Artykuły dotyczące tematu: IT

dodany: 15.01.2013 | tagi: , , , ,

Wiążące reguły korporacyjne przetwarzania danych osobowych

0

Z dniem 01 stycznia 2013 r. wprowadzono wiążące reguły korporacyjne (BCR) dla przetwarzających, którymi są wewnętrzne kodeksy postępowania dotyczące ochrony i bezpieczeństwa danych mające na celu zapewnienie, że przekazywanie danych osobowych poza obszar Unii Europejskiej przez przetwarzającego, który działa w imieniu swoich klientów i wedle ich instrukcji, będzie odbywało się zgodnie z przepisami UE o ochronie danych (link).

BCR mają charakter wewnętrznych zasad przyjmowanych przez międzynarodowe korporacje, które definiują globalną politykę przetwarzania danych osobowych wewnątrz danej korporacji do lokalizacji położonych w państwach, w których nie obowiązuje należyty stopień ochrony danych osobowych.

BCR mają na celu przede wszystkim ułatwić dużym korporacjom spełnienie wymogów z art. 25 i 26 Dyrektywy, na podstawie których:

  1. Państwa Członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas, gdy niezależnie od zgodności z krajowymi przepisami przyjętymi na podstawie innych przepisów niniejszej dyrektywy, dane państwo trzecie zapewni odpowiedni stopień ochrony;
  2. Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji; szczególną uwagę zwracać się będzie na charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, przepisy prawa, zarówno ogólne, jak i branżowe, obowiązujące w państwie trzecim oraz przepisy zawodowe i środki bezpieczeństwa stosowane w tym państwie;
  3. Państwa Członkowskie zapewnią, że przekazanie lub przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony, może nastąpić pod warunkiem, że: a) osoba, której dane dotyczą, jednoznacznie udzieli zgody na proponowane przekazanie danych; lub b) przekazanie danych jest konieczne dla realizacji umowy między osobą, której dane dotyczą i administratorem danych lub dla wprowadzenia w życie ustaleń poprzedzających zawarcie umowy na wniosek osoby, której dane dotyczą; lub c) przekazanie danych jest konieczne dla zawarcia lub wykonania umowy zawartej między administratorem danych i osobą trzecią, w interesie osoby, której dane dotyczą; lub d) przekazanie danych jest konieczne lub wymagane przez prawo z ważnych względów publicznych lub w celu ustanowienia, wykonania lub obrony tytułu prawnego; lub e) przekazanie danych jest konieczne dla zapewnienia ochrony żywotnych interesów osoby, której dane dotyczą; lub f) przekazanie danych następuje z rejestru, który ma służyć, zgodnie z obowiązującymi przepisami ustawowymi lub wykonawczymi, za źródło informacji dla ogółu społeczeństwa, udostępnionego do konsultacji obywateli i każdej osoby wykazującej uzasadniony interes, o ile warunki określone przez prawo odnośnie do wglądu do takiego rejestru zostały w danym przypadku spełnione.
  4. Państwo Członkowskie może zezwolić na przekazanie lub przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony, jeżeli administrator danych zaleci odpowiednie zabezpieczenia odnośnie do ochrony prywatności oraz podstawowych praw i wolności osoby oraz odnośnie do wykonywania odpowiednich praw; takie środki zabezpieczające mogą w szczególności wynikać z odpowiednich klauzul umownych.

Przy stosowaniu tych zasad warto wspomnieć o wyroku z dnia 16 kwietnia 2003 r., w którym Naczelny Sąd Administracyjny stwierdził, że:

“Przy udzielaniu zgody na przekazanie danych osobowych za granicę organ powinien kierować się oceną, czy zastosowane środki różnego typu, klauzule umowne i środki techniczne pozwalają zapewnić stopień ochrony tych danych odpowiadający ustawodawstwu polskiemu”.

Jak czytamy w Komunikacie europejskich organów ochrony danych, zrzeszonych w ramach Grupy Roboczej Artykułu 29 ds. Ochrony Danych (niezależny organ doradczy w sprawach ochrony danych i prywatności, powołany na mocy artykułu 29 Dyrektywy o ochronie danych 95/46/WE),

“Stosowanie BCR dla przetwarzających nie jest obowiązkowe, a każde przedsiębiorstwo działające jako przetwarzający, np. w kontekście działań outsourcingowych lub przetwarzania danych w chmurze obliczeniowej (cloud computing), może podjąć decyzję o złożeniu wniosku o zatwierdzenie BCR do organu ochrony danych. Przyniesie to jednak korzyści zarówno przetwarzającym, jak i administratorom. Gdy wiążące reguły korporacyjne dla przetwarzających zostaną zatwierdzone, mogą być wykorzystane przez administratora i przetwarzającego, dzięki czemu zapewniona zostanie zgodność z unijnymi zasadami ochrony danych, bez konieczności negocjowania zabezpieczeń i warunków za każdym razem, gdy zawierana jest umowa”.

BCR dla przetwarzających są – można powiedzieć – częścią systemu BCR, na który składa się jeszcze BCR dla administratorów danych, natomiast BCR dla przetwarzających obejmuje różne podmioty przetwarzające dane (np. centra danych). Zgodnie z Dyrektywą, pomiędzy przetwarzającym a administratorem powinna zostać podpisana stosowna umowa (ang. service agreement), której postanowienia również powinny znaleźć swoje odzwierciedlenie w BCR dla przetwarzających.

Od strony merytorycznej, w BCR dla przetwarzających należy zwrócić uwagę przede wszystkim na następujące kwestie:

  1. Zapewnienie przestrzegania we wszystkich podmiotach grupy oraz przez wszystkich pracowników, w tym zapewnienie, że przestrzegane będą zasady ochrony przewidziane w umowie z administratorem. Zgodnie bowiem z art. 17 Dyrektywy “Państwa Członkowskie zobowiązują administratora danych, w przypadku przetwarzania danych w jego imieniu, do wybrania przetwarzającego, o wystarczających gwarancjach odnośnie do technicznych środków bezpieczeństwa oraz rozwiązań organizacyjnych, regulujących przetwarzanie danych, oraz zapewnienia stosowania tych środków i rozwiązań”.
  2. BCR muszą dawać prawo do dochodzenia uprawnień w nich przewidzianych przez osoby, których dane są przetwarzane (ang. “data subjects”), gdy nie mogą one wnieść roszczeń przeciwko administratorowi.
  3. BCR muszą przewidywać odpowiedni poziom zobowiązań do rekompensaty finansowej za działania podmiotów przetwarzających dane.
  4. BCR musi zapewnić, iż wiedza odnośnie zasad BCR jest znana w danej firmie i przeprowadzane są ustawiczne szkolenia w tym zakresie.
  5. W całej grupie podmiotu przetwarzającego dane powinien funkcjonować punkt kontaktowy dla podmiotów, których dane są przetwarzane.
  6. BCR powinny przewidywać, iż sposób ochrony danych osobowych będzie okresowo audytowany.
  7. BCR powinny zawierać zobowiązanie do współpracy z organami ochrony danych osobowych oraz z administratorem danych. Nie można bowiem na żadnym etapie zapomnieć, iż dane są przetwarzane w określonym celu i to nie podmiot przetwarzający dane osobowe jest tutaj główną postacią tego procesu. Na pewno pełni on bardzo istotną rolę w łańcuchu przetwarzania danych osobowych, jednakże nie wolno zapomnieć, iż głównym zobowiązanym jest administrator danych i to w wypełnianiu obowiązków administratora danych powinien pomagać przetwarzający.
  8. Określenie zakresu danych objętych BCR.
  9. Procedura zmian BCR.
  10. Opis zasad zachowania poufności i bezpieczeństwa, włączając w to zasady transferu danych poza Unię Europejską.
  11. Lista podmiotów objętych BCR oraz oświadczenie o powiązaniach BCR z prawem lokalnym.

Na zakończenie należy podkreślić, iż BCR powinny być powiązane z SLA, która w zakresie danej usługi wiąże klienta końcowego. Umowa SLA, która wiąże klienta, będzie zawierała wiele uregulowań dotyczących już bezpośrednio danej usługi, jednakże BCR jako dokument ramowy i globalny powinien być do niej załącznikiem – jest to bynajmniej rekomendowana praktyka.

dodany: 19.11.2012 | tagi: , ,

(Nie)bezpieczne aplikacje biznesowe – część 2

0

Identyfikacja zagrożeń dla aplikacji biznesowych

Zagrożeniami dla aplikacji biznesowych są potencjalne działania człowieka (albo sił wyższych), dotyczące bezpośrednio zasobu aplikacji i mogące spowodować, w zależności od konkretnego atrybutu bezpieczeństwa, utratę: poufności, integralności lub dostępności.

Z biznesowego punktu widzenia zidentyfikowane zagrożenia należy podzielić na:

  • strategiczne (wpływające na cele organizacji)
  • operacyjne (wpływające na codzienne funkcjonowanie organizacji)
  • finansowe (związane z działaniami finansowymi i kapitałem organizacji)
  • informacyjne (wpływające na bezpieczeństwo danych)
  • zgodności (wpływające na utrzymywanie zgodności z obowiązującymi regulacjami prawnymi)

Do typowych zagrożeń dla aplikacji biznesowych należy zaliczyć:

1. Łamanie haseł.

  • atak słownikowy (dictionary attack) – zautomatyzowany atak skierowany przeciwko systemowi uwierzytelniania, który polega na sprawdzeniu kolejnych, gotowych haseł znajdujących się w bazie danych (tzw. słowniku)
  • atak siłowy (brute-force password attack) – polega na omijaniu zabezpieczeń systemu przez podejmowanie prób zalogowania się przy użyciu każdego dopuszczalnego hasła:
    • zwyczajne ataki siłowe (normal brute force attacks) – atakujący używa nazwy użytkownika i dopasowuje do niego hasła
    • odwrócone ataki siłowe (reverse brute force attacks) – atakujący używa jednego hasła i dopasowuje do nich nazwy użytkowników. W systemach z dużą ilością kont, prawdopodobieństwo posiadania tego samego hasła przez wielu użytkowników jest wysokie

Ataki tego typu są nieustannie rozwijane. Za pomocą ataku słownikowego można złamać większość haseł wykorzystywanych przez użytkowników indywidualnych. W Internecie publikowane są słowniki haseł najczęściej używanych. Nie brakuje też programów do łamania haseł. Przykładowym narzędziem do przeprowadzenia ataku łamania hasła metodą brute force jest THC-HYDRA (http://freeworld.thc.org/thc-hydra).

2. Zagrożeniem związanym z hasłami, jest możliwość ich podsłuchania (ang. sniffing) w momencie logowania się użytkownika do systemu.

 Sniffing umożliwia wychwycenie ważnych informacji, takich jak hasła, numery kart kredytowych czy dane osobowe, czyli pozwala osobom postronnym na uzyskanie danych przesyłanych przez sieć, ale nie wpływa na ich zawartość. Informacja niezmieniona i kompletna dociera do odbiorcy. Metoda ta ma charakter bierny, nie stanowi w sposób bezpośredni większego zagrożenia. Jest jednak narzędziem pozwalającym uzyskać niezbędne dane do realizacji innych przestępstw, bardziej niebezpiecznych i stanowiących bezpośrednie zagrożenie. Za pomocą tej metody możliwe jest przechwycenie wszystkich haseł i poufnych danych, które nie są przekazywane zakodowanym kanałem.

3. Próbkowanie – próba dostępu do obiektu poprzez zbadanie jego charakterystyki.

Działanie to jest o tyle niebezpieczne, iż jest praktycznie niezauważalne. Nie jest wychwytywane przez standardowe systemy zabezpieczeń, jak i przez administratora systemu. Dokonującemu przygotowania do ataku wystarczy częstokroć jednorazowe zbadanie systemu, by następnie przeprowadzić skuteczny atak na system.

4. Skanowanie – próba dostępu do wielu obiektów naraz poprzez ustalenie obiektu z oczekiwaną charakterystyką.

Przykładem zastosowania tej techniki jest masowe skanowanie klas adresowych danego dostawcy w poszukiwaniu celu ataku,
z nastawieniem z reguły na konkretny system operacyjny. Ostatnio popularne jest skanowanie z wykorzystaniem narzędzi umożliwiających jednoczesne dokonanie ataku.

5. Przepełnienie – próba dostępu poprzez nagle przepełnienie możliwości jego przetwarzania.

Ataki tego typu są dość popularne. Najbardziej znane dwie kategorie to tzw. ataki DoS (Denial of Service – odmowa usługi) i DDoS (Distributed Denial of Service – atak rozproszony odmowy usługi polegający na wykorzystaniu wielu skompromitowanych systemów do wykonania zapytania, uniemożliwiającego późniejsze poprawne funkcjonowanie systemu).

6. Ominięcie – ominięcie procesu zabezpieczającego poprzez zastosowanie alternatywnej drogi osiągnięcia.

Ta technika z reguły ogranicza się do zastosowania oprogramowania, którego celem jest wykorzystanie dziury w oprogramowaniu atakowanego systemu, co w efekcie prowadzi do uzyskania nieautoryzowanego dostępu. Tzw. „exploity” czyli programy wykorzystujące dziury w systemie są o tyle niebezpieczne, że są dość łatwo dostępne, proste w użyciu, nawet przez niedoświadczonych sprawców. Do tego są niezwykle niebezpieczne, gdyż w większości przypadków ich skuteczne użycie prowadzi do uzyskania nieautoryzowanego dostępu na poziomie administratora systemu.

7. Podszywanie – przedstawianie się lub modyfikowanie pakietów w trakcie połączenia w celu wykazania, że posiada się prawo dostępu do zasobów.

W skutek zastosowania zaawansowanych technik szyfrowania i przenoszenia części ruchu „wrażliwych” danych do VPN (szyfrowane wirtualne sieci prywatne) technika podszywania się ma ograniczone zastosowanie. Jednak cały czas może okazać się groźna i skuteczna w stosunku do niektórych systemów. Ponadto inna forma podszywania się stosowana w tzw. ataku lokalnym, w połączeniu z inżynierią społeczną jest niesłychanie groźna, zwłaszcza dla nieprzeszkolonych administratorów.

8. Czytanie – dostęp i zapoznanie się z informacją do której nie jest się uprawnionym.

Jest to o tyle ważny element ataku, iż w myśl polskiego prawa, zapoznanie się z informacją przez osobę nieuprawnioną jest karane. Ta czynność ma szczególne znaczenie przy udowadnianiu sprawcy popełnionego czynu.

9. Kopiowanie – możliwość kopiowania informacji przez osobę nieuprawnioną. Samo kopiowanie informacji nie podlega odpowiedzialności karnej.

Kopiowanie danych ma z punktu widzenia zagrożenia znaczenie o tyle, iż osoba kopiująca dane, może nimi potem swobodnie obracać. Samo jednak kopiowanie nie musi prowadzić do dalszych czynności.

10. Kradzież – przejecie zasobów przez osobę nieuprawnioną, bez pozostawienia kopii w uprawnionej lokalizacji.

Atak ten ma pokrewne znaczenie do kopiowania, tyle że rozszerza się o uniemożliwienie osobie uprawnionej dostępu do danych poprzez ich skasowanie lub trwałe przeniesienie do innej niedostępnej lokalizacji.

11. Modyfikacja – zmiana zawartości lub charakterystyki obiektu.

Atak ten może służyć wielorakim celom. Może np. wprowadzić w błąd osoby uprawnione do korzystania z informacji czy doprowadzić do kompromitacji zaatakowanego celu przed osobami z niego korzystającego. System, który uległ modyfikacji może posłużyć jako element kolejnego ataku. Sprawca może wykorzystać go jako narzędzie uzyskania kolejnych haseł dostępu lub narzędzie do przeprowadzenie rozproszonego ataku typu DoS. Może również zmodyfikować w taki sposób, by mógł niepostrzeżenie powrócić do skompromitowanego systemu bez wiedzy osób nim zarządzających.

12. Usunięcie – zniszczenie obiektu ataku.

Najbardziej przykra forma ataku, dokonywana z reguły przez niedoświadczonych lub działających w destrukcyjnych pobudkach sprawców.

Zrozumiałe jest, że wymienione formy i elementy ataku opisane są w sposób bardzo ogólny, ponieważ „modus operandi” sprawców jest bardzo zróżnicowane i ulega ciągłym modyfikacjom wraz z rozwojem technologicznym.

Symulacyjna koncepcja ataku z podziałem na fazy, na podstawie powyższej klasyfikacji:

Fazy ataku

Woźniak T., „Opracowanie dla Studenckiego Koła Prawa Komputerowego – Zagrożenia dla biznesu wynikające z rozwoju nowych technologii”

 Na co należy zwrócić, identyfikując zagrożenia?

Identyfikując zagrożenia należy przede wszystkim postawić sobie pytania:

  • Co się stanie z informacją przetwarzaną w aplikacji w przypadku wystąpienia zagrożenia?
  • Komu może zależeć na informacji przetwarzanej w aplikacji?
  • Jaka jest przyczyna zagrożeń?
  • Jakie informacje przetwarzane w aplikacji mogą być w zainteresowaniu stron trzecich?

W następnym artykule pt. Jak chronić aplikacje biznesowe? przedstawimy sposoby na redukcję ryzyka zagrożeń aplikacji biznesowych.

 

dodany: 23.10.2012 | tagi: , ,

(Nie)bezpieczne aplikacje biznesowe

0

W codziennej działalności biznesowej, aby móc efektywnie obsługiwać klientów organizacja uzależniona jest od posiadania wielu technologii informatycznych. Dzięki nim w znaczny sposób usprawnia swoją działalność oraz zwiększa produktywność. Żadna firma nie jest w stanie w pełni wykorzystać swoich możliwości bez odpowiednich aplikacji biznesowych, bez względu na profil prowadzonej działalności. Aby temu podołać, musi posiadać nowoczesny system informatyczny, który pozwala kontrolować procesy obsługi klienta, koordynować zbieranie informacji o rynku, a także umożliwiać przepływ informacji wewnątrz firmy.

Korzyści ze stosowania aplikacji biznesowych są ogromne

Korzystanie z aplikacji biznesowych oznacza nie tylko ogromne korzyści dla firmy, ale także zagrożenia dla systemu informatycznego przedsiębiorstwa. Dlaczego? Zauważalny jest trend tworzenia aplikacji biznesowych z myślą jedynie o jej funkcjonalności. Zadowolenie klienta stawiane jest na pierwszym miejscu, dlatego aplikacje mają być przyjazne i wygodne w użyciu. Niestety, bardzo często zdarza się, że jest to okupione obniżeniem poziomu bezpieczeństwa i bardzo istotne aspekty bezpieczeństwa traktowane są wybiórczo lub są całkowicie pomijane. W efekcie wdrażane w coraz szybszym tempie aplikacje posiadają szereg podatności rodzących ryzyko dla bezpieczeństwa procesów biznesowych.

Aplikacje mogą przysporzyć firmie problemów

Skutki stosowania mało bezpiecznych aplikacji mogą być katastrofalne. Liczba zagrożeń bezpieczeństwa oraz naruszeń rośnie lawinowo. Rośnie również stopień ich skomplikowania. Najpoważniejsze konsekwencje cyberataków w przypadku firm to zakłócenie ich działalności oraz utrata wrażliwych danych, które mogą wystawić je na niebezpieczeństwo strat i utratę reputacji.

Jak bezpieczna powinna być aplikacja?

Bezpieczna aplikacja powinna zapewniać bezpieczeństwo danym, które są w niej przetwarzane i przechowywane. Aby móc spełnić ten wymóg powinna być wyposażona w mechanizmy, które umożliwiają rozliczenie jej użytkownika, potwierdzania jego tożsamości i uwierzytelnienia. Musi być także być odporna na nieautoryzowaną manipulację oraz niezawodna w działaniu.

Identyfikacja wymagań bezpieczeństwa

Identyfikując wymagania bezpieczeństwa dla aplikacji biznesowych należy mieć na względzie oczekiwany poziom ochrony dla danych przetwarzanych i przechowywanych za pomocą tych aplikacji.

Typowymi przesłankami do określenia poziomu ochrony tych danych będą:

  • potencjalne skutki błędów w ochronie informacji i dostępności usługi
  • cele, które należy osiągnąć dzięki wdrożonym środkom ochronnym

Na etapie identyfikacji wymagań pożądane jest także ustalenie regulacji prawnych dotyczących rodzaju przetwarzanych danych, które definiują wymagania, które muszą zostać spełnione. I tak np. w przypadku przetwarzania danych osobowych istotne będą wymagania bezpieczeństwa określone w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024). W rozporządzeniu są wyspecyfikowane obligatoryjne środki ochronne, bez określenia sposobu ich implementacji. Wyróżnia się zróżnicowane poziomy ochrony przetwarzania danych w zależności od kategorii przetwarzanych danych oraz występujących zagrożeń. Na poziomie wysokim wymagane jest stosowanie środków ochrony kryptograficznej nie tylko danych osobowych przesyłanych w publicznej sieci telekomunikacyjnej, ale również danych wykorzystywanych do uwierzytelniania się w systemie.