Ο ΓΚΠΔ ορίζει ότι οι υπεύθυνοι επεξεργασίας δεδομένων και οι εκτελούντες την επεξεργασία πρέπει να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζουν ένα επίπεδο ασφάλειας για τα προσωπικά δεδομένα ανταποκρινόμενο στον εκάστοτε κίνδυνο.

Οι ακόλουθες πληροφορίες αφορούν τις βασικές προφυλάξεις που πρέπει να λαμβάνονται υπόψη από τους οργανισμούς που επεξεργάζονται προσωπικά δεδομένα (π.χ. υπεύθυνοι επεξεργασίας και εκτελούντες την επεξεργασία). Δεν αποσκοπούν στην παροχή πλήρους καταλόγου μέτρων που μπορούν να εφαρμοστούν για την προστασία των προσωπικών δεδομένων σε όλες τις περιστάσεις. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία πρέπει να προσαρμόσουν τα μέτρα αυτά στην κάθε περίσταση (λαμβάνοντας υπόψη την εξέλιξη της τεχνολογίας, το πλαίσιο της επεξεργασίας και τον κίνδυνο για τα φυσικά πρόσωπα).

Ασφάλεια: τι διακυβεύεται;

Οι συνέπειες της έλλειψης ασφάλειας μπορεί να είναι σοβαρές: οι εταιρείες μπορούν να δουν την εικόνα τους να υποβαθμίζεται, να χάσουν την εμπιστοσύνη των καταναλωτών τους, να πληρώσουν μεγάλα χρηματικά ποσά προκειμένου να ορθοποδήσουν μετά από ένα περιστατικό ασφαλείας (για παράδειγμα μετά από ένα περιστατικό παραβίασης δεδομένων) ή να σταματήσουν τη δραστηριότητά τους. Τα ασφαλή προσωπικά δεδομένα είναι προς το συμφέρον τόσο των φυσικών προσώπων όσο και των οργανισμών που επεξεργάζονται τα δεδομένα.

Προκειμένου να αξιολογηθούν οι κίνδυνοι που προκύπτουν από κάθε πράξη επεξεργασίας, συνιστάται καταρχάς να προσδιοριστεί ο δυνητικός αντίκτυπος στα δικαιώματα και τις ελευθερίες των εμπλεκόμενων ατόμων. Ενώ οι οργανισμοί πρέπει να προστατεύουν τα δεδομένα τους (προσωπικά ή μη) για το δικό τους συμφέρον, οι ακόλουθες πληροφορίες επικεντρώνονται στην προστασία των δεδομένων των φυσικών προσώπων.

Η ασφάλεια των δεδομένων έχει τρεις κύριες συνιστώσες: την προστασία της ακεραιότητας, της διαθεσιμότητας και της εμπιστευτικότητας των δεδομένων. Ως εκ τούτου, οι οργανισμοί θα πρέπει να αξιολογούν τους κινδύνους για τα ακόλουθα:

  1. μη εξουσιοδοτημένη ή τυχαία πρόσβαση σε δεδομένα — παραβίαση της εμπιστευτικότητας (π.χ. κλοπή ταυτότητας μετά την κοινοποίηση των εκκαθαριστικών σημειωμάτων μισθοδοσίας όλων των υπαλλήλων μιας εταιρείας)·
  2. μη εξουσιοδοτημένη ή τυχαία αλλοίωση δεδομένων — παραβίαση της ακεραιότητας (π.χ. ψευδής κατηγορία προσώπου για αδίκημα ή έγκλημα ως αποτέλεσμα της τροποποίησης των αρχείων καταγραφής πρόσβασης)·
  3. απώλεια δεδομένων ή απώλεια πρόσβασης σε δεδομένα — παραβίαση της διαθεσιμότητας (π.χ. αδυναμία ανίχνευσης αλληλεπίδρασης φαρμάκων λόγω της αδυναμίας πρόσβασης στο ηλεκτρονικό αρχείο του ασθενούς).

Συνιστάται επίσης ο εντοπισμός των πηγών κινδύνου (π.χ. ποιος ή τι θα μπορούσε να είναι η αιτία ενός περιστατικού ασφαλείας;), λαμβάνοντας υπόψη εσωτερικές και εξωτερικές ανθρώπινες πηγές (π.χ. διαχειριστής ΤΠ, χρήστης, εξωτερικός εισβολέας, ανταγωνιστής) και εσωτερικές ή εξωτερικές μη ανθρώπινες πηγές (π.χ. ζημιά από το νερό, επικίνδυνα υλικά, μη στοχευμένος ιός υπολογιστών).

Ο εντοπισμός των πηγών κινδύνου θα σας επιτρέψει να προσδιορίσετε τις πιθανές απειλές (δηλαδή ποιες περιστάσεις θα μπορούσαν να επιτρέψουν την εμφάνιση περιστατικού ασφάλειας;) στο υποστηρικτικό υλικό (π.χ. υλικό, λογισμικό, δίαυλοι επικοινωνίας, χαρτί κ.λπ.), που μπορεί να οφείλονται σε:

  • ακατάλληλη χρήση (π.χ. κατάχρηση δικαιωμάτων, εσφαλμένο χειρισμό)·
  • τροποποίηση (π.χ. παγίδευση λογισμικού ή υλικού — keylogger, εγκατάσταση κακόβουλου λογισμικού)·
  • απώλεια (π.χ. κλοπή φορητού υπολογιστή, απώλεια κλειδιού USB)·
  • παρατήρηση (π.χ. παρατήρηση οθόνης σε αμαξοστοιχία, γεωεντοπισμός συσκευών)·
  • επιδείνωση (π.χ. βανδαλισμός, φυσική υποβάθμιση)·
  • υπερφόρτωση (π.χ. μονάδα αποθήκευσης πλήρης, επίθεση άρνησης υπηρεσίας).
  • μη διαθεσιμότητα (π.χ. σε περίπτωση ransomware).

Συνιστάται επίσης:

  • να προσδιορίζονται τα υφιστάμενα ή προγραμματισμένα μέτρα για την αντιμετώπιση κάθε κινδύνου (π.χ. έλεγχος πρόσβασης, αντίγραφα ασφαλείας, ιχνηλασιμότητα, ασφάλεια εγκαταστάσεων, κρυπτογράφηση)·
  • να εκτιμάται η σοβαρότητα και η πιθανότητα των κινδύνων, με βάση τα ανωτέρω στοιχεία (παράδειγμα κλίμακας που μπορεί να χρησιμοποιηθεί για την εκτίμηση: αμελητέο, μέτριο, σημαντικό, μέγιστο)·
  • να εφαρμόζονται και να επαληθεύονται τα προγραμματισμένα μέτρα, αν τα υφιστάμενα και προγραμματισμένα μέτρα κρίνονται κατάλληλα, να διασφαλίζεται η εφαρμογή και η παρακολούθησή τους·
  • να διενεργούνται περιοδικοί έλεγχοι ασφάλειας: κάθε έλεγχος θα πρέπει να καταλήγει σε ένα σχέδιο δράσης του οποίου η εφαρμογή θα πρέπει να επιτηρείται  από το ανώτατο επίπεδο   του οργανισμού.

Ο ΓΚΠΔ εισάγει την έννοια της «εκτίμησης αντικτύπου στην προστασία των δεδομένων», η οποία είναι υποχρεωτική για κάθε επεξεργασία προσωπικών δεδομένων που ενδέχεται να οδηγήσει σε υψηλό κίνδυνο για τα φυσικά πρόσωπα. Η ΕΑΠΔ πρέπει να περιέχει τα μέτρα που προβλέπονται για την αντιμετώπιση των εντοπισθέντων κινδύνων, συμπεριλαμβανομένων των διασφαλίσεων, των μέτρων ασφαλείας και των μηχανισμών για τη διασφάλιση της προστασίας των προσωπικών δεδομένων.

Στην πράξη

  • Για να έχετε μια σαφέστερη εικόνα των κινδύνων ασφαλείας, μπορείτε, για παράδειγμα, να δημιουργήσετε ένα υπολογιστικό φύλλο διαχείρισης κινδύνων και να το ενημερώνετε τακτικά. Αυτό το υπολογιστικό φύλλο μπορεί να περιλαμβάνει υλικούς και ανθρώπινους κινδύνους που σχετίζονται με διακομιστές, υπολογιστές ή εγκαταστάσεις. Οι επαρκώς προβλεπόμενοι κίνδυνοι μπορούν να συμβάλλουν στον μετριασμό των συνεπειών σε περίπτωση συμβάντος.

Οργανωτικά μέτρα

Αύξηση της ευαισθητοποίησης των χρηστών

Είναι σημαντικό οι εργαζόμενοι ή οι χρήστες που χειρίζονται προσωπικά δεδομένα (χειριστές δεδομένων) να γνωρίζουν τους κινδύνους που σχετίζονται με την ιδιωτική ζωή, να ενημερώνονται για τα μέτρα που λαμβάνονται για την αντιμετώπιση των κινδύνων και των πιθανών συνεπειών σε περίπτωση αποτυχίας.

Στην πράξη

Η ευαισθητοποίηση των χρηστών μπορεί να λάβει τη μορφή:

  • συναντήσεων ευαισθητοποίησης·
  • τακτικών ενημερώσεων σχετικά με τις διαδικασίες που σχετίζονται με τα καθήκοντα των εργαζομένων και των χρηστών δεδομένων·
  • εσωτερικής επικοινωνίας, μέσω υπενθυμίσεων ηλεκτρονικού ταχυδρομείου κ.λπ.
     

Άλλο προληπτικό μέτρο  είναι να τεκμηριώνονται οι διαδικασίες λειτουργίας, να επικαιροποιούνται και να καθίστανται εύκολα διαθέσιμες σε όλους τους ενδιαφερόμενους χρήστες δεδομένων. Συγκεκριμένα, κάθε δραστηριότητα επεξεργασίας προσωπικών δεδομένων, είτε αφορά διοικητικές δραστηριότητες  είτε την απλή χρήση μιας εφαρμογής, θα πρέπει να επεξηγείται σε σαφή γλώσσα και να προσαρμόζεται σε κάθε κατηγορία χρηστών, σε έγγραφα στα οποία μπορούν να ανατρέχουν.

 

Χάραξη εσωτερικής πολιτικής

Η ευαισθητοποίηση των εσωτερικών χρηστών δεδομένων μπορεί να γίνει και μέσω εγγράφου, το οποίο θα πρέπει να είναι δεσμευτικό και ενσωματωμένο στους εσωτερικούς κανονισμούς. Η εσωτερική πολιτική θα πρέπει να περιλαμβάνει ιδίως περιγραφή των κανόνων προστασίας και ασφάλειας των δεδομένων.

Άλλα οργανωτικά μέτρα

  • Εφαρμόστε πολιτική διαβάθμισηςπληροφοριών που ορίζει διάφορα επίπεδα και απαιτεί τη σήμανση εγγράφων και μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν εμπιστευτικά δεδομένα.
  • Κάντε μια ορατή και ρητή  δήλωση σε κάθε σελίδα ενός έντυπου ή ηλεκτρονικού εγγράφου που περιέχει ευαίσθητα δεδομένα.
  • Πραγματοποιείστε μαθήματα κατάρτισης και ευαισθητοποίησης σχετικά με την ασφάλεια των πληροφοριών. Οι περιοδικές υπενθυμίσεις μπορούν να παρέχονται μέσω ηλεκτρονικού ταχυδρομείου ή άλλων εργαλείων εσωτερικής επικοινωνίας.
  • Μεριμνήστε για την υπογραφή συμφωνίας εμπιστευτικότητας ή συμπεριλάβετε ειδική ρήτρα εμπιστευτικότητας σχετικά με τα προσωπικά δεδομένα στις συμβάσεις με υπαλλήλους και άλλους χρήστες δεδομένων.

 

Τεχνικά μέτρα

Ασφαλής εξοπλισμός

Η εμπιστοσύνη στην αξιοπιστία των πληροφοριακών σας συστημάτων αποτελεί βασικό ζήτημα και η εφαρμογή των κατάλληλων μέτρων ασφαλείας, τα οποία ο ΓΚΠΔ έχει καταστήσει υποχρεωτικά, είναι ένας από τους τρόπους επίτευξης αυτού.
Ειδικότερα, συνιστάται να διασφαλίζονται τα ακόλουθα:

  • υλικό (π.χ. εξυπηρετητές, σταθμοί εργασίας, φορητοί υπολογιστές, σκληροί δίσκοι)·
  • λογισμικό (π.χ. λειτουργικό σύστημα, επιχειρηματικό λογισμικό)·
  • δίαυλοι επικοινωνίας (π.χ. οπτικές ίνες, Wi-Fi, Διαδίκτυο)·
  • έντυπα έγγραφα (π.χ. εκτυπωμένα έγγραφα, αντίγραφα)·
  • εγκαταστάσεις.

Ασφαλείς σταθμοί εργασίας

Κατά τη διασφάλιση των θέσεων εργασίας θα μπορούσαν να ληφθούν υπόψη οι ακόλουθες ενέργειες:

  • να παρέχετε μηχανισμό αυτόματου κλειδώματος συνεδρίας όταν ο σταθμός εργασίας δεν χρησιμοποιείται για ορισμένο χρονικό διάστημα·
  • να εγκαταστήσετε λογισμικό τείχους προστασίας και να περιορίζετε το άνοιγμα των θυρών επικοινωνίας σε εκείνες που είναι απολύτως αναγκαίες για την ορθή λειτουργία των εφαρμογών που είναι εγκατεστημένες στον σταθμό εργασίας·
  • να χρησιμοποιείτε τακτικά ενημερωμένο λογισμικό προστασίας από ιούς και να εφαρμόζετε πολιτική τακτικής ενημέρωσης λογισμικού·
  • να ρυθμίζετε τις παραμέτρους του λογισμικού ώστε να επικαιροποιείται αυτόματα η ασφάλεια όποτε είναι δυνατόν·
  • να ενθαρρύνετε την αποθήκευση των δεδομένων των χρηστών σε έναν αποθηκευτικό χώρο που δημιουργεί τακτικά αντίγραφα ασφαλείας προσβάσιμο μέσω του δικτύου του οργανισμού και όχι σε σταθμούς εργασίας. Εάν τα δεδομένα αποθηκεύονται τοπικά, να παρέχετε στους χρήστες δυνατότητες συγχρονισμού ή δημιουργίας αντιγράφων ασφαλείας και να τους εκπαιδεύετε στη χρήση τους·
  • να περιορίζετε τη σύνδεση των κινητών μέσων (USB, εξωτερικοί σκληροί δίσκοι κ.λπ.) στα απολύτως βασικά·
  • να απενεργοποιήσετε την αυτόματη εκτέλεση από τα αφαιρούμενα μέσα.

Τι δεν πρέπει να κάνετε

  • να χρησιμοποιείτε παρωχημένα λειτουργικά συστήματα·
  • να παρέχετε δικαιώματα διαχειριστή σε χρήστες που δεν διαθέτουν κατάρτιση ασφάλειας υπολογιστών.

 

Για να προχωρήσουμε παραπέρα

  • να απαγορεύετε τη χρήση μεταφορτωμένων εφαρμογών που δεν προέρχονται από ασφαλείς πηγές·
  • να περιορίζετε τη χρήση εφαρμογών που απαιτούν την εκτέλεση δικαιωμάτων σε επίπεδο διαχειριστή·
  • να διαγράφετε με ασφάλεια τα δεδομένα μιας θέσης εργασίας πριν από την εκ νέου ανάθεσή της σε άλλο άτομο·
  • σε περίπτωση διακύβευσης ενός σταθμού εργασίας, να αναζητάτε την πηγή και τυχόν ίχνη εισβολής στο πληροφοριακό σύστημα του οργανισμού, προκειμένου να διαπιστωθεί εάν διακυβεύτηκαν άλλα στοιχεία·
  • να παρακολουθείτε την ασφάλεια του λογισμικού και του υλισμικού που χρησιμοποιείται στο πληροφοριακό σύστημα του οργανισμού·
  • να επικαιροποιείτε τις εφαρμογές όταν έχουν εντοπιστεί και διορθωθεί κρίσιμα τρωτά σημεία·
  • να εγκαταστήσετε σημαντικές ενημερώσεις λειτουργικού συστήματος χωρίς καθυστέρηση με προγραμματισμό εβδομαδιαίου αυτόματου ελέγχου·
  • να ενημερώσετε όλους τους χρήστες για την κατάλληλη πορεία δράσης και τον κατάλογο των ατόμων με τα οποία πρέπει να επικοινωνήσουν σε περίπτωση περιστατικού ασφαλείας ή ασυνήθιστου συμβάντος που επηρεάζει τα συστήματα πληροφοριών και επικοινωνιών του οργανισμού.

Στην πράξη

  • Τα γραφεία σας είναι τύπου ανοικτού χώρου και έχετε πολλούς υπαλλήλους, αλλά και πολλούς επισκέπτες. Χάρη σε ένα αυτόματο σύστημα κλειδώματος συνεδρίας, κανείς εκτός της εταιρείας δεν μπορεί να έχει πρόσβαση στον υπολογιστή ενός υπαλλήλου που κάνει διάλειμμα ή να δει τη δουλειά του. Επιπλέον, ένα τείχος προστασίας και ένα ενημερωμένο antivirus προστατεύουν την περιήγηση των υπαλλήλων σας στο διαδίκτυο και περιορίζουν τους κινδύνους εισβολής στους διακομιστές σας. Όσα περισσότερα τα μέτρα που λαμβάνονται, τόσο πιο δύσκολο είναι να προκληθεί ζημία από άτομα με κακόβουλη πρόθεση ή από αμελή εργαζόμενο.

Προστασία των εγκαταστάσεων της εταιρείας

Η πρόσβαση στις εγκαταστάσεις πρέπει να ελέγχεται ώστε να εμποδίζεται ή να επιβραδύνεται η άμεση, μη εξουσιοδοτημένη πρόσβαση σε έντυπα αρχεία ή σε εξοπλισμό υπολογιστών, ιδίως σε διακομιστές.

Τι να κάνετε

  • να εγκαταστήσετε συναγερμούς για τις περιπτώσεις παρείσφρησης και να τους ελέγχετε περιοδικά·
  • να εγκαταστήσετε ανιχνευτές καπνού και πυροσβεστικό εξοπλισμό και να τους επιθεωρείτε ετησίως·
  • να φυλάσσετε τα κλειδιά που χρησιμοποιούνται για την πρόσβαση στις εγκαταστάσεις και τους κωδικούς συναγερμού·
  • να διαχωρίζετε τους χώρους των κτιρίων ανάλογα με τον κίνδυνο (π.χ. να εξασφαλίζετε ειδικό έλεγχο πρόσβασης για την αίθουσα υπολογιστών)·
  • να τηρείτε κατάλογο ατόμων ή κατηγοριών ατόμων που επιτρέπεται να εισέρχονται σε κάθε χώρο·
  • να θεσπίζετε κανόνες και τρόπους για τον έλεγχο της πρόσβασης των επισκεπτών∙ τουλάχιστον να συνοδεύονται οι επισκέπτες, εκτός των δημοσίων χώρων, από πρόσωπο του οργανισμού·
  • να λαμβάνετε φυσικά μέτρα ασφάλειας  του εξοπλισμούτων ηλεκτρονικών υπολογιστών με ειδικά μέσα (εξειδικευμένο σύστημα πυρόσβεσης, ανύψωση έναντι πιθανής πλημμύρας, εφεδρική παροχή ηλεκτρικού ρεύματος ή/και κλιματισμού κ.λπ.).

 

Τι δεν πρέπει να κάνετε

Μη μειώνετε τον χώρο ή παραμελείτε τη συντήρηση του περιβάλλοντος χώρου του διακομιστή (κλιματισμός, UPS, κ.λπ.). Η βλάβη στις εγκαταστάσεις αυτές συχνά οδηγεί στο κλείσιμο των μηχανών ή στο άνοιγμα της πρόσβασης στα δωμάτια (κυκλοφορία αέρα), γεγονός που εξουδετερώνει εκ των πραγμάτων τα μέτρα ασφαλείας.

Για να προχωρήσουμε παραπέρα

Ίσως είναι σκόπιμο να τηρείτε αρχείο πρόσβασης σε αίθουσες ή γραφεία που διαθέτουν υλικό που περιέχει προσωπικά δεδομένα το οποίο θα μπορούσε να έχει σοβαρές αρνητικές επιπτώσεις για τα εμπλεκόμενα άτομα. Ενημερώστε τους χρήστες δεδομένων για την εφαρμογή ενός τέτοιου συστήματος, αφού ενημερώσετε και συζητήσετε με τους εκπροσώπους του προσωπικού.

Επίσης, διασφαλίστε ότι μόνο επαρκώς εξουσιοδοτημένο προσωπικό θα επιτρέπεται να έχει πρόσβαση σε χώρους περιορισμένης πρόσβασης. Για παράδειγμα:

 

  • εντός των περιορισμένης πρόσβασης χώρων, να απαιτείται από όλα τα άτομα να φέρουν ορατό μέσο αναγνώρισης (κάρτα)·
  • οι επισκέπτες (προσωπικό τεχνικής υποστήριξης κ.λπ.) θα πρέπει να έχουν περιορισμένη πρόσβαση. Η ημερομηνία και η ώρα άφιξης και αναχώρησης πρέπει να καταγράφονται·
  • να επανεξετάζετε και να ενημερώνετε τακτικά τις άδειες πρόσβασης για την ασφάλεια των χώρων και να τις αφαιρείτε ανάλογα με τις ανάγκες.

Στην πράξη

  • Η εταιρεία σας είναι εξειδικευμένη στο ηλεκτρονικό εμπόριο. Διατηρείτε προσωπικά δεδομένα πελατών που φιλοξενούνται σε διακομιστές σε ξεχωριστούς χώρους. Για να διασφαλιστεί η πρόσβαση σε αυτά τα δεδομένα, η είσοδος σε αυτές τις εγκαταστάσεις προστατεύεται από έναν αναγνώστη καρτών. Ωστόσο, μια πυρκαγιά ξεσπά λόγω βραχυκυκλώματος. Χάρη σε έναν ανιχνευτή καπνού, η πυροσβεστική υπηρεσία ειδοποιείται γρήγορα και είναι σε θέση να περιορίσει την απώλεια δεδομένων.

Επαλήθευση ταυτότητας χρηστών

Για να διασφαλιστεί ότι οι χρήστες έχουν πρόσβαση μόνο στα δεδομένα που χρειάζονται, θα πρέπει να τους δοθεί ένα μοναδικό αναγνωριστικό και θα πρέπει να επαληθεύεται η ταυτότητά τους πριν από τη χρήση των υπολογιστών.

Οι μηχανισμοί για την επίτευξη της επαλήθευσης ταυτότητας προσώπου κατηγοριοποιούνται ανάλογα με το αν περιλαμβάνουν τα ακόλουθα:

  • τι γνωρίζουμε, π.χ. κωδικός πρόσβασης·
  • τι έχουμε, π.χ. μια έξυπνη κάρτα·
  • ένα ιδιαίτερο χαρακτηριστικό του ατόμου, για παράδειγμα ο τρόπος με τον οποίο ανιχνεύεται μια χειρόγραφη υπογραφή.

Η επιλογή του μηχανισμού εξαρτάται από το πλαίσιο και τους διάφορους παράγοντες. Ο έλεγχος ταυτότητας ενός χρήστη θεωρείται ισχυρός όταν χρησιμοποιεί έναν συνδυασμό από τουλάχιστον δύο από αυτές τις κατηγορίες.

Στην πράξη

  • Για να αποκτήσετε πρόσβαση σε ένα ασφαλές δωμάτιο που περιέχει εμπιστευτικές πληροφορίες, μπορείτε να εγκαταστήσετε έναν αναγνώστη καρτών («τι έχουμε») μαζί με έναν κωδικό πρόσβασης («τι γνωρίζουμε»).

Διαχείριση αδειών

Θα πρέπει να εφαρμόζονται διαφοροποιημένα επίπεδα προφίλ εξουσιοδότησης ανάλογα με τις ανάγκες. Οι χρήστες θα πρέπει να έχουν πρόσβαση σε δεδομένα μόνο βάσει των αναγκών γνώσης.

Ορθή πρακτική για την επαλήθευση της ταυτότητας και τη διαχείριση των εξουσιοδοτήσεων:

  • καθορίστε ένα μοναδικό αναγνωριστικό για κάθε χρήστη και απαγορεύστε τους λογαριασμούς που μοιράζονται πολλοί χρήστες. Σε περίπτωση που η χρήση γενικών ή κοινών αναγνωριστικών είναι αναπόφευκτη, απαιτήστε εσωτερική επαλήθευση και εφαρμόστε μέσα για την παρακολούθησή τους (logs)·
  • επιβάλετε τη χρήση επαρκώς ισχυρών κανόνων πολυπλοκότητας του κωδικού πρόσβασης (π.χ. τουλάχιστον 8 χαρακτήρες, κεφαλαία και ειδικοί χαρακτήρες)·
  • αποθηκεύστε τους κωδικούς πρόσβασης με ασφάλεια·
  • καταργείστε παλιές εξουσιοδοτήσεις  πρόσβασης·
  • διενεργείτε επανελέγχους σε τακτική βάση (π.χ. ανά εξάμηνο)·

 

Τι δεν πρέπει να κάνετε

  • να δημιουργείτε ή να χρησιμοποιείτε λογαριασμούς που μοιράζονται πολλά άτομα
  • να παρέχετε δικαιώματα διαχειριστή σε χρήστες που δεν τα χρειάζονται·
  • να παρέχετε στον χρήστη περισσότερα προνόμια από ό,τι απαιτείται·
  • να ξεχνάτε να καταργείτε προσωρινές εξουσιοδοτήσεις  που έχουν χορηγηθεί σε χρήστη (π.χ. για αντικατάσταση)·
  • να ξεχνάτε να διαγράφετε τους λογαριασμούς χρηστών των ατόμων που έχουν φύγει από τον οργανισμό ή έχουν αλλάξει θέση εργασίας.

Για να προχωρήσουμε παραπέρα

Να καταρτίζετε,  τεκμηριώνετε και προβαίνετε σε τακτική αναθεώρηση της πολιτικής  ελέγχου πρόσβασης, που  σχετίζεται με τους τρόπους αντιμετώπισης που εφαρμόζει ο οργανισμός, οι οποίοι θα πρέπει να περιλαμβάνουν:

  • τις διαδικασίες που πρέπει να εφαρμόζονται συστηματικά κατά την άφιξη, την αναχώρηση ή την αλλαγή καθηκόντων προσώπου με πρόσβαση σε προσωπικά δεδομένα·
  • τις συνέπειες για τα φυσικά πρόσωπα που έχουν νόμιμη πρόσβαση στα δεδομένα σε περίπτωση μη συμμόρφωσης με τα μέτρα ασφαλείας·
  • μέτρα για τον περιορισμό και τον έλεγχο της κατανομής και της χρήσης της πρόσβασης στην επεξεργασία.

Στην πράξη

  • Όταν ένας νέος υπάλληλος προσχωρήσει στην εταιρεία, πρέπει να δημιουργήσετε έναν νέο ειδικό λογαριασμό χρήστη με ισχυρό κωδικό πρόσβασης. Οι εργαζόμενοι δεν θα πρέπει να μοιράζονται τα διαπιστευτήριά τους μεταξύ τους, ειδικά αν δεν έχουν την ίδια διαπίστευση. Σε περίπτωση που αλλάξουν θέση, θα πρέπει να εξετάσετε τα δικαιώματα πρόσβασής τους σε ορισμένα αρχεία ή συστήματα.

Ψευδωνυμοποίηση δεδομένων

Η ψευδωνυμοποίηση είναι η επεξεργασία προσωπικών δεδομένων κατά τρόπο ώστε να μην είναι πλέον δυνατή η απόδοση των δεδομένων αυτών σε συγκεκριμένο φυσικό πρόσωπο χωρίς τη χρήση πρόσθετων πληροφοριών. Οι εν λόγω πρόσθετες πληροφορίες πρέπει να τηρούνται χωριστά και να υπόκεινται σε τεχνικά και οργανωτικά μέτρα.

Στην πράξη, η ψευδωνυμοποίηση συνίσταται στην αντικατάσταση των άμεσα αναγνωριστικών δεδομένων (επίθετο, όνομα, προσωπικός αριθμός, αριθμός τηλεφώνου κ.λπ.) σε ένα σύνολο δεδομένων με έμμεσα στοιχεία ταυτοποίησης (γνωστός και ως αύξων αριθμός κ.λπ.). Καθιστά δυνατή την επεξεργασία των δεδομένων των ατόμων χωρίς να είναι δυνατή η ταυτοποίησή τους με άμεσο τρόπο. Ωστόσο, είναι δυνατόν να ανιχνευθεί η ταυτότητα αυτών των ατόμων χάρη στα πρόσθετα δεδομένα. Ως εκ τούτου, τα ψευδωνυμοποιημένα δεδομένα εξακολουθούν να αποτελούν προσωπικά δεδομένα και υπόκεινται στον ΓΚΠΔ. Η ψευδωνυμοποίηση είναι επίσης αναστρέψιμη, σε αντίθεση με την ανωνυμοποίηση.

Η ψευδωνυμοποίηση είναι ένα από τα μέτρα που συνιστά ο ΓΚΠΔ για τον περιορισμό των κινδύνων που συνδέονται με την επεξεργασία προσωπικών δεδομένων.

Κρυπτογράφηση δεδομένων

Η κρυπτογράφηση είναι μια διαδικασία που συνίσταται στη μετατροπή των πληροφοριών σε κώδικα, προκειμένου να αποφευχθεί η μη εξουσιοδοτημένη πρόσβαση. Αυτές οι πληροφορίες μπορούν να διαβαστούν ξανά μόνο με τη χρήση του σωστού κλειδιού. Η κρυπτογράφηση χρησιμοποιείται για να εγγυηθεί την εμπιστευτικότητα των δεδομένων. Τα κρυπτογραφημένα δεδομένα παραμένουν προσωπικά δεδομένα. Ως εκ τούτου, η κρυπτογράφηση μπορεί να θεωρηθεί ως μία από τις τεχνικές ψευδωνυμοποίησης.

Επιπλέον, οι λειτουργίες κατακερματισμού, μπορούν να χρησιμοποιηθούν για τη διασφάλιση της ακεραιότητας των δεδομένων. Οι ψηφιακές υπογραφές, όχι μόνο διασφαλίζουν την ακεραιότητα, αλλά καθιστούν επίσης δυνατή την επαλήθευση της προέλευσης των πληροφοριών και της αυθεντικότητάς τους.

 

Ανωνυμοποίηