Opća uredba o zaštiti osobnih podataka (GDPR), novi je europski okvir za zaštitu osobnih podataka. Donosi značajne promjene u pravilima koja definiraju osobne podatke i kako se oni koriste. Uredba je usvojena 27. travnja 2016. godine (Regulation EU – 2016/679), stupa na snagu 25. svibnja 2018. godine, a države članice moraju je ugraditi u nacionalno zakonodavstvo. GDPR ima cilj osigurati kontrolu građanima EU nad njihovim osobnim podacima i pojednostaviti regulatorno okruženje.

S obzirom na to da je uredba obvezujuća, tvrtke moraju poboljšati zaštitu privatnih podataka, izvještavanje o stanju i lokaciji privatnih podataka, kao i njihovoj sigurnosti. Naravno, za sve neuspješne provedbe postoje i kazne. One su velike i direktno ovise o poslovanju tvrtke.

Osobni podaci – što je uključeno

Odmah na početku moramo napomenuti – postoje neke sive zone, neki dijelovi koji su u zoni razmatranja i definiranja, jer uredba pokriva mnogo država i njihovih definicija podataka. No, s druge strane, jasno se zna što su osobni podaci. Osobni podaci informacije su koje se odnose na identifikaciju ili identitet osobe. Nema razlike između privatnih, javnih ili poslovnih privatnih podataka. Slijede primjeri što osobni podaci uključuju. Što se tiče identiteta, to su ime, kućna i poslovna adresa, telefonski broj, mobilni broj, adresa elektroničke pošte, broj putovnice, broj zdravstvenog osiguranja, broj vozačke dozvole i osobne karte. Tu su uključene i medicinske, genetske i psihološke informacije, kao i biometrijski podaci, rasa ili etnički podaci i seksualna orijentacija.

Financijski podaci uključuju bankovne podatke, brojeve kreditnih i debitnih kartica, a online podaci mogu biti kolačići (cookies), GPS podaci, IP adresa (unutar EU) i materijali na društvenim mrežama.

Zaštiti djece posvećena je posebna pozornost, tu je definirana granica od 16 godina za posebnu zaštitu. No ostavljena je sloboda za države članice koje tu granicu mogu spustiti na 13 godina.

Bitno je spomenuti da su informacije privatni podaci, pod uvjetom da ih je moguće povezati s osobom; primjerice, IP adresa nije osobni podatak ako uz nju ne možemo povezati osobu imenom i prezimenom.

GDPR se ne odnosi samo na sigurnost podataka, već regulira i odnosi se na konzistentnost podataka, sigurnosne pohrane i procedure.

Najčešći razlozi gubitka osobnih podataka odnose se na neovlaštene pristupe (hakeri ili malware), gubitak raznih prenosivih medija i slučajno slanje podataka trećim osobama ili tvrtkama.

Stoga, GDPR regulativu ne treba gledati kao na još jedan način kažnjavanja tvrtki i pojedinaca, već vrlo korisnu regulativu u kojoj ćemo uvesti sigurnosne mjere za zaštitu osobnih podataka. U današnje vrijeme kad se podaci pohranjuju na različita mjesta, sve je teže kontrolirati pohranu, a samim time i tko pristupa pohranjenim podacima. Tu moramo spomenuti mogućnost klasifikacije pohranjenih podataka, kako bismo mogli detektirati ono što je bitno i što moramo zaštititi i imati pod nadzorom.

Što se događa s tvrtkama i podacima izvan EU?

Ako je tvrtka smještena izvan EU, potrebno je vidjeti kojim i čijim osobnim podacima raspolaže i barata. GDPR se odnosi i na tvrtke koje posluju izvan EU, ali u poslovanju koriste, pohranjuju ili upravljaju s osobnim podacima građana EU. Dakle, tvrtke moraju biti usklađene s GDPR-om, bez obzira na to je li tvrtka unutar države članice EU ili ne. Upravo te činjenice obavezale su i tvrtke izvan EU da ozbiljno shvate tu uredbu. Microsoft je 15. veljače 2017. objavio da će do 25. svibnja 2018. biti usklađen s GDPR-om.

Kao i svaki proces, tako i brigu o osobnim podacima možemo podijeliti na faze. U našem slučaju, to su četiri faze: Otkrivanje, Upravljanje, Zaštita i Izvještavanje. U nastavku ćemo opisati svaku od njih.

Otkrivanje (Discovery)

Unutar faze otkrivanja identificiramo koje osobne podatke posjedujemo i gdje se nalaze. U fokusu traženja su svi podaci koji jednoznačno mogu identificirati osobu (ime, e-mail adresa, bankovni podaci, IP adresa i drugo). Mjesta gdje se nalaze ti podaci također je potrebno identificirati. To mogu biti e-mail poruke, dokumenti, podaci u bazama, logovi, sigurnosne pohrane i drugo.

Unutar Officea 365 za otkrivanje koriste se eOtkrivanje (eDiscovery), Napredno upravljanje podacima (Advanced Data Governance), kao i servis Sprječavanja gubitka podataka (Data Loss Prevention – DLP).

Upravljanje (Manage)

U fazi upravljanja identificiramo i stvaramo pravila, uloge i odgovornost za upravljanje osobnim podacima u cjelokupnom ciklusu stvaranja, obrade, prijenosa, pohrane, arhiviranja i eventualnog uništenja. U toj fazi klasificiramo podatke prema raznim grupama kao, primjerice, tipu, osjetljivosti, sadržaju, vlasništvu, korisniku i ostalom. I u toj fazi koristimo grupu servisa iz Naprednog upravljanja podacima (Advanced Data Governance), kao i Journaling (Exchange Online). U upravljanju podacima mogu nam poslužiti i napredne mogućnosti servisa Azure Active Directory i Azure Information Protection.

Zaštita (Protect)

Grupirane i identificirane podatke potrebno je zaštititi, odnosno osigurati sigurnosna pravila i kontrole kojima upravljamo zahtjevima za podacima, kao i obavještavanje o izlasku podataka i propuste u upravljanju njima. To uključuje fizičku zaštitu mjesta gdje se podaci nalaze, mrežnu sigurnost, upravljanje identitetima za pristup, enkripciju i drugo. Najlakše je to postići nadgledanjem sustava, identifikacijom kršenja pravila, planiranim odgovorima na promjene, kao i procedurama za oporavak u slučaju potrebe.

Zaštitom upravljamo sigurnosnim kontrolama koje detektiraju, sprečavaju i reagiraju na ranjivost i zloupotrebu podataka, za što se koristi sustav za Naprednu zaštitu od prijetnji (Advanced Threat Protection), kao i Inteligentno praćenje prijetnji (Threat Intelligence) kroz portal i grafički prikaz.

Izvještavanje (Report)

Najvažniji dio sustava, zbog čega je GDPR i uveden, kvalitetno je izvještavanje. Ujedno je to i posljednja faza procesa upravljanja informacijama. Pomoću izvještaja dobivat ćemo praktički sve informacije koje smo u prethodne tri faze prikupljali i obrađivali. Tako ćemo bilježiti i pristupati informacijama o klasifikacijama, podacima trećih strana koje pristupaju podacima, vremenu čuvanja i drugim podacima koji bi nam mogli trebati pri izvještajima. Dobivat ćemo ih preko izvještajnih alata, primjerice, Audit logova, izvještaja o uskladivosti i upravljanju. Uz spomenuto, koristimo i Kontrolu kvalitete servisa (Service Assurance), Office 365 Audit Log i Customer Lockbox. Posljednje spomenuti servis ćemo istaknuti jer služi za kontrolu trećih strana koje pristupaju vašem dijelu oblaka, u ovom slučaju Microsoftovim inženjerima za podršku u slučaju da vam treba njihova pomoć.

Korisnici iz timova za sigurnost podataka, usklađenost, nadzor i upravljanje rizikom u tvrtki neće imati pristup navedenim značajkama kontrole kvalitete servisa dok im se u odjeljku s dozvolama ne omogući uloga “Korisnik kontrole kvalitete servisa” (Service Assurance User). Nakon dodavanja, obavijestite ih da na ovom web-mjestu imaju pristup području kontrole kvalitete servisa.

Servisi koji pomažu uskladivosti

Servisi u oblaku uvelike pomažu i olakšavaju uvođenje procedura uskladivosti. Pred informatiku se postavljaju zahtjevi od poslovanja za praćenjem događaja kao što su, primjerice: povreda podataka, povlačenje suglasnosti za podatke, rizici/krađe podataka, obrada podataka, arhiviranje podataka i druge. Uz to, potrebno je prikupljati podatke za pristup, ispravljanje/editiranje, izvoz i brisanje podataka.

Advanced Security Management (Upravljanje naprednim upozorenjima) promijenio je ime u Office 365 Cloud App Security, no nije promijenio svrhu, tako da i dalje omogućuje napredno upravljanje sigurnošću i postavljanje pravila otkrivanja nepravilnosti.

Otkrivanje anomalija skenira korisničke aktivnosti i procjenjuje njihov rizik na više od sedamdeset različitih pokazatelja.

Napredno upravljanje koristi analizu ponašanja kao dio otkrivanja anomalija, kako bi se procijenilo rizično ponašanje korisnika.

Bitno je da se unutar Upravljanja upozorenjima nalazi i izvještavanje za sve servise kao, primjerice, Data Loss Prevention – DLP, Teams, PowerBI, Yammer. Postoji i integracija s grupama Azure Active Directory i aktivnostima korisnika, što uvelike pomaže u uskladivošću i praćenju GDPR-ovih zahtjeva.

Grafički je vrlo pregledno, uz mogućnosti koje omogućuju praćenje log zapisa svih poznatih uređaja za vatrozid (firewall) u aktivnom i pasivnom modu (Barracuda, Cisco, Blue Coat, Check Point i drugi).

Ponuđeno je čak i praćenje u realnom vremenu kroz preddefinirane log servere (log collector).

Data Loss Prevention (DLP) – Sprečavanje gubitka podataka

Sprječavanje gubitka podataka (Data Loss Prevention – DLP) servis je unutar Officea 365 koji brine o zaštiti informacija, a usmjeren je na upozoravanje korisnika na brigu o podacima kojima raspolažu ili ih dijele, važnost podataka, kao i kršenje određenih definiranih pravila. Taj servis već se duže koristi unutar Exchangea i SharePointa, no sada je proširen na Sharepoint Online i OneDrive for Business te je izvučen unutar Security and Compliance upravljanja.

Upravo je praksa pokazala da većina informacija “iscuri” slučajno, nepažnjom korisnika. DLP je tu da prema definiranim pravilima brine o tom “slučajnom” izlasku informacija.

Kako se definira DLP ponašanje? Pomoću pravila, i to tako da se koriste preddefinirana pravila, koje je Microsoft ugradio unutar DLP mehanizma, ili definicijom vlastitih pravila. Postoji mogućnost korištenja klasifikacije (Label) pa se i tako mogu koristiti filtri za informacije. Klasifikacija je posebno zanimljiva tvrtkama koje u svom poslovanju koriste ili imaju potrebu za grupiranjem tipova dokumenata, ovisno o podacima koji su zapisani u njima.

Prilikom detekcije nedopuštenih aktivnosti definiraju se ponašanja/aktivnosti koje mogu biti obavijesti, definirane akcije i/ili izvještavanje.

Kako bi se korisnike obavijestilo o nedopuštenim akcijama, jednostavno se postavljaju i obavijesti o pravilima, koje se pojavljuju u Outlooku ili OWA-i, a služe tome da obavještavaju korisnike o greškama ili kršenju definiranih pravila.

Segment DLP-a je i upravljanje uređajima, koje unutar Officea 365 dolazi u osnovnom obliku, no vrlo učinkovito može i tako zaštititi pristup i slanje osjetljivih podataka unutar i izvan tvrtke. Upravljanje se obavlja preko Microsoftova Intunea, koji omogućuje podešavanje uređaja, udaljene aktivnosti na uređaju, upravljanje podacima, kao i odvajanje poslovnih podataka od osobnih podataka unutar aplikacija.

eDiscovery (eOtkrivanje) – olakšano pretraživanje pohranjenih podataka

Količina podataka koji se pohranjuju unutar Officea 365 mogu varirati, no u svakom slučaju su veliki, jer vam sama usluga omogućuje pohranu velike količine podataka. U većini slučajeva, podaci se pohrane i rijetko ponovno pregledavaju, ili se jednostavno zaboravlja gdje i što je pohranjeno. Povremeno korisnici pristupaju, slučajno ili s nekom svrhom.

Neke od značajki servisa eDiscovery pomažu da se olakša čuvanje (lokacija, vrijeme i ostalo), servis također brine o području primjene, a to su lokacije koje se nalaze unutar Officea 365, Exchange, Sharepoint Online i OneDrive for Business.

Pomoću servisa moguće je pretraživati sadržaj prema definicijama koje postavite. Pretraga se slaže u slučajeve (Case), tako da je lakše pratiti što se pretraživalo ili što se pretražuje. Pretraga je aktivna dok se obavlja pretraživanje, a nakon pretrage, slučaj se zatvara.

Postoji i mogućnost naprednog pretraživanja, gdje se parametri podešavaju preciznije. Podatke koji se pretražuju, moguće je izvesti u formate ovisne o tome u kojem su zapisani. Kao primjer navest ću PST u koji se izvoze mailovi koji su pretraženi, a pronađeni su podaci koje tražimo. Ako na tenantu imate više domena i korisnika na njima, moguće je podatke grupirati prema više parametara, primjerice, Mailbox, lokacija itd.

Kada dohvatite podatke koji su vam interesantni, moguće ih je izvesti na neki drugi medij ili računalo. Kako sve ne bi bilo jednostavno, ti se podaci prilikom izvoza štite export ključem, bez kojega ne možete do podataka. Trenutačno ograničenje u izvozu podataka je 100 GB u jednom izvozu u PST.

Prednost cloud rješenja u pretraživanju i pouzdanosti servisa

Najveća prednost servisa unutar Officea 365 jest to što se u pozadini nalaze Azureovi servisi koji koriste prednost cloud servisa, kao i resursnu snagu Azurea, tako da svi zahtjevniji servisi mogu koristiti resurse u pozadini, a samim time će korisnici biti zadovoljni brzinom i kvalitetom servisa.

Značajke servisa eDiscovery možemo podijeliti na nekoliko grupa. Moguće je upravljati individualnim predmetima i definicijama unutar grupa, kao i dodavati korisnike koji imaju pravo na njih. Pristupom podacima upravlja se preko uloga i sigurnosnih filtara.

Korištenjem predložaka, definiranjem izvora podataka, čuvanjem podataka bez utjecaja na produktivnost, kao i njihovom analizom i pregledom, olakšavaju se klasificiranje i pristup.

Kako izgleda jedan zahtjev za informacijama o podacima? Građanin EU, ili zaposlenik, šalje zahtjev za informaciju, osoba zadužena za podatke (privatnost), Privacy Officer, otvara zahtjev u Officeu 365, nakon toga se, uz korištenje odgovarajućih alata, pretražuju podaci. Kad su podaci pronađeni, pravna služba analizira podatke i prosljeđuje osobi zaduženoj za podatke (Privacy Officer) koja šalje odgovor subjektu.

NAPOMENA: Ovaj tekst je izvorno objavljen u časopisu Mreža.