Bazy danych są strategicznym zasobem każdej firmy. Równocześnie, gromadzone i przetwarzane informacje są cennym łupem dla różnego rodzaju przestępców. Praktycznie nie ma tygodnia, w którym nie pojawia się informacja o sprzedaży danych osobowych osób poszkodowanych w wypadkach, klientów banków lub szpitali. O wartości danych przechowywanych przez te instytucje nie trzeba chyba nikogo przekonywać. Firmy marketingowe handlują naszymi danymi osobowymi. Każdy kontakt do potencjalnego klienta jest towarem, który można sprzedać po cenie od kilkudziesięciu groszy do ponad 100 zł. Rynek danych osobowych to towar. Obecnie nie ma w internecie usług, które oferowane są za darmo. Po aferze PRISM wiemy już, że informacje o nas fruwają po całym świecie, a inwigilacja jest czymś powszechnym. W każdej firmie bazy danych są, zaraz po pracownikach, drugim najcenniejszym zasobem w organizacji.
Bardzo często handel danymi osobowymi odbywa się dzięki nam samym. Cokolwiek chcemy zrobić, zarejestrować się na forum, założyć konto w portalu społecznościowym, zagrać w internetową grę musimy wyrazić zgodę na przetwarzanie naszych danych osobowych na zasadach określonych w regulaminie. Niestety bardzo często nie zapoznajemy się z trescią tych regulaminów. Warto więc, zanim zaznaczymy opcję zgody zapoznać się z trescią regulaminu. Należy sprawdzić na co się godzimy, w jaki sposób będą przetwarzane nasze dane i do jakiego celu.
Wszystkie firmy zobowiązane są też poprzez odpowiednie przepisy prawne, do ochrony danych dotyczących własnego personelu oraz klientów. Niezależnie od profilu działalności jednostki powinny zostać zastosowane możliwie maksymalne zabezpieczenia oraz dołożona należyta staranność przy obchodzeniu się z gromadzonymi informacjami.
WYMAGANIA DOTYCZĄCE OCHRONY BAZ DANYCH OSOBOWYCH
Najważniejsze wymagania dotyczące ochrony baz danych osobowych wynikające z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych to:
– Określenie aspektów identyfikacji czy w administrowanej bazie danych znajdują się dane osobowe.
– Określenie zakresu przetwarzania administrowanych danych, identyfikacja czy jest wymagana i dostępna zgoda osób, których dane dotyczą, weryfikacja kompletności danych i poprawności ich przetwarzania ze zgłoszonym celem i zakresem.
– Określenie mechanizmów udostępniania danych i weryfikacja rejestracji udostępniania danych. Baza danych osobowych powinna umożliwiać wyświetlenie i wydrukowanie dla danej osoby raportu, w którym będą uwzględnione: dane osoby, źródło pochodzenia danych, kto dopisał dane do bazy, data i czas utworzenia wpisu, informacje o modyfikacjach, informacje komu, kiedy i w jakim zakresie dane były udostępniane.
– Określenie formatu przekazywania danych, zakresu i rejestrowania przekazywania danych.
– Określenie poziomu bezpieczeństwa dla każdego ze zbiorów, nadawanie i zarządzanie upoważnieniami do przetwarzania danych osobowych oraz stosowania mechanizmów rozliczalności.
– Sporządzenie dokumentacji dotyczącej sposobu przetwarzania i zabezpieczania danych osobowych.
– Określenie zasad kontroli i dostępu do obszarów przetwarzania danych osobowych.
– Określenie fizycznych zabezpieczeń instalacji informatycznych, baz danych i nośników zawierających dane osobowe.
– Wyznaczenie osób odpowiedzialnych za fizyczne bezpieczeństwo instalacji informatycznych, baz danych i nośników zawierających dane osobowe.
– Określenie sposobu weryfikowania nadanych uprawnień dostępu do systemów.
WYMAGANIA DOTYCZĄCE SYSTEMÓW INFORMATYCZNYCH
Najważniejsze wymagania określone w rozporządzeniu MSWiA z dnia 29 kwietnia 2004 r dotyczące urządzeń i systemów informatycznych służących do przetwarzania danych osobowych:
– Konieczność stosowania mechanizmów kontroli dostępu, przy czym jeśli do systemu ma dostęp wielu użytkowników muszą mieć oni odrębne identyfikatory. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.
– Zabezpieczenie przed „działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego” oraz „utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej”.
– Konieczność sporządzania kopii zapasowych danych i programów je przetwarzających, przy czym kopie zapasowe należy przechowywać w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem oraz usuwać niezwłocznie po ustaniu ich użyteczności; – Konieczność szyfrowania danych przetwarzanych na komputerze przenośnym.
– Obowiązek usunięcia zapisanych danych w sposób uniemożliwiający ich odzyskanie z dysków lub innych nośników elektronicznych zawierających dane osobowe, przeznaczonych do likwidacji, naprawy lub przekazania podmiotowi nieuprawnionemu do przetwarzania danych osobowych.
– Konieczność stosowania na poziomie wysokim zabezpieczeń logicznych, które obejmują kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną oraz kontrolę działań z sieci publicznej i systemu informatycznego administratora danych.
– Konieczność zapewnienia na poziomie wysokim ochrony kryptograficznej danych wykorzystywanych do uwierzytelniania, które są przesyłane w sieci publicznej.
Hasło powinno składać się z co najmniej z sześciu znaków na poziomie podstawowym, a na poziomie podwyższonym i wysokim z ośmiu znaków, i zawierać małe i duże litery oraz cyfry lub znaki specjalne. Hasła powinny być zmieniane nie rzadziej niż 30 dni.
Mimo szeregu zabezpieczeń wiele osób nadal, często słusznie obawia się o bezpieczeństwo swoich danych. Oczywiste jest, że dane osobowe zgromadzone w bazach danych osobowych są obiektem zainteresowań. Dlatego też poza zasobami technicznymi i zabezpieczeniem danych od strony systemu informatycznego istotne jest również przestrzeganie przepisów i procedur przez osoby upoważnione do dostępu do tych danych. Obrót bazami danych osobowych nie jest zabroniony, ale musi się odbywać w sposób zgodny z prawem. Podmiot, który gromadzi dane osobowe musi dochować należytej staranności zarówno na etapie gromadzenia, przechowywania jak również udostępniania tych danych innym podmiotom.
Kary za udostępnianie danych osobowych lub umożliwianie dostępu do nich osobom nieupoważnionym reguluje art. 51 ustawy o ochronie danych osobowych.
„Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.”
W przypadku gdy sprzedażą baz danych zajmuje się nieuczciwy pracownik lub inna osoba, która weszła w ich posiadanie nielegalnie zastosowanie ma art 267 kk.
„Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.”
Autor: Dariusz Łydziński
Źródło: 4itsecurity.pl