Problémem GDPR může být uživatel

Computerworld 7/2017 - Problematika GDPR je víc než aktuální, a přesto těch, kteří skutečně vědí oč jde, je u nás stále málo. Nenechte se napálit nabídkami firem na zaručená řešení - není to zdaleka tak jednoduché, píše o tom ve svém komentáři jednatel NEWPS.CZ, pan Martin Řehořek.

Po datovkách, autorizované konverzi dokumentů, základních registrech, zákonu o kybernetické bezpečnosti a nařízení eIDAS zde máme další výzvu – General Data Protection Regulation neboli Obecné nařízení o ochraně osobních údajů (GDPR). V poslední době je to velmi populární téma, díky kterému se najednou vyrojilo velké množství „zaručených“ řešení. „Nechcete se trápit s GDPR, kupte si naše řešení a máte po problémech.“ To je obvyklý marketinkový přístup firem snažících se využít GDPR jako obchodní příležitost.

Na druhé straně stojí provozovatelé IT systémů, z nichž velká část pracuje nebo nějak využívá osobní údaje. Od „obyčejného“ personálního systému, CRM, databází, rejstříků, různých registrů, evidencí (pacientů), dokumentace (zdravotnická) atd. Lze konstatovat, že GDPR se týká většiny informačních systémů. Na rozdíl od ZKB nebo eIDAS přináší GDPR i sankce, a to nemalé. Takže pozor, začíná jít skutečně do tuhého.

S čím nebo kde tedy začít? Zřejmě tou správnou cestou asi nebude „totální opevnění“ databáze nebo informačního systému obsahujícího osobní údaje. To by vedlo spíše k jeho zablokování a znemožnění praktického používání. K datům přece potřebujeme mít přístup. Často on-line, odkudkoliv, kdekoliv a kdykoliv. Co s tím? Předně je dobré si uvědomit, co nebo kdo může být tím největším nebezpečím pro naše data, data obsahující osobní údaje. Já bych řekl, že to bude člověk. Žádný virus nebo ransomware, ale uživatel informačního systému. Bez ohledu na to, v jaké roli k datům přistupuje. Zda je to zaměstnanec firmy, který systém těmi osobními údaji plní či s nimi nějak pracuje, nebo externí uživatel přistupující zvenku aplikaci, která obsahuje data včetně osobních údajů.

Začal bych tedy u uživatelů. Je načase udělat pořádek v identitách. Zavést centrální správu uživatelských účtů – identity management a kontrolu přístupu uživatelů – access management. Nezapomínejte na administrátory. I to jsou uživatelé a je třeba je rozlišovat. Neměli by mít tu výsadu přístupu k serverům a aplikacím pod jedním společným root heslem. Je třeba rozlišit, kdo co dělá. K tomu slouží například privileged user management. Pak konečně dosáhnete tzv. jednoznačné identifikace a autentizace všech uživatelů, která vám zajistí i nepopiratelnou odpovědnost uživatele za provedený úkon.

Dalším (lze realizovat i souběžně) krokem je implementace SIEM řešení. Nasazujte ale pouze tam, kde to je potřeba. Gigabajty systémových logů odevšad jsou vám k ničemu. Pokud hodláte tyto logy vyhodnocovat v on-line režimu, musíte si vybrat, co je pro vás skutečně důležité.

Takže pokud budete mít centrální správu uživatelů a kontrolu jejich přístupu, můžete si být jisti, že k datům se dostane jenom ten, kdo má odpovídající oprávnění. Navíc máte k dispozici SIEM pro logování a automatické vyhodnocování událostí. V případě potřeby auditování máte k dispozici logy o všem, co se ve vašem perimetru stalo.

Tohle by mohl být zhruba cílový stav pro dosažení shody s GDPR z pohledu správy uživatelů. Ale nemyslete si, že máte hotovo. Prakticky jste teprve začali. Ale jdete správným směrem.

Ing. Martin Řehořek

Jednatel NEWPS.CZ