GDPR

Varonis napomáhá plnit nové nařízení evropské unie GDPR. Začněte efektivně klasifikovat své data a řídit přístupové oprávnění. 

Start GDPR, konec akce Varonisu

Co jsou citlivé údaje?

Za citlivý údaj je považován údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů. Těmto údajům je přiznán zvýšený důraz na jejich ochranu při jejich zpracování dle zákona o ochraně osobních údajů.

Výpis osobních údajů

  •     Jméno
  •     Pohlaví
  •     Věk
  •     Datum narození
  •     Osobní stav
  •     IP adresa
  •     Fotografický záznam
  •     Emailová adresa
  •     Telefonní číslo
  •     Jiné údaje vydané státem
  •     Rasový nebo etnický původ
  •     Politické názory
  •     Náboženské nebo filozofické vyznání
  •     Členství v odborech
  •     Zdravotní stav
  •     Sexuální orientace
  •     Trestní delikty
  •     Pravomocné odsouzení
  •     Genetické údaje
  •     Biometrické údaje
  •     Osobní údaje dětí

Dopady GDPR?

Vysoké sankce
Odstupňovaný systém pokut ve výši až 4 % celosvětového ročního obratu (nebo 20 000 000 eur podle toho, co je vyšší) za vážnější porušení nebo 2 % (nebo 10 000 000 eur) za jiná porušení, například neinformování úřadu pro ochranu údajů o narušení bezpečnosti.
Garant bezpečnosti
Společnosti budou muset jmenovat pracovníka pro ochranu údajů, který bude odpovědný za prosazování a sledování toho, jak jsou plněna ustanovení GDPR, a bude kontaktní osobou pro úřady.
l l
Povinné hlášení úřadům
Do 72 hodin po zjištění narušení bezpečnosti je třeba informovat úřady pro ochranu údajů a spotřebitele.
Kdo nese odpovědnost?
Pozor, správci a zpracovatelé dat nejsou jediní, kdo nese odpovědnost. Za porušení předpisů lze pokutovat i subdodavatele nebo data předávané třetím stranám.
Kdo bude kontrolovat?
Lokální úřady pro ochranu údajů budou mít další prostředky k vyšetřování a kontrole správců údajů, jejich zpracovatelů a subdodavatelů. Nový Evropský sbor pro ochranu osobních údajů bude fungovat jako nejvyšší úřad pro ochranu údajů a bude řešit spory mezi jednotlivými úřady.
Koho se to týká?
Nařízení se týká každého subjektu, který zpracovává osobní údaje zaměstnanců, zákazníků, dodavatelů, pacientů.

Kroky, které je potřeba podniknout?

1.
Zjistit, kde jsou osobní údaje uloženy (NAS, SharePoint, cloud atd.)
2.
Sledovat a kontrolovat přístup k datům a změny v oprávněních
3.
Zavést takové postupy a systémy pro uchovávání dat, aby data nebyla ukládána déle, než je nutné
4.
Odstranit globální přístupová práva a zbytečně rozsáhlá přístupná data
5.
Zavést automatická upozornění, která pomohou reagovat na incidenty a napravovat je
6.
Aplikovat alespoň model zvláštních oprávnění
7.
Posílit bezpečnost strojovým učením a analýzou chování uživatelů (UBA

Přiřazení relevantních článků GDPR k řešení Varonis

Kapitola III: Práva subjektu údajů – Oddíl 2: Oprava a výmaz
Článek 17: Právo na výmaz a „právo být zapomenut“

…subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají…

 

Řešení Varonis: Uchovávání, archivace a likvidace osobních údajů

Varonis Data Transport Engine spolu se systémem Varonis Data-Classification Framework umožňují flexibilně nastavit úplná pravidla migrace: definovat podmínky zdroje podle cesty a obsahu, klasifikační pravidla, vlastnictví a sledování v systému Varonis (značka/štítek), určit cílovou cestu, složku a převod oprávnění i čas provedení migrace.

Díky možnosti nastavení těchto pravidel lze rychle a bezpečně provést i složité datové migrace a snadno zavést a uplatňovat zásady pro uchovávání a odstraňování údajů.

Kapitola IV: Správce a zpracovatel – Oddíl 1: Obecné povinnosti
Článek 23: Záměrná a standardní ochrana osobních údajů

… aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

 

Řešení Varonis: Systém řízení přístupu

Systém Varonis DatAdvantage monitoruje každý kontakt uživatele a souboru a ve formátu s možností prohledávání ukládá všechny aspekty využívání údajů týkající se informací uložených na souborových serverech a na zařízeních NAS (Network Attached Storage).

Protože DatAdvantage zjišťuje, kdo má k údajům přístup, a sleduje každý kontakt uživatele se souborem, dokáže doporučit odebrání přístupového oprávnění k datům u těch uživatelů, kteří nemají pracovní důvod příslušné údaje znát – díky tomu je přístup uživatelů k údajům vždy odůvodněný a je založen na principu nejnižšího možného oprávnění.

DatAdvantage poskytuje správcům údajů podrobné sestavy včetně informací o každém kontaktu uživatelů dat se souborem, o uživatelských aktivitách souvisejících s citlivými údaji a o změnách oprávnění týkajících se přístupu k určenému souboru nebo složce. Vede i podrobné záznamy o rušení oprávnění včetně uživatelů a údajů, pro něž byla oprávnění odebrána.

Varonis DataPrivilege je webová aplikace, která řídí, monitoruje a spravuje žádosti uživatelů o nestrukturovaná data (soubory, e-maily, SharePoint atd.).
Další informace o záměrné ochraně osobních údajů naleznete v příspěvku „PbD Cheat Sheet“ na našem blogu.

Kapitola IV: Správce a zpracovatel – Oddíl 1: Obecné povinnosti
Článek 28: Záznamy o kategoriích činností při zpracování osobních údajů

Každý správce (…) a jeho případný zástupce vede záznamy o činnostech zpracování všech kategorií osobních údajů, za něž odpovídá.

 

Řešení Varonis:

64 % organizací tvrdí, že neví, kde se u nich citlivý obsah nachází nebo kdo k němu má přístup. Najít citlivý obsah je však teprve začátek.
Jakmile víte, kde citlivý obsah uchováváte, přichází ty skutečně obtížné otázky:

  • Kdo k němu má přístup?
  • Kdo jej využívá?
  • Kdo jej vlastní?
  • Byla narušena jeho bezpečnost?
  • Mohu jej vymazat nebo archivovat?
  • Kde jsem nejvíce ohrožen?
  • Kdo k němu má přístup?
  • Kdo jej využívá?
  • Kdo jej vlastní?
  • Byla narušena jeho bezpečnost?
  • Mohu jej vymazat nebo archivovat?
  • Kde jsem nejvíce ohrožen?
  • Koho se dotkne, pokud něco změním?

Díky systému Varonis DatAdvantage mohou organizace kdykoli provádět kontroly zabezpečení dat (atestace) a jediným kliknutím myši sestavovat přehledy přístupu. Tyto informace mohou být úzce zaměřeny na údaje určitého typu či na přístupy prováděné určitou skupinou, nebo široce na trendy přístupu v celé organizaci (tedy přehledy aktivních a neaktivních uživatelů, aktivních a zastaralých data, vlastnictví dat v organizaci atd.). Auditorům umožňují zjistit, zda existují a jsou uplatňovány vhodné bezpečnostní zásady.

Kapitola IV: Spráce a zpracovatel – Oddíl 2: Zabezpečení údajů
Článek 30: Zabezpečené zpracování

… aby zajistili úroveň zabezpečení odpovídající danému riziku.

 

Řešení Varonis: Snížení rizika a řízení přístupu

Pomocí systému Varonis DatAdvantage můžete vytvářet přehledy, které umožní odhalovat nadbytečné přístupy k citlivým údajům s velkým rizikem, stanovovat pro ně priority a následně je řešit.

Varonis DataPrivilege pomáhá definovat zásady a postupy, podle nichž se řídí to, kdo má přístup k nestrukturovaným údajům a kdo může přístup k nim udělovat. Slouží však také k uplatňování pracovních postupů a provádění požadovaných akcí (tedy například povolit, odmítnout, povolit na určitý čas). To má dvojí vliv na konzistentní a dobrou informovanost o přístupových zásadách:

  • poskytuje všem zodpovědným stranám včetně vlastníků dat, auditorů, uživatelů dat a pracovníků IT stejnou sadu informací.
  • umožňuje organizacím průběžně monitorovat systém přístupových oprávnění a pomocí jeho změn a optimalizací zajišťovat, aby byla oprávnění vždy odůvodněná.

Díky systémům DatAdvantage a DataPrivilege mohou pracovníci dohlížející na dodržování předpisů a auditoři pravidelně dostávat zprávy o využívání dat a přístupových aktivitách k privilegovaným a chráněným informacím. To jim pomůže zajistit jejich bezpečnost a využívání v souladu s předpisy.

Kapitola IV: Správce a zpracovatel – Oddíl 2: Zabezpečení údajů
Článek 31: Oznamování případů porušení zabezpečení dozorčímu úřadu

Jakékoli porušení zabezpečení osobních údajů … musí správce ohlásit dozorčímu úřadu bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl…

 

Řešení Varonis: Analýza chování uživatelů

Technologie UBA vyhledává vzorce využívání, které naznačují neobvyklé či anomální chování – bez ohledu na to, zda má dotyčnou aktivitu na svědomí hacker, vlastní zaměstnanec firmy nebo třeba škodlivý software či jiné procesy.

Díky systému DatAlert a jeho upozorněním v reálném čase bude vaše organizace schopna dodržet limit 72 hodin. Nechte si zasílat upozornění:

  • kdykoli budou mazány tisíce citlivých souborů,
  • když uživatel (nebo útočník) získá kořenový přístup,
  • když dojde ke změně důležitých bezpečnostních skupin nebo skupinových zásad,
  • jsou porušena oprávnění k citlivým složkám,
  • dojde k riskantním změnám mimo časové období vyhrazené pro změny,
  • škodlivý software šifruje soubory na vašich serverech.

Upozornění můžete dostávat e-mailem, formou protokolu událostí, v syslogu nebo si je nechat posílat na vaše SIEM či do nástrojů pro správu sítě.

Kapitola IV: Spráce a zpracovatel – Oddíl 2: Zabezpečení údajů
Článek 33: Posouzení vlivu na ochranu osobních údajů

… správce před zpracováním provede posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. (…)

 

Řešení Varonis:

DatAdvantage vám pomůže s posouzením rizik.

Ochrana proti hrozbám zvenku i zevnitř, ať už zlovolným nebo neúmyslným, je nesmírně náročná. O to náročnější, že 71 % zaměstnanců tvrdí, že má přístup k informacím, které vůbec nemají vidět! Varonis Vám pomůže:

  • znepřístupnit nadměrně přístupný citlivý obsah,
  • omezit účty s nadbytečnými oprávněními,
  • analyzovat účty vykazující podezřelou aktivitu,
  • upozorňovat na rozšiřování oprávnění,
  • odhalovat útoky typu CryptoLocker a další škodlivé programy,
  • vyhledávat zastaralé účty a skupiny,
  • a mnoho dalšího!