IT i compliance – przeciwdziałanie cyberprzestępczości oraz rola w zakresie zapewnienia bezpieczeństwa danych

Pojęcie legal compliance (lub prościej – compliance) jest wykorzystywane na określenie zgodności działań z obowiązującymi przepisami, standardami branżowymi oraz wytycznymi organów regulacyjnych. Analiza zgodności może przebiegać na wielu różnych płaszczyznach. Jedne z nich są uniwersalne dla wszystkich przedsiębiorców, jak np. compliance prawny lub podatkowy. Inne, np. compliance w zakresie IT, czy compliance środowiskowy mają szczególnie istotne znaczenie dla wybranych grup podmiotów, które ze względu na specyfikę swojej działalności są narażone na określone czynniki ryzyka, niewystępujące nigdzie indziej.

IT compliance odnosi się do wytycznych, jakie dana organizacja musi przestrzegać, aby zapewnić zgodne z prawem i bezpieczne zarządzanie danymi, infrastrukturą oraz komunikacją. Trzeba przy tym pamiętać, że firma, która wdrożyła compliance nie zawsze musi oferować bezpieczeństwo, ponieważ nałożone przez przepisy lub organy regulacyjne standardy wyznaczają minimum (a nie optimum) środków. Dlatego dobrze przeprowadzony audyt w zakresie bezpieczeństwa IT powinien zawierać rekomendacje odnoszące się do tego, w jaki sposób można zapewnić bezpieczeństwo w konkretnej organizacji, z uwzględnieniem jej profilu i skali prowadzonej działalności.

Pierwszym krokiem w IT compliance powinno być ustalenie, jakie standardy są właściwe dla danej organizacji. Dobrym przykładem branżowych standardów bezpieczeństwa w IT jest certyfikat HIPAA dla firm operujących w sektorze służby zdrowia oraz PCI-DSS dla przedsiębiorstw działających w branży finansowej. Wśród elementów składających się na zarządzanie bezpieczeństwem w IT warto wymienić przede wszystkim:

• kontrolę dostępu do zasobów i monitorowanie tożsamości,

• kontrolę nad współdzielonymi zasobami,

• procedury na wypadek naruszenia danych i plany przywrócenia ciągłości działania,

• zabezpieczenia przed utratą danych,

• ochronę przed złośliwym oprogramowaniem,

• wewnętrzne polityki zarządzania zasobami,

• mechanizmy monitorowania i raportowania nieprawidłowości.

Obecnie rynek obfituje w wiele technologii zwiększających bezpieczeństwo użytkowników oraz usługodawcy. Trzeba jednak pamiętać, że te technologie nie egzystują w próżni, ale muszą zostać wdrożone zgodnie z obowiązującymi przepisami. Przyjrzyjmy się bliżej wybranym rozwiązaniom.

Chmura obliczeniowa

Chmura obliczeniowa (ang. cloud computing) to model świadczenia usług IT, w którym ciężar utrzymania serwerów oraz integralności i sprawności działania aplikacji spoczywa w pełni na usługodawcy. W rezultacie usługobiorca jest zwolniony z konieczności zakupu oprogramowania i jego utrzymania, a do usług może dostać się za pośrednictwem dowolnego urządzenia klienckiego. Usługi chmurowe oferują wysoki poziom elastyczności, możliwość ograniczenia kosztów i wygodę dla korzystającego. Nie jest to jednak rozwiązanie pozbawione niebezpieczeństw. Zagrożenia można podzielić w tym przypadku na kilka kategorii:

• ujawnienie lub wyciek danych,

• dostęp do danych przez użytkownika spoza organizacji,

• nieprawidłowo uregulowany (zbyt szeroki) dostęp użytkowników autoryzowanych,

• uszkodzenie, modyfikacja lub usunięcie danych albo infrastruktury chmurowej przez złośliwe oprogramowanie.

W kontekście cloud computing wypada zwrócić uwagę na komunikat KNF z dnia 23 stycznia 2020 r.¹, w którym organ regulacyjny wskazał na wymagania, jakie musi spełniać usługa chmurowa adresowana do podmiotów rynków finansowych. Wśród głównych założeń można wymienić szacowanie ryzyka zgodnie z normą ISO 27005 oraz zaimplementowanie Cyklu Deminga pozwalającego na ciągłe usprawnianie modelu działania. Dodatkowo organ regulacyjny nakazuje uwzględnienie określonych zagrożeń dla chmury obliczeniowej oraz określone zasady szyfrowania danych (z podziałem na szyfrowanie w spoczynku i podczas transmisji).

Stanowisko KNF określa także zasady outsourcingu i minimalne wymagania względem chmury obliczeniowej. Dokument zawiera wskazania co do treści umowy z dostawcą usług chmury obliczeniowej, wytyczne w zakresie zabezpieczeń i monitorowania środowiska chmurowego.

Rekomendacje KNF w zakresie chmury obliczeniowej stanowią uzupełnienie m.in. rekomendacji D dotyczącej bezpieczeństwa infrastruktury informatycznej w sektorze bankowym. Oznacza to, że te podmioty będą musiały stosować oba zestawy wytycznych.

Biometria

Autoryzacja biometryczna polega na potwierdzeniu tożsamości użytkownika z wykorzystaniem jego osobniczych cech i właściwości. Z reguły przebiega ona na podstawie układu linii papilarnych, geometrii twarzy lub brzmienia głosu. Można też spotkać biometrię wykorzystującą układ naczyń krwionośnych dłoni lub jej geometrię albo obraz tęczówki oka. Z założenia układy biometryczne mają przeciwdziałać fałszerstwom. Stały się one szczególnie popularne w smartfonach i aplikacjach mobilnych, ponieważ ułatwiają proces logowania użytkownika.

Już na wstępie należy wskazać, że systemy biometryczne powinny spełniać założenia normy ISO/IEC 24745:2022. Zasadniczo dane biometryczne będą stanowiły wrażliwe dane osobowe, więc podmiot, który je przetwarza, musi zapewnić odpowiednio wysoki poziom bezpieczeństwa. Wyróżnia się przy tym kilka rodzajów biometrii – miękką, słabą i silną. Danymi osobowymi będzie wyłącznie ta ostatnia grupa danych, które pozwalają na jednoznaczną identyfikację danej osoby fizycznej. Zgodnie z art. 9 ust. 1 RODO² zasadniczo zabrania się przetwarzania danych wrażliwych (w tym biometrycznych), chyba że zachodzi jedna z przesłanek legalizacyjnych wymienionych w art. 9 ust. 2. W praktyce najczęstszą podstawą legalizacyjną będzie tutaj zgoda użytkownika (np. poprzez zaakceptowanie regulaminu aplikacji mobilnej).

Jednocześnie trzeba pamiętać, że wykorzystanie danych biometrycznych będzie zautomatyzowanym przetwarzaniem danych osobowych. Oznacza to m.in. konieczność zapewnienia odpowiednio wysokiego poziomu zabezpieczeń, a także interwencji człowieka, który wyjaśni decyzję algorytmu (art. 22 ust. 3 i 4 RODO). W przeciwnym razie decyzja będąca wynikiem analizy biometrii nie może wywoływać wobec danej osoby skutków prawnych.

Dodatkowo systemy biometryczne zostały skategoryzowane jako High-Risk AI według rozporządzenia AI Act. Oznacza to konieczność zastosowania daleko idących środków ostrożnościowych na etapie ich projektowania, testowania oraz utrzymywania.

Biometria daje ogromne możliwości w zakresie oceny tożsamości osób fizycznych, ale należy podchodzić do niej świadomie. Jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 1 grudnia 2009 r. (sygn. I OSK 249/09), pracodawca nie może wykorzystywać biometrii do kontroli czasu pracy, ponieważ narusza to zasadę adekwatności. Duże wątpliwości budzi także zastosowanie biometrii w szkołach (vide: wyrok WSA w Warszawie z dnia 7 sierpnia 2020 r., II SA/WA 809/20 – rozstrzygnięcie wzbudziło na tyle duże kontrowersje, że Prezes UODO złożył kasację od ww. wyroku).

Geolokalizacja

Usługi geolokalizacyjne wykorzystuje się w celu określenia położenia przedmiotu lub osoby. Wykorzystuje się je w wielu sektorach, jak motoryzacja, marketing, telekomunikacja. Korzystając z nich, można spersonalizować oferty sprzedażowe i zwiększyć lokalny zasięg firmy, a w efekcie poprawić wyniki sprzedaży i zwiększyć rozpoznawalność. Poprzez geolokalizację firmy mogą korzystać np. z usługi Google Moja Firma oraz map Google w celu ułatwienia zlokalizowania usługi. Z kolei firmy z sektora TSL w ten sposób optymalizuje koszty transportu poprzez wytyczenie najlepszej możliwej trasy przejazdu.

Co na temat geolokalizacji mówią przepisy? Przede wszystkim trzeba pamiętać, że do lokalizacji osób fizycznych nadal znajdują zastosowanie przepisy RODO. Oznacza to, że administrator danych osobowych (np. operator sieci komórkowej) musi zadbać o realizację wszystkich zasad wymienionych w rozporządzeniu oraz uprawnień osób, których dane dotyczą. Wymaga to przede wszystkim zaprojektowania odpowiednio skutecznych zabezpieczeń, które będą chroniły dane osobowe w modelu privacy by design.

Świadcząc usługę geolokalizacji, należy zadbać o odpowiednią podstawę prawną przetwarzania danych. W praktyce najczęściej będzie nią zgoda klienta (art. 6 ust. 1 pkt a RODO). Ważne jest, aby zgoda była wyraźna i konkretna, nie może mieć charakteru domniemanego i wynikać np. z oświadczenia o innej treści. System nie może też przekazywać danych automatycznie, ponieważ eliminuje to konieczność wyrażenia zgody. Dodatkowo warto wspomnieć, że konieczność otrzymania zgody użytkownika wynika także z wytycznych konsorcjum W3C, które opracowało specyfikację interfejsu API na potrzeby geolokalizacyjne. Obowiązek informacyjny administratora powinien obejmować przede wszystkim:

• cel i zakres zbierania danych osobowych,

• prawo dostępu do danych osobowych oraz ich korekty,

• prawo cofnięcia zgody na przetwarzanie danych,

• dane administratora.

Zgodnie z art. 12 RODO informacje powinny być podane w przystępnej, łatwej do zrozumienia formie. Oznacza to m.in., że użytkownik musi poznać, kto dokładnie przetwarza jego dane, a nie otrzymać numery stacji bazowych przedsiębiorcy telekomunikacyjnego. Obowiązek informacyjny powinien być spełniony przed rozpoczęciem przetwarzania danych. Szczególną ostrożność należy zwrócić na gromadzenie danych geolokalizacyjnych dzieci, na co zwraca uwagę Grupa Robocza Art. 29.

Czy monitoring GPS pracowników jest zgodny z prawem?

Kodeks pracy odnosi się wprost jedynie do monitoringu pocztu elektronicznej oraz monitoringu wizyjnego, dlatego do geolokalizacji można odwołać się poprzez analogię. Zgodnie z art. 22² i 22³ k.p. monitoring jest dopuszczalny wyłącznie w sytuacji, kiedy jest on niezbędny dla:

• bezpieczeństwa pracowników,

• ochrony mienia,

• kontroli produkcji,

• zachowania w tajemnicy informacji, których ujawnienie może naruszyć przedsiębiorcę na szkodę.

Jednocześnie pracownicy muszą zostać wyraźnie powiadomieni o monitoringu, zaś samo śledzenie nie może prowadzić do naruszenia tajemnicy korespondencji lub innych dóbr osobistych pracownika. Można więc przyjąć, że pracodawca może zamontować geolokalizatory we flocie służbowej lub korzystać z nadajników GPS w telefonach służbowych, ale nie powinien w ten sposób nadmiernie ingerować w życie pracownika.

Silne uwierzytelnianie klienta

Dla firm, które oferują swoje usługi online, jak chociaż kantory kryptowalut, instytucje płatnicze, czy instytucje pieniądza elektronicznego, powinny zadbać o odpowiednio silne zabezpieczenia informatyczne, w tym uwierzytelnianie klienta. W ustawie o usługach płatniczych³ pojawia się tzw. uwierzytelnianie silne (ang. Strong Customer Authentication), które jest wymagane dla wybranych funkcjonalności:

• uzyskania dostępu do rachunku w trybie online.

• inicjacja elektronicznej transakcji płatniczej,

• wykonanie za pomocą kanału zdalnego czynności , która może wiązać się z ryzykiem oszustwa lub innych nadużyć.

Uwierzytelnianie SCA (niekiedy określane też jako uwierzytelnianie wieloskładnikowe) powinno być zastosowane do elementów, które dynamicznie łączą transakcję płatniczą z określoną kwotą transakcji i określonym odbiorcą. Będą to np. różnego rodzaju bramki płatnicze.

Jak prawidłowo wdrożyć SCA? Zgodnie z art. 2 pkt 26 aa ustawy o usługach płatniczych niezbędne jest zastosowanie co najmniej dwóch elementów należących do następujących kategorii:

• wiedza o czymś, co wie wyłącznie użytkownik (np. PIN, hasło wielorazowe),

• posiadanie czegoś, co posiada wyłącznie użytkownik (np. aplikacja mobilna, karta płatnicza),

• cechy użytkownika (np. dane biometryczne).

Elementy powinny pochodzić z różnych kategorii, a naruszenie jednego z nich nie powinno osłabiać bezpieczeństwa pozostałych. Wyjątki od obowiązku stosowania silnego uwierzytelniania wynikają z przepisów rozporządzenia Komisji UE 2018/389. Wśród nich można wymienić np. wykonywanie transakcji na niewielką kwotę, rozliczanie płatności za przejazd i postój w terminalach samoobsługowych lub korzystanie przez klienta z listy zaufanych odbiorców.

Projektując rozwiązania zapewniające bezpieczeństwo, firmy z branży IT powinny zwrócić uwagę na kilka elementów. Pierwszy z nich to utworzenie odpowiednik polityk, wytycznych i innych wewnętrznych regulacji, które krok po kroku wyjaśniają, w jaki sposób powinny być przeprowadzone poszczególne procesy. W ten sposób przedsiębiorstwo minimalizuje ryzyko błędu ludzkiego, a to często właśnie człowiek okazuje się być najsłabszym ogniwem, jeżeli chodzi o bezpieczeństwo.

Należy zadbać o opracowanie procedur Disaster Recovery oraz Business Continuity. Pozwalają one na ograniczenie strat w wyniku ataku cybernetycznego lub awarii systemów i przywrócenie funkcjonalności systemów. W tym celu stosuje się np. tworzenie kopii zapasowych danych w chmurze i systemy TDR (ang. Threat Detection and Response) do wczesnego wykrywania i eliminowania zagrożeń. Szczególnie silną ochronę należy zapewnić zasobom o krytycznym znaczeniu dla biznesu, jak dokumenty finansowe lub repozytoria kodu źródłowego.

Kolejnym krokiem jest zapewnienie zgodności z wymaganiami regulacyjnymi. Choć nie gwarantuje to bezpieczeństwa gospodarczego, pozwala uniknąć kary za niedochowanie należytej staranności. Dlatego firmy z branży IT wdrażają standardy HIPAA, DCI-DSS, czy normy ISO.

Przykładem strategii bezpieczeństwa jest Fault Isolation, gdzie poszczególne procesy lub ich grupy są izolowane od pozostałych. W rezultacie nawet w przypadku utraty kontroli nad częścią zasobów pozostałe są bezpieczne. Innym działaniem jest Redundancy (dosłownie – nadmiarowość). W tym modelu działania dostawca usług tworzy kopie zasobów, np. w chmurze, środowisku wirtualnym, lub innym hardwarze.

Z kolei w usługach, które wymagają stałego dostępu stosuje się Failure Detection and Recovery, czyli systemy, które automatycznie korygują błędy i przywracają swoje działanie w razie awarii. W sektorach, gdzie bezpieczeństwo jest priorytetem, jak obszar healthcare lub finanse stosuje się też Security-First Design, czyli projektowanie z zachowaniem wysokiego poziomu bezpieczeństwa już od samego początku. Dzięki temu można zapobiec awarii systemu, zamiast zapobiegać jej skutkom.