Bezpieczeństwo danych – szyfrowanie i anonimizacja
Przepisy RODO nie pozostawiają złudzeń – każdy administrator danych osobowych musi zapewnić tym informacjom bezpieczeństwo. Odpowiednia metoda szyfrowania będzie chronić przed niepożądanym dostępem do informacji, a jeśli dojdzie do incydentu – pozwoli odzyskać utracone zasoby.
Czym jest szyfrowanie, anonimizacja i pseudoanonimizacja danych?
Polityka bezpieczeństwa danych może obejmować różne sposoby ich ochrony. Różnią się one m.in. zastosowaną technologią, ale wywołują taki sam efekt.
Szyfrowanie danych
Jest to zestaw technik polegający na kodowaniu wrażliwych informacji, które powinny pozostać poufne. Dzięki takiemu zabiegowi możliwe jest zablokowanie nieuprawnionego dostępu. Szyfrowanie danych w chmurze nie powoduje jednak, że stają się one niedostępne dla osób ze stosownymi uprawnieniami. Można się do nich dostać, dysponując kluczem deszyfrującym.
Anonimizacja
Ustawa o ochronie danych osobowych nie definiuje takiej procedury jak anonimizacja danych. To pojęcie pojawia się jednak w Ustawie o świadczeniu usług drogą elektroniczną. Anonimizacja polega na uniemożliwieniu identyfikacji konkretnej osoby i jest to proces nieodwracalny. Na skutek działań użytkownika nie da się więc ustalić, jakiej osoby dotyczy np. konkretny dokument czy przesłana informacja. Po zanonimizowaniu danych nie da się ich połączyć z żadną jednostką.
Pseudoanonimizacja
W przeciwieństwie do anonimizacji jest to procedura w pełni odwracalna. W tym przypadku również przetwarza się dane tak, aby nie można ich było przypisać do konkretnej osoby, jednak przy użyciu dodatkowych informacji będzie to możliwe. Co ważne, tzw. dodatkowe informacje powinny być gromadzone osobno i objęte nadzorem. Dostęp do nich powinien zostać odpowiednio zautoryzowany.
Wymogi prawne w zakresie szyfrowania
Wraz z wejściem w życie ustawy RODO zasady przetwarzania danych osobowych uległy znacznemu zaostrzeniu. Największy ciężar spoczywa w tym względzie na podmiotach oficjalnie zgłoszonych jako administratorzy danych.
Ich zadaniem jest m.in.:
- szacowanie ryzyka związanego z wyciekiem danych,
- zadbanie o procedury przetwarzania informacji zgodnie z wymogami.
Administratorzy RODO ponoszą pełną odpowiedzialność za wszelkie incydenty, nieautoryzowaną modyfikację czy inne niebezpieczne sytuacje. Szyfrowanie danych w chmurze organizacji ma kluczowe znaczenie dla jej legalnej działalności.
Powszechnie uważa się, że organizacje powinny szyfrować dane w jak największej liczbie lokalizacji i z dużą częstotliwością. Służą do tego wypracowane już standardy szyfrowania jak choćby Advanced Encryption in Cloud.
Modele rozwiązań dedykowanych do szyfrowania
Szyfrowanie w chmurze może być realizowane na kilka sposobów:
- szyfrowanie danych archiwalnych – to ochrona gromadzonych i skatalogowanych informacji, które nie są aktualnie w obiegu. Zabezpieczenie można zastosować zarówno do danych na serwerach, jak i indywidualnych urządzeniach użytkowników;
- szyfrowanie danych w trakcie transmisji – to ochrona danych znajdujących się w ruchu w obrębie sieci;
- szyfrowanie danych w użyciu – to zabezpieczenie zasobów nawet w trakcie ich używania przez pracowników, np. za pośrednictwem aplikacji biznesowych.
Korzyści z wdrożenia szyfrowania danych
Moduły HSM do zarządzania kluczami dostępu, systemy smart sign, szyfrowanie AES czy RSA i wiele innych modeli zabezpieczeń danych wpisuje się w kompleksową strategię ochrony biznesu. Szyfrowanie rozpoczyna się już w chwili otrzymania i katalogowania danych. To właśnie na tym etapie można dopasować do nich adekwatne środki bezpieczeństwa.
Przedsiębiorca może sam zdecydować, czy najlepiej posłuży mu szyfrowanie w chmurze, czy wdroży własny system zabezpieczeń. Niezależnie od wybranego modelu szyfrowanie jest skuteczną metodą ochrony danych firmy przed niepowołanym dostępem, a ponadto jest to gwarancja zgodności z przepisami prawa i sposób na wyeliminowanie ryzyka reputacyjnego oraz finansowego organizacji.
Rozwiązanie wdrażamy z poniższymi partnerami:
- Centrum Operacji Bezpieczeństwa ISCG SOC
- Analiza zagrożeń cybernetycznych as a Service [Threat Intelligence]
- Audyty i przeglądy bezpieczeństwa
- Audyt i konsultacje NIS2 DORA
- Zarządzane Usługi Bezpieczeństwa [MSS]
- Audyt (przegląd) urządzeń kryptograficznych (HSMPKI)
- Szyfrowanie danych [Data Encryption]
ISCG sp. z o.o.
Al. Jerozolimskie 178, 02-486 Warszawa
NIP: 5262798378
KRS: 0000220621
Telefon