Bezpieczeństwo danych w transakcjach internetowych z punktu widzenia firm i ich pracowników

Bezpieczeństwo danych w transakcjach internetowych z punktu widzenia firm i ich pracowników

fot https://pixabay.com/pl/urz%C4%85d-biznesu-koledzy-spotkanie-1209640/

Zapewnienie ochrony danych osobowych jest jednym z najważniejszych czynników, jakie budują zaufanie klienta do firmy. Na administratorze tych danych spoczywa obowiązek doboru metod i technologii zabezpieczeń, które, w aspekcie specyfiki działalności danej firmy, zapewnią optymalną ochronę danych. Szczególnie dotyczy to firm oferujących usługi finansowe w sieci.

Ochrona prawna

Temat bezpieczeństwa danych osobowych jest szeroko komentowany w mediach po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku (RODO). Obowiązuje ono we wszystkich krajach członkowskich Unii Europejskiej od 25 maja 2018 roku. Nieprzestrzeganie tego rozporządzenia zagrożone jest karą nawet do 20 mln euro lub alternatywnie 4 proc. ogólnoświatowego obrotu danej firmy, przy czym zastosowanie ma kwota wyższa. W ten sposób ustawodawca zabezpiecza egzekucję kary nawet w przypadku celowego wykazania niższych obrotów przez dany podmiot.

Odpowiedzialność cywilną pracownika reguluje art. 24 Kodeksu cywilnego:

§ 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.
§ 2. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych.
§ 3. Przepisy powyższe nie uchybiają uprawnieniom przewidzianym w innych przepisach, w szczególności w prawie autorskim oraz w prawie wynalazczym.

Z powyższego przepisu wynika, że osoba, która została poszkodowana w wyniku naruszenia ochrony danych osobowych, może wytoczyć powództwo przed sądem cywilnym, a przysługuje jej roszczenie o zaniechanie naruszeń, zadośćuczynienie lub odszkodowanie.

Firma X posiadała dane osobowe pana Kowalskiego, który był jej klientem. Nastąpił jednak niekontrolowany wyciek tych danych, wskutek czego pan Kowalski, mimo że nigdy nie wyrażał na to zgody, otrzymuje e-maile i telefony od różnych podmiotów. Zgodnie z przepisami RODO, nastąpiło tu naruszenie danych osobowych przez firmę X, która ponadto naraziła pana Kowalskiego na ryzyko naruszenia praw osób fizycznych; o takim ryzyku mowa w przypadku m.in. utraty kontroli nad własnymi danymi osobowymi. Powinna zatem niezwłocznie poinformować pana Kowalskiego o zaistniałej sytuacji wycieku danych. Oprócz tego zobowiązana jest powiadomić  w ciągu 72 godzin organ nadzorczy. Jeżeli tego nie zrobi, poniesie surowe konsekwencje administracyjno-finansowe, zaś pan Kowalski będzie mógł wytoczyć powództwo przed sądem.

Organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych. RODO przewiduje, że każda osoba, która uważa, że przetwarzanie jej danych osobowych narusza przepisy Rozporządzenia, może wnieść skargę do Prezesa Urzędu. Może to więc zrobić również pan Kowalski.

Ochrona informatyczna

Administrator danych ma do dyspozycji szereg narzędzi, umożliwiających skuteczną ochronę danych osobowych klientów. W przypadku banków, firm pożyczkowych i innych instytucji finansowych, funkcjonujących w Internecie, należy dodatkowo zastosować zabezpieczenia, uniemożliwiające kradzież danych.

Wśród narzędzi informatycznych, stosowanych do ochrony danych osobowych, znajdują się:

  • Protokół SSL (ang. Secure Socket Layer). Jest to narzędzie do bezpiecznej wymiany danych w Internecie, utworzone przez firmę Netscape w roku 1994, a rozwijane i udoskonalane przez grupę pod nazwą Transport Layer Security (TLS). Serwer sklepu internetowego lub instytucji finansowej przedstawia klientowi certyfikat – integralny element protokołu SSL, uwierzytelniający serwer. Certyfikat musi być sygnowany przez urząd certyfikacji, przechowujący klucze publiczne, bowiem w praktyce taki certyfikat każdy może sobie stworzyć sam. Jeżeli certyfikat nie jest podpisany, na ekranie pojawi się komunikat przy próbie połączenia z serwerem.

Adres strony internetowej, szyfrowanej z użyciem protokołu SSL, rozpoczyna się od https:// i oznaczony jest ikonką kłódki. Kliknięcie kłódki wyświetla informacji o certyfikacie potwierdzającym tożsamość serwera.

  • Własny serwer. Jest to jedno z najlepszych rozwiązań, najbezpieczniejsze, ale także i najdroższe. Daje administratorowi pełną niezależność, bowiem eliminuje korzystanie z outsourcingu, zapewniając tym samym wyłączność dostępu do panelu zarządzania. Dane osobowe klientów są więc widoczne jedynie dla nielicznych pracowników.
  • Utwardzanie systemu (hardening), obejmujące zespół czynności zmierzających do optymalnego zabezpieczenia systemu operacyjnego serwera i urządzeń końcowych. Czynności te polegają na  przeglądzie i modyfikacjach systemów Windows i Linux oraz urządzeń sieciowych.
  • Odinstalowanie niektórych programów, które są szczególnie podatne na ataki hakerskie i wykorzystywanie luk zero-day. Są to luki w zabezpieczeniach programów lub przeglądarek, zaś exploit zero-day to atak cyfrowy, wykorzystujący taką lukę w celu zainstalowania złośliwego oprogramowania na komputerze. Przykładem programu podatnego na zero-day jest Java.

Powróćmy do naszego pana Kowalskiego, którego dane osobowe wyciekły z firmy X, do obowiązku zgłoszenia tego faktu do organu nadzorczego oraz powiadomienia samego poszkodowanego. W określonych sytuacjach takiego obowiązku nie ma:

  • Administrator wdrożył środki ochrony (np. szyfrowanie danych), polegające na uczynieniu danych bezużytecznymi dla osób trzecich
  • Administrator zastosował działania eliminujące wysokie ryzyko naruszenia praw lub wolności osób, których dotyczą dane i jest w stanie to wykazać
  • Naruszenie praw lub wolności tych osób wymagałoby niewspółmiernie dużego wysiłku. W tym wypadku administrator ma obowiązek podać do publicznej wiadomości komunikat w celu skutecznego poinformowania poszkodowanych. Można to zrobić np. za pośrednictwem strony internetowej.

Jeżeli zatem firma X zastosowała rozwiązanie informatyczne, „neutralizujące” dane pana Kowalskiego, udowodniła zastosowanie środków eliminujących ryzyko naruszenia jego praw i wydała odpowiedni komunikat na swojej stronie internetowej – nie musi powiadamiać ani pana Kowalskiego, ani organu nadzorczego.

Kontrola dostępu – ważny czynnik bezpieczeństwa danych

Administrator, odpowiedzialny za bezpieczeństwo środowiska baz danych, musi zaplanować odpowiednie ich rozmieszczenie w otoczeniu sieciowym, podejmując właściwe działania, w tym wymieniony już hardening, aktualizacje systemu czy instalacje rozwiązań zabezpieczających przed atakami hakerów. Należy pamiętać, że na wyciek narażone mogą być zarówno dane osobowe, jak i finansowe bądź organizacyjne, które firma chroni jako poufne. Jednak skuteczność polityki bezpieczeństwa zależy od ścisłego przestrzegania jej zasad przez wszystkie osoby, mające dostęp do tych danych. Jest to dość trudno osiągalne w przypadku korzystania z usług outsourcingu. Nie można np. dokładnie ustalić, ile osób zna hasło dostępu do panelu administracyjnego bądź jakie operacje wykonuje pracownik firmy outsourcingowej. Mamy zatem do czynienia z luką, która może zostać wykorzystana do wyprowadzenia poufnych informacji.

Można jednak tę lukę wyeliminować. Służą do tego narzędzia typu Privileged Access Management (PAM). Umożliwiają one rejestrowanie sesji administracyjnych w celu nadzoru łączenia się poszczególnych pracowników z poufnymi zasobami. Narzędzia takie powinny mieć funkcję przydzielania/cofania dostępu na różnych poziomach i różnym osobom, rotacji haseł, itp. Zastosowanie takich narzędzi ma szczególne znaczenie po wejściu w życie RODO i wobec ryzyka narażenia się na wysokie kary finansowe.

Autor: Konrad Bielawski, specjalista ds. odzyskiwania danych w firmie DATA Lab. Informatyk z wykształcenia. Pasjonat sportów motorowych i brytyjskiego kina.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Masz dość nieskutecznych agencji SEO?
#TOP10 w Google
w 3 miesiące
  • Tylko bezpieczne praktyki
  • Tylko sprawdzone strategie
  • Tylko jeden cel - pełna satysfakcja

Próbujesz bezskutecznie podnieść pozycje swojej strony w wynikach wyszukiwania?

Strategia, którą stosuję u moich klientów, daje TOP10 w Google dla 95% stron, a aż 70% z nich trafia do TOP3 w ciągu 3 do 6 miesięcy!

Podaj adres swojej strony i kontakt - zadzwonię i zaproponuję (bez zobowiązań) rozwiązanie SEO dla Twojego biznesu

Skontaktuję się z Tobą w ciągu 24h
Dziękuję