Ochrona danych osobowych, a bezpieczeństwo informacji

Od wielu lat zauważamy dosyć wyraźne trendy a nawet modę na wdrażanie rozwiązań nakierowanych na „bezpieczeństwo informacji”. Osoby zarządzające systemami teleinformatycznymi, administratorzy danych osobowych zastanawiają się, czy jeżeli ich systemy są zgodne z wymaganiami Ustawy o Ochronie Danych osobowych, to czy jest sens podejmowania wysiłków i ponoszenia dodatkowych nakładów na coś tak mało intuicyjnego jak „bezpieczeństwo informacji”. Za tym pytaniem pojawiają się niemal natychmiast kolejne pytania: czym tak naprawdę jest bezpieczeństwo informacji? W jaki sposób chronić informację? Czy bezpieczeństwo informacji jest kosztowne? Jeżeli tak, to jak bardzo?

W niniejszym artykule na dość wysokim poziomie ogólności poruszone zostaną wyżej wymienione kwestie.

 Informacja jedno ma imię

Kluczem w zrozumieniu różnic pomiędzy podejściem którego celem jest ochrona danych osobowych, a podejściem bazującym na ochronie informacji jest zrozumienie różnić pomiędzy chronionymi przedmiotami. W języku potocznym powszechnie używamy słów „informacja”, „wiadomość”, „komunikat”. Czym różnią się te słowa od siebie?
Przyjrzyjmy się trzem scenkom.

Scena 1

  • Pani Jolu, proszę przekazać informatykowi, że zmienił nam się numer telefonu do biura – niech umieści na naszej stronie poprawny numer: 54 87 90 96.
  • Dobrze Panie dyrektorze, już przekazuję.

Scena 2

  • Proszę Pani, dlaczego nie odbierają Państwo telefonów z reklamacjami? Wczoraj przez pół godziny próbowałem się dodzwonić na numer podany na Państwa stronach, ale nikt nie odbierał telefonu!!! Musiałem przyjść osobiście, żeby załatwić sprawę, którą mógłbym załatwić telefonicznie. To jest niedopuszczalne! Na jaki numer mam dzwonić?
  • Przepraszam Pana bardzo… Zaraz sprawdzę…Rzeczywiście… na stronie jest niepoprawny numer telefonu, zaraz przekażę informatykowi, żeby zaktualizował dane. Za chwilę powinny być poprawne dane, proszę jednak na wszelki wypadek zapisać sobie właściwy numer: 54 87 90 96.

Scena 3

  • Przepraszam, że dzwonię do Pani o tak późnej porze i niepokoję Panią na urlopie… Jestem ślusarzem, zacięła się Państwa szafa pancerna, wezwano mnie pilnie aby ją otworzyć … Podobno Pani zna szyfr do tej szafy, gdyby Pani mi go podała, znacznie przyspieszyłoby mi to moje prace…
  • Przepraszam z kim rozmawiam? Niedosłyszałam.
  • Wojciech Bydgar, ślusarz, mam pilnie otworzyć szafę pancerną w Pani firmie, czy może mi Pani pomóc? Bardzo proszę.
  • No tak, z tą szafą były kiedyś problemy. Proszę zapisać sobie szyfr: 54 87 90 96.

Analizując przytoczone wyżej sceny możemy zauważyć, że…

W pierwszym przypadku nie wiemy, czy podane przez dyrektora liczby były komuś do czegoś potrzebne. Nie wiemy, czy firma ma klientów, którzy do niej dzwonią na podstawie danych dostępnych z Internetu, nie wiemy w ogóle, czy ktoś odwiedza ich stronę internetową. Czy podane przez dyrektora liczby są dla kogoś przydatne? Niekoniecznie. Mamy więc do czynienia z wiadomością umieszczoną na sieci… z komunikatem firmy, przeznaczonym dla jej potencjalnych klientów.

W drugim przypadku numer telefonu jest już wyraźnie informacją pożądaną przez wzburzonego klienta, dla którego jest ona istotna, stanowi informację niezbędną do wykonania zaplanowanych czynności.

