyjną, by

w maju 2018 r. zapewnić zgodność z wy-

maganiami GDPR?

Materiał przygotowany przez firmę:

Od jakich kroków należy rozpocząć przygotowania?

01Współpraca z Zarządem 06

Przeprowadź inwentaryzację procesów przetwarzania danych

02Rozważ powołanie Inspektora Ochrony Danych

07Odtwórz przepływy danych w ramach organizacji

03Przejrzyj dotychczasowe polityki, instrukcje, materiały szkoleniowe itp

08Zweryfikuj dotychczasowe umowy dot. przetwarzania danych osobowych

04Zweryfikuj podstawy przetwarzania danych

09Zweryfikuj podstawy przetwarzania danych

05Rozważ skorzystanie z narzędzi w zakresie compliance

Oceń gotowość Twojej organizacji do

rozporządzenia GDPR z narzędziem GDPR

Compliance Assessment dostępnym na stronie:

www.gdprcomplianceassessment.com

23

info_pl@cionet.com www.cionet.com

Dołącz do społeczności CIONET Polska na LinkedIn:

www.linkedin.com/company/cionet-polska

What’s next.

Premium Business Partners:

Business Partners: