Технічний GDPR: 5 цікавих аспектів

GDPR (General Data Protection Regulation) – регламент, що націлений на посилення та уніфікацію захисту особистої інформації на території Європейського Союзу. Формально дія регламенту обмежена територією ЄС, однак, фактично, його вплив виходить далеко за межі союзу. Кожна компанія, що обробляє особисту інформацію користувачів потенційно знаходиться під дією регламенту. Це обумовлено відсутністю територіальних кордонів чи обмежень для користувачів Інтернету. Тобто через Інтернет можливо використовувати веб-ресурси, додатки та сервіси в будь-якому куточку світу.  

 

За положеннями GDPR обробник особистої інформації не з країни ЄС буде підпадати під дію регламенту у разі моніторингу поведінки особи, що знаходиться на території ЄС. Наприклад додаток Американської компанії для калькуляції калорійності їжі буде підпадати під дію GDPR, коли його завантажить особа з ЄС та надасть свої дані під час реєстрації. 

 

На жаль останні роки неналежне зберігання, втрата, торгівля, необмежене використання/зловживання особистою інформацією та хакерські атаки відбуваються все частіше, а шляхи неправомірного використання таких даних примножуються кожного року. Для виправлення ситуації необхідно змінити не тільки вимоги до обробників інформації, але і саму культуру поводження з персональними даними. 

 

Окрім GDPR позитивна динаміка, щодо питань захисту персональних даних, реєструється по всьому світу. Велика кількість країн займаються активною розробкою та модернізацією власних нормативних актів з інформаційної безпеки та захисту особистої інформації. Метою світової спільноти є створення єдиного та безпечного інформаційного простору, де кожна особа має повний доступ та контроль над своєю особистою інформацією.

 

GDPR закріплює основоположні принципи обробки, збору та зберігання інформації, а також задає напрямок для подальшого розвитку інформаційної безпеки. У регламенті відсутні згадки конкретних технологій, організаційних заходів та алгоритмів чи інструкцій для обробників персональних даних. Тому процес приведення внутрішніх процесів компанії у належний стан – непростий квест.  З іншого боку, цей підхід задає орієнтири для розвитку та підсилення інформаційної безпеки незалежно від актуального рівня розвитку ІТ технологій. Такий регламент є більш стабільним та може довгий час залишатись актуальним без потреби у постійних уточненнях, виправленнях та нових положеннях.

 

Інформаційна безпека досягається за рахунок ефективного пошуку та ліквідації слабких місць у процесі обробки та зберігання даних. Алгоритм обробки даних є індивідуальним та відрізняється від компанії до компанії. Існує безліч чинників, що впливають на формування процесів обробки інформації у компані. Тому, на жаль, не можливо створити універсальний рецепт, який ідеально підійде для всіх випадків.

 

Кожна компанія має унікальну модель менеджменту, методи взаємодії з працівниками та клієнтами, політику взаємодії з аутсорс спеціалістами, потреби у збереженні, передачі та обробки даних. Система інформаційної безпеки має відбивати всі ці особливості, а упущені “тріщини” у захисті чи легковажне ставлення можуть призвести до неприємних наслідків.

 

Система інформаційної безпеки охоплює  технічний, соціальний та організаційний аспект. Тому неправильно розглядати її як перелік програм, обладнання та алгоритмів шифрування. 

 

5 цікавих аспектів технічної сторони GDPR. 

 

 1) Особиста інформація як одиниці на нулі. 

Персональні дані – це інформація про фізичну особу, що дозволяє прямо її ідентифікувати, при зіставленні декількох фактів чи за допомогою додаткових джерел. Назва школи, зріст, улюблений ресторан, модель телефону та ім’я домашньої тварини – поодиноко не ідентифікують особу, однак у сукупності цих фактів результат може вас здивувати. Тому забезпечення безпеки всієї інформації, що стосується особи та її поведінки, є важливим та вимагається GDPR.   

 

Кожна особа в Інтернеті, постійно залишає цілу купу слідів у вигляді особистої інформації. Соціальні мережі, пошукові системи, інтернет-магазини, мобільні застосунки, форуми та інших інтернет-ресурси постійно збирають дані своїх користувачів. Наприклад, для пошукових систем особиста інформація користувачів – основне джерело їх доходу.  На кожного зареєстрованого користувача існує файл з даними про улюблені жанри у кіно, ресторани, рівень освіти, вік, професію, улюблену спортивну команду та популярні запити в інтернеті. Потім рекламні пропозиції формують відповідно до цього файлу та адаптують до актуальних запитів та інтересів особи. 

 

Сучасний арсенал джерел особистої інформації налічує тисячі пристроїв та технологій.

Розглянемо декілька з них:

 

  • Інтернет-трафік – рух інформації в Інтернеті відбувається невеликими групками одиниць та нулів що називаються пакетами даних.  Окрім змістовної частини кожен пакет містить у собі службові дані про джерело походження, точку призначення, контрольну суму та інші дані для коректної передачі інформації. Службові дані пакету також можливо вважати особистою інформацією, наприклад ІР адреса походження. 
  • Моніторинг  веб-сайтів – сучасні веб-сайти відстежують майже всі дії користувачів на сторінці, включаючи рух курсора та швидкість перегляду сторінки.  Таким чином відбувається моніторинг не тільки вибору, а і загалом поведінки особи. Зазвичай анонімні дані завантажують в єдину статистику  та використовують для оптимізації самого сайту та контенту, однак сама технологія цим не обмежується.
  • Cross-Device – дуже зручно, коли можливо перенести перегляд відео чи прогрес у відеогрі з одного пристрою на інший. Проте з точки зору особистих даних сервіс формує мапу ваших пристроїв та відстежує особу через взаємодію між ними. 
  • Операційні системи – можуть відстежувати дії користувачів та ділитись інформацією з розробником. Подібний зв’язок потрібен для покращення системи та пошук помилок у коді, однак повідомлення можуть також містити додаткові відомості про пристрій та систему, які можливо віднести до особистої інформації.
  • Геолокація – деякі сервіси та додатки створені для визначення місця знаходження користувачів. Користувач отримає значну перевагу від таких сервісів у повсякденному житті, однак деякі додатки збирають таку інформацію у фоновому режимі та без належного інформування власника пристрою.  
  • Відеозапис та фотографування –  навколо цих функцій мобільних пристроїв існує ціла категорія додатків, товарів та сервісів. Деякі додатки використовують хмарні технології для обробки та покращення зображення, тобто файл певний час залишається на обладнанні компанії розробника. 
  • Мікрофони – сучасні мобільні пристрої та смарт-колонки постійно слухають оточення та чекають на голосові команди власника. На жаль потужності таких пристроїв ще не достатньо для повноцінного розпізнавання мовних команд без використання хмарного обчислення. Навіть у пасивному режимі може здійснюватись обмін даними з сервером для визначення ключових фраз.
  • Смарт-будинок – сучасні системи розумного будинку поєднують у собі велику кількість різних сенсорів та пристроїв. Сигналізація, відеоспостереження, датчики затоплення та вогню, смарт-розетки та роботи-пилососи отримують велику кількість інформації з оточення навіть поодинці. Завдяки гаджетам, що поєднані у єдину систему, будинок може відстежувати буквально кожен крок мешканців оселі. 

 

Перелік джерел особистої інформації постійно розширюється. Більшість з них може отримувати обсяг інформації, що перевищує необхідний для виконання своїх функцій. Тут ми доторкнулись до принципу мінімально необхідного обʼєму інформації.  Головна ідея полягає у тому, що якщо джерело особистої інформації здатно надавати більше даних ніж потрібно для надання послуги, то компанія має чітко розмежувати яка інформація є важливою, а що необхідно “відсіяти”. Така інформація має бути видалена та не може бути використана за будь-яким призначенням.



2) Критична інформація та контроль ризиків.

Для правильної організації  внутрішньої інформаційної безпеки, стійкості від зовнішніх атак та розробки дієвих алгоритмів обробки та зберігання даних необхідно чітко розуміти пріоритетні напрямки. Одними з принципів GDPR є достатність та відповідність. Тобто рівень захисту інформації має відповідати її змісту та відштовхуватись від ризиків, що з нею пов’язані. 

 

Визначення степеню ризику завжди мало багато методик та точок зору. Проте у спрощеному вигляді можливо вивести формулу:

ризик = вірогідність негативної події Х негативні наслідки від події.

В результаті не буде цифрового значення, але можна позначити ступінь, як високий, середній та низький. Наприклад, на платіжну інформацію є висока ймовірність цілеспрямованих посягань. Протиправне заволодіння платіжною інформацією особи може призвести до фінансових втрат клієнтів. Відповідно обробка та зберігання такої інформації буде з підвищеним ризиком.  
Інший приклад, дані температурного датчика кімнати. Такі дані не несуть користі для третіх осіб, а відповідно і вірогідність посягання невелика.  Втрата або розкриття не призведе до негативних наслідків окрім репутаційних втрат. В результаті така інформація буде з низьким рівнем ризику.

Розширені моделі передбачають наявність таких елементів як:
✓ вірогідність загрози,
✓ потенційні вразливості,
✓ потенційні негативні події,
✓ризики\ негативні наслідки та
✓відповідь на негативні наслідки. 

 

Незалежно від методики визначення  результат допоможе встановити пріоритетні напрямки інформаційної безпеки. Звернувши увагу даним з високим ризиком компанія зможе значно знизити наслідки негативних подій та підвищити рівень інформаційної безпеки. 

 

Контроль ризиків має здійснюватись постійно та оновлюватись кожного разу, коли відбуваються зміни у структурі компанії, виходять нові продукти, використовується нове програмне забезпечення, проходить модернізацію обладнання, а також ураховуючи світові події. Окрім знаходження критичних для компанії категорій даних контроль ризиків використовується під час розробки алгоритмів для попередження та усунення негативних наслідків.  

 

Сценарії на випадок хакерської атаки передбачають чіткі кроки, яких має дотримуватись працівник компанії. Він охоплює кроки по визначенню атаки, зупиненню вторгнення та унеможливлення повторної атаки. Сценарій передбачає, що втручання відбувається або вже відбулось. 

 

Сценарій на випадок втрати чи витоку даних реалізується після події та охоплює дії для ліквідації наслідків. В цьому випадку може йтись про визначення уражених\втрачених файлів, відновлення інформації, сповіщення користувачів та уповноважених органів щодо події та її наслідків. 

 

Сценарій на випадок крадіжки обладнання з важливою інформацією має дві частини. Перша виконується превентивно та передбачає налаштування протоколів шифрування, обмеження доступу, дистанційного контролю пристрою та повне видалення змісту з носіїв в разі не проходження авторизації. Друга – полягає у пошуку пристрою та відновленні даних з пристрою. 



3) Де та як зберігається інформація.

Безпека даних – ключовий показник будь-якого ІТ бізнесу. Коли користувачі довіряють свої особисті дані, вони розраховують на цілісність, недоторканність та анонімність. У свою чергу, обробник інформації має забезпечити ці умови та необмежений у технічних чи організаційних рішеннях. В залежності від обставин та завдання системи обробки та зберігання інформації можуть бути забезпечені самою компанією або третіми особами. 

 

Дата-центри надають послуги з оренди серверного обладнання з готовою інфраструктурою. Варіацій на тему договірних відносин з дата-центрами багато. Наведемо базові з них.

 

Обчислювальна потужність як послуга – користувач використовує ресурси дата-центру, та платить в залежності від навантаження. Дата-центр буде самостійно визначати як та на якому конкретно обладнані здійснюється обчислення. Компанія не буде контролювати усі процеси в тому числі зі зберігання інформації, та буде розраховувати на дотримання усіх технічних вимог.  

 

Оренда обладнання дата-центру – оренда серверу з готовою конфігурацією. Мається на увазі повноцінний фізичний сервер, що працює на основі інфраструктури дата-центру. За цією моделлю відносин дата-центр займається обслуговуванням обладнання та забезпечує працездатність інфраструктури. Всі внутрішні процеси та конфігурація знаходиться під контролем клієнта.  

 

Оренда місця у дата-центрі – полягає в доступі до інфраструктури, однак не охоплює обладнання. Клієнт самостійно формує, встановлює та має необмежені можливості у  роботі з обладнанням. Підхід є більш вигідним для тривалих та важких завдань, однак може виникнути потреба в фізичній присутності.

 

З точки зору інформаційної безпеки наявність третіх осіб завжди ускладнює схему руху та обробки інформації. Сторони мають попередньо домовитись про порядок дій у випадку несвоєчасної оплати або переходу до іншого дата-центру. Дані, хоча і в зашифрованому вигляді, будуть знаходитись на носіях до яких у клієнта не буде доступу. Видалення та передача цієї інформації має бути чітко регламентована.

 

Самостійне розгортання та обслуговування системи зазвичай націлене на використання у середині компанії чи без публічного доступу. Внутрішні сервери компанії так само можуть містити особисту інформацію клієнтів. Тому правильна організація процесу зберігання інформації є дуже важливою. 

 

Вся інформація зберігається на фізичних носіях. Спогади знаходяться у мозку, малюнок на аркуші паперу, а одиниці та нулі на жорстких дисках. Кожен носій має свої недоліки та обмеження. Електронні носії, як і будь-яка техніка може бути бракованою чи отримати ушкодження. Тому обробник інформації повинен забезпечити умови, що дозволяють зберегти дані у разі непередбачуваних обставин. Наведемо декілька типових рекомендацій з цього приладу.

 

✓ Обладнання для комерційного використання дозволяє дублювати важливі системні модулі та забезпечити безперебійну роботу навіть у разі виходу з ладу одного з модулів.

✓ Регулярне резервне копіювання є обов’язковим для чутливих та критичних даних. 

✓ Носій з резервною копією бажано зберігати окремо від основної системи. Таким чином у разі ураження файлів або виходу з ладу основної системи дані не будуть втрачені повністю, а відновлення потребуватиме мінімальних зусиль. 

✓ Використання дискових масивів для зниження вірогідності критичної несправності. Технологія дозволяє розподіляти інформацію поміж певної кількості фізичних носіїв таким чином, що у разі виходу одного або декількох з ладу система продовжить функціонувати без впливу на якість чи обсяг інформації.

✓ Шифрування дозволяє запобігти витоку інформації у разі переміщення фізичного накопичувача, а також зробить неможливим розкриття даних неавторизованим особам. 

✓ Шифрування дозволяє відновити первинний вигляд інформації за допомогою спеціального ключа. Резервний ключ має зберігатись у безпечному місці.

✓ Фізичні носії інформації мають бути захищені від зовнішнього впливу. Бажано розміщувати обладнання та шафи у приміщеннях чи будівлях з максимально обмеженим доступом та контрольованою середою.

 

З метою забезпечення належних умов обробки інформації взаємодія з даними у її первинному вигляді має бути обмеженою, а в ідеалі повністю неможливою навіть для працівників компанії. Для цього дані користувачів розділяють на різні категорії. Доступ до критичних даних має бути обмежений, а інформація зашифрована. Відносно менш важливих даних працівники компанії можуть мати доступ в обсязі необхідному для виконання трудових обов’язків. На цьому етапі на перший план виходить псевдоанонімізація. Цей процес маскує інформацію таким чином, що ідентифікувати конкретну особу на основі даних стає неможливо. Наприклад, працівник служби підтримки отримав запит від клієнта. Він бачить у базі даних тільки ім’я та  ID номер клієнта.  Коли оператор відповідає, то система автоматично зіставляє ID та номер телефону чи електронну пошту. Таким чином оператор виконує свою роботу з мінімумом даних про самого клієнта.




4) Кваліфікована людина – сімдесят відсотків інформаційної безпеки.  

Кваліфікація кожного окремого працівника важлива для інформаційної безпеки компанії. Коли у зловмисників на меті отримати дані компанії, а технічної можливості для зовнішньої атаки немає, то вони можуть прибігти до альтернативних методів. Деякі з цих методів націлені на людину, як на слабке місце. Людський мозок значно перевершує усі сучасні комп’ютери, однак при цьому існує значно більше шляхів ввести його в оману. 

 

Соціальна інженерія –  комплекс методик та механізмів націлених на отримання доступу за допомогою маніпуляцій з особою, що такий доступ має. Один з типових сценаріїв, це коли працівнику компанії на електронну пошту приходить лист. Повідомлення містить символіку компанії, адресу відправлення подібну до справжнього та наприкінці підпис ім’я та фото начальника відділу. У змістовній частині повідомляється, що нещодавно стався витік службової інформації, зловмисники отримали паролі від службових облікових записів компанії. Тому всі працівники повинні перейти за посиланням, у кінці листа та слідувати вказівкам на відкритому веб-ресурсі. Відкрита сторінка копіює дизайн оригінальної та просить ввести пошту\логін, старий пароль та вигадати новий. В результаті зловмисник отримує ці дані та тепер має все необхідне для входу в обліковий запис. 

 

Маніпуляції не обмежуються електронною поштою. Зловмисники можуть використовувати телефонні розмови, повідомлення у месенджерах чи самостійно приходити до офісу компанії. Підготувати працівників до всіх можливих сценаріїв майже неможливо, однак можливо розробити чіткі алгоритми дій та попередження. 

 

Окрім розробки сценаріїв з протидії кібератакам не менш важливим є їх доведення до кожного працівника. Компанія має визначити коло відповідальних осіб, що будуть організовувати навчання працівників та керувати заходами з протидії загрозам інформаційній безпеці.  Компанії часто розміщують інформацію про  своє керівництво у відкритих джерелах та засобах масової інформації, а зловмисники, у свою чергу, будуть активно використовувати все що зможуть отримати. 

 

Технічні засоби попередження полягають  в ускладненні механізмів авторизації та доступу до внутрішньої інформації компанії. Такі функції, як двофакторна авторизація дозволяють значно знизити вірогідність входу у систему третіми особами. Наприклад, це може бути унікальний одноразовий код з випадкових символів, що відправляється особі. Таким чином навіть коли логін та пароль стали відомі зловмиснику вхід буде неможливий без другого фактору.

 

5) Інтерфейс відбиває рівень інформаційної безпеки.  

Інформаційні технології вже давно пройшли етап, коли єдиним шляхом взаємодіяти з комп’ютером був термінал з текстовими командами та відповідям. Сьогодні існує безліч способів отримати інформацію у вигляді тексту, звуку, графіки або навіть тактильно. Подібне різноманіття дозволяє використовувати елементи дизайну не тільки для зв’язку з користувачем, а і для  маніпуляцій. Найбільш популярними у цьому сенсі є запити на використання cookie-файлів.

 

Перш ніж збирати інформацію обробник має отримати від користувача згоду. Інформація про політику особистих даних, що доводиться до користувачів займає чималий об’єм, а ознайомлення з нею нецікаво, особливо під час швидкого перегляду веб-сторінок. Компанії мають отримати дозвіл користувача, для легального використання їх даних у власних цілях, а це не так просто. Тому почали набирати популярність хитрощі та практики, що не порушують норми регламенту, однак є суперечливими. 

 

Різноманітні банери та сповіщення типовий інструмент для отримання згоди. Хитрощі полягають у способі зображення та їх положення. Один з найпростіших прикладів, це коли контент з веб-ресурсу не демонструється доки згода не буде отримана. Користувач опиняється у ситуації, коли ресурс не несе користі доки не надана згода. Це в певному ступені є примушенням користувача. 

 

Зазвичай користувачі скептично ставляться до розповсюдження інформації третім особам. Тому веб-ресурси намагаються максимально приховати згадки про це. У банері може буде зазначена тільки позитивна відповідь або інформація про третіх осіб, на перший погляд, буде відсутня. Цікавим прикладом будуть банери, що відсилають у кінець сторінки для перегляду політики сайту, а потім блокують собою самі посилання до документа.

 

Позитивна практика в оформленні інтерфейсу: 

 

✓ Базові положення політики з обробки інформації мають бути доведені до користувача перед збором особистих даних.

✓ Користувач повинен мати доступ до повної інформації стосовно використання його особистих даних. 

✓ Банер з запитом на обробку інформації має бути помітним, а текст однозначним та зрозумілим. 

✓ Банер має містити посилання на необхідну юридичну документацію.

✓ Запит на обробку особистої інформації не повинен перешкоджати перегляду контенту чи перекривати інтерфейс інтернет-ресурсу. 

✓ Дозвіл на обробку особистої інформації має бути зображений графічним елементом, який потребує навмисної дії вираження згоди.

✓ Користувач повинен мати легкий та зрозумілий механізм відкликання згоди. 



    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)