W nie tak znowu odległych latach, gdy hasła były uważane za skuteczną ochronę, często podchodzono do nich w sposób – delikatnie mówiąc – niefrasobliwy. Nazwą użytkownika był zazwyczaj adres mailowy, hasło było krótkie, łatwe do zapamiętania i związane z czymś, co znamy (np. imieniem psa). Te czasy to już na szczęście przeszłość, bo nawet w tych firmach, które wciąż polegają wyłącznie na hasłach, widać jednak pewną zmianę w zachowaniu użytkowników i administratorów.

– W przedsiębiorstwach, w których istnieje jako taka świadomość w obszarze cyberbezpieczeństwa, ale też bardzo mocne ograniczenia budżetowe, stosuje się zarządzanie polityką haseł. Nadaje im się wymagania co do długości, rodzaju użytych znaków oraz wymusza cykliczne zmiany hasła, uwzględniając wcześniejszą historię zmian. Takie rozwiązanie co prawda nie jest najlepsze, ale dobrze, że w ogóle jest stosowane – mówi Jakub Jagielak, lider technologiczny w obszarze cyberbezpieczeństwa w Atende.

Na przestrzeni ostatnich lat zaszło wiele zmian w sposobach realizacji dostępu do wszelkiego rodzaju zasobów. Nowa normalność to dziś praca hybrydowa albo nawet całkowicie zdalna. W budowaniu cyberbezpieczeństwa stosowane od dawna podejście „zamku i fosy” (wokół firmowej sieci) przestaje być efektywne z perspektywy nie tylko ochrony, ale również wygody użytkownika. Za trendami muszą podążać sposoby i narzędzia uwierzytelniania. Dziś hasło to za mało, nawet naprawdę skomplikowane. Proces uwierzytelniania bazujący tylko na nim lub czymkolwiek innym, co człowiek zna, to proszenie się o kłopoty.

Kilka składników zamiast hasła  

W nowej rzeczywistości rośnie zainteresowanie rozwiązaniami MFA (Multi-Factor Authentication), czyli uwierzytelnienia wieloskładnikowego, najczęściej realizowanego w formie dwuskładnikowej (2FA). Przy odpowiedniej implementacji daje ono wyraźny wzrost bezpieczeństwa i ogranicza kradzieże tożsamości. Jeśli hasło wyciekło, to – dajmy na to – bez urządzenia mobilnego, które służy jako drugi wektor uwierzytelnienia, napastnikowi na niewiele się przyda.

– To, że fizycznie nie siedzimy już przy swoich służbowych biurkach, nie zmienia faktu, że potrzebujemy stałego i bezpiecznego dostępu do naszych narzędzi – mówi Michał Porada, Business Development Manager Cisco Security w Ingram Micro.– Z tego samego powodu firmy coraz chętniej migrują do chmury: dla prostego dostępu do zasobów czy współużytkowania dokumentów. Jak wtedy upewnić administratora systemu, że dostęp uzyskuje uprawniona osoba? W takim przypadku 2FA to podstawa.

Najbliższa przyszłość należy więc do dwuskładnikowego, czy nawet kilkuskładnikowego uwierzytelniania, w którym oprócz tradycyjnej metody (login plus hasło) stosuje się dodatkowe składniki potwierdzające, że osoba, która się właśnie loguje jest tą, za którą się podaje: token sprzętowy lub programowy, kod SMS albo wiadomość push.

– Jako dodatek do hasła, silną metodą podwójnego uwierzytelnienia jest klucz sprzętowy, z tego powodu, że generowanie drugiego składnika odbywa się poza systemem komputera. Token nie ma połączenia z internetem, więc hakerzy nie są w stanie go przejąć. Popularnym i dobrym rozwiązaniem są też aplikacje na smartfonie, ale tutaj nie można już wykluczyć kompromitacji urządzenia – mówi Jakub Jagielak.

Wymieniając inne sposoby weryfikacji tożsamości niż hasła, Michał Sanecki, architekt rozwiązań IT w NetFormers, zwraca uwagę na dane biometryczne. W tym sposobie uwierzytelniania wykorzystywane są unikalne cechy biologiczne osoby, aby zweryfikować jej tożsamość. System może analizować odciski palców, głos, siatkówkę, rysy twarzy itp. Dane biometryczne są bezpieczne, ponieważ są prawie niemożliwe do podrobienia lub powielenia. Metoda ta jest również przyjazna dla użytkownika – skany są szybkie, a sam sposób uwierzytelnienia całkiem wygodny. Nie trzeba pamiętać kodu ani nosić przy sobie urządzenia zewnętrznego. Jednak, aby ograniczyć ryzyko włamania, lepiej rozszerzyć podejście do zabezpieczeń.

– Hasło pozostaje ważnym czynnikiem, pod warunkiem, że nie jest używane samodzielnie. To samo dotyczy biometrii, która również ma swoje wady i w pewnych sytuacjach może okazać się zawodna. Dlatego wdrażamy rozwiązania, które łączą dwa lub więcej mechanizmów bezpieczeństwa dostępu do zasobów IT, w tym aplikacji i urządzeń. Zapewniają one bezpieczny dostęp do zasobów sieciowych, wykorzystujący właśnie wielopoziomową autentykację. Wspieranych w nich jest wiele metod uwierzytelniania, chociażby za pomocą aplikacji mobilnej, tokena, wiadomości SMS, czy czujników biometrycznych – mówi Michał Sanecki.

Artykuł Jak hasło staje się przeżytkiem pochodzi z serwisu CRN.

Zasady bezpiecznego przetwarzania danych osobowych określa obowiązujące od maja 2018 r. unijne rozporządzenie o ochronie danych osobowych (RODO). Zgodnie z jego art. 5 (ust. 1, lit. f), dane osobowe muszą być przetwarzane „w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”.

Rozporządzenie nie precyzuje jednak, w jaki konkretnie sposób i za pomocą jakich narzędzi ochrona ma być realizowana. Wybór, jak w przypadku wielu innych kwestii związanych z RODO, należy do administratora danych. Przepisy mówią jedynie o konieczności zastosowania środków adekwatnych do oszacowanego ryzyka i istniejących uwarunkowań, m.in. dostępnych rozwiązań technicznych.

Być może kryteria wyboru rozwiązań zabezpieczających zostaną w przyszłości doprecyzowane w branżowych kodeksach dobrych praktyk lub rekomendacjach zatwierdzanych przez prezesa Urzędu Ochrony Danych Osobowych. Na razie istnieje duża swoboda działania. Z perspektywy integratorów i resellerów otwiera to wiele możliwości biznesowych. Daje szansę proponowania nowych, adekwatnych dla sytuacji konkretnej firmy rozwiązań. Warunek jest jeden: trzeba dokonać analizy ryzyka i zastosować właściwe środki do ochrony. Być może w niektórych przypadkach będzie to wymagało stworzenia lub modyfikacji polityki bezpieczeństwa, w czym firmy informatyczne również mogą pomóc.

Klasyfikacja danych ułatwia ochronę

Zapewnienie autoryzowanego dostępu do danych osobowych wymaga przede wszystkim ich zidentyfikowania i określenia, gdzie się znajdują. Potrzebne też jest ustalenie, w jakich procesach mogą być wykorzystywane oraz kto i w jakim zakresie może mieć do nich dostęp. Potem trzeba opracować zasady dostępu, które będą obowiązywać w firmie, i konsekwentnie je egzekwować. Ważne jest m.in. wprowadzenie mechanizmów kontrolnych. Przydatne w tych wszystkich działaniach będą systemy do klasyfikacji danych obecnie oferowane jako składnik systemów klasy Data Loss Prevention albo jako osobne, niezależne oprogramowanie.

Zarządzanie informacją o przetwarzanych danych to mniej popularny, ale równie ważny aspekt gwarancji bezpieczeństwa. To również okazja dla resellerów i integratorów na rozwój biznesu w obszarach jeszcze mniej obleganych niż rynek rozwiązań do szyfrowania dysków, identyfikacji złośliwego oprogramowania czy ochrony dostępu. Klasyfikacja danych może też być zresztą znakomitym wsparciem procesów szyfrowania, uzupełnieniem systemów zapobiegających wyciekowi danych oraz wzbogaceniem innych rodzajów zabezpieczeń. Pomaga nie tylko w ochronie danych osobowych, ale też wszystkich innych, ważnych dla firmy informacji i dokumentów.

Systemy do klasyfikacji danych pozwalają indeksować przetwarzane zasoby pod kątem ich znaczenia dla bezpieczeństwa firmy. Dzięki temu wzmacnia się ich ochronę. W przypadku danych osobowych system może automatycznie zablokować dostęp pracownikowi, który nie jest upoważniony do ich przetwarzania (np. uniemożliwić wydruk lub wysłanie jako załącznika w poczcie elektronicznej). To samo dotyczy dokumentów z innymi rodzajami informacji niejawnych albo określonych jako newralgiczne dla danego przedsiębiorstwa i instytucji.

Zasadniczego znaczenia nabiera więc nie tylko kształtowanie nawyku bezpiecznych zachowań wśród pracowników, lecz także przekazywanie im wiedzy o kryteriach właściwego katalogowania przetwarzanych zasobów. Jednoznaczna, precyzyjna klasyfikacja zwiększa bowiem trafność podejmowanych przez system decyzji w zakresie udostępniania poszczególnych kategorii danych właściwym grupom użytkowników.

Każdemu według uprawnień

Każda firma powinna dysponować ogólnymi, powszechnie obowiązującymi zasadami uprawnionego, autoryzowanego korzystania z różnych, odpowiednio sklasyfikowanych rodzajów danych. Reguły te muszą mieć odzwierciedlenie w zatwierdzonej polityce bezpieczeństwa.

Zgodnie z wytycznymi ITIL, zarządzanie uprawnieniami do dostępu pomaga w kontrolowaniu poufności, integralności i dostępności zasobów. Daje gwarancję, że tylko upoważnieni użytkownicy będą z nich korzystać w określonym zakresie i je modyfikować. Chroni przed posługiwaniem się danymi w sposób nieuprawniony i przez nieuprawnione osoby.

Istnieje cała gama rozwiązań zapewniających kontrolowany dostęp do danych. Można posłużyć się szyfrowaniem, pseudonimizacją, skorzystać z systemów uwierzytelniania dostępu, blokowania nieuprawnionego dostępu, zarządzania tożsamością i kontami uprzywilejowanymi. Podstawą efektywnego wykorzystania każdego z tych narzędzi jest określenie jasnych, precyzyjnych reguł korzystania z różnych rodzajów czy zbiorów danych przez poszczególnych użytkowników w określonych procesach biznesowych. Przykładowo, dostęp do bazy z danymi osobowymi lub do systemu przetwarzającego dane osobowe może być nadany wyłącznie osobie posiadającej upoważnienie do przetwarzania danych osobowych, na dodatek w odpowiednim zakresie, adekwatnym do funkcji danego systemu lub zawartości bazy danych.

Pomocne, szczególnie w dużych firmach, będą z pewnością centralne bazy użytkowników. Dzięki nim łatwiej kontrolować, kto do jakich danych powinien mieć dostęp i w jaki sposób z niego korzysta. W przypadku dużej liczby użytkowników i różnorodności nadawanych im uprawnień coraz większego znaczenia nabierają systemy zarządzania tożsamością użytkowników. Warto w tym zakresie korzystać z systemów klasy Identity Management lub Identity and Access Management. Pozwalają bowiem zarządzać dostępem przez przydzielenie użytkowników do określonych grup oraz wyznaczenie im indywidualnych ról. Można też za ich pomocą wyznaczać zakres dostępu do poszczególnych danych, zarządzać uprawnieniami do dostępu, administrować logami i hasłami użytkowników oraz innymi metodami ich uwierzytelniania.

Monitorowaniu dostępu uprzywilejowanych użytkowników służą systemy klasy Privileged Access Management. Można za ich pomocą m.in. generować jednorazowe hasła dostępu i kierować całą polityką haseł (wyznaczać poziom skomplikowania, częstotliwość zmiany itp.). Z kolei kontrolę nad dostępem do sieci lokalnej ułatwiają rozwiązania typu Network Access Control.

Zarządzanie dostępem jest tak rozległą dziedziną, że oprócz standardowych narzędzi na rynku cały czas jest miejsce na nowe rozwiązania. Tym bardziej że dobór sposobów zabezpieczenia firmowych zasobów przed nieuprawnionym wykorzystaniem zależy w dużej mierze od specyficznych uwarunkowań i właściwości działania poszczególnych przedsiębiorstw. Każda propozycja, która zwiększa bezpieczeństwo przetwarzanych danych, może liczyć na zainteresowanie ze strony potencjalnych nabywców. Wciąż nie traci aktualności założenie, że szanse sprzedaży rosną, gdy oferta wdrożenia konkretnego systemu czy oprogramowania wzbogacona jest projektem dostosowania jego funkcji do dobrze rozpoznanych potrzeb odbiorcy.

Anonimy poza ochroną

Szczególną formą ochrony danych osobowych jest anonimizacja. Zapewnia dostęp do informacji pozbawionych cech jednostkowych. Polega na usunięciu wszystkich danych, które umożliwiałyby identyfikację osoby, której dotyczą. Przykładem anonimizacji danych jest usunięcie identyfikatorów, np. imienia, nazwiska, adresu zamieszkania, numeru telefonu. Można się nią posłużyć, by zapewnić dostęp do danych statystycznych, a jednocześnie chronić dane osobowe. Jest więc przydatna w przypadku analizy trendów biznesowych, budowania strategii marketingowych, tworzenia programów lojalnościowych, planowania zakupów i określania celów sprzedażowych. Bywa też wykorzystywana w sytuacji, gdy z systemu informatycznego nie można usunąć całego rekordu.

Dane zanonimizowane nie są już danymi osobowymi, więc nie podlegają przepisom RODO. Anonimizację, w przeciwieństwie do pseudonimizacji, cechuje bowiem nieodwracalność. Zakłada się, że po jej wykonaniu nie da się już zidentyfikować konkretnych osób fizycznych. Natomiast dane speudonimizowane można, wykorzystując dodatkowe informacje, przypisać konkretnej osobie. Dlatego podlegają ochronie prawnej.

W RODO pseudonimizacja wymieniona jest jako jeden ze środków technicznych i organizacyjnych dla podwyższenia bezpieczeństwa danych. Rozporządzenie nie zawiera natomiast definicji anonimizacji. Pojęcie to występuje jednak w ustawie o świadczeniu usług drogą elektroniczną i oznacza nieodwracalne uniemożliwienie zidentyfikowania określonej osoby. Podobnie anonimizacja określona została również w normie PN-ISO/IEC 29100.

Istnieje wiele różnych technik anonimizacji danych: randomizacja, dodanie zakłóceń, permutacja, prywatność różnicowa, uogólnienie lub osłabienia atrybutów, agregacja, k-anonimizacja i będąca jej rozszerzeniem l-dywersyfikacja. Narzędzia do anonimizacji danych bywają częścią różnych systemów informatycznych, np. klasy ERP czy CRM. Mogą też być oferowane jako samodzielne programy.

Artykuł Od klasyfikacji do anonimizacji pochodzi z serwisu CRN.