Jesmo li znali da je tema iz naslova zapravo obveza prema članku 32.GDPR-a?
Što to zapravo znači?
Zamislimo situaciju u kakvoj se sada nalazi autor ovog posta pakirajući se na poslovni put na jedan hrvatski otok radi revizije GDPR usklađenosti gdje će to raditi nekoliko dana.
Istovremeno je autor ovog posta u ulozi Službenika za zaštitu podataka za 36 organizacija u Hrvatskoj i vodi desetak projekata usklađivanja s GDPR obvezama.
Može li si on dopustiti da i jedan dan, jedno prijepodne, ne bude dostupan svojim organizacijama?
Može li si dopustiti da mu zbog kvara pametnog telefona njegove organizacije ostanu odsječene u možda kritičnim trenucima povrede podataka ili nekih sigurnosnih incidenata?
Naravno da ne može.
Što čini autor ovog posta? Uzima si rezervni pametni telefon za slučaj da mu se glavni, iako friško kupljen, iz bilo kojeg razloga pokvari. I rezervne SIM kartice za slučaj da mu netko ukrade pametni telefon. Mnogi mu se smiju, prirodno.
Prilikom revizije usklađenosti organizacije autor će koristiti određenu dokumentaciju koju je pripremio.
Dokumentaciju nosi na laptopu. Laptop može biti ukraden ili oštećen na putu ili jednostavno prestati raditi iako je nov i skup. Ako ne može koristiti laptop, hoće li po dolasku na otok otkazati sve sastanke s predstavnicima organizacije?
Naravno da neće, osigurao je da mu je sva dokumentacija dostupna putem clouda na bilo kojem računalu u uredu organizacije.
A sad zamislimo sve vjerojatniju mogućnost da našu organizaciju napadnu vrsni hakeri i instaliraju ransomware, koji se zaista događa u tvrtkama oko nas.
Zamislimo da nam ukradnu vanjski hard disk ili računalo bez backupa.
Zamislimo da nam zlonamjerni virus napadne sva računala u mreži organizacije.
Svi ti slučajevi pripadaju na određen način obvezi osiguranja poslovnog kontinuiteta (Business Continuity), odnosno, oporavka pristupa dokumentaciji i osobnim podacima (Disaster Recovery) kao obveznim segmentima osiguranja temeljne informacijske sigurnosti i GDPR usklađenosti.
Jesmo li znali da nedostupnost osobnih podataka može predstavljati povredu osobnih podataka?
Definicija povrede osobnih podataka (Data Breach) kaže:
„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
To znači da moramo osigurati tehničke i organizacijske mjere za kontinutet poslovanja i dostupnosti osobnih podataka i u slučajevima kad su isti uništeni, izgubljeni, ukradeni pa i neovlašteno izmijenjeni.
Koje mjere moramo osigurati?
1. BACKUP
Ili sigurnosna kopija naše poslovne dokumentacije i osobnih podataka, za slučaj da nas napadne ransomware ili da netko zlonamjeran izmjeni osobne podatke u našim evidencijama ili strateškim analizama.
2. DOSTUPNOST I IZVAN UREDA
Sugurnosne kopije valja pohraniti na lokacijama koje su fizički, logički i zemljopisno udaljene od središnjih sustava. Najbolja rješenja danas su svima na raspolaganju, a to su renomirani Cloud servisi locirani u EU/EEA, s osiguranom data-at-motion enkripcijom i bez mogućnosti pristupa trećim stranama izvan EU/EEA.
3. REDOVITO TESTIRANJE BACKUP-a i NJEGOVE DOSTUPNOSTI
Zamislimo da nam se računalo pokvari a backup nismo radili mjesec dana. Ali imamo na vanjskom hard disku sigurnosne kopije zadnjih mjesec dana. Međutim, netko nam je ukrao ili fizički oštetio vanjski hard disk. Sve što smo radili zadnjih mjesec dana jednim trenutkom nestaje. Nema nam spasa. Nismo testirali procedure i dostupnost pohranjene dokumentacije, evidencija i osobnih podataka. Naša skupa pogreška.
4. OPORAVAK SUSTAVA
Nakon razornog ransomware napada povlačimo sigurnosne kopije, kojem srećom imamo. Oporavljamo naše baze i sustave te naše evidencije s osobnim podacima kako bismo nastavili s poslovnim aktivnostima.
Nismo do sada testirali takve slučajeve i nije nam jasno zašto ne možemo oporaviti naše baze i sustave. Još jedna naša skupa pogreška.
I za kraj, napokon zamislimo životno važnu situaciju. Moramo ići na operaciju koja će spasiti naš život. Vrsni kirurzi i specijalisti su spremni, ali ne mogu pristupiti ključnim medicinskim informacijama i laboratorijskim nalazima u sustavu klinike.
Business Continuity i osiguranje trajne dostupnosti ili pravodobne ponovne uspostave dostupnosti osobnih podataka je obveza svake organizacije u okviru usklađivanja s GDPR obvezama.
Photo by Matheus Bertelli from Pexels
