GDPR neboli nařízení o ochraně osobních údajů, plným názvem Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016, je již v plném běhu a již jsou v rámci EU zjištěny úniky dat, a tak padly i první pokuty. Také v některých zemích mimo EU již přistupují k různým variantám podobným tomuto nařízení.
Všechny organizace si již musely uvědomit, že je potřeba chránit veškeré osobní údaje, které jim byly poskytnuty. Pokud tak neučiní, mohou dostat velké pokuty. A podle obecného nařízení o ochraně údajů (GDPR) může úřad komisaře pro informace (ICO) pokutovat organizace až 4 % z celosvětového obratu za jakékoli porušení osobních údajů. Kromě toho může porušení tohoto nařízení způsobit poškození dobré pověsti dané firmy a způsobit i velkou škodu uživatelům, jejichž data unikla, byla odcizena, nebo ztracena. Ti pak samozřejmě danou firmu mohou žalovat, což jen zvýší její náklady a opět poškodí i pověst. V Americe na konci loňského roku již dokonce jedna velká společnost musela propustit těsně před Vánoci 2019 většinu svých zaměstnanců, jelikož ztráta osobních údajů byla tak závažná, že to v podstatě znamená konec její činnosti.
Zatímco počítačový průmysl umožnil sofistikované zpracování osobních údajů, usnadnil také jeho ztrátu. Firemní IT systémy a sítě mají zavedena všechna opatření k minimalizaci rizika narušení dat, ale je to o něčem jiném, když jsou třeba tato data fyzicky v pohybu na přenosných SSD/HDD discích nebo jiných typech zařízení. Kolikrát jste už slyšeli, že někdo ztratil, nebo mu byl ukraden mobilní telefon, notebook, USB klíč, přenosný pevný disk nebo optický disk?
Píše se tedy rok 2014 a již tehdy zveřejnil britský Úřad pro ochranu informací (Information Commissioner’s Office, zkráceně ICO) informace, ve kterých kladl důraz na to, jak je důležité, aby některé cílové skupiny, které pracují s velmi citlivými osobními údaji, jako jsou třeba lékaři, politici, vysocí státní úředníci nebo právníci měli tyto data opravdu dobře zabezpečené proti případným únikům dat, jelikož dochází velmi často k odcizení těchto dat právě v těchto oblastech.
Tento úřad kladl důraz právě na „data v pohybu“ na různých úložných zařízeních, jako jsou třeba přenosné USB paměti nebo disky a doporučil, aby ukládání osobních a citlivých informací bylo přenášeno výhradně na zašifrovaných úložištích. A tak vydal jednoznačnou informaci v podstatě pro všechny firmy i státní úřady.
„Pokud je to jenom možné, přenášejte citlivé údaje výhradně na šifrovaných uložištích, nejenom pro případ krádeže, ale také jednoduše pro možnost ztráty těchto zařízení.“
V letech 2015 a 2016 bylo na tento úřad nahlášeno 2029 úniků dat z oblasti právnických osob a z celkového počtu 2029 bylo 4% těchto úniků označeny jak případy úniků dat, která byla na přenosných zařízeních a nebyla šifrována. To se psal rok 2015-2016. I když jsme o pár let dále, stále situace není o mnoho lepší. Úniky jsou čím dál tím častější a z pohledu EU se situace s krádežemi dat ani v následujících letech lepšit nebude.
Jako vždy v případech kontroly kybernetické bezpečnosti, je právě člověk tím hlavním slabým článkem v řetězu bezpečnostních procesů a nařízení. Je to právě člověk, kdo zná přihlašovací údaje a hesla a pokud ho někdo přesvědčí k jejich sdílení, usnadní tak práci jakémukoliv zločinci.
Každý, kdo se podílí na sdílení citlivých údajů, musí být informován o rizicích, kterým čelí, a jak se jim vyhnout, a organizace pravděpodobně potřebují zavést přísnější podmínky pro to, kdo k nim má mít přístup. Pokud jde o citlivá data, personál musí vědět, že konkrétní data musí být šifrována, nebo aby byl život jednodušší, musí akceptovat, že je šifrováno celé mobilní úložiště. Jednou z nevýhod rozvoje rychlosti a kapacity disků, která hraje do ruky dnešním zlodějům dat, jsou také již velmi zajímavé ceny velkých a rychlých disků na trhu.
Například společnost Verbatim vyvíjí a nabízí širokou škálu přenosných úložných zařízení, která jsou chráněna podle jejích zástupců aktuálně neprolomitelným 256bitovým šifrovacím systémem AES. Zařízení, ať už jsou to SSD, USB disky nebo HDD, jsou chráněna klávesnicemi, rozpoznávači otisků prstů nebo běžným zadáváním počítačových hesel. Pokud k heslům (nebo prstům) nemohou přistupovat nesprávní lidé, uložená data jsou zabezpečená.