O narzędziach do szyfrowania zaczęło się głośno szczególnie w kontekście RODO. Ale należy mieć świadomość, że szyfrowanie to jedno z podstawowych zabezpieczeń zarówno danych osobowych, jak i firmowych. Według mnie jest ono niezbędne w przypadku przenośnych nośników danych.
Czy zdarzyło się Wam zgubić pendrive albo nagraną płytę CD/DVD? To zdarza się bardzo często, często zdarza się również, że pożyczamy znajomym czy współpracownikom pendrive, na którym są już jakieś pliki z szeregiem ważnych a nawet bardzo ważnych danych czy to biznesowych czy osobowych (zdjęcia, wyniki badań)
Czy ukradziono Wam albo znacie kogoś, komu ukradziono notebooka np. z samochodu podczas pobytu w hipermarkecie? Ja znam co najmniej kilka takich przypadków.
Można mieć oczywiście ubezpieczone auto czy notebooka od kradzieży, ale przecież dostaniemy w takim przypadku jedynie odszkodowanie za sprzęt, nie zaś za dane. Co istotne, do niezaszyfrowanych danych na takim nośniku czy urządzeniu może mieć dostęp każda osoba.
Co zazwyczaj pada łupem złodziei danych? Dane osobowe pracowników, klientów, dostawców, umowy, oferty, zamówienia, CV pracowników i kandydatów do pracy …. Jak widzicie są to zarówno dane osobowe jak i biznesowe. Utrata danych biznesowych może oznaczać stratę finansową przedsiębiorstwa.
Mogę opisać Wam historię, która zdarzyła mi się wiele lat temu w jednym z przedsiębiorstw, z którym współpracowałem. Przygotowywana była oferta na dostawę o wartości wielu milionów złotych w ramach postępowania publicznego, na którym firma miała zarobić kilkaset tysięcy. Oferta, zgodnie z wymaganiami została złożona w terminie, ale niestety okazało się, że jeden z konkurentów złożył ofertę dokładnie różniącą się ceną o dokładnie 0.4% w każdej z pozycji. Nie mógł być to przypadek – bo przypadki tego typu są mniej prawdopodobne jak wygrana szóstki w totolotka. Dlaczego tak się stało? Otóż dane z ofertą ani nie były chronione jakimkolwiek hasłem ani też nie były szyfrowane. Ktoś „pisząc kolokwialnie” ukradł dane i przekazał konkurencji. Takie zdarzenie nie powinno mieć miejsca w przypadku dokładnie opracowanej polityki bezpieczeństwa IT (czy to szyfrowania danych, czy systemu DLP czy też opracowaniu właściwego dostępu do sieciowych zasobów dyskowych – a najlepiej kompletu tych narzędzi).
Życie to jedno, a regulacje prawne to drugie – przypomnijmy, co mówi artykuł 32 RODO dotyczący bezpieczeństwa przetwarzania: „/…/administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) /…/szyfrowanie danych osobowych /…/”;
Darmowe rozwiązania są wystarczające w zastosowaniach domowych albo jednoosobowych działalności gospodarczych. W przypadku organizacji zatrudniającej co najmniej kilku pracowników warto zdecydować się na rozwiązanie płatne o paru istotnych funkcjonalnościach, a więc posiadających np. konsolę centralnego zarządzania czy też opcję odzyskiwania haseł. Warto też sprawdzić jakim algorytmem szyfrowane są dane. No i też w takim przypadku jeśli płacimy za rozwiązanie jesteśmy w stanie wykazać (w kontekście RODO i ewnetualnej kontroli – że to narzędzie rzeczywiście było wdrożone i że w określonych sposób zabezpiecza dane).
Rozwiązanie powinno
A więc odpowiedź czy warto szyfrować dane jest oczywista… warto, bo brak szyfrowania może kosztować. I nie chcę tutaj powielać informacji o potencjalnych karach wynikających z RODO, ale powinniśmy zdać sobie sprawę, że „żałując” kwoty rzędu 100 złotych rocznie na stanowisko, możemy stracić kilka (kilkadziesiąt, kilkaset) tysięcy złotych.
A czy Ty szyfrujesz swoje dane?
Autor: Przemysław Kucharzewski