11.06.2018

RODO: Bezpieczeństwo urządzeń mobilnych jest niezbędne

Portal niebezpiecznik.pl pod takim właśnie tytułem opublikował artykuł dotyczący bezpiecznego wdrożenia w firmie strategii „Bring Your Own Device” (BYOD, "Przynieś Swoje Własne Urządzenie"), którego częścią jest także zagadnienie takiego przygotowania i obsługi mobilnych urządzeń końcowych wykorzystywanych w przedsiębiorstwie, by gwarantowało ono zgodność z wymogami RODO.

Jest to ważny temat, ponieważ urządzenia mobilne - czy to własne urządzenia użytkowników, czy też urządzenia jakie zostały udostępnione do wykorzystywania użytkownikom przez firmę, są często i intensywnie są wykorzystywane przez nich, a to rodzi rozmaite zagrożenia dla firmowych danych. Bo nawet jeśli firmy zaimplementują takie rozwiązania techniczne, że nie zaatakuje ich żaden cyberprzestępca, to sami pracownicy mogą zgubić urządzenia, na których znajdują się istotne dane…

Artykuł następnie wskazuje, że aby zagwarantować zgodność z RODO – urządzenia i rozwiązania wykorzystywane w firmach muszą oferować odpowiedni poziom zabezpieczenia danych, oraz, że aby go zapewnić należy przestrzegać co najmniej poniższych zasad:

  • Bezpieczeństwo danych: Urządzenia mobilne i systemy operacyjne już na etapie projektu powinny być zgodne z postanowieniami bezpieczeństwa i ochrony danych osobowych. Administratorzy przed uruchomieniem urządzenia powinni sprawdzić zgodność ustawień z przyjętą konfiguracją docelową i monitorować szyfrowanie urządzenia, a w razie potrzeby wymusić ich zdalne usunięcie.
  • Minimalizacja danych: Niektóre aplikacje wymagają podania dużej ilości danych osobowych, dlatego też administratorzy powinni wziąć pod uwagę możliwość wprowadzenia zakazu stosowania takich aplikacji. Pracownikom poszczególnych departamentów, jeśli nie jest to niezbędne do ich pracy, powinno się ograniczyć dostęp do firmowych danych i systemów — do niektórych systemów domyślnie dopinany jest każdy z pracowników, choć nie każdy potrzebuje takiego zakresu danych. Tu przyda się podejście polegające na organizacji pracowników w grupy i konfigurowanie odpowiednich polityk UEM dla grup.
  • Odpowiedzialność: Przedsiębiorstwo musi być w stanie wykazać zgodność z wymogami RODO, a każde naruszenie przepisów w zakresie ochrony danych (np. utrata końcowego urządzenia mobilnego) musi zostać niezwłocznie zgłoszone właściwej jednostce. Ponieważ niezastosowanie się do przepisów może podlegać karze pieniężnej, powinno się opracować wewnątrzfirmowe reguły, które będą jasne i zrozumiałe dla każdego pracownika.

Wszystko to jest bardzo istotne, artykuł ten nie porusza jednak w wyraźny sposób na przykład tematu nośników służbowych, jakie pracownicy otrzymali od firmy/instytucji do wykorzystywania, a chcieliby użytkować je także np. po zakończeniu pracy w danej firmie/instytucji. Bardzo słusznie jest nadmienione, że "a w razie potrzeby wymusić ich (danych) zdalne usunięcie". Co jednak gdy jest to z różnych powodów niemożliwe? W takim przypadku dla zagwarantowania bezpieczeństwa, oraz spełnienia wymogów RODO, takie nośniki - telefony komórkowe, smartfony, palmtopy, tablety, przenośne dyski twarde, karty pamięci, itd. - powinny mimo wszystko pozostać w dyspozycji danej firmy/instytucji - albo będąc przekazane do użytkowania innemu pracownikowi, albo skutecznie zniszczone. Bezpieczne usuwanie danych jest bowiem ostatnim etapem przetwarzania danych - i jako takie nie może zostać pominięte, jeżeli wymogi RODO mają zostać zachowane.

Nie ma żadnej polskiej normy, która definiowałaby poziom zniszczenia nośników jaki gwarantuje spełnienie wymagań RODO, niemniej jako referencyjne odniesienie bywa używana norma DIN 66399 (nie jest ona jednak do końca doskonała - więcej w artykule "Czy norma DIN 66399 spełnia wymagania polskiego prawa?"), dotycząca mechanicznego niszczenia różnego rodzaju nośników - zarówno magnetycznych nośników danych, takich jak dyski twarde, nośników elektronicznych, jak mobilne urządzenia telekomunikacyjne, itd, oraz innych. Warto jednak pamiętać, że rozwiązaniem najbezpieczniejszym jest całkowite fizyczne zniszczenie nośników, takie, w którym zostaje możliwie jak najmniej, a najlepiej żaden fragment nośnika. W przypadku dysków twardych, na tą chwilę oznacza to niszczenie chemiczne, w przypadku nośników elektronicznych - niszczenie termiczne (także obecne w naszej ofercie), które w obu przypadkach może zostać poprzedzone niszczeniem mechanicznym, stanowiącym wstępny etap niszczenia. (W przypadku dysków twardych etapem wstępnym może być także demagnetyzacja (także dostępna w naszej ofercie), ale należy pamiętać, że na nośniki elektroniczne, jak telefony, pendrive'y, dyski ssd, itd, demagnetyzacja nie działa).
 

(zdjęcie ilustracyjne pochodzi z artykułu źródłowego)

Certyfikowany Instytut Niszczenia Danych Sp. z o.o.
ul. Stanów Zjednoczonych 4, 54-403 Wrocław
Al. 1 Maja 87, 90-755 Łódź

bok@niszczenie.pl
+48 717 237 000