Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
GDPR – nowe wymagania dla ochrony danych osobowych. Idzie zagłada?
W maju 2018 roku wymagane będzie spełnienie zapisów określonych w rozporządzeniu parlamentu EU w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (w skrócie: GDPR).
Największym chyba problemem jest możliwa do nałożenia kara za niespełnienie wymogów:
Naruszenia przepisów dotyczących następujących kwesti podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Jest jeszcze druga kara – maksymalnie dwa razy większa – za inne naruszenia (polecam zerknąć artykuł 83). Niektórzy wróżą nawet totalny armageddon – organizacja związana z PCI szacuje kary w samej Wielkiej Brytanii na 2018 rok na kwotę do 122 miliardów funtów (to sporo więcej niż całoroczny budżet Polski!)
Jak zwykle w tego typu dokumentach jest dużo prawniczej otoczki, choć w bardzo dużej mierze to techniczne zabezpieczenia wpływają na realne bezpieczeństwo danych. Co tutaj mamy?
(…) administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający (…) ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
No więc przyznać się, kto z Was posiada udowodnioną zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania?
Kto regularnie testuje bezpieczeństwo?
Kto z Was realizuje analizę ryzyka? („Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem”)
Dla różnych firm oczywiście te procesy będą wyglądać różnie i możliwe jest bazowanie na tzw. kodeksach postępowania (w skrócie – zbiorze opracowanych zasad do stosowania np. w danej branży czy w organizacji o określonej wielkości). Ale za wiele tego typu dokumentów nie mamy (w Polsce chyba w ogóle) ?
Z ciekawostek – obowiązywało będzie również zgłaszanie naruszenia ochrony danych osobowych (za brak spełnienia tego obowiązku – kara jak wyżej):
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu (…)
Konkrety odnośnie wdrażania całości miały być w zeszłym roku, ale temat coś przycichł. A tymczasem zegar tyka i wszyscy w UE muszą się zastosować do nowej regulacji – do dnia 25 maja 2018.
Na koniec mały dokument do przejrzenia, przedstawiający w przyjaznej formie nowe przepisy + pokazujący checklistę, którą można użyć do przygotowania się na 2018 rok.
PS
Jeśli ktoś ma jakieś informacje odnośnie stanu przygotowania polskich przepisów do GDPR, prośba o komentarz.
–ms
No to kogos z lekka porabalo, czyzby uni konczyly sie pieniazki? Swoja droga cen za 0daye poszybuja do gory
No mogą być niestety akcje związane z szantażem. Pamiętaj też że kary są określone „do” – a nie od razu ta max kwota, małe to pocieszenie, ale zawsze.
Chyba taniej wyjdzie [.moderated.] niż płacić takie kary za wirtualne przestępstwo.
No ale urzędnicze głowy wymyślą każdy absurd.
Kara rzeczywiście hardkorowa – mogąca położyć największą korpo. Dajmy na to taki Google dostaje karę 4% globalnego obrotu…
„przy czym zastosowanie ma kwota wyższa.” to oznacza dla mnie, że będzie to max. 10 000 000 EUR. :>
Hmm, zapisy Rozporządzenia GDPR są znane od jakiegoś czasu (a dokładnie od maja ur.), więc ten artykuł to nie nowość raczej.
Te najwyższe kwoty celowane są na największych gigantów, jak FB i Google.
FB i Google mają sztab prawników ażeby się z tego wyhuśtać :) Właśnie opracowujemy (jako firma) obszerne zapytanie do MC m.in. w sprawie sposobu naliczania kar oraz i egzekwowania+opisu oceny zasadności zgłoszenia nieprawidłowości. Wystarczy donos sąsiada/, konkurencji/kogoś kto nas zwyczajnie nie lubi i nalot GIODO gotowy? Pozostaje mieć nadzieję, że właśnie znowelizowana ustawa nie pozwoli na nadużycia w tym zakresie.
Tak, a gdzie to jest zapisane w GDPR że takie kary tylko dla największych? ;-)
Był lata temu taki film animowany 12 prac Asterixa i scena z rzymskim urzędem … Jak znam sektor publiczny, to zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania nastąpi poprzez migrację do papierowych rejestrów.
lol
Jak dobrze pamiętam to kilka lat temu MAiC wydało ustawę o obowiązkowej cyfryzacji polskiej administracji. Jak jakiś urząd przeszedł na elektroniczny obieg dokumentów to już nie ma odwrotu. Zainteresowaniu zapewne znajdą tą ustawę.
szestkam
Jak dobrze pamiętam to kilka lat temu MAiC wydało ustawę o obowiązkowej cyfryzacji polskiej administracji. Jak jakiś urząd przeszedł na elektroniczny obieg dokumentów to już nie ma odwrotu. Zainteresowaniu zapewne znajdą tą ustawę.
Oj tam, taż administracja potrafi! Do dziś dnia w zcyfryzowanych jednostkach są załatwiane sprawy tak, że w wymianie informacji 1 dokument potrafi dotrzeć RÓWNOCZEŚNIE:
– @-mailem,
– systemem obiegu dokumentów EOD/eDok itp.,
– FAX’em
– ePUAP’em
i papierkiem z kancelarii ogólnej ….
co daje też 5! możliwości dalszego rozwoju sytuacji :-)
6. @ dokument w postaci nagrania oświadczenia audio/wideo
Zrobiłam tak kilka razy, niestety nie udało mi się nic załatwić tą drogą…
Ale wyobraz sobie ze pierwszy lepszy rzad dysponuje 0dayem i robi celowany atak na spolke, ktora mu „podpadla” te pzepisy otwieraja tylko drogedo jeszcze wiekszej kontroli czegokolwiek sory za pesymizm ale aluminiowy kapelusz zostal w domu :-)
Są na rynku rozwiązania (nawet nie jakoś oszałamiająco drogie), które integrują pomiar aktywny, pasywny i funkcjonalność SIEM, dając tym samym spełnienie warunków podanych w GDPR. Na przykład znana z systemu Nessus firma Tenable Inc. ma system Security Center Continuous View (http://www.tenable.com/products/securitycenter-continuous-view).
Co ciekawe: z tego co wiem duży kawałek modułów compliance checks związany ze wskaźnikami dla GDPR robi dla nich polska firma.
Tylko co Ci ze SIEMa, jak masz dziurawą aplikację której akurat do SIEMa nie podłączyłeś? – albo w ogóle nie ma w niej (czy przed nią) wykrywania ataków. I później ktoś wykrada bazę miliarda kont (jak w yahoo!).
Teoretycznie nowe podejście ma być inne – nie zainstalowanie x klocków i odfajkowanie. Tylko pokazanie że rzeczywiście te klocki coś robią :)
Oj, nie zerknąłeś na podany link ;-) Security Center mierzy bezpieczeństwo na trzy sposoby:
1. Z użyciem Nessus – aktywne skanowanie sieci (ale siłą rzeczy interwałowe czasowo)
2. Z uzyciem Passive Vulnerability Scanner (PVS) – czyli monitorując w sposób ciągły wszystko co się dzieje w sieci, wykrywając nawet bardzo subtelne anomalie – np ktoś sobie stawia VPN-over-HTTPS, PVS jest w stanie na podstawie samej charakterystyki ruchu w tej sesji (bez jej rozpruwania!) ostrzec, że to VPN a nie połączenie np. do banku. Podobnie jest z sesją SMTPS – jeśli idzie „w drugą stronę” to znaczy, że ktoś nie wysyła, ale ciągnie dane. Takich kwiatków jest w PVS o wiele więcej i co chwila dochodzą nowe sygnatury. Niebawem będzie też heurystyczny model do łapania APT-ów na podstawie wyłącznie analizy ruchu sieciowego/
3. No i jest LCE (SIEM), ale to faktycznie nie jest narzędzie proaktywne, bardziej post mortem ;-) Ale też się przydaje, łatwiej jest „rozgryzać” odnalezione anomalie.
Jakoś z wiekiem jestem odporny na marketing mówiący o wykrywaniu 'bardzo subtelnych anonalii’ ;-)
A apropos tego Nessusa to ostatnio mieli możliwość zrobienia roota na ich skanerze :P
I nie to, że uważam ten produkt za jakiś zły. Nie. Ale nie wierzę w magiczne pudełka, z których każdemu wyskakuje królik bugs w koszulce z hasłem: 'jesteś bezpieczny’.
Zgadzam się z Tobą całkowicie – żaden system nie zastąpi w firmie przytomnego bezpiecznika. Ale posiadanie efektywnych narzędzi wspomagających pracę jest przydatne. PVS możesz pobrać w wersji testowej i przetestować, myślę że warto :-)
BTW: możesz rozwinąć myśl o „możliwości zrobienia roota na Nessusie”? Podeślesz link?
A to na pewno, tylko właśnie w tą stronę. A zazwyczaj kupuje się narzędzie który ma zrobić hokus pokus i można spać spokojnie.
PS gdzieś mi mignęło że spatchowali ostatnio – skanujesz złośliwie przygotowanego hosta i on wykorzystuje buga w skanerze nessusa. Ale na szybko nie mogę znaleźć :/
„Kto mierzy bezpieczeństwo?
Kto regularnie testuje bezpieczeństwo?
Kto z Was realizuje analizę ryzyka?”
ano tern Kto ma wdrożone SZBI, SZCD, etc ;)
W teorii tak jest ;-)
EU to chyba jedyne „Państwo”, które przede wszystkim troszczy się o obywateli. Wreszcie ktoś bierze się za ukrócenie obrotu danymi osobowymi. Po wprowadzeniu tych przepisów twórca gów…j aplikacji typu latarka zastanowi się chwilę zanim jako wymóg do skorzystania z niej zarząda dostępu do danych wrażliwych.
A wiesz chociaż co to są dane wrażliwe?
Wybacz ale te przepisy są absurdalne i kompletnie nie do spełniania przez małe firmy.
A w żaden sposób nie ukrócą tego że jakiś pajac do ciebie zadzwoni twierdząc ze właśnie komputer wylosował twój numer.
Tak samo wycieknie twój mail i tak samo złodziej zakosi twoje dane…
W tym problem że ustawa skupia się głównie na uczciwych i dbających. A w sumie na złodziei nie daje bata.
Apropos małych firm to zawsze może się jeszcze przydać: https://sekurak.pl/bezpieczenstwo-it-w-malych-firmach-nist-publikuje-bezplatne-rekomendacje/
To bardzo fajne jest szkoda ze nie po polsku. Zawsze można by klientom dać coby ułatwić sobie namawianie na lepsze rozwiązania…
Jednak jest wiele firm gdzie naprawdę ciężko dostosować się do przepisów bo są za małe albo/i za biedne.
Inna sprawa ze nieraz mają lepiej zabezpieczone dane niż duzi.
Bo to dwie różne bajki są dostosowanie się do ustawy a zabezpieczenie. Pierwsze bywa kłopotliwe drugie nawet przy bardzo niskich budżetach da się zrobić „dość dobrze”.
Temat na dłuższą rozmowę. Natomiast super bo nie będzie już SZBI właśnie w teorii. Czyli procedury ładnie wyglądające na papierze. Bardziej chodzi to o to by w praktyce były wdrożone adekwatne środki i narzędzia np. do analizy incydentów. Ważny temat to też Privacy by design and by default. Wszystkie apki czy systemy jak i procesy przetwarzania danych polecam przejrzeć pod tym kątem. Będzie też certyfikacja dla podmiotów więc niektórzy już próbują tym ugrać klientów. Większość opierać się będzie na normach. Odnośnie przepisów w PL to wejdzie najprawdopodobniej jedną ustawą zmiana i uodo i innych przepisów a zmienia się sporo też sektorówek (99%). Jak coś to na blogu czy w social media Cyberlaw wrzucam informacje. A jak bardziej szczegółowo chciałbyś o czymś porozmawiać to proszę o e-mail. Pozdrawiam, Beata!
No właśnie. Niektórzy cały czas myślą, że przedstawią papierki i faktury na zakup IDSa + innych zabawek i voila…
Jeszcze lepiej! wdroży sobie SZBI zgodny z PN ISO zgodnie z § 20. ust. 3 wg rozporządzenia RM z 2012: http://isap.sejm.gov.pl/DetailsServlet?id=WDU20120000526 , przyklei sobie na serwerowni certyfikat w plexi zatopiony i będzie spał spokojnie. Najlepszy firewall ISO generation! w końcu zakup norm, certyfikacja i audity jakości taniej wyniosą, niż wysokopółkowe produkty IT.
A tak serio: w którym Dzienniku Ustaw można znaleźć jakąś normę?
Zawsze można zamiast wysokopółkowych i drogich rozwiązań spróbować ogarnąć np. Alien vault ossim, ciekawy opensourcowy kombajn
No na samym sekuraku mamy trochę opisów różnych darmowych narzędzi:
https://sekurak.pl/ochrona-podatnych-aplikacji-webowych-za-pomoca-wirtualnych-poprawek-w-modsecurity/
https://sekurak.pl/ossec-czyli-darmowy-hids/
https://sekurak.pl/monitoring-bezpieczenstwa-linux-integracja-auditd-ossec-czesc-i/
https://sekurak.pl/monitoring-bezpieczenstwa-linux-integracja-auditd-ossec-cz-ii/
https://sekurak.pl/argus-wszystkowidzacy-audyt-aktywnosci-w-sieci/
Przyda się, dzięki za linki. A ossim to taki troszkę uczłowieczony ossec z interfejsem webowym
Ja bym powiedział że ossec to może 5% zawartości OSSIM-a – a to zresztą dwa osobne produkty (OSSIM ma wtyczkę do OSSECa). Polecam ew. jeszcze:
https://sekurak.pl/security-onion/
https://sekurak.pl/zabbix-wydajny-i-efektywny-monitoring-sieci-i-serwerow/
PS
Aż sam się dziwię że mamy na sekuraku tyle materiałów w temacie ~monitoringu bezpieczeństwa.
Nie trzeba się certyfikować, aby spełniać wymagania ISO. Wdrożenie, utrzymanie i rozwijanie systemów bez certyfikacji , jest bardzo często praktykowane.
Z mojej jeszcze strony. Normy ISO zazwyczaj są bardzo sensowne – choć zależy jak ktoś chce wdrożyć – czy dla kwitka, czy dla realnych benefitów (dla tej opcji dwa – to b. dobre dokumentacje).
Zabixa swego czasu testowałem ale samo monitorowanie dostępności to dla mnie trochę mało. A security onion wyprobuje, zobaczymy czy wylapie więcej niż ossim
Ossim bardziej agreguje różne rzeczy. Security Onion to z kolei taka paczka różnych zabawek do monitoringu (choćby snort).
no ciekawe jak do tego podejdą w praktyce. Od stronyw wdrożenia jest to koszmar. Szczególnie dla duzych firm z funckjonującą już infrastrukturą. „Privacy by design” nie da się dorobić. A cykl życia systemu core bankingowego np. to nie 2-3 lata. Więc dostosowanie firm do nowej rzeczywistości potrwa wiele lat. Dla sektora IT to może i fajny bodzieć, bo pójdą wielomiliardowe zamówienia. Dla pozostałych gałęzi gospodarki już mniej.
Europa chętnie nakłada na siebie róznego rodzaju kagańce duszące gospodarkę (choć w te astronomiczne kwoty kar nie wierzę – nie każdy w brukseli jest równie oderwany od rzeczywistości jak pani Bieńkowska). Ciekawe jak wpłynie to na konkurencyjności naszych firm vs USA, czy Azja.
A i niektóre tematy jak np prawo do bycia zapomnianym aż proszą się o problemy. Idea słuszna, ale jeśli ktoś będzie chciał zejść na poziom backupów/archiwów/logów/itd – powodzenia.
Co to jest „pseudonimizacja”?
https://en.wikipedia.org/wiki/Pseudonymization
Nie taki diabeł straszny jak go malują. Na tę chwilę wydaje mi się, że spełnienie ISO27000 (i najlepiej certyfikowanie się) dla systemów przetwarzających DO wypełni w bardzo dużej części wymagania GDPR.
Właśnie problem w tym że wszystkim się 'wydaje’. Z drugiej strony jest b. dużo głosów że nie wystarczy zrobić papierów (co spokojnie da się zrobić na ISO27001) żeby być OK do GDPR.
A to 25 maja 2018. Będzie jeszcze istnieć UE? Polska jakimś cudem będzie w UE po tej dacie? Ktoś śmiał się z UK jak wychodzili z UE, że stracą.
A co fakt bycia w UK ma do tego? Jak brytyjska firma będzie działała na terenie EU, to też będzie przecież pod to podpadała. Pomijam już fakt, że UK przyjmie te same regulacje co w EU.
W polowie roku 2016 komisja europejska opublikowala raport adekwatnie dzialalnosci googla. Jednym z celów zatrudnienia jednej z wiekszych firm analotycznych w UK byla wizualizacja przewagi technologicznej googla nad mechanizmami prawnymi. I cos czuje ze ta ustawa jest podkladką wycelowaną w najwiekszych.
Wiele obowiązków nakładanych przez polskie prawo jest ignorowanych przez przedsiębiorców. Takim przykładem jest obowiązek szyfrowania wiadomości e-mail zawierających dane prawem chronione. Proszę rzucić okien na stanowisko GIODO dostępne na stronie internetowej:
http://strefaprywatnosci.pl/2016/12/03/czy-fala-roszczen-zaleje-sklepy-internetowe/
Praktycznie każdy sklep internetowy wysyła wiadomości e-mail bez zastosowania S/MIME lub GPG czym naraża się na konsekwencje prawne.