W trzecim przypadku te same liczby okazują się być kluczem do sejfu, potrzebnym dla osoby podającej się za ślusarza.
Analogicznie ławo jest wyobrazić sobie sytuację, w której ten sam komunikat (np. wyniki wyborów do parlamentu) może być dla jednej osoby (np. urzędującego premiera) niezwykle istotną informacją, od której wiele zależy, a dla drugiej osoby (np. małego przedszkolaka) nic nie wnoszącą wiadomością, której nie rozumie.

Informacja jest więc pojęciem o wiele szerszym niż dane osobowe. O ile firmy zajmujące się wysyłką materiałów reklamowych są zainteresowane głównie pozyskaniem jak największej bazy, dobrej jakości danych osobowych, o tyle osoby inwestujące na giełdzie przeszukują o wiele większe spektrum informacji mogących stanowić podstawę do przewidywania dalszych kursów akcji. Dla podmiotów konkurujących między sobą istotne są informacje dotyczące technologii, dostawców, procedur, materiałów, kosztów, zysków, nakładów i innych tego typu danych, których wejście w posiadanie i wykorzystanie może poprawić własną pozycję na rynku.

Tak więc mówiąc w uproszczeniu… Informacja to użyteczna wiadomość.
Nie mniej jednak, przypatrując się scenkom nr 2 i 3 zauważamy, że choć zarówno w jednym jak i w drugim przypadku mamy do czynienia z informacją, to jednak oba przypadki wydają się diametralnie odmienne. Jak uchwycić więc te różnice? Jak wartościować informacje?
Pomocne stają się tu cechy informacji.

Informacja nie jedną ma cechę

Od wielu lat przyjęło się przypisywać informacjom trzy podstawowe oraz trzy dodatkowe cechy:

  • poufność – właściwość, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom
  • integralność – właściwość polegającej na zapewnieniu dokładności i kompletności,
  • dostępność – właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu,
  • rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
  • autentyczność – właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana. Autentyczność dotyczy takich podmiotów jak użytkownicy, procesy, systemy i informacje.
  • niezawodność – właściwość oznaczająca gwarancję sposobu zachowania lub działania takiego jak zamierzone.

Przypatrzmy się jak ww. cechy różnicują między sobą informacje występujące w scenkach nr 2 i 3.

Poufność

W przypadku scenek nr 1 i nr 2 nie ma mowy o żadnej poufności. Przedmiotową informacją jest numer kontaktowy telefonu firmy, który zwykle powinien być informacją podawaną do publicznej wiadomości, bez konieczności jej ukrywania – leży do najczęściej w interesie firmy.
Inaczej kwestia poufności (informacja nie jest wyjawiana nieupoważnionym osobom) wygląda w przypadku scenki nr 3. Przedmiotowa kombinacja liczb jest sekretem, umożliwiającym otwarcie szafy pancernej, w której przechowywane są dokumenty wrażliwe. Informacja ta powinna być chroniona przed dostępem osób nieuprawnionych. Jednocześnie powinna być dostępna dla osób, które są uprawnione i jej potrzebują.
Czy poufność tej informacji została naruszona? Przedstawiony opis nie daje jednoznacznej odpowiedzi na to pytanie, lecz istnieje duże prawdopodobieństwo, że rzeczywiście informacja mogła się dostać w posiadanie osoby nieuprawnionej. Przypatrzmy się uważniej bohaterom tej scenki.
Bohater nr 1 – Pani. Wiemy o niej, że zwykle zajmuje się tą szafą pancerną, że zna szyfr zabezpieczający dostęp do szafy, że robi o już od jakiegoś czasu (mówi o tym, że wcześniej też były z nią problemy), jest na urlopie.
Bohater nr 2 – Pan Ślusarz. Mężczyzna, który podaje się za ślusarza. Czy jest ślusarzem, z tego dialogu nie wynika to w stu procentach. Czy „Pani” zna go osobiście? Raczej nie – jego głos nic jej nie mówi, poza tym nie pracuje w jej firmie. Dlaczego więc „Pani” mu uwierzyła i podała sekretny szyfr? Uwiarygodniły Pana Ślusarza w jej oczach dwa podstawowe elementy: znał jej numer telefonu, wiedział, że zna szyfr do szafy pancernej. Skoro tak, to ktoś mu musiał je podać właśnie po to, aby do niej zadzwonić – to mogło ją do niego przekonać. Poza tym… czy ktoś kto ma złe intencje wykonałby tak bezczelny telefon? Czy by się przedstawił? Skąd by miał jej numer telefonu, skąd by wiedział, że jest na urlopie? Niestety… w większości firm ani numer telefonu, ani wiadomość o urlopie osoby nie są informacjami chronionymi. Najczęściej dzwoniąc na sekretariat jesteśmy w stanie przekonać osobę odbierającą telefon do podania danych kontaktowych i informacji dodatkowych…
– Dzień dobry, nazywam się Wojciech Bydgar. Jakiś miesiąc temu poznałem na konferencji Państwa główną księgową. Obiecałem przygotować jej pewne zestawienie informacji, jednak zapodziały mi się gdzieś jej dane kontaktowe… Nie pamiętam nawet jak się nazywa… Czy mogłaby mi pani jakoś pomóc?…. aha… dziękuję za jej numer telefonu… Prawdopodobnie za tydzień lub dwa będę gotowy z tym zestawieniem…Przyjadę do Państwa z drugiego krańca Polski… nie orientuje się Pani, czy pani księgowa nie ma zarezerwowanego w tym czasie urlopu?

Oczywiście powyższa rozmowa mogłaby zadziałać jedynie na kogoś bardzo naiwnego… Musimy jednak sobie zdawać sprawę, że osoby znające się na socjotechnice są w stanie wymyślić historyjkę, która przekona wiele bardzo czujnych i uświadomionych w zakresie bezpieczeństwa osób.
Podsumowując, bohater nr 2 mógł być osobą nieuprawnioną, która nie powinna znaleźć się w posiadaniu szyfru do szafy pancernej. Zabrakło kilku elementów zabezpieczających informacje:

  1. uwierzytelnienie (należało potwierdzić, że osoba dzwoniąca jest rzeczywiście tą, za którą się podaje),
  2. procedury zapewniające dostępność informacji (szyfr do sejfu powinien być dostępny dla osób uprawnionych, nawet w sytuacji, gdy jedna z osób jest na urlopie),
  3. procedury zapewniające utrzymanie ciągłości działania (w sytuacji, w której były problemy z sejfem należało opracować stosowne procedury postępowania – sekretów nie powinno się przekazywać osobom nieuprawnionym spoza firmy).
    {przerwa}

Integralność

Ewidentny problem z integralnością (zapewnieniem dokładności i kompletności) informacji występuje w scence nr 2. Informacja umieszczona na stronie internetowej nie jest informacją aktualną i prawdziwą. Nie mamy odpowiedzi na pytanie, czy została zmodyfikowana przez osobę nieuprawnioną – i dlatego jest nieprawdziwa, czy też osoby uprawnione zaniedbały aktualizacji numeru w przypadku zmiany danych teleadresowych firmy. Tak, czy inaczej w efekcie końcowym mamy do czynienia z brakiem integralności informacji.
Brak naruszenia integralności informacji w przypadku scenki nr 1, polega na zapewnieniu, aby informacja przechodząca od jej źródła (np. umowa z firmą telekomunikacyjną), poprzez jej wszystkie ogniwa pośrednie (dyrektor, pani Jola, informatyk), aż do jej końcowego opublikowania na stronie www nie została przekłamana/zmodyfikowana.

Dostępność

Dostępność informacji dla osób uprawnionych została naruszona przede wszystkim w sytuacji opisanej w scenie nr 2. Osobą uprawnioną w tym przypadku był klient firmy, który potrzebował numeru kontaktowego firmy.
Możemy sobie wyobrazić, że scena nr 3 też może wiązać się z potencjalnymi problemami z dostępnością do szyfru zabezpieczającego sejf – prawdopodobnie osoba odpowiedzialna za szyfr nie zapewniła dostępności sekretu dla innych uprawnionych pracowników firmy (np. nie zdeponowała go bezpiecznym miejscu w firmie, nie przekazała przełożonemu, czy innym, uprawnionym współpracownikom) i w przypadku braku kontaktu z nią (wypadek, zdarzenie losowe) istniałby poważny problem z uzyskaniem aktualnego szyfru, a tym samym z dostępem do dokumentów zdeponowanych w szafie pancernej.

Rozliczalność

Rozliczalność informacji jest cechą dodatkową, która w opisywanych scenkach nie odgrywa roli pierwszoplanowej. Możemy mówić o zapewnieniu rozliczalności w odniesieniu do informacji publikowanych na witrynie firmowej (scena nr 1 i scena nr 2). Zapewnienie tej cechy daje pewność dotyczącą identyfikacji osób odpowiedzialnych za przetwarzane informacje. W tym przypadku dotyczy to rozliczalności osób które w ramach pełnienia obowiązków służbowych:
1. pozyskały od firmy zewnętrznej numer telefonu do biura,
2. zatwierdziły do publikacji na witrynie internetowej numer telefonu do biura,
3. wprowadziły do serwisu internetowego zatwierdzony wcześniej numer telefonu.
Jeżeli więc na stronie internetowej znalazła się informacja nieprawdziwa – firma dbająca o rozliczalność informacji będzie w stanie ustalić w którym momencie na ścieżce publikacji danych nastąpiło przekłamanie, gdzie został popełniony błąd. Daje to w efekcie możliwość skorygowania obowiązujących procedur i tym samym znacznego zredukowania prawdopodobieństwa popełnienia podobnego błędu w przyszłości. W przypadku umyślnej manipulacji informacją i wprowadzenia błędnych danych, systemy zapewniające rozliczalność dostarczają szczegółowego materiału dowodowego, umożliwiającego precyzyjną identyfikację intruza.

Autentyczność

Zasada zapewnienia autentyczności niemal ewidentnie została naruszona w sytuacji opisanej w scenie nr 3. Mamy w niej bowiem do czynienia z Bohaterem nr 2, który podaje się za ślusarza. Czy Pani, która jest Bohaterem nr 1 może być pewna, że tożsamość Bohatera nr 2 jest taka jak deklarowana? Czy przeprowadzona została jakakolwiek próba weryfikacji tożsamości, uwierzytelnienia? Nie było takiej próby… bądź to z braku świadomości możliwości wystąpienia takich nadużyć, bądź to z braku odwagi zakwestionowania podawanej przez Bohatera nr 2 tożsamości, bądź to z wrodzonej chęci przyjścia z pomocą i ufności do drugiego człowieka. Tak, czy inaczej nie nastąpiła żadna weryfikacja tożsamości, mogąca zapewnić autentyczność osoby podającej się za ślusarza, mającej wykonać deklarowane prace. Nie może być więc mowy o zapewnieniu, że tożsamość podmiotu jest taka, jak deklarowana.

Niezawodność

W przypadku zaprezentowanych scen możemy mówić o niezapewnieniu niezawodności procedur bezpieczeństwa, które powinny obowiązywać w każdym z opisywanych przypadków. Możemy wyobrazić sobie zasadność wprowadzenia procedury aktualizacji informacji na firmowej witrynie internetowej, która zawiodła w przypadku opisywanym w scenie nr 2. Gdyby procedura taka obowiązywała, gdyby podejmowane były starania dotyczące zapewnienia jej niezawodności (testy, ćwiczenia, weryfikacja, aktualizacja), wówczas prawdopodobieństwo zaistnienia sytuacji, w której na stronie firmowej znajdują się nieaktualne dane – byłoby zminimalizowane. Jeszcze bardziej ewidentny jest brak stosownych procedur bezpieczeństwa, dotyczących przechowywania i przekazywania sekretów, w odniesieniu do sytuacji opisywanej w scenie nr 3. Gdyby np. istniały i były stosowane procedury przechowywania i zabezpieczania sekretów, to nie zaistniałaby potrzeba wykonania telefonu do osoby, która przebywa na urlopie. Zdeponowane w bezpiecznym miejscu kody otwarcia sejfu byłyby dostępne dla osób uprawnionych. Z drugiej strony, gdyby istniały procedury wymuszające uwierzytelnienie osoby dzwoniącej w przypadku sytuacji awaryjnej, wymagającej przekazania sekretu, to Pani, będąca Bohaterem nr 1 dołożyłaby starań, aby zweryfikować każdy z istotnych elementów historii opowiadanej przez ślusarza – Bohatera nr 2.

Ochrona nie jedno ma imię

Ustawa z dnia 29 sierpnia 1997 r. o Ochronie Danych Osobowych dotknęła wiele przedsiębiorstw, narzucając im obowiązek spełnienia ściśle określonych wymagań w zakresie bezpieczeństwa informacji. Dla wielu firm był to pierwszy i często jedyny kontakt z zagadnieniami dotyczącymi bezpieczeństwa. Niektóre z firm, bez większego zainteresowania tematem poczyniły niezbędne starania do wypełnienia narzuconych wymagań. Inne podeszły do zagadnień bezpieczeństwa ze zrozumieniem i przy okazji wdrażania wymagań ustawowych w istotny sposób poprawiły bezpieczeństwo danych przetwarzanych w przedsiębiorstwie.
Powstaje więc pytanie czy w firmie, dbającej o ochronę danych osobowych, zgodnie z wymaganiami ustawy mogłyby zaistnieć nieprawidłowości opisywane powyżej?
Na to pytanie można odpowiedzieć nie wprost. Wynika to stąd, że wymagania ustawy o ochronie danych osobowych, nie chronią przed opisywanymi nieprawidłowościami. Wymagania ustawowe koncentrują się na danych osobowych – a z takimi nie mieliśmy do czynienia w przedstawionych historyjkach. Innymi słowy jeżeli firma przejdzie bez problemów kontrolę GIODO, nie znaczy to, że osoba odpowiedzialna za bezpieczeństwo informacji może spać spokojnie.
Co więc może być miernikiem poziomu bezpieczeństwa informacji w przedsiębiorstwie?
W jaki sposób zapewnić bezpieczeństwo informacji w firmie?
O ile odpowiedzi na powyższe pytania nie są takie trudne o tyle kompleksowe zapewnienie bezpieczeństwa przetwarzanych informacji oraz wdrożenie systematycznego zarządzania bezpieczeństwem informacji to kwestie wymagające przeznaczenia istotnych zasobów w postaci wiedzy, czasu, osób i środków technicznych. Problemem bywa również poziom dojrzałości organizacji i zaangażowania kierownictwa w poprawę bezpieczeństwa informacji. Brak przekonania kierownictwa do konieczności zainwestowania w poprawę bezpieczeństwa informacji jest jedną z podstawowych i najczęstszych przyczyn wielu nadużyć i niskiego poziomu zabezpieczeń.
Jeżeli jednak firma posiada potrzebę, świadomość oraz środki na weryfikację i poprawę poziomu bezpieczeństwa informacji, to można rozpocząć żmudną i konsekwentną wędrówkę do pożądanego oraz udokumentowanego poziomu bezpieczeństwa.
Osoba odpowiedzialna za bezpieczeństwo informacji w przedsiębiorstwie ma więc ogrom pracy do wykonania. W pierwszej kolejności należy przeprowadzić audyt aktualnego poziomu bezpieczeństwa informacji, aby zorientować się w jakim stadium znajduje się firma. W kolejnym kroku, bazując na wynikach audytu należy zidentyfikować najsłabsze punkty i rozpocząć systematyczną budowę systemu zarządzania bezpieczeństwem informacji. Odnalezienie zawartości słowa „systematyczny” dobrze jest szukać w obowiązujących normach. Szczególnie w tym kontekście należy polecić normę PN-ISO/IEC 27001:2007 „Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania”, która sama o sobie pisze, że „została przygotowana w celu przedstawienia modelu, ustanawiania, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia systemu zarządzania bezpieczeństwem informacji (ISMS). Wprowadzenie ISMS powinno być dla organizacji decyzją strategiczną. Na projektowanie i wdrażanie ISMS w organizacji mają wpływ jej potrzeby i cele biznesowe, wymagania bezpieczeństwa, realizowane procesy oraz wielkość i struktura organizacji. Systemy ją wspomagające zmieniają się w czasie. Przyjmuje się że wdrożenie ISMS będzie dostosowane do potrzeb organizacji, np. proste sytuacje wymagają prostych rozwiązań ISMS.”.

Wykorzystanie wymagań i zaleceń zdefiniowanych w tej normie wymaga przede wszystkim:

  1. Zrozumienia problemu i zaangażowania kierownictwa w proces wdrażania systemu zarządzania bezpieczeństwem w firmie.
  2. Przeznaczenia środków niezbędnych do realizacji wdrożenia.
  3. Pozyskania wiedzy dotyczącej procesu wdrożenia, ustanowienia i utrzymania systemu zarządzania bezpieczeństwem.
  4. Gotowości do wdrożenia zmian poprawiających bezpieczeństwo procesów biznesowych.

Z powyższego zestawienia widać, że jedynie wiedza jest elementem, który można pozyskać na zewnątrz przedsiębiorstwa – np. korzystając z usług firmy konsultingowej. Pozostałe istotne składniki leżą tylko i wyłącznie w zakresie odpowiedzialności kierownictwa firmy. Odnosząc się również do zagadnienia początkowych zagadnień dotyczących różnic i podobieństw w zakresie ochrony danych osobowych i zapewnienia bezpieczeństwa informacji należy podkreślić, że bezpieczeństwo informacji jest zagadnieniem o wiele szerszym od ochrony danych osobowych i zawierającym całość przestrzeni związanej z ochroną danych osobowych. Tak więc firma posiadająca wdrożoną i dobrze funkcjonującą politykę bezpieczeństwa, a także instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (o których mowa w Ustawie o Ochronie Danych Osobowych) wypełnia w ten sposób jedynie niewielki fragment wymagań o których mowa w ww. normie. Dokumentem na dużym poziomie ogólności, dokumentem najwyższym, zawierającym deklarację spełnienia wymagań dotyczących bezpieczeństwa informacji bywa zwykle „Polityka Bezpieczeństwa Informacji”. Często stanowi ona świadectwo zaangażowania kierownictwa w proces zarządzania bezpieczeństwem informacji.

Czy warto zadbać o bezpieczeństwo informacji?

W dobie wszechobecnej informatyzacji, istotności informacji w kontekście przewagi nad konkurencją oraz zaawansowanego szpiegostwa przemysłowego zarządzanie bezpieczeństwem informacji staje się zagadnieniem coraz bardziej istotnym. Niestety efekty i korzyści wynikające z wdrożenia zarządzania bezpieczeństwem informacji są trudno zauważalne i trudno mierzalne. O wiele łatwiej jest policzyć koszty z jakimi wiąże się bezpieczeństwo. W grę wchodzą bowiem często inwestycje w dodatkowe etaty, sprzęt, oprogramowanie, wydłużenie i skomplikowanie procedur obsługi procesów biznesowych, itp. W bezpiecznym systemie zapewniona jest ciągłość procesów biznesowych, zminimalizowane jest prawdopodobieństwo i skutki wystąpienia incydentów bezpieczeństwa. Można powiedzieć, że nic się nie dzieje. Łatwo wtedy o dojście do wniosku, że skoro nic się nie dzieje, to po co wydawać tyle pieniędzy? Problem jednak w tym, że w wielu przypadkach pojedyncza utrata poufności, bądź dostępności informacji, czy ciągłości działania procesu biznesowego może w efekcie wiązać się z niezwykle kosztownymi skutkami. Czasem takie zdarzenie może decydować o być, albo nie być firmy. Często to właśnie takie zdarzenia są motorem zmian w firmie i zainteresowania się możliwością poprawy bezpieczeństwa.
Niektóre firmy stać jest więc na ryzyko utraty informacji lub ciągłości działania a inne stać na wdrożenie systemu zarządzania bezpieczeństwem informacji.
Ważne jednak, aby takie wybory podejmować świadomie.

Przemysław Rakowski

Audytor, Specjalista ds. bezpieczeństwa, stały współpracownik firmy Omni Modo

About Redakcja 321 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.