Veracomp.pl  »  O Firmie  »  Centrum Prasowe    Aktualności

O FIRMIE

Jak zabezpieczać dane w kontekście RODO?

Rozporządzenie, którego celem jest ujednolicenie zasad ochrony danych osobowych w krajach UE, zostało przygotowane w taki sposób, aby nie promować konkretnych rozwiązań czy producentów.

Takie podejście ustawodawcy ma spowodować, że zapisy dokumentu nie zdezaktualizują się w środowisku, w którym spektrum za­grożeń, a co za tym idzie środków do ochrony, ciągle się zmienia. Dlatego z punktu widzenia integratora i klienta ważny jest efekt końcowy, o którym ustawodawca wyraża się następują­co: „(…) dane osobowe powinny być przetwa­rzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu” (motyw 39 w Preambule rozporządzenia).

Warto zastanowić się, co w tym kontekście dla konkretnej firmy oznacza sformułowanie „odpowiednie bezpieczeństwo”? Przede wszystkim trzeba założyć, że kluczowym wyzwaniem dla przed­siębiorstw jest bezpieczne przechowywanie danych osobowych. Do tego niezbędne są stabilne i wydajne serwery połączone z sys­temami gromadzenia, przesyłania i udostępniania danych, a także ich odtworzenia w przypadku awarii. Konieczna staje się wie­dza o tym, jakie dane osobowe są wytwarzane oraz gdzie są one przechowywane. Z pomocą przychodzą nowoczesne rozwiąza­nia zapewniające lokalizowanie, przeszukiwanie i monitorowa­nie danych osobowych znajdujących się w zasobach serwerowych oraz pamięci masowej. Zaawansowane raportowanie i wizualiza­cja umożliwiają zaś przedsiębiorcom zrozumienie tego, jakie dane przechowują i w jaki sposób są one wykorzystywane.

Z kolei podstawą bezpieczeństwa sieciowego są rozwiązania klasy NGFW/UTM. W tym przypadku wiele firm korzysta ze sta­rych urządzeń, niemających aktualnych subskrypcji i zmusza­jących administratorów do stosowania ograniczonych polityk bezpieczeństwa. Trudno byłoby udowodnić, że taka infrastruk­tura zapewnia zgodność z nowymi przepisami. Warto szczególnie zwrócić uwagę na problem deszyfracji SSL, a więc element, bez którego ogromna część komunikacji pozostaje praktycznie bez kontroli. W zależności od szacowanego poziomu ryzyka rozwią­zania NGFW/UTM warto uzupełnić o specjalistyczne systemy proxy dla ruchu http i https.

Ochronę przed nieznanymi zagrożeniami może znacząco podnieść zastosowanie systemów typu sandbox/ATP (razem z deszyfracją ruchu SSL). O kontrolę dostępu do sieci w war­stwie fizycznej można zaś zadbać dzięki produktom typu Network Access Control (NAC). Przy czym skuteczna ochrona powinna być uzupełniona o cykliczny au­dyt polityk bezpieczeństwa oraz o analizę logów.

Kolejnym ważnym elementem jest ochrona stacji końcowych, szczególnie tych, które mają dostęp do danych poufnych. Współczesne roz­wiązania łączą w sobie moduły, które nie tylko chronią przed znanymi i nieznanymi atakami, ale także zapewniają zgodność z regulacjami, wykry­wają potencjalne anomalie i wycieki danych. Warto pamiętać, że podobne środki ochrony można zastosować w przypadku serwerów, również w środowiskach wirtualnych.

Przetwarzanie danych osobowych jest nieodłącznie związane z aplikacjami, gdzie interfejsem użytkownika jest zwykle prze­glądarka internetowa. Niezależnie od tego, czy są one dostępne tylko wewnętrznie czy również dla klientów – wymagają szcze­gólnej ochrony. Zastosowanie rozwiązań Web Application Fire­wall (WAF) w znaczący sposób podnosi bezpieczeństwo aplikacji, równocześnie zapewniając ochronę przed atakami typu DDoS.

Istotnym obszarem bezpieczeństwa jest także zapewnienie od­powiedniego poziomu uwierzytelniania. Statyczne hasło nie jest już skutecznym zabezpieczeniem, szczególnie w przypadku ce­lów administracyjnych i zdalnego dostępu. Odpowiednie w tej sytuacji są produkty zapewniające uwierzytelnianie i autoryzację w oparciu o hasła dynamiczne (tokeny) lub certyfikaty.

Niezależnie od tego, czy chodzi o stacje końcowe czy serwe­ry, warto rozważyć szyfrowanie dysków i przenośnych mediów. Może to uchronić przed wyciekiem danych w przypadku fizycz­nej kradzieży sprzętu. Osobnym tematem jest też szyfrowanie i pseudonimizacja danych realizowana już na poziomie aplikacji. Z drugiej strony systemy typu Data Loss Prevention (DLP) mogą kontrolować różne kanały komunikacyjne i przeciwdziałać wy­ciekom poufnych informacji, zarówno na poziomie sieciowym, jak i urządzeń końcowych.

W większości przedsiębiorstw można znaleźć obszary, które wymagają poprawy, ale żaden pojedynczy produkt nie zapew­ni pełnej zgodności z rozporządzeniem. Dlatego, traktując RO­DO jako możliwość zwrócenia uwagi na problem zarządzania, audytowania i monitorowania infrastruktury IT, warto zapoznać się z listą niezbędnych rozwiązań z szerokiej gamy urządzeń dostępnych na rynku.

  Produkty

  Korzyści z zastosowania

  Ochrona stacji roboczych

  • FortiClient
  • Symantec Endpoint Protection
  • F-Secure

 

  • zapewnienie precyzyjnej ochrony pojedynczym stacjom
  • zabezpieczenie przed znanymi i nieznanymi atakami
  • wykrywanie incydentów bezpieczeństwa
  • wymuszenie zgodności z regulacjami

  UTM/NGFW/Web Proxy/Sandbox/ATP

  • FortiGate
  • FortiSandbox
  • Symantec/Bluecoat          (SWG, ASG, CAS, MAA)                        
  • Lastline
  • Proofpoint
  • określenie zasad kontroli dostępu do zasobów dla aplikacji i użytkowników
  • wykrywanie aktywności złośliwego oprogramowania, którego działanie może doprowadzić do wycieku informacji 
  • ochrona przed znanymi i nieznanymi atakami
  • wykrywanie incydentów bezpieczeństwa

  WAF

  • F5 (ASM)
  • Radware (AppWall)
  • FortiWeb

 

  • zabezpieczenie aplikacji webowych przed włamaniami
  • ochrona przed nieautoryzowanym dostępem, atakami typu DDoS oraz przed wyciekiem danych wrażliwych
  • wykrywanie incydentów bezpieczeństwa związanych z aplikacjami

  DLP

  • Symantec
  • FortiGate (na poziomie sieciowym)
  • FortiMail (na poziomie maila)
  • Proofpoint (na poziomie maila)
  • F-Secure MSG (na poziomie maila)
  • klasyfikacja i kontrola przepływu treści, w szczególności danych osobowych, w różnych kanałach komunikacji
  • zabezpieczenie przed wyciekiem danych w różnych miejscach infrastruktury organizacji

  Szyfrowanie stacji roboczych/nośników

  • Symantec 

 

  • zabezpieczenie przed wyciekiem danych w różnych miejscach infrastruktury przedsiębiorstwa
  • klasyfikacja i kontrola przepływu treści, w szczególności danych osobowych, w różnych kanałach komunikacji

  Szyfrowanie maili

  • Symantec (PGP)
  • FortiMail
  • F-Secure MSG
  • Proofpoint Email Security 
  • ochrona przed przypadkowym wyciekiem danych wskutek podsłuchiwania ruchu pocztowego, który może zawierać wrażliwe dane
  • weryfikacja nadawcy w celu zabezpieczenia przed incydentami bezpieczeństwa (przy użyciu maila jako wektora ataku)  

  Korelacja zdarzeń, przechowywanie logów, raportowanie

  • HP ArcSight
  • FortiAnalyzer
  • FortiSiem
  • Symantec/Bluecoat (SA, compliance)
  • możliwość wychwytywania ze wszystkich systemów bezpieczeństwa istotnych, skorelowanych zdarzeń, incydentów bezpieczeństwa, niebezpiecznych trendów oraz wycieków informacji
  • niezbędny element strategii zabezpieczenia zasobów organizacji

  Audyt, zgodność z regulacjami (compliance)

  • Audyt zasobów sieciowych
    Infoblox
  • Analiza stacji roboczych i serwerów
    Tenable (stacje i serwery), Nessus
  • Analiza aplikacji webowych
    HP AppScan, FortiWeb
  • Analiza kodu aplikacji
    HPE Fortify
  • analiza konfiguracji systemów zabezpieczeń oraz systemów operacyjnych
  • analiza aplikacji znajdujących się na serwerach i stacjach klienckich w oparciu o wiedzę ekspercką
  • raporty oraz dobre praktyki pomagające osiągnąć i utrzymać zgodność z branżowymi regulacjami i wymaganym poziomem bezpieczeństwa

  Kontrola dostępu dla użytkowników

  • Entrust
  • FortiAuthenticator/FortiToken
  • Symantec (tokeny)
  • Wallix
  • uwierzytelnianie zarówno administratorów, jak i klientów w oparciu o silniejsze technologie niż hasło (np. hasła jednorazowe, certyfikaty)
  • obsługa bezpiecznych procedur zmiany, przypomnienia hasła oraz zakładania kont

  NAC – Network Access Control

  • Extreme NAC
  • Aruba ClearPass 

 

  • zabezpieczenie zasobów sieciowych przed obcymi urządzeniami mogącymi próbować dołączyć się do sieci przedsiębiorstwa (goście, Wi-Fi, dostępność kabli)
  • kontrola przed uzyskaniem dostępu do fizycznej sieci w oparciu o bardziej zaawansowane mechanizmy niż hasło statyczne
  • wymuszenie odpowiedniego poziomu zabezpieczeń stacji przed dostępem do konkretnych danych

  Deszyfracja SSL

  • Symantec/Bluecoat
  • F5
  • Radware
  • FortiGate
  • kontrolowany wgląd w szyfrowaną transmisję pomiędzy stacjami i serwerami (chmurą), w celu wykrywania ataków, zagrożeń i wycieków informacji
  • utrzymywanie zadanego poziomu szyfrowania

  Audyt ruchu do chmury

  • Symantec/Bluecoat (CASB)
  • kontrola aplikacji chmurowych, bardziej zaawansowana niż na poziomie URL, uwzględniająca wiele atrybutów, np. zgodność z regulacjami

  Maskowanie, anonimizacja danych, antifraud

  • HPE SecureData
  • F5 WebSafe
  • zaawansowane technologie oddzielające dane od informacji o użytkowniku, zabezpieczenie przed kradzieżą danych już od strony aplikacji

  Klasyfikacja

  • Symantec
  • wspieranie audytów dotyczących przechowywania określonych rodzajów danych
  • zabezpieczenie przed nieuprawnionym dostępem do wrażliwych informacji

  Zbieranie ruchu do analizy/deszyfracji

  • Gigamon
  • IXIA
  • wygodne i elastyczne kopiowanie wybranych rodzajów ruchu do dalszej analizy bez naruszania struktury sieci (w przypadku awarii umożliwia dalszą pracę, również w mediach światłowodowych)

  Backup i archiwizacja

  • Veritas
    • Netbackup 
    • BackupExec
    • Enterprise Vault
  • Arcserve UDP
  • Veeam Backup and Replication
  • SEP Seazam
  • tworzenia kopii zapasowych j i awaryjnego odzyskiwania danych w przypadku ich utraty
  • przenoszenie „starych” danych, ważnych z punktu widzenia polityki firmy i regulacji prawnych

  Lokalizacja danych

  • Veritas Information Map

 

  • dostarczanie szczegółowych informacji o posiadanych danych, wgląd w ich strukturę oraz lokalizację w zasobach serwerowych i pamięci masowej

  Przeszukiwanie danych

  • Veritas eDiscovery Paltform
  • przeszukiwanie zarchiwizowanych danych pod kątem ich zgodności z polityką bezpieczeństwa

  Monitorowanie danych

  • Veritas Data Insight
  • Veritas Enterprise Vault
  • przenoszenie i usuwanie danych z różnych źródeł
  • zarządzanie przyrostem ilości danych
  • wykrywanie anomalii związanych z dostępem do określonego rodzaju danych
  • redukcja ryzyka i zachowanie zgodności z aktem prawnym
  • zaawansowane raportowanie i wizualizacja pozwala firmom zrozumieć, jakie dane przechowują i w jaki sposób są one wykorzystywane

  Bezpieczne składowanie danych

  • Systemy dyskowe
    • HPE
    • Fujitsu
    • Huawei
    • Quantum
  • Oprogramowanie
  • Veritas Netbackup
  • Veritas Infoscale
  • Veritas Resliency Platform
  •  bezpiecznie gromadzenie i przechowywanie danych

 

Autor artykułu: Piotr Borkowski, Senior Engineer, Veracomp

Opublikowano