2018-01-02
Szyfrowanie danych jedną z odpowiedzi na RODO
Rozporządzenie o ochronie danych osobowych wzbudza sporo emocji praktycznie w każdym sektorze biznesu. Nie bez powodu – dotyka ono praktycznie każdego przedsiębiorcy. Ciężko dziś wyobrazić sobie branżę, która mogłaby funkcjonować i rozwijać się, nie przetwarzając danych osobowych. Najmniejsza choćby nawet firma oferująca dostawę przechowuje adresy swoich klientów.
Rozporządzenie o ochronie danych osobowych wzbudza sporo emocji praktycznie w każdym sektorze biznesu. Nie bez powodu – dotyka ono praktycznie każdego przedsiębiorcy. Ciężko dziś wyobrazić sobie branżę, która mogłaby funkcjonować i rozwijać się, nie przetwarzając danych osobowych. Najmniejsza choćby nawet firma oferująca dostawę przechowuje adresy swoich klientów.
Tymczasem w przeciwieństwie do swojej poprzedniczki, ustawa ta nie wprowadza jasno określonych zasad, dzięki którym można być pewnym, że przynajmniej w świetle prawa dołożyliśmy wszelkich starań, aby uniknąć sytuacji kryzysowych. Zarówno sposób, jak i dobór narzędzi, służących ochronie danych przed […] niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem […]1, RODO ceduje na podmioty administrujące danymi. Większość przedsiębiorstw posiada wdrożone procedury zabezpieczające przed trzema ostatnimi zagrożeniami. Prawdziwy niepokój wzbudza jednak pierwsze – potocznie nazywane wyciekiem.
Na fali tego niepokoju, niczym przysłowiowe grzyby po deszczu, powstają firmy świadczące usługi w zakresie bezpieczeństwa. Niestety, poziom tych usług jest bardzo zróżnicowany. Przykładowo, wciąż powszechnym mitem jest stwierdzenie, że dobrym sposobem na ochronę dostępu do danych jest szyfrowanie dysków. Implementacja tego rozwiązania może przebiegać zarówno na poziomie sprzętowym, jak i programowym. Często zapominamy, że podczas „uruchamiania” dysku (np. przy starcie systemu operacyjnego), dane są deszyfrowane poprzez przekazanie klucza – za pomocą np. hasła, karty chipowej czy urządzenia typu dongle. Do momentu „zatrzymania” dane są całkowicie dostępne dla użytkowników. Zatem o ile w wypadku laptopów czy dysków przenośnych rozwiązanie to znajduje zastosowanie, o tyle w wypadku dysków serwerowych nie stanowi to większej ochrony, ponieważ zabezpiecza nas wyłącznie na okoliczność kradzieży fizycznego urządzenia. Tymczasem większość kradzieży odbywa się zdalnie, poprzez sieć.
Szyfrowanie w EuroDB
Dużo lepszym wyborem jest rozwiązanie dostarczane w ramach EuroDB, gdzie szyfrowanie odbywa się na poziomie danych. Podobnie jak w wypadku szyfrowania dysków, ich odkodowanie wymaga odpowiedniego klucza (na żądanie użytkownika dane podlegają deszyfrowaniu i w tej postaci są mu prezentowane). Zasadnicza różnica polega jednak na tym, że dane nie są przechowywane w postaci „czystej” (plaintext). Dla zwiększenia bezpieczeństwa, klucze deszyfrujące mogą być umieszczone na serwerze aplikacji albo w oprogramowaniu klienckim. Klucze te można „ukryć” przed użytkownikami o niższym poziomie dostępu, pozostawiając im jedynie możliwość użycia. Dodatkowo, aby zagwarantować, że poufne dane nie zostaną przechwycone podczas ich przesyłania pomiędzy klientem a bazą, stosuje się połączenie szyfrowane z użyciem protokołu SSL. W ten sposób zyskujemy pewność, że uprawniony użytkownik łączy się z właściwym serwerem.
Warto poddać pod rozwagę poruszane tu zagadnienia, ponieważ bezpieczeństwo danych to kwestia bardzo istotna. Nie tylko ze względu na sankcje, które nakłada RODO w przypadku wycieku, ale też ze względu na to, że jest ono kluczowe w budowaniu stabilnych i opartych na zaufaniu relacji zarówno z Klientami, jak i Kontrahentami.
Zachęcamy także do przeczytania materiału szerzej mówiącego o tym, czym jest RODO.
Źródło:
1Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., art. 5 ust. 1 lit. f.