מאת: דבורה ליטל ג'ון שינדר, GFI
תקנות ה- GDPR מחליפות את הוראות הגנת הנתונים של האיחוד האירופאי, והן תקפות לכל ארגון האוסף או מעבד נתונים אישיים של כל אזרח האיחוד האירופאי (גם אם לארגון אין נוכחות באיחוד האירופאי). הרגולציה תיכנס לתוקפה ב- 25 במאי, 2018, וחברות נמצאות במירוץ כדי לעמוד בה.
ה- GDPR מציב דרישות מקיפות לגבי נתונים מאוחסנים ומעובדים, כולל:
- מסירת מידע לאנשים אודות הנתונים שנאספו עליהם
- מתן גישה לנתונים ולעותק של הנתונים בפורמט נפוץ
- חובת תיקון נתונים שגויים או חסרים, והגבלת גישה לעיבוד או למחיקת נתונים (תחת תנאים מסוימים), על פי בקשת הישות.
- אבטחת הנתונים האישיים והגנה על חיסיון, שלמות, זמינות ועמידות.
כדי לעמוד בכל אחד מהתנאים לעיל, הצעד הראשון הנדרש הוא איתור הנתונים שהארגון שלך אסף, אחסן או עיבד, אשר מוגדרים ב- GDPR כנתונים אישיים – כולל כל עותק שלהם. אתה גם צריך להחזיק באמצעים לייצוא הנתונים, בפורמט נפוץ, תוך שמירה על אבטחתם.
המפתח הוא להחזיק במערכת טובה לזיהוי וסיווג נתונים ולהשתמש בכלים זמינים כדי לסייע לך להטמיע אותה.
ניהול מידע אישי רגיש תחת GDPR
לפני שתוכל לגשת לסיווג הנתונים, אתה צריך להבין את סוגי הנתונים עליהם חל ה- GDPR. כפי שמוגדר בסעיף 4 של החקיקה, "נתונים אישיים" הם נתונים אותם ניתן לשייך לאדם – באופן ישיר או בלתי ישיר, כגון שם מלא, מספר מזהה, נתוני מיקום, מזהה מקוון או כל גורם ייחודי אחר, כולל מאפיין פיזיולוגי, גנטי, נפשי, מנטלי, כלכלי, תרבותי, או חברתי.
כפי שברור לעין, המשפט "ישיר ובלתי ישיר" הופך את ההגדרה להגדרה רחבה מאוד. על חלק מהנתונים שנופלים תחת הגדרה זו אנחנו לא תמיד חושבים כ"אישיים", כגון כתובת IP, מזהה מכשיר נייד או "עוגיה" של הדפדפן.
אבל זה לא הכל. כדי לסבך את הדברים אף יותר,סעיף 9 של ה- GDPR עוסק בקטגוריה מאוד ספציפית של נתונים אישיים – "נתונים אישיים רגישים". סוג זה של נתונים דורש הגנה נוספת, והוא כולל מידע הקשור לגזע או מקור אתני, דעה פוליטית, אמונה דתית, חברות האיגוד מקצועי, או בריאות וחיי מין. נתונים הקשורים לעבריינים זוכים גם הם לטיפול מיוחד בסעיף נפרד.
מה אינו מידע אישי ו- pseudonymization
[porto_content_box bg_top_color="#eeeeee" bg_bottom_color="#eeeeee"]
תפיסה חדשה – ועבור חלק מאיתנו גם מילה חדשה – אשר מופיעה ב- GDPR היא pseudonymization. הדבר מתייחס להפעלת הצפנה, האש, או כל טכנולוגיה אחרת שמשמעותה הפיכה של נתונים אישיים לבלי ניתנים לייחוס לאדם מסוים ללא שימוש במידע נוסף. ה- GDPR ממליץ pseudonymisation (והצפנה) כדרך להגנה על נתונים אישיים.
חשוב מאוד להבין כי גם נתונים תחת pseudonymized עדיין מסווגים כנתונים אישיים ועדיין כפופים לרוב הדרישות. עם זאת, ישנם מספר יוצאי דופן או דרישות מקלות לגבי נתונים מוצפנים, כגון לגבי הצורך בדיווח על דליפת נתונים, וגמישות גדולה יותר ביחס לטיפול בנתונים ללא הסכמת נשוא הנתונים.
הנתונים היחידים שאינם נחשבים לנתונים אישיים תחת הרגולציה הם נתונים שלא יכולים בשום דרך להיות מיוחסים לאדם מסוים. חברות וארגונים אינם נחשבים "אנשים" במסגרת הרגולציה – אבל זה נכון רק אם הארגון גדול מספיק כדי שלא תוכל להסיק מהמידע לגבי אדם מסוים בארגון.
[/porto_content_box]
היכן הנתונים האישיים?
ברגע שיש הבנה ברורה של מהו מידע אישי (ומה אינו מידע אישי), אתה מתחיל בסריקה מהקרקע למעלה. זה נשמע קל יותר מאשר הדברים בפועל. נתונים אישיים דיגיטליים יכולים להימצא במקומות שונים: בסיסי נתונים הם המובן מאליו, אבל מידע אישי יכול להימצא גם במסמכים, גיליונות נתונים, הודעות דואר אלקטרוני וסוגים שונים של קבצים.
כיצד אתה מוצא את הנתונים, כאשר הם עלולים להתחבא בים של מסמכים ונתונים שונים? כמובן שלא אפשרי עבור אדם לבדוק כל קובץ. אתה צריך דרך לבצע אוטומטציה לתהליך עם אלגוריתמים לזיהוי נתונים אישיים.
כיצד אתה יכול לזהות נתונים אישיים?
למרבה המזל, סוגים שונים של נתונים אישיים מתבססים על תבניות דומות. לדוגמא, מספרי דרכון, מספרי טלפון, כרטיסי אשראי, ואחרים יכילו מבנה דומה של ספרות או אותיות.
נדרשת טכנולוגיה מקיפה ועוצמתית כדי לסרוק את כל הנתונים האישיים שנאספו, אוחסנו ועובדו בארגון שלך. הכרחי להשתמש בסוגי חיפוש שונים. חיפוש ביטויים רגיל יכול לשמש כדי לאתר רצפים העוקבים אחר תבניות קבועות של נתונים אישיים. אלגוריתמים שונים יכולים לסרוק אחר מילות מפתח, אשר בשילוב עם רצפי מספרים, מצביעים על סוגים שונים של נתונים אישיים, כגון קוד או שם מדינה.
שימוש בכלי תוכנה מובנים ומאפיינים
התוכנה בה אתה משתמש כדי לאחסן ולעבד את הנתונים שלך מכילה כנראה את אותם הכלים בהם תשתמש כדי לחפש נתונים אישיים. לדוגמא, שירותי הענן של מיקרוסופט – Azure, אופיס 365 ן- EMS, Dynamics 365, Azure SQL Database ו- Sharepoint – כולם כוללים יכולות חיפוש שיכולות לסייע בכך.
כדי למצוא נתונים ב- Microsoft Azure, אתה יכול להשתמש ב- Azure Active Directory, Azure Data Catalog, Power Query (עבור Hadoop), Azure Search ואחרים.
ברגע שמצאת את הנתונים האישיים, אתה יכול להשתמש בכלים אחרים כגון Azure Information Protection כדי לסייע להטמיע את סיווג הנתונים ולהפעיל תיוג קבוע על הנתונים. אתה יכול להשתמש גם ב- REST API כדי לסווג נתונים הרשומים ב- Azure Data Catalog.
לקוחות Office 365 יכולים להשתמש בחיפוש תוכן ב- Advanced eDiscovery כדי לזהות מידע אישי לרוחב Exchange Online, SharePoint Online, OneDrive for Business ו- Skype. ניתן להשתמש בתיוגים של Office 365 כדי לסווג נתונים אישיים ולהפעיל הצפנה והגבלות גישה. מנהלים יכולים להשתמש ב- Advanced Data Governance tool כדי לבצע אוטומציה למדיניות של שימור ומחיקת נתונים.
כדי למצוא נתונים אישיים על מחשבים אישיים ושרתים מקומיים, אתה יכול להשתמש ב- Windows Search, PowerShell, ומאפיינים של מערכות הפעלה אחרות ויכולות. מציאת נתונים אישיים בבסיסי SQL יכולה להיעשות באמצעות שאילתות SQL.
פתרון לניהול והגנה על נתונים אישיים
ברגע שנתון זוהה וסווג כמידע אישי, הוא חייב להיות מנוהל ומוגן בהתאם לדרישות ה- GDPR. כאן נכנסות למשחק תוכנות ניטור, ניהול ואבטחה.
משפחת הפתרונות של GFI כוללת את:
GFI LanGuard – לשמירה על אבטחת הרשת ועל המערכות מעודכנות – Patched – כדי למנוע דליפות כתוצאה מפרצות פתוחות במערכות הארגון.
GFI Endpoint Security – להפחתת סיכון לדליפת נתונים אישיים באמצעות הנגרמות בסביבות BYOD ודרך מכשירי אחסון נייד
GFI EventsManager – מסייע לך לזהות כל פעילות חשודה אשר עלולה להצביע על דליפה של נתונים אישיים, ולעצור אותה בזמן או לקבל החלטות נכונות בהתאם ל- GDRP
לסיכום:
עמידה ב- GDPR וברגולציה אחרת מתחילה באיתור וסיווג נתונים אישיים – אבל זה רק הצעד הראשון. ברגע שהנתונים זוהו, אתה חייב להטמיע בקרים כדי להגן על החיסיון ושלמות הנתונים, ולהבטיח קבלת התראה במקרה של פריצה.
מאפיינים ויכולות המובנים לתוך מערכת ההפעלה ושירותי הענן יכולים לסייע לך לאתר את הנתונים הזקוקים להגנה, ובשילוב מאפייני אבטחה מובנים -המוגדרים ומנוהלים בצורה נכונה, עם פתרונות ניהול ואבטחה מתקדמים, אתה יכול לעשות צעד בכיוון הנכון.