Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Shadow IT jako ryzyko dla ochrony danych osobowych

12-05-2021 Autor: Tomasz Cygan

Ograniczanie shadow IT wyłącznie do nieinstalowania nieautoryzowanego oprogramowania na urządzeniach z dostępem do sieci firmowej nie oddaje wielowymiarowego charakteru tego zjawiska. Shadow IT w rozmaitych postaciach jest codziennością wielu organizacji. Wykrycie go zależy często wyłącznie od przyjętych granic dla niepożądanych zachowań użytkowników.

 

Spółka matka z siedzibą poza granicami Polski arbitralnie wyłączyła możliwość przesyłania dokumentów w formacie innym niż pdf jako załączników w wiadomościach elektronicznych. Wszystkie załączniki w formacie innym niż pdf były usuwane z korespondencji. Jako przyczynę podano dużą częstotliwość złośliwego oprogramowania przesyłanego w załącznikach innych niż pdf (w szczególności w edytorze tekstu Word). W polskim oddziale spółki nigdy nie zdarzyło się infekowanie systemu czy komputera złośliwym oprogramowaniem pochodzącym z załącznika w e-mailu. Takie rozwiązanie przysporzyło trudności choćby w zakresie korespondencji zawierającej kolejne wersje umów oraz jakiekolwiek załączniki wymagające edycji. Jak się okazało, polski oddział spółki (nie chwaląc się tym przed zagraniczną centralą) zaczął używać dawno niewykorzystywanego drugiego systemu pocztowego w innej domenie, ale obsługującego załączniki we wszystkich formatach. Ten drugi system był obsługiwany na tych samych komputerach i w tej samej sieci firmowej, co ten z wyłączoną możliwością przesyłania załączników w większości dostępnych formatów. Nawet pobieżna refleksja nad tym rozwiązaniem wskazuje na jego małą użyteczność i tworzenie raczej pozorów bezpieczeństwa niż rzeczywistego bezpieczeństwa.

Opisana historia wskazuje jednak na dodatkowy aspekt shadow IT – używanie narzędzi IT „za plecami” informatyków z centrali spółki, którzy żyją w błogim przekonaniu o rozwiązaniu problemu złośliwych załączników. Jednocześnie historia pokazuje często bezrefleksyjny automatyzm, który polega na arbitralnym wyłączeniu określonej funkcjonalności. W tym przypadku doprowadziło to do korzystania z alternatywnego systemu pocztowego obsługiwanego na tych samych urządzeniach, na których działa system pocztowy „zabezpieczony” przez zagraniczną centralę.

 

Shadow IT – zakres pojęciowy

W pojęciu shadow IT mieści się zarówno wdrożenie rozwiązań technicznych uniemożliwiających jakąkolwiek aktywność użytkownika w obszarze instalacji, jak i wykorzystanie nieautoryzowanych przez pracodawcę (dział IT) rozwiązań informatycznych. W praktyce w wąskim wydaniu ogranicza się ono do wyłączenia możliwości instalowania oprogramowania bądź korzystania z określonych zasobów internetu (stron WWW, ale też np. prywatnej poczty). W szerokim ujęciu może także obejmować zakaz korzystania z nieautoryzowanych nośników informacji, innych urządzeń oraz usług takich jak chmury obliczeniowe.

Zagadnienie można jeszcze poszerzyć o dopuszczalność wykorzystywania zasobów firmowych w celach prywatnych, choćby w zakresie korzystania ze służbowej poczty elektronicznej w celu załatwiania spraw prywatnych (np. portale pacjenta, elektroniczne dzienniki lekcyjne, prywatne sprawy bankowe lub ubezpieczeniowe), konfigurowania prywatnej poczty elektronicznej w służbowym programie pocztowym oraz służbowej poczty elektronicznej na sprzęcie prywatnym, a nawet o czasem spotykane próby wykonywania przez użytkowników nieautoryzowanych (swoich własnych) kopii zapasowych. Dodatkowo należy pamiętać o elementach shadow IT wiążących się z pracą zdalną. W takim przypadku należy pamiętać, że konsekwencją może być powstanie ryzyka związanego z:

  • licencjonowaniem zainstalowanego oprogramowania i jego aktualizacją;
  • ochroną zapisanych i przetwarzanych na urządzeniach informacji w przypadku utraty sprzętu;
  • ochroną zapisanych i przetwarzanych na urządzeniach informacji w przypadku utraty zgromadzonych na noś­nikach danych;
  • ochroną zapisanych i przetwarzanych na urządzeniach informacji w przypadku rozwiązania umowy o pracę.


Zakres pojęcia shadow IT można dodatkowo poszerzyć o zdarzenia związane z nieautoryzowanym korzystaniem z innych zasobów organizacji. Analizując to zagadnienie, warto wskazać na popularne zachowania zmierzające do nieautoryzowanego obejścia kontroli dostępu opartej na kartach dostępu, w szczególności znanych z bezpieczeństwa lotnisk jako: piggybacking oraz tailgating. Piggybacking (polski odpowiednik to „na barana”) polega na wpuszczaniu kolejnych osób bez autoryzacji przy użyciu karty dostępu lub kodu dostępu przez pierwszą osobę, która takiej autoryzacji dokonała, a potem (najczęściej z grzeczności) przytrzymała drzwi, umożliwiając wejście kolejnym osobom. Na marginesie należy zauważyć, że może oznaczać także pracę na cudzym loginie lub przekazanie osobie nieupoważnionej karty lub kodu dostępu. Tailgating jest zjawiskiem bardzo podobnym. Polega ono na takim samym wejściu do strefy chronionej jak w przypadku piggybackingu, z tym że odbywa się bez zgody osoby posiadającej kartę dostępu lub znającej stosowny kod (niejako „na jej ogonie”).

Na podstawie opisanych zjawisk należy postawić pytanie, czym jest shadow IT i czy zasadne jest jego uwzględnianie w systemie ochrony danych osobowych. W pierwszej kolejności należy jednak wskazać na aktywa, których może dotyczyć shadow IT. Biorąc pod uwagę, że jego zakresem można objąć każdą nieautoryzowaną aktywność związaną z instalacją oprogramowania lub korzystaniem z usług, systemów, sieci lub urządzeń IT, to także wśród nich można poszukiwać aktywów, na które może mieć wpływ shadow IT.

Wydaje się bezdyskusyjne, że zagadnienie shadow IT wiąże się ze wszelkimi urządzeniami oraz wykorzystywanym oprogramowaniem. Używając języka IT, można wręcz napisać, że zjawisko shadow IT w organizacji powinno się odnosić do hardware’u, software’u oraz firmware’u. Nie wyczerpuje to jednak elementów, na które shadow IT może mieć wpływ. Może on obejmować także informacje, w tym dane osobowe, które organizacja przetwarza. Innymi słowy, jeśli przyjąć, że występowanie w organizacji zjawiska shadow IT stanowi dla niej zagrożenie, może ono wpływać na działanie urządzeń, systemów i sieci, korzystanie z usług, ale także na operacje wykonywane na danych osobowych. Z kolei z perspektywy definicji naruszenia ochrony danych osobowych zawartej w art. 4 pkt 12 rodo określającej je jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem przesyłanych, przechowywanych lub w inny sposób przetwarzanych danych” znaczenie mają konsekwencje korzystania z shadow IT w organizacji traktowanego jako naruszenie bezpieczeństwa. Jeśli prowadzi ono do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, dochodzi do naruszenia ochrony danych osobowych.

 

[...]

 

Autor jest adwokatem, IOD, wykładowcą, publicystą, audytorem wewnętrznym normy PN–ISO/IEC 27001:2014–12.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.