Dozvídáme se na jedné straně o tom, jaké hrozí neuvěřitelně velké pokuty, a na straně druhé jsme ujišťováni příslušnými národními úřady o tom, že budou při kontrolách velmi mírní. Čelíme nabídkám na zpracování GDPR na klíč online přes web a nejrůznějším variantám výkladu konkrétních povinností, které GDPR přináší.
Důsledky tohoto nejasného informačního šumu na náladu manažerů telekomunikačních operátorů jsou tak často kontraproduktivní. Záměr evropské komise byl především to, aby se organizace ochranou osobních údajů skutečně začaly zabývat, a to zejména těch, které jsou zpracovávané v elektronické podobě.
Dnešní realitou je však často rezignace, nebo přímo nesouhlas s tím, co nařízení GDPR přináší. A málokdo už si pak povšimne, že to vlastně škodí nám všem.
Nejde jenom o ochranu osobních údajů, ale o data obecně
Při své práci provádění analýz připravenosti na ochranu osobních údajů u malých a středních telekomunikačních společností se setkávám s různorodým přístupem k ochraně osobních údajů a vůbec k ochraně všech firemních dat jako takových.
Mezi mnoha desítkami firem jsem se setkal na jedné straně s nemalým počtem operátorů, kteří berou bezpečnost dat dostatečně vážně, ale k mému překvapení také s velkým počtem organizací působících v telekomunikacích, kde jsem narazil na vážné, až elementární nedostatky v přístupu k bezpečnosti dat.
Často si kladu otázku, nakolik firmám na jejich datech či zabránění jejich kompromitace skutečně záleží? Jistě, košile je bližší než kabát, takže pochopím, že pro majitele telekomunikační společnosti bude důležitější zajistit to, aby se data o jeho zákaznících nedostala do rukou konkurence, než aby jeho nedbalostí neuniklo rodné číslo jeho klienta.
Tomu rozumím.
Setkávám se ale často s realitou, kdy takto klíčová data nejsou v podstatě chráněna vůbec. A pokud by se cizí osoba rozhodla k nim dostat, nemusela by být ani IT expertem, aby se jí to podařilo. A už nejvíce alarmující případy jsou takové, kdy data nejenom nejsou chráněna, ale provoz klíčových informačních systémů závisí na jednom jediném fyzickém serveru nebo dokonce jsou data celkem všeho všudy pouze na dvou fyzických pevných discích a stačí velmi mala porucha hardware na to, aby byl celý business telekomunikačního operátora velmi vážně poškozen.
Takže GDPR nás může naučit něco mnohem užitečnějšího, chránit si data, která jsou důležitá nejen pro naše zákazníky, ale i ta, která jsou důležitá pro nás.
Uklízečka – tajný agent
Ano, konkrétně bývá překvapivě velikým a častým problémem fyzické zabezpečení dat. Zámky kam se podíváte, přísné rozdělení přístupu a vedle toho je uklízečka, často bez jakéhokoliv písemného smluvního vztahu a kontroly, která má v podstatě kdykoliv přístup kamkoliv. Nebo naopak kanceláře a zejména serverovny, které se nikdy nezamykají, servery s důležitými daty umístěné ve zcela nezabezpečených a nemonitorovaných prostorách, pracovní stanice nechráněné ani heslem a pracovníci, kteří ponechávají notebooky s přihlášením do systémů zcela bez dozoru.
Ani v elektronickém světě není v realitě často ochrana téměř žádná, ať jde o administrátorská hesla na servery, která znají všichni zaměstnanci nebo provozování verzí neaktualizovaných systémů, do kterých lze nepozorovaně proniknout z Internetu na základě informací získaných pomocí jednoduchého dotazu do Google vyhledávače.
Častým problémem jsou pak zranitelnosti webových přístupů k systémům, zejména u softwaru, který si firmy dělají svépomocí. Až úsměvně smutným byl pak případ jednoho reálného provozu, kde všechna klíčová data společnosti byla obsažená v jednom jediném souboru, který byl shodou okolností vystaven pro veškeré operace přes nechráněnou telnet konzoli celému světu. Stačilo si data přečíst a přetáhnout zákazníky díky jejich kontaktům a znalosti ceny jejich připojení k jinému operátorovi, nebo soubor jednoduše smazat a na nemalou dobu tak paralyzovat činnost postiženého operátora.
Jedním z nejčastějších scénářů je také až absolutistický přístup některých IT administrátorů k datům a systémům, kdy ani majitelé společnosti nemají představu, jaká data schraňují, jaký je jejich objem a že IT adminovi stačí jedno kliknutí (nebo ani to ne), aby je měl hned uložená na svém notebooku ať už je zrovna kdekoliv.
V jakém bezpečí je tedy pak reálně váš business a dejme tomu také osobní údaje zákazníků?
Stačí tedy pořádně velký zámek?
Jasně, řeknete si, tak tedy umístím zámky a kamery všude, kam to jen lze, vždyť to dnes nic nestojí. A data zabezpečím tak, že si je uložím do NAS umístěné v trezoru a přístup bude mít jen nejnutnější okruh pracovníků, přes šifrovanou VPN a vygenerovaný klíč.
Jenomže, to první jistě realizovat lze, nicméně se tím jednak můžete dostávat i do rozporu paradoxně právě s nařízením GDPR a potom také můžete značně snížit efektivitu provozu organizace.
To druhé je pak spíše nerealizovatelné, protože dnes naopak zároveň potřebujete, aby určitá data byla v určitých okamžicích rychle dostupná ať už vašim pracovníkům, zákazníkům, nebo systémům dodavatelů.
Opatření, kterými nic nezkazíte
Je potřeba se především řídit zdravým selským rozumem a také mít k dispozici někoho, kdo bezpečnosti alespoň trochu do hloubky rozumí a to zejména té bezpečnosti v elektronickém světě. To rozhodně není každý ajťák, ale ten, kdo má zkušenosti jak s návrhy IT architektur, tak s řešením bezpečnostních incidentů, ale zase to nemusí být specialista, který vytváří systémy bezpečnosti pro nadnárodní korporace. Je potřeba použít přiměřené prostředky.
Existují jednoduché zásady, kterými určitě nic nezkazíte, zde je několik z nich.
- V první řadě si promyslete, jak bezpečnost dnes řešíte a zda vůbec.
- Potom si to rozmyslete ještě jednou a buďte na sebe trochu více kritičtí.
- Stanovte si opatření, která je vhodné a zároveň dostupné zavést.
- V rozumné míře využijte dnešní dostupné technické prostředky pro fyzické zabezpečení a monitoring.
- Přístupy dejte jen těm pracovníkům, kteří je skutečně pro svou práci potřebují.
- Proškolte pracovníky o elementární bezpečnosti, zamykání kanceláří, odhlašování od počítačů, bezpečnosti hesel, apod. Vyžadujte dodržování těchto zásad.
- Vyžadujte od IT administrátorů základní dokumentaci bezpečnosti zpracování dat, sami pak můžete posoudit, nakolik je pro vás současný stav rizikem či nikoliv.
- Nespoléhejte se na jediný hardware, nebo jediné jiné místo v IT architektuře, které v případě selhání ohrozí vaše data nebo váš provoz.
- Zamyslete se, zda jste schopni řešit vše sami nebo zda není vhodnější něco nechat řešit specializované odborníky.
Co určitě z GDPR plyne…
Velká část nařízení GDPR je samozřejmě právě o bezpečnosti dat s osobními údaji vašich zákazníků, pracovníků a případně také dodavatelů. Využijte tedy povinnost souladu s tímto nařízením ke zvýšení ochrany všech dat, která jsou pro vás důležitá.
Jsou zde další poměrné nesporné povinnosti, které vám, telekomunikačním operátorům nařízení ukládá.
Jednou z těch nejhmatatelnějším je povinnost pro většinu z vás jmenovat osobu pověřence osobních údajů. Zde nejde o toho, kdo vám má zavádět veškerou ochranu zpracování osobních údajů. Má to být osoba, která je určitým nezávislým garantem a oponentem při zavádění souladu s GDPR, osoba, která by měla zajistit, že máte problematiku s kým konzultovat a zároveň být prostředníkem při komunikaci s příslušným úřadem nebo i se zákazníky a dalšími subjekty osobních údajů.
Další povinností pak může být zpracování tzv. DPIA neboli „Posouzení vlivu na ochranu osobních údajů“, což je nástroj, který může být velmi užitečný i pro stanovení rizik pro ochranu vašich důležitých dat.
Vaši zákazníci, pracovníci a další subjekty osobních údajů mají dle nařízení nová práva, která mohou uplatňovat, je potřeba je znát a být připraven na součinnosti při jejich uplatňování.
Spousta práce může být dlouhodobě na poli IT a informačních systémů, nejde ovšem jenom o váš informační systém, ve kterém máte data zákazníků a pracovníků, jde také o vaše webové stránky, maily, souborové servery či kamerové systémy.
Je jistě nutné provést úpravu některých smluvních vztahů, mj. v rámci vztahu se zákazníky i pracovníky je bezpodmínečně nutné je informovat o zpracování osobních údajů.
Finálně je také vhodné vše završit zastřešující dokumentací souladu s nařízením GDPR, což může být stručný dokument, který shrnuje interní směrnice a opatření provedená pro ochranu osobních údajů. V neposlední řadě jste povinni jako telekomunikační operátoři vést tzv. Záznamy o činnostech zpracování.
Všem těmto tématům se podrobněji a konkrétně věnujeme například na našich GDPR seminářích určených přímo pro telekomunikační operátory.
V klidu a s rozmyslem chraňte to, co je pro vás důležité
Výše je uvedeno, že v první řade je potřeba si bezpečnost „promyslet“.
Na to je v dnešní době těžké najít čas, proto doporučujeme využít nabídky zpracování velmi základní a na čas nenáročné analýzy pro zavedení souladu s GDPR, která vám dokáže konkrétně identifikovat vaše slabá místa a přinese vám návod, jak pro dosažení souladu s GDPR postupovat.
Takové analýzy nabízí řada společností, mé zkušenosti, ze kterých jsem čerpal v tomto článku, pocházejí z provádění těchto analýz pro telko operátory v Čechách i na Slovensku.
Jaroslav Kopecký
OG Soft s.r.o.
Článek původně vyšel v Ročence 2018 Slovenské asociácie pre káblové telekomunikácie
