RODO w branży ubezpieczeniowej – jak zabezpieczyć dane firmy

Jak dobrze chronić dane osobowe swoich klientów, żeby zminimalizować ryzyko ich ujawnienia? Podpowiem jak zrobić ze swojej agencji “twierdzę informacyjną”. Na początek potrzeba jednak trochę teorii.

Jaka powinna być forma przechowywania danych osobowych i rodzaje zabezpieczeń w agencji?

Zasadniczo dane mogą być zapisane i przechowywane w dwóch postaciach

• fizycznej, czyli w naszym przypadku najczęściej będą to wydruki, ale nie możemy zapomnieć o tym, że to również mogą być rysunki, zdjęcia itp. „analogowe” nośniki informacji;
• elektronicznej, czyli zapisanej w postaci cyfrowej, zero-jedynkowego kodu.

Bez względu na to, w jakiej formie są przechowywane dane, to można je chronić przez zabezpieczenia:

• fizyczne – czyli ochrona sprawowana przez konkretnych ludzi: ochroniarze, portierzy, stróże, patrole odpowiednich służb itp.
• techniczne i tutaj wyróżniamy także dwa rodzaje mechanizmów:
  • mechaniczne, takie jak przegrody konstrukcyjne (ściany, stropy), drzwi, zamki, kraty, szafki, szafy pancerne itp.
  • elektroniczne–  systemy sygnalizujące o włamaniu i napadzie, monitoring wizyjny, kontrola dostępu, sygnalizacja pożaru oraz gaszenia i oddymiania.

Osobnym tematem są natomiast zabezpieczenia informatyczne, którym przyjrzymy się bliżej za chwilę.

Co praktycznie taka kategoryzacja daje agentowi? Pozwala, idąc punkt po punkcie, przejść przez tą swoistą „check-listę”, dzięki czemu zyska informacje o tym:

• jakie zabezpieczenia są zastosowane w przypadku jego biura czy innego miejsca, w którym przechowuje dane, co następnie może wykorzystać w dokumentacji, np. przy analizie ryzyka i polityce bezpieczeństwa w firmie;
• gdzie występują „słabe punkty” w systemie ochrony i jakie mechanizmy oraz urządzenia zastosować, żeby ryzyko kradzieży czy zniszczenia danych zminimalizować.

Miejsce przechowywania i przetwarzania danych cyfrowych

Dane w formie elektronicznej to ogromny temat, ale warto się nad nim pochylić, bo nie ma od niego odwrotu – coraz więcej informacji przechowujemy, przetwarzamy i przekazujemy w tej postaci.

Zastanówmy się najpierw, gdzie swoje dane przechowujemy. Możemy tu wyróżnić trzy rodzaje „pojemników” na dane i oczywiście skupię się tu na najpopularniejszych:

• stacjonarne – czyli przede wszystkim różnego rodzaju komputery wyposażone w dyski (HDD lub SSD) oraz inne, nieprzenośne urządzenia jak choćby sprzęt RTV a nawet … AGD (np. „inteligentna” lodówka), które z założenia używamy w jednym, konkretnym miejscu (biurze czy domu)
• przenośne – tutaj mamy całą gamę urządzeń wyposażonych w procesor i pamięć (smartfony, tablety, laptopy i inne urządzenia „smart”) oraz same nośniki danych – kary pamięci, przenośne dyski, pamięci przenośne (pendrive), płyty CD/DVD/BD itd..
• online – popularnie mowa o danych przechowywanych „w chmurze” czylina serwerach własnych lub udostępnianych przez inne firmy, do których mamy dostęp poprzez Sieć. Obecnie tak popularne, że coraz mniej zdajemy sobie sprawę, że obcujemy z nimi na każdym niemal kroku. To rodzi też niestety poważne konsekwencje w kontekście przetwarzania i ochrony danych.

Zanim przejdziemy do charakterystyki poszczególnych rodzajów i sposobów ich zabezpieczania, warto mieć na uwadze dwie bardzo ważne zasady:

• Pierwsza, że przechowujmy dane w jak najmniejszej liczbie miejsc, które dobieramy tak, żeby były jak najlepiej zabezpieczone przed dostępem nieuprawnionych osób.
• druga; nie trzymamy danych tylko w jednym miejscu – kopia przechowywana w innej lokalizacji/na innym nośniku/online) – i to nam pozwoli uchronić je przed bezpowrotnym utraceniem.

Zabezpieczanie sprzętów i urządzeń stacjonarnych

Na tym obszarze kluczowe znaczenia mają zabezpieczenia fizyczne i mechaniczne. Im więcej przeszkód do pokonania ma potencjalny złodziej, tym mniej chętnie to uczyni, a tym samym nasze dane są bardziej bezpieczne. Pamiętajmy jednak, że informacja to najcenniejszy towar dzisiejszych czasów, więc nigdy dość zabezpieczeń. Jak wspomniałem wcześniej, trudno tu mówić o teoretycznie najlepszych zabezpieczeniach, bo zawsze jest to kwestia konkretnego miejsca. Ale warto wymienić najważniejsze i zarazem możliwe do wdrożenie przy stosunkowo niewielkich kosztach: zamki w drzwiach i szafach, monitoring i instalacje alarmowe.

A jak zabezpieczyć sam komputer poza ograniczeniem fizycznego dostępu? Znajdziemy na ten temat mnóstwo informacji w internecie, ale skupię się na tym, co jest kluczowe w mojej ocenie, a jednocześnie w zasięgu każdego agenta.Ograniczę się tez do sprzętu wykorzystującego najpopularniejszy w naszym kraju system operacyjny MS Windows.

Profesjonalnie skonfigurowany komputer: począwszy od podzespołów (żeby nie było konfliktów sprzętowychczy problemów z wydajnością itp.), a nasterownikach urządzeń i ich oprogramowaniu skończywszy. Czy czujemy się na siłach, by sami o to zadbać, czy też skorzystamy z usług specjalisty – to już zależy od Was – mając na uwadze to, co napisałem w poprzedniej części.

Najważniejsze to zainstalowane oprogramowanie, które powinno się charakteryzować:

• bezpieczeństwem – wyłącznie legalne – co nie wyklucza użycia darmowych aplikacji – sprawdzone przez niezależnych testerów i użytkowników (znajdziemy sporo testów, recenzji i porównań w Sieci);
• aktualnością – zawsze warto mieć najbardziej aktualną wersję, bo często kolejne aktualizacje „łatają dziury”, które pozwalają hakerom na uzyskanie dostępu do naszego systemu i w szczególności dotyczy to systemu operacyjnego;
• skutecznością – bez względu czy skorzystamy z kilku osobnych programów (antywirus, firewall, anty mal-/spy-/ransomware czy inne chroniące przed np. phishingiem, czyli podszywaniem się pod cudzą tożsamość celem wyłudzenia danych dostępowych), czy z jednego z wielu „kombajnów”, które kompleksowo zabezpieczają nasz system. Ważne żeby były rozsądnie wybrane, czyli robiły to co powinny efektywnie i były dopasowane do naszych potrzeb i możliwości (znowu: warto poczytać testy itd.) oraz prawidłowo skonfigurowane.

Nowsze wersje systemu Windows mają już najczęściej wbudowane mechanizmy typu firewall czy antywirus, niemniej ich skuteczność bywa często kwestionowana – warto, więc skorzystać z oprogramowania innych, wyspecjalizowanych producentów.

Bardzo ważne jest stosowanie haseł (bios, logowanie do Windows, systemy online, wygaszacz ekranu itp.), które powinny być:

• absolutnie obowiązkowe – to dość bezpieczny środek, a jednocześnie bez kosztowy i tylko trochę upierdliwy w codziennym stosowaniu,
• wystarczająco skomplikowane – czyli standardowo: używamy kombinacje liter, cyfr i znaków specjalnych; im dłuższe tym trudniejsze do złamania, ale bez przesady – 7-10 znaków to już twardy orzech do zgryzienia dla „łamaczy haseł”.
• bezpiecznie przechowywane – nie na przysłowiowej, żółtej kartce przyklejonej do biurka czy monitora. Dobrym pomysłem jest skorzystanie z specjalnych programów do przechowywania haseł albo zwykłego pliku (np. w formacie txt, csv, docx czy xlsx), który zabezpieczymy dodatkowo hasłem – można użyć programu do archiwizowania np. WinRar czy 7-Zip);
• regularnie zmieniane – profilaktycznie, nie ma potrzeby zmieniać częściej niż raz na parę miesięcy, ale jeśli mamy najmniejsze podejrzenie, że hasło mogłoby zostać poznane przez inne osoby, wtedy należy je czym prędzej zmienić.

Warto zastosować szyfrowanie danych – narzędzie BitLocker dostępne w ramach niektórych wersji Windows lub można zastosować zewnętrzny program, choćby darmowy VeraCrypt. Dzięki temu nawet w jeśli wyrzucimy nasz dysk na śmietnik (serwisowanie i wymiana sprzętu, a bezpieczeństwo danych, to osobny temat, który zostanie jeszcze omówiony), to odczytanie z nich danych będzie prawie niemożliwe.

O system i dane należy dbać na bieżąco, nie tylko na starcie. Kontrolować czy wszystko działa prawidłowo, czyścić zbędne dane, weryfikować uprawnienia użytkowników – jeśli jest ich więcej niż jeden – zmieniać hasła itd.

Ochrona danych osobowych – przenoszonych

Zasadniczo wszystkie wyżej wymienione zasady obowiązują także w przypadku komputerów i innych urządzeń przenośnych. Niemniej tutaj ryzyko jest większe w związku z tym, że:

• nie korzystamy z tych urządzeń zawsze w tym samym miejscu, a więc i standardowe zabezpieczenia techniczne i fizyczne na zbyt wiele się nie zdadzą, bo związane są zawsze z konkretną lokalizacją;
• żeby używać internetu zwykle łączymy się z różnymi punktami dostępowymi należącymi do rozmaitych podmiotów (osób fizycznych lub firm), korzystających z dostawców i niekoniecznie zawsze odpowiednio zabezpieczonych;
• urządzenie przenośne znacznie łatwiej stracić – łatwo o nim zapomnieć, może zostać ukradzione czy zniszczone.

W przypadku większych organizacji, w których dane są przechowywane i przetwarzane na wielu urządzeniach, warto kompleksowo zarządzać urządzeniami mobilnymi przez dedykowane do tych celów oprogramowanie typy Mobile Devices Management (również w wyższych wersjach MS Office jest taka usługa dostępna). „Zwykłemu Kowalskiemu” w większości przypadków wystarczy podstawowa wiedza i zdrowy rozsądek.

Zabezpieczanie hasłami i szyfrowanie to najprostsze, najpopularniejsze i jednocześnie całkiem skuteczne metody zabezpieczania danych „w ruchu”, zarówno przechowywanych w urządzeniach przenośnych, jak i na nośnikach pamięci. Niemniej same urządzenia to nie tylko „opakowania” do przechowywania informacji, ale przede wszystkim narzędzia do uzyskiwania dostępu do danych przechowywanych online i ich przetwarzania. Żeby jednak nie przedłużać tej części i nie zanudzać bardziej teoretyczną formą opisu, w kolejnym odcinku skupimy się na tym obszarze już w wersji minimalistycznej – zdroworozsądkowych rad dotyczących „higieny” korzystania z Sieci przy przechowywaniu, przetwarzaniu i przesyłaniu danych.

---