Zbliżający się wielkimi krokami termin wprowadzenia GDPR (RODO) w maju sprawił, że aspekty związane z niszczeniem danych znalazły się na pierwszym planie w planowaniu strategicznym przedsiębiorstw. Widmo sporych kar za nieprzestrzeganie przepisów i odpowiedzialność za wdrożenie w życie odpowiednich procedur, która obecnie spoczywa na kadrze kierowniczej wyższego szczebla spowodowały, że kwestia przechowywania danych jest obecnie w wielu organizacjach jednym z głównych tematów.
Wiedza na ten temat a podjęcie konkretnych kroków w celu rozwiązania tego problemu to oczywiście dwie różne rzeczy. Problem polega na tym, że organizacje nie zawsze wiedzą, gdzie znajdują się ich dane, tak więc odpowiadanie na wnioski o dostęp do danych osobowych jest procesem złożonym, czasochłonnym i kosztownym. Zgodnie z art. 17 rozporządzenia RODO organizacje muszą być w stanie udowodnić, że są w stanie prawidłowo i trwale kasować dane.
Po przeprowadzeniu wstępnej kontroli danych (większość organizacji i tak powinna już domykać ten proces w ramach przygotowań do GDPR), następnym etapem jest pozbycie się danych osobowych, które nie są już istotne, nie są już wykorzystywane do określonych celów lub dotyczą dzieci poniżej 16 roku życia.
Jak prawidłowo kasować dane?
Samo usunięcie danych lub ponowne sformatowanie nośnika nie wystarczy, aby zapewnić, że dane osobowe nie będą już dostępne. Jeśli zostaną one po prostu usunięte z nośnika, to będzie można je odzyskać, nawet jeśli sprzęt zostanie uszkodzony w wyniku powodzi lub pożaru.
Na szczęście na rynku dostępnych jest wiele rozwiązań programowych, które całkowicie wymazują dane z urządzenia. Istnieją także rozwiązania, które trwale usuwają tylko konkretne, wybrane przez nas pliki. Można zdecydować się również na skorzystanie z demagnetyzera. Jednak w takim wypadku urządzenie nie będzie nadawało się do ponownego użycia.
Ryzyko związane z nośnikami
Innym dużym źródłem ryzyka są nośniki, które są zazwyczaj ponownie wykorzystywane przez organizacje starające się ograniczyć koszty przechowywania danych. Bez użycia odpowiednich narzędzi i oprogramowania do kasowania danych przedsiębiorstwa nie mogą mieć pewności, że poufne dane zostały całkowicie zniszczone przed ich odesłaniem do producenta sprzętu.
Jakiś czas temu przedstawiliśmy Wam wyniki naszego eksperymentu. Polegał on na zakupie 64 używanych dysków i sprawdzeniu, czy znajdują się na nich jakieś dane. Wyniki?
Jeden z nośników, który wcześniej należał do firmy, wzbudził u nas szczególny niepokój. Zawierał wiele poufnych informacji, w tym nazwy użytkowników, adresy, numery telefonów i dane kart kredytowych. Znajdowało się na nim około 100 nazwisk pracowników, do których przypisane były informacje na temat doświadczenia zawodowego, tytułów stanowisk, numerów telefonów, umiejętności językowych i urlopów, a także książka adresowa o pojemności 1 MB.
Prawie jedna trzecia dysków zawierała osobiste zdjęcia, prywatne dokumenty, wiadomości e-mail, filmy lub muzykę. Informacje o kontach użytkowników zostały odkryte na ośmiu dyskach, w tym dane logowania, takie jak imiona i nazwiska, dane kontaktowe, adresy e-mail, nazwy kont internetowych i hasła.
Dane dotyczące transakcji odzyskano z 9 dysków. Obejmowały one nazwy firm, zestawienia płac, numery kart kredytowych, dane rachunków bankowych, informacje o inwestycjach i zeznaniach podatkowych.
Problem ten dotyka także świata biznesu, ponieważ użytkownicy mają dostęp do firmowych danych z własnych urządzeń mobilnych. Stwierdzono, że sześć sprawdzonych przez nas nośników zawierało kluczowe dane biznesowe, takie jak pliki CAD, PDF, JPG i hasła.
Na tych samych nośnikach znaleźliśmy nawet pliki z danymi dotyczącymi ustawień sklepu internetowego, pliki konfiguracyjne i filmy szkoleniowe. Kolejnych pięć zawierało inne dane związane z pracą: faktury i zamówienia zakupu, a wśród nich poufne dane osobowe.
Kasowanie danych a informatyka śledcza
Otacza nas mnóstwo inteligentnych przedmiotów, od smartfonów i iPadów po sterowanych głosem cyfrowych asystentów, telewizory i lodówki, które potrafią rejestrować i transmitować dane. Czujniki przemysłowe i kamery CCTV „produkują” na tyle dużo złożonych danych, że konieczne jest przyjęcie nowego podejścia do przechowywania, zabezpieczania i kasowania danych na żądanie indywidualnych osób.
Eksperci informatyki śledczej mogą wykorzystywać cyfrowe dane do rozwiązywania zagadek kryminalnych. Przykładem niech będzie stwierdzenie przez prokuratorów, że dane zarejestrowane przez opaskę Fitbit zamordowanej kobiety nie potwierdzają alibi jej męża. Śledczy zdołali odtworzyć aktywność kobiety w felernym dniu i stwierdzić, że żona nie znajdowała się w czasie morderstwa w miejscu, które wskazywał jej mąż. Richard Dabate został oskarżony o zabójstwo żony i właśnie oczekuje na proces. To pokazuje, że informatyk śledczy jest w stanie odzyskać dane z prawie każdego urządzenia.
Efekty GDPR
Po wejściu w życie nowych przepisów przedsiębiorstwa, zarówno w sektorze prywatnym, jak i publicznym, będą musiały udowodnić, że kasują dane zgodnie z nowymi wytycznymi. Ponadto, będą musiały wykazać, że są w pełni odpowiedzialne za monitorowanie, przegląd i ocenę poszczególnych procedur dotyczących przetwarzania danych.
Organizacje będą zobowiązane wykazać gotowość do zminimalizowania procesów przetwarzania i niepotrzebnego magazynowania danych, a także wprowadzić zabezpieczenia dla wszystkich działań związanych z danymi. Wiele organizacji postrzega RODO jako doskonałą okazję do wdrożenia najlepszych praktyk zarządzania w swoich strategiach przechowywania danych. Wdrożenie nowych procedur przyniesie także szereg korzyści dla przedsiębiorstw:
Ograniczenie kosztów – przechowywanie danych zarówno w formie fizycznej, jak i wirtualnej jest kosztowne. Bezpieczne kasowanie danych umożliwi firmom ponowne wykorzystywanie nośników bez obaw związanych z przypadkowym pozostawieniem wrażliwych danych w rękach innych firm.
Bezpieczeństwo – wiele osób wciąż myli usuwanie danych z kasowaniem. Po usunięciu danych ich odzyskanie będzie możliwe. Prawidłowe wykasowanie danych oznacza, że nie będzie można ich już przywrócić.
Bieżące uaktualnienia – skupienie uwagi na przechowywaniu i kasowaniu danych nie jest nowością (ustawa z 1997 roku). Jednak trzeba zwrócić uwagę na fakt, że świat staje się coraz bardziej zależny od danych. GDPR obejmie ważne aspekty, takie jak globalizacja czy rozwój technologiczny, a w tym m.in. funkcjonowanie portali społecznościowych, takich jak Facebook czy Twitter. Przepisy te obejmą wszystkie nowe formy komunikowania się w epoce cyfrowej oraz informacje, które są przez nią generowane.
Z naszego doświadczenia wynika, że specjaliści w dziedzinie ochrony danych mają dużą wiedzę na temat GDPR. Wyzwaniem dla nich jest jednak zniwelowanie przepaści między wymogami teoretycznymi a praktycznymi aspektami ich wdrażania oraz wpływu nowych przepisów na przedsiębiorstwa, w których pracują.
Jednak wciąż duża liczba organizacji nie przydzieliła zadań związanych z ochroną danych w ramach własnej działalności odpowiedniemu podmiotowi – czy to pojedynczemu inspektorowi ochrony danych, czy też grupie osób fizycznych. Niestety, czasu na działanie jest coraz mniej.