iSecure logo
Blog

Zabezpieczenia pamięci przenośnej według irlandzkiego organu nadzorczego

Co słychać na zielonej wyspie?

Jak dobrze wiemy, jednym z głównych obowiązków administratora danych wynikających z ogólnego rozporządzenia o ochronie danych (RODO) jest zapewnienie odpowiednich środków bezpieczeństwa danych osobowych. Te środki powinny chronić przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem (posługiwaniem się) danymi osobowymi, w tym przed kradzieżą, zniszczeniem, uszkodzeniem lub ich ujawnieniem.

Skąd administrator danych osobowych ma wiedzieć jakie środki bezpieczeństwa są odpowiednie? Dokonując analizy ryzyka, zatrudniając specjalistów lub… samodzielnie czytając wytyczne organów. Należy również pamiętać o audycie (monitorowaniu) zastosowanych środków, ponieważ z czasem mogą się dezaktualizować. W tym wpisie skupimy wzrok na ostatnim przypadku, a dokładnie na przejrzeniu wytycznych irlandzkiego organu ochrony danych osobowych (1).

 Pamięci przenośne – jak żyć?

Jeżeli w swojej firmie administrator danych nie zablokował portów USB, może dochodzić do zgrywania danych osobowych na masowe pamięci przenośne:

  • pendrive,
  • zewnętrzne dyski twarde,
  • karty micro-SD,

bądź na wewnętrzne pamięci przenośne różnych urządzeń:

  • smartfonów,
  • tabletów.

Powyższe urządzenia z pamięciami przenośnymi należy zabezpieczyć analizując kwestie m. In.:

  • przenoszenia urządzeń, a więc możliwość ich kradzieży lub zgubienia,
  • wgrania złośliwego oprogramowania po podłączeniu do urządzenia służbowego,
  • nieuprawnionego dostępu do plików przez osoby postronne.

Czy wewnętrzne firmowe procedury będą pomocne? Odpowiedź wydaje się oczywista – nie. Dokumentacja pozwala jedynie uporządkować środki, które powinny być stosowane w danym przypadku. Natomiast te środki bezpieczeństwa należy jeszcze zastosować i je sprawdzić. O jakich środkach bezpieczeństwa mowa? Z odpowiedzą przychodzi właśnie irlandzki organ nadzorczy.

 Co na to organ?

Irlandzki organ przedstawia swoje wytyczne, w których informuje administratorów danych osobowych o następujących środkach minimalizujących ryzyko naruszenia danych osobowych. Dla zwiększenia czytelności zalecenia organu podzieliłem na kilka grup.

 Pracownicy a zabezpieczenia pamięci USB

– Czy pracownik może korzystać z prywatnych urządzeń?

– W żadnym wypadku!

I na tym można zakończyć wszelkie dywagacje. Urząd ujął podejście do prywatnych urządzeń w kilku następujących punktach:

  • zakaz korzystania i podpinania do komputerów służbowych prywatnych pamięci przenośnych pracowników,
  • zakaz zgrywania danych osobowych na prywatne urządzenia przenośne,
  • należy korzystać z autoryzowanych pamięci przenośnych autoryzowanych przez pracodawcę
  • zakaz korzystania ze służbowych urządzeń przenośnych na prywatnych komputerach,

Powyższe zakazy wydają się rygorystyczne, ale mają swoje uzasadnienie. Żadne złośliwe oprogramowanie nie powinno dostać się na przenośną pamięć, jeżeli jest ona używana jedynie w zamkniętym środowisku pracodawcy. Dodatkowo pamiętajmy o zrobieniu spisu posiadanych aktywów, czyli prowadzeniu ewidencji posiadanych pamięci masowych, oraz o aktualizowaniu tego rejestru w przypadku wydania nośnika lub jego zwróceniu przez pracownika.

W swoich zaleceniach organ jeszcze kilkukrotnie wspomina o pracownikach. Mianowicie:

  • należy ograniczyć liczbę pracowników mogących zgrywać pliki na pamięci zewnętrzne,
  • każdy z pracowników musi posiadać aktualne upoważnienie oraz zobowiązanie do poufności,
  • każde urządzenie powinno mieć przypisanego swojego użytkownika, który jest odpowiedzialny za daną pamięć,
  • każdy pracownik po zakończeniu pracy musi zwrócić urządzenie.

 Zabezpieczenia techniczne

Jeżeli chodzi o zabezpieczenia techniczne, to urządzenia przenośne powinny być:

  • zaszyfrowane (cały dysk), oraz
  • zabezpieczone hasłem.

Co możemy uznać za silne hasło? Zgodnie z zaleceniami hasło powinno składać się z co najmniej dwunastu znaków i zawierać co najmniej jeden z następujących elementów: mała bądź duża litera, cyfra lub znak specjalny.

Dodatkowo trzeba mieć na uwadze, aby:

  • pracownik mógł zgrywać dane na pamięci masowe tylko na krótki okres, a jeżeli to możliwe, powinien być wdrożony system, który automatycznie usuwa danym po konkretnym czasie,
  • pracownik usuwał dane z pamięci przenośnej, gdy są już zbędne,
  • była możliwość (o ile to wykonalne) zdalnego usunięcia danych (na odległość) z pamięci pracownika,
  • robić kopię przeniesionych danych na pamięć, aby w przypadku zgubienia urządzenia była możliwość ich odtworzenia,
  • pamięci masowej nie pozostawiać bez nadzoru (w szczególności podczas transportu), a nieużywana pamięć powinna być zabezpieczona (np. przechowywana w bezpiecznym pomieszczeniu/szufladzie),
  • IT dokonywało przeglądów pamięci przenośnych w celu upewnienia się, że są przechowywane na nim jedynie dopuszczalne dokumenty (bez nielegalnych programów/materiałów),
  • urządzenia pochodziły od renomowanych dostawców.

 Podsumowanie. Zwiększ świadomość pracowników i szyfruj pamięć!

Powyższe zasady oczywiście należy wdrożyć w firmie w postaci wewnętrznej polityki zawierającej wymienione zalecenia i zakomunikować je całemu personelowi. Świadomość od zawsze jest najważniejsza, ponieważ do większości naruszeń dochodzi z powodu błędu osoby, będącej najbardziej związanej z administratorem danych – czyli z winy pracownika. Dlatego każdy pracodawca musi pamiętać o zapewnieniu szkoleń dla pracowników (i to nie jednorazowych, a wielokrotnie przypominać pracownikom o zasadach bezpieczeństwa!) w celu szerzenia wiedzy z wdrożonych procedur, bezpiecznego postępowania z nośnikami pamięci, czy możliwych niebezpieczeństw, które mogą spowodować negatywne konsekwencje wobec organizacji.

Natomiast jeżeli dojdzie do naruszenia, bez znaczenia czy z powodu zwykłego ludzkiego błędu bądź zuchwałej kradzieży, musimy mieć pewność, że technologia nas nie zawiedzie. W końcu, jeżeli dane były szyfrowane mocnym hasłem, to zgodnie z wytycznymi irlandzkiego urzędu, może nie będzie konieczności zgłaszania naruszenia bezpieczeństwa danych (2). Dlatego dla każdej firmy najcenniejszym aktywem jest świadomy pracownik, a następnie równie ważne jest mocne zabezpieczenie techniczne.

Źródło:

Pobierz wpis w wersji pdf

Podobne wpisy:

Prawo do usunięcia danych osobowych – kiedy może być realizowane?

Prawo do usunięcia danych osobowych jest jednym z najbardziej znanych praw podmiotów danych na gruncie RODO. W teorii, RODO zapewnia każdej osobie fizycznej, której dane osobowe są przetwarzane, prawo do ich usunięcia w każdym momencie. Jednak, jak większość przepisów, każde prawo obwarowane jest pewnymi warunkami. Prawo do usunięcie danych również nie jest prawem bezwzględnym i […]

Ustawa o kasach zapomogowo pożyczkowych – czy zgoda jest właściwą podstawą prawną przetwarzania danych osobowych?

W październiku 2021 roku w życie weszła ustawa o kasach zapomogowo pożyczkowych, zastępując tym samym wcześniejsze regulacje odnoszące się do tego zagadnienia, wskazane w ustawie o związkach zawodowych. Z pozoru wydawać by się mogło, iż nowy tekst ustawy okaże się pomocny z perspektywy zagadnień ochrony danych osobowych, gdyż jasno wskazuje podstawy prawne przetwarzania danych osobowych […]

Panie, u mnie w firmie się nie przetwarza żadnych danych osobowych…

RODO obowiązuje już od blisko sześciu i pół roku. Choć oczywiście wiemy o praktyce stosowania tych przepisów dużo więcej niż w końcu maja 2018 roku, to nadal spotykamy sytuacje, które mogą zaskakiwać. Jedną z nich jest niedawne nałożenie przez francuski organ ochrony danych CNIL znacznych (150 i 250 tysięcy Euro) kar na dwie francuskie spółki […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki