Poziom zabezpieczeń infrastruktury informatycznej a RODO

W czwartej części cyklu dotyczącego bezpieczeństwa przetwarzania danych osobowych zgodnie z tytułowym rozporządzeniem poruszymy wciąż cieszące się zainteresowaniem naszych czytelników praktyczne aspekty techniczne, które mogą mieć zastosowanie w salonie optycznym.

Wątek ten jest istotny ze względów nie tylko natury prawnej nałożone przez prawodawców obowiązki, ale także uwagi na samoistną ochronę informacji wrażliwych pacjentach, która jest jednym elementów szerszego spektrum, jaką jest obsługa klientów, samą ich świadomość, że informacje te są należycie gromadzone przechowywane przez pracowników salonu.

Trzeba bowiem zauważyć, że skład ogólnie rozumianych zabezpieczeń wchodzą również takie zagadnienia, jak systemy operacyjne antywirusowe czy konieczność dbania kopie zapasowe poszczególnych, posiadanych salonie materiałów danymi osobowymi.
Nie bez znaczenia jest także wiek sprzętu, zwłaszcza nośników danych. Właśnie tym będzie traktował niniejszy artykuł.

Co mówi RODO?

Na podstawie art. 25 ust. 1 RODO, wdrażając procedury oraz zabezpieczenia, administrator powinien uwzględniać „stan wiedzy technicznej, koszt tego wdrażania oraz charakter, zakres, kontekst cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych różnym prawdopodobieństwie wystąpienia wadze zagrożenia wynikające przetwarzania”. Użyte dalej wyrażenie „odpowiednie” podpowiada nam, że przepisy nie konkretyzują sposobów zabezpieczeń. Głównym kryterium jest więc spełnienie wymogów RODO ochrona praw osób, których dane dotyczą. Środki tej ochrony ustala podejmuje więc sam administrator.

Unijny prawodawca wskazuje, że należy wręcz zachęcać administratorów (tym przypadku salony optyczne) podmioty przetwarzające, aby chcąc dbać jak najwyższy poziom ochrony danych osobowych, stosować – poza domyślnymi – dodatkowe, uzupełniające zabezpieczenia.

Wiek sprzętu

Wymiana sprzętu komputerowego jest konieczna nie tylko ze względu na rosnące potrzeby związane wydajnością, ale głównie powodu ryzyka awarii, ze szczególnym wskazaniem na nośniki danych.

Najważniejszym elementem do rozpatrzenia odniesieniu do wieku sprzętu zapisów RODO są nośniki danych. Głównie chodzi tu nasze dyski twarde znajdujące się laptopach, komputerach czy serwerach. Zwróćmy uwagę, że obecnie mamy powszechnie do czynienia dwoma typami dysków twardych. Są to klasyczne dyski HDD albo nowoczesne dyski SSD. Pierwsze są tańsze pojemniejsze, ale wolniejsze bardziej podatne na awarie powodu elementów mechanicznych, które zawierają swojej konstrukcji (talerze, głowica, silnik). Drugie (SSD) są znacznie szybsze, nie ma nich podwyższonego ryzyka awarii mechanicznej, ale są za to droższe mniej pojemne.
Niezależnie od typu dyski podlegają zużyciu. Codziennie na dyskach zapisujemy odczytujemy wiele danych, ewentualna awaria tego elementu może wiązać się ich całkowitą lub częściową utratą, zależnie od tego, czy wykonywane były kopie zapasowe czy odzyskanie danych jest możliwe. Tu warto wspomnieć, że odzyskanie danych dysków SSD jest znacznie trudniejsze niż dysków HDD, często bywa niemożliwe. Dlatego przy tego rodzaju nowoczesnych dyskach kopie zapasowe ważnych danych są bardzo istotne.

Jaki zatem dysk będzie najlepszy?
Tu nie ma jednoznacznej odpowiedzi, ale można wskazać bezsprzecznie, jaki dysk jest zły. Takim dyskiem jest po prostu stary dysk.

Jakość sprzętu

Rozpatrując wymianę sprzętu, miejmy na uwadze, że różni się on jakościowo. Serwery są droższe od komputerów stacjonarnych, ale mają lepszej jakości podzespoły. Laptopy linii biznesowych mają lepsze obudowy, matryce, klawiatury, baterie niż sprzęt linii ekonomicznej. Jednym istotnych wskaźników dla jakości sprzętu komputerowego jest MTBF (Mean Time Between Failure), czyli typowy dla urządzenia statystyczny czas między awariami. Im wskaźnik ten jest wyższy, tym lepiej

Systemy operacyjne – czy jest jeszcze wsparcie techniczne

Brak wsparcia technicznego oznacza, że system powoli umiera. Coraz więcej nowych aplikacji na nim nie działa, luki zabezpieczeniach nie są łatane. Powoduje to, że taki system operacyjny staje się coraz mniej użyteczny, coraz bardziej niebezpieczny, więc podatny na ataki, wirusy itd.

Rozwój systemów operacyjnych widać na przykład odniesieniu do popularnego Windowsa. Premiera systemu Windows XP miała miejsce 25.10.2001 roku, systemu Windows 10 – 29.07.2015. Od czasu premiery Windows XP zaszły wręcz rewolucyjne zmiany. Wystarczy przytoczyć oczywiste fakty, jak bardzo poszerzyło się grono osób korzystających sieci internet oraz jak mocno zwiększył się obszar wykorzystywania internetu (bankowość handel elektroniczny, sieci społecznościowe, telewizja internetowa itd.). Wymagania stawiane Windows XP kwestii bezpieczeństwa czy choćby obsługi multimediów były diametralnie inne niż te stawiane Windows 10 dziś. Twórcy systemów operacyjnych są zmuszeni do ich rozwoju aktualizacji. Czasem aktualizacje już nie wystarczają kończy się cykl życia produktu, tym samym jego wsparcie techniczne. Jeżeli dbamy nasze bezpieczeństwo, to niezależnie od tego, jakiego systemu używamy (Windows, Linux, MacOS lub inny), powinniśmy używać tylko tych wersji, które mają wsparcie techniczne.

Pamiętajmy, że nowsze systemy, oprócz tego, że są ładniejsze, stabilniejsze, bezpieczniejsze, to mają wyższe wymagania sprzętowe – potrzebują szybszych procesorów, dysków, większej ilości pamięci itd.

Na przykład min. wymagnia dla Windows XP: https://answers.microsoft.com/pl-pl/windows/forum/windows_xp-windows_install/jakie-s%C4%85-wymagania-do-uruchomienia-systemu/c8be6704-62e7-4840-a470-1b2273e3f1ac

Dla Windows 10: https://www.microsoft.com/pl-pl/windows/windows-10-specifications

Przy okazji audytu sprzętu należy przyjrzeć się używanym systemom operacyjnym pod kątem wsparcia technicznego. sytuacji, gdy sprzęt wymaga wymiany systemu operacyjnego wraz modernizacją podzespołów, często bardziej opłaca się wymienić się go na nowy lub poleasingowy.

Systemy antywirusowe, zapory ogniowe

Nie tylko systemy operacyjne wymagają aktualizacji. Każdy, kto dba bezpieczeństwo danych oraz swoją prywatność sieci, powinien używać systemów antywirusowych zapór ogniowych. Aplikacje tego typu chronią nas przed: atakami zewnątrz, kradzieżą danych, utratą danych wieloma innymi zagrożeniami czyhającymi na nas sieci internet. Producenci tego typu oprogramowania cały czas przyglądają się nowym zagrożeniom, które pojawiają się sieci aktualizują je tak, aby ich oprogramowanie zareagowało odpowiednio na te zagrożenia. Brak aktualnych systemów antywirusowych zapór ogniowych naraża nas na wspomniane zagrożenia. Warto zapoznać się choćby przykładowym raportem przygotowanym przez organizację Cyfrowa Polska, by choć trochę uświadomić sobie skalę tego typu zagrożeń:

https://cyfrowapolska.org/wp-content/uploads/2019/01/Raport_cyberbezpiecze%C5%84stwo_2019.pdf

Marcin Majchrzak 
Włąsciciel i dyrektor zarządzający Kancelarii Prawnej LexForm. Zajmuje się szeroko pojetą pomocą prawną dla osób indywidualnych oraz przedsiebiorców, zwłaszcza w zakresie prawa medycznego i wyznaniowego, czy ochrony danych osobowych.

Polecamy