RODO (GDPR) czyli ogólne rozporządzenie o ochronie danych osobowychwchodzi w życie już jutro! Tak, to już jutro. Wpadanie w panikę jest jednak całkowicie nieuzasadnione, zwłaszcza w sytuacji, kiedy administrator waszej platformy do przetwarzania informacji w firmie dobrze odrobił lekcję z merytorycznych podstaw jej funkcjonowania. Jeśli tak się stało, jesteście gotowi na to, aby stosować wytyczne RODO. Gdyby jednak tak nie było i strach przed karzącą kontrolą nie pozwalał spać w nocy, to ten tekst i kilka minut poświęcone na jego lekturę może pomóc. Wskazówki w nim umieszczone dotyczą użytkowników platform Microsoft-u z rodziny SharePoint.
Prawo
O co chodzi w rozporządzeniu? Wbrew pozorom da się to ująć w sposób bardzo prosty. Właścicielem danych osobowych zawsze ba być „OSOBA”, do której są one przypisane w sposób niezbywalny. My to my. Mamy prawo wiedzieć, co dzieje się z naszymi danymi a świat dookoła nas ma je chronić. Jako obywatele mamy wreszcie narzędzia, które pozwalają na lepszą ochronę naszej prywatności w świecie, który z obrotu danymi osobowymi uczynił lukratywny biznes. Pozyskiwanie takich informacji, handel bazami je przechowującymi podlegał do tej pory iluzorycznej kontroli. Świadomość powszechności takich praktyk też była znikoma. Ci, którzy choć trochę próbowali walczyć z nachalnymi reklamami, doskonale wiedzą, że to epicki bój. Wygrać do końca nigdy się nie dało. Każda firma, nie tylko marketingowa, przetwarza ogromne ilości takich danych. Między innymi właśnie to spowodowało, że przygotowanie na RODO, jak na dzień Apokalipsy, stało się samo w sobie wielkim biznesem. Szkolenia, certyfikaty, audyt… wszystko po to, aby nikt się nie przyczepił a nawet nie pomyślał o możliwości przyczepienia się. To jednak nic nie da, jeśli nie zaczniemy świadomie myśleć o przetwarzanych w firmie informacjach i polityce z tym związanej. Problem ten jest raczej zagadnieniem mentalnym niż kwestią stosowanej technologii. Nasze przyzwyczajenia w tym zakresie będą zapewne ewoluowały jeszcze długie lata, technologia – zwłaszcza ta od Microsoft-u – mechanizmy, które są wymagane w rozporządzeniu GDPR ma zaimplementowane od lat. A jakie?
Tabela retencji
Zacznijmy od tego, że dwie podstawowe rodziny produktów przeznaczonych do przechowywania informacji: SharePoint (on-premise) oraz Office 365 wraz z witrynami SharePoint przygotowano tak, aby magazynowały dane, ale nie wiecznie. Lokalne regulacje prawne nakładają na przedsiębiorców obowiązek archiwizowania dokumentów przez określony czas. Dotyczy to również materiałów cyfrowych, przechowywanych w systemach obiegu informacji. Wymogi te oczywiście należy spełnić, zapewniając odpowiedni poziom dostępności takich zasobów. Praktyka jest jednak taka, że przechowujemy wszystko – bo może się to kiedyś przydać. Nie ma to najmniejszego sensu.
Po pierwsze dyski twarde a nawet miejsce na dane w chmurze nie są z gumy. Wprawdzie cena za gigabajt powierzchni dyskowej stale spada, to jednak przechowywanie danych jest realnym kosztem. Po drugie, rzeczywista użyteczność historycznych informacji jest mniejsza, niż mogłoby się wydawać. Jak więc to rozwiązać? Po pierwsze firma musi zdefiniować i nazwać rodzaje przechowywanych informacji. Klasyfikator powinien określać kilka parametrów: rodzaj informacji (np. jawna / poufna / umowa / instrukcja), dane określające gdzie i w jakich okolicznościach powstała, wreszcie czy taka informacja zawiera dane wrażliwe (np. pesel, numer karty kredytowej). W wypadku RODO istotne będzie również ustalenie terminu ważności informacji, po przekroczeniu którego nastąpi jej wycofanie z systemu (usunięcie lub trwałe zarchiwizowanie na nośniku zewnętrznym). Tak sformułowaną politykę nazywamy tabelą retencji. Powinna ona być stale aktualizowana wraz z pojawieniem się nowych potrzeb i taką tabelę implementujemy do naszego SharePointa. Wykorzystuje się do tego typy zawartości, definiowane na poziomie każdej witryny. Samo rozwiązanie ma bardzo wiele zalet, ponieważ w istotny sposób poprawia czytelność przechowywanych informacji, możliwość ich wyszukiwania oraz zaawansowanej kontroli nad przechowywaniem, uwzględniając choćby to, że dane zostaną automatycznie usunięte „po terminie”.
DLP
RODO wymaga od nas również pilnowania tego czy nie doszło do wycieku danych. Czas reakcji na taką sytuację może rzutować na to, jak zostaniemy potraktowani przez organy regulacyjne a ściślej rzecz ujmując, czy zostaniemy ukarani czy też nie. Istotne jest więc to, aby raczej przeciwdziałać potencjalnym problemom. Narzędzia DLP (ang. Data Loss Prevention) umożliwiają śledzenie tzw. danych wrażliwych. Wcześniej wspomniane rozwiązanie, związane z etykietowaniem dokumentów jest naszą pierwszą linią obrony. Kolejną jest zaprogramowanie narzędzi DLP w organizacji. Office 365 oraz SharePoint 2016 zawierają odpowiednie, scentralizowane rozwiązania. Starsze wersje wymagają zastosowania narzędzi firm trzecich lub odpowiednich procedur śledzenia.
Jak wygląda proces programowania takiego rozwiązania? Przede wszystkim należy stworzyć listę stanowisk lub konkretnych pracowników, uprawnionych do przeglądania tego rodzaju zawartości. (w tym treści wrażliwych). Następnie musimy przeprowadzić audyt całej organizacji w kierunku zdefiniowania tego, co stanowi treść wrażliwą. O ile normy, takie jak RODO, pozwalają wskazać to bez problemu (dane osobowe, numery dokumentów tożsamości, numery kart płatniczych, dane dotyczące stanu zdrowia), to każda firma ma również swoje własne tajemnice, które chce chronić. Kiedy już zbierzemy takie informacje, możemy przygotować system DLP do śledzenia treści. Na gruncie SharePoint i Office 365 rozwiązanie opiera się o silnik wyszukiwania, zestaw gotowych szablonów oraz słowa kluczowe organizacji. Najprościej rzecz ujmując platforma sama szuka w witrynach, dokumentach i mailach wspomnianych wyżej informacji (np. ciągów cyfr, w paczkach po 12, które sugerują, że jest to numer karty płatniczej). W sytuacji odkrycia takich danych, automatycznie objęte zostaną one ochroną, która w skrajnych przypadkach może zablokować dostęp niepowołanej osobie do takiej informacji. Pamiętać należy, że zadaniem rozwiązań DLP jest przede wszystkim informowanie osób nadzorujących system, o tym, że doszło do próby pozyskania zastrzeżonych informacji oraz ich przesłania gdzieś dalej.
DLP/IRR
Pozostaje jeszcze jednak jedna linia obrony. RMS / IRR. Rights Management System / Information Rights Management odpowiada za szyfrowanie danych i ograniczanie do nich dostępu. Implementacja tej technologii na gruncie lokalnego SharePointa jest dość skomplikowana (wymaga przygotowania odpowiedniego serwera z rolą RMS), ale wykładniczo podnosi bezpieczeństwo. W Office 365 jest ona dostępna wyłącznie w planach korporacyjnych i to nie we wszystkich. Istota jej działania jest dość prosta i polega na zaszyfrowaniu wybranych dokumentów (plików) tak, aby jedynie na urządzeniach organizacji bądź po podaniu odpowiednich poświadczeń możliwe było korzystanie z dokumentów (również w określonym zakresie, np. bez możliwości drukowania). Plik poza organizacją będzie bezużyteczny. Szansa przełamania klucza szyfrowania „w rozsądnym czasie” jest znikoma. Zwykłemu pecetowi zajmie to kilka tysięcy lat.
Podsumowanie i zaproszenie
Stosując te rozwiązania RODO nie będzie straszne. Jak je zastosować? W przyszłym tygodniu filmy demonstrujące działanie tych rozwiązań: typy zawartości, polityka przechowywania oraz DLP / RMS.
Zapraszam 🙂