Ogromne ilości danych są co roku narażone na kradzież danych i niepożądane ujawnienia. Cyberprzestępcy zwykle obierają za cel wszystkie rodzaje danych. Dlatego dane należy chronić przed nieuprawnionym dostępem zgodnie z potrzebami ochrony, np. poprzez szyfrowanie, ponieważ szyfrowanie nie tylko chroni przed szkodami finansowymi i pogorszeniem reputacji, ale jest również przewidziane w art. 32 GDPR.
Dowiedz się tutaj, co musisz wiedzieć o szyfrowaniu zgodnym z zasadami ochrony danych.
Szyfrowanie zgodnie z art. 32 DSGVO
Artykuł 32 GDPR zobowiązuje administratorów danych do ochrony danych osobowych w odpowiedni sposób. W tym celu należy podjąć "odpowiednie środki techniczne i organizacyjne" (TOM), "aby zapewnić poziom ochrony odpowiedni do ryzyka". Przy rozważaniu, czy dany środek jest odpowiedni, bierze się pod uwagę takie czynniki jak stan wiedzy, koszty wdrożenia. Ponadto rolę odgrywa charakter, zakres, okoliczności i cel przetwarzania, jak również zróżnicowane prawdopodobieństwo i dotkliwość ryzyka.
Artykuł 32 I lit. a GDPR wymienia szyfrowanie jako właściwy środek techniczny i organizacyjny. Szyfrowanie chroni przechowywane informacje w taki sposób, że osoba nieuprawniona nie może ich odczytać podczas uzyskiwania dostępu do nich. Celem jest zapewnienie, że potencjalni napastnicy nie mogą przynajmniej wykorzystać przechwyconych danych, jeśli wszystkie inne środki ochronne zawiodą.
Grzywny GDPR
Jeśli dojdzie do naruszenia danych, w którym naruszone dane nie są zaszyfrowane, incydent ten nie tylko podlega zgłoszeniu, ale może również skutkować wysokimi karami pieniężnymi. Z jednej strony szkodzi to finansom firmy, a z drugiej jej reputacji w oczach opinii publicznej, jak również reputacji klientów.
Wskazówki dotyczące ochrony danych w praktyce
Systemy, które regularnie znajdują się poza firmą (na przykład laptopy pracowników dla biur domowych lub urządzenia dla pracowników terenowych) są szczególnie narażone na dostęp osób trzecich. Dobra ochrona danych uwzględnia również pracowników i ich ludzkie błędy. Należy pamiętać, że. Personel odpowiednio przeszkolony środki ochronne są łatwe do wdrożenia dla każdego i nadal zapewniają odpowiedni poziom bezpieczeństwa. Wszystkie systemy zabezpieczeń, także te poza szyfrowaniem, powinny być regularnie sprawdzane i konserwowane.
Z organizacyjnego punktu widzenia należy zastanowić się, które aktywa mogą w ogóle opuścić firmę, a do których można uzyskać dostęp np. zdalnie. Klejnoty koronne IT jako najważniejsza kategoria aktywów zazwyczaj nie mogą opuszczać firmy ani być dostępne zdalnie.
W przypadku samego szyfrowania istnieją zarówno rozwiązania sprzętowe, jak i programowe. Szczególną uwagę należy zwrócić na bezpieczne zarządzanie kluczami. Rozwiązania te nie muszą być drogie ani skomplikowane. Na przykład w przypadku Bitlockera, sam system Windows oferuje już rozwiązanie, które jest łatwe w użyciu. Gdy jesteśmy w Internecie lub pobieramy pocztę elektroniczną, to zazwyczaj działa to już poprzez szyfrowanie transportu (TLS), co zazwyczaj dzieje się automatycznie, a jeśli nie, to programy takie jak przeglądarki pokazują ostrzeżenie, które ostrzega o niezabezpieczonym transferze danych.
Dobrej koncepcji kryptowalut nie powinno zabraknąć w żadnym wdrożeniu ochrony danych i systemie zarządzania ochroną danych.
Jeśli potrzebujesz porady dotyczącej środków ochrony danych lub pomocy w ich wdrożeniu, nasz zespół ekspertów chętnie Ci pomoże.