RODO w praktyce

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej RODO) obowiązuje od 25 maja 2018 r. Niezależenie od środków technologicznych należało do tego czasu oszacować ryzyko i opracować procedury postępowania. Niektóre z incydentów już teraz wymagają zastosowania procedur zaradczych związanych z ich wystąpieniem. Doskonałym przykładem może być wiele kampanii informacyjnych przesłanych do dużej liczby odbiorców bez “kopii ukrytej” czyli BCC. Na to i inne ryzyka incydentów związanych z nieautoryzowanym udostępnieniem danych osobowych opracowaliśmy trzy scenariusze z wykorzystaniem niedrogich i skutecznych rozwiązań marki Fortinet.

 

RODO w praktyce – scenariusz #1
śledzony formularz

Administrator IT w firmie handlowej zarządza systemem, który przetwarza dane osobowe. Dane wrażliwe osadzane są w szablonach ustandaryzowanych dokumentów, potrzebnych tylko do użytku wewnętrznego. System pozwala na zaimportowanie dokumentów z formularzem ze standardowych plików odt, rtf, doc. Szablon, zanim trafi do systemu, zostaje oznaczony przez administratora fingerprint’em z pomocą funkcjonalności w rozwiązaniu FortiMail. Dzięki temu każdy dokument wygenerowany z systemu jest śledzony przez mechanizmy DLP (Data Leak Prevention), co nie pozwala na wysyłanie tych plików poza domenę firmową.

Administrator przekonał zarząd firmy do zakupu urządzenia FortiMail 60D, które zawiera w pakiecie roczne usługi: serwisowe FortiCare oraz FortiGuard Antispam i Antivirus. Firma jest gotowa na RODO.

RODO w praktyce – scenariusz #2
chronimy PESEL

W pewnej firmie branży finansowej dane o płacach oraz innego rodzaju dokumenty zawierające dane osobowe są przesyłane e-mailem pomiędzy działem księgowości i zarządem. Dane pracowników uczestniczące w tym procesie nie mogą trafić do żadnego innego adresata poza wymienionymi działami. Aby zapewnić taki przebieg informacji, wykorzystano funkcjonalność niedawno wdrożonego rozwiązania FortiMail. Grupa odbiorców z działów księgowości oraz zarządu, to jedyne dopuszczone adresy e-mail do komunikacji zawierającej numer Pesel, frazę: imię, nazwisko oraz dokumenty oznaczone przez system księgowy. Jeżeli  zostanie wprowadzony adres e-mail nie będący w tych grupach, wiadomość zawierająca określone informacje zostanie zatrzymana, a użytkownik poinformowany o zadziałaniu mechanizmu zapobiegania wyciekowi danych.

Powyższy scenariusz umożliwia techologia DLP (Data Leak Prevention) zastosowana m.in. w urządzeniach FortiMail-60D oraz FortiMail-200E.

RODO w praktyce – scenariusz #3
masowa wysyłka

W firmie produkującej oprogramowanie do obsługi biura została przyjęta nowa osoba. Przydzielono jej zadanie informowania klientów i firm współpracujących o zmianach w nowej wersji aplikacji. Mimo szkolenia osoba ta, zamiast użyć pola “Ukryte do Wiadomości” (BCC) dołączyła listę czterystu odbiorców w polu “Do wiadomości” (CC). Producent oprogramowania posiada w swojej infrastrukturze IT rozwiązanie FortiMail, którego mechanizmy wykryły, iż w wiadomości e-mail znajduje się więcej niż 5 odbiorców nie będących w domenie firmowej. Technologia DLP (Data Leak Prevention) obecna w FortiMail’u również tym razem nie zawiodła, bo system nie zezwolił na wysyłkę, informując o zadziałaniu mechanizmu. Urządzenie nie dopuściło do ujawnienia 400 adresów e-mail klientów, stanowiących zarówno chronione dane osobowe, jak też wartość firmy i nie spowodowało kompromitacji.

4 kroki do bezpieczeństwa

  1. Opracowanie procedur
  2. Wdrożenie i szkolenie
  3. Monitorowanie i raportowanie
  4. Ocena skuteczności i reagowanie

W czym pomoże FortiMail?

Bezpośrednio w punkcie 3 oraz pośrednio w punkcie 4.

Mechanizmy Data Leak Prevention dostępne we wszystkich urządzeniach FortiMail pozwalają na rozpoznawanie oznaczonych dokumentów, fraz i wyrazów kluczowych (np. Imię, Nazwisko, PESEL itp.). Możliwość zaaplikowania w posiadanym systemie, w którym przetwarzane są dane osobowe, ukrytego znacznika pozwala uzyskać widoczność w zakresie przemieszczania się dokumentów w strukturach informatycznych przedsiębiorstwa.Wykrywanie haseł w treści mail i załączników pomaga uchronić przedsiębiorstwo przed groźnym atakiem, zaszyfrowaniem danych lub w ujęciu normatywnym utratą poufności, integralności lub dostępności danych osobowych.

Monitorowanie wysyłanych wiadomości e-mail z kont użytkowników, poprzez zdefiniowaną politykę na urządzeniu, może uchronić przed nierzadko spotykanym błędem ludzkim skutkującym wyciekiem bazy e-mail kontaktów i klientów: zamiast BCC wysłane jako DW. Polityka zadziała również w przypadku korespondencji wysłanej z błędnie skonfigurowanego systemu CRM/ERP lub innego systemu automatyzacji korespondencji, chroniąc przed dotkliwymi konsekwencjami finansowymi.

Silniki Antispam i Antivirus zapewniają dwustronne bezpieczeństwo korespondencji (dla poczty przychodzącej i wychodzącej).  Dzięki temu korespondencja do wielu odbiorców zostanie przez silnik Antispam rozesłana tak aby nasza domena nie została uznana za SPAM przez inne serwery pocztowe. Dodatkowo jeżeli przypadkiem w naszej firmie użytkownik zdalny zostałby zarażony i rozpoczął rozsyłanie złośliwego oprogramowania do listy adresów e-mali z klienta poczty (na komputerze ofiary) to również tę, wysyłaną korespondencję silnik Antivirus na FortiMail wykryje i zablokuje, informując administratora.

Kluczowe wyróżniki rozwiązania:

  • Brak licencjonowania na ilość chronionych użytkowników, skrzynek pocztowych czy adresów e-mail.
  • Wymiarowanie tylko i wyłącznie w oparciu o wydajność oraz z góry znaną liczbę obiektów danego rodzaju (domeny).
  • Możliwość pracy w trybie Serwera – pełne administrowanie kontami użytkowników wewnątrz infrastruktury przedsiębiorstwa (nie trzeba podpisywać umowy powierzenia przetwarzania danych podmiotowi trzeciemu, u którego pocztę hostujemy bo wszystkie maile i dane przetwarzane są lokalnie).
  • Identity Based Encryption – wysyłanie bezpiecznej szyfrowanej poczty[1].
  • Synchronizacja kalendarzy z różnymi klientami poczty, w tym również mobilnymi,
  • Możliwość klastrowania urządzeń w celu zapewnienia wysokiej dostępności usługi.
  • Możliwość konfiguracji indywidualnych ustawień dla chronionych domen.
  • Wsparcie dla mechanizmów pojedynczego logowania (SSO).
  • Wszystkie wysokiej klasy funkcjonalności dostępne niezależnie od wielkości platformy (ta sama wersja OS), pozwalają komfortowo poruszać się pomiędzy różnymi modelami.
  • Własne silniki Antispam i Antivirus zasilane z FortiGuard.
  • Możliwość podłączenia do Sandbox klasy Enterprise w chmurze FortiCloud lub lokalnego urządzenia FortiSandbox[2].
  • Rozbudowane i zaawansowane funkcje Data Leak Prevention takie jak znaki wodne, zestawy predefiniowanych reguł wyszukiwania (np. numerów kart kredytowych), słowa kluczowe oraz wsparcie różnego rodzaju plików (od PDF poprzez pliki pakietów biurowych po pliki tekstowe). Mechanizmy wyszukiwania haseł w treści wiadomości w celu rozpakowania i analizy załącznika silnikami AntiVirus, Antispam czy Sandbox.
  • Różne tryby wdrożenia (Serwer, Gateway, Transparent).
  • Szyfrowanie komunikacji, nie tylko typu PULL, ale również PUSH.
  • Integracja z LDAP.
  • Wysoko oceniana skuteczność długoterminowa w testach niezależnych laboratoriów (m.in. Virus Bulletin[3], ICSA Labs[4])

[1] Np. w oparciu o słowo kluczowe w temacie wiadomości “szyfruj”, “[prywatne]”, jakiekolwiek zdefiniowane przez administratora.

[2] Rozwiązania FortiSandbox to wysokiej klasy, bardzo skuteczne rozwiązania rekomendowane przez NSS LABS https://www.fortinet.com/content/dam/fortinet/assets/certifications/NSS-Labs-2017-BDS-Test-Report-FortiSandbox-FortiClient.pdf

[3] Od 2016 roku 99% skuteczności w VBSpam Test https://www.virusbulletin.com/testing/results/recent/vbspam-email-security/fortinet-fortimail

[4] https://www.icsalabs.com/sites/default/files/FINAL_Fortinet_ATD_and_ATD-email_Cert_Testing_Report_20171002.pdf


Wybierz listę(y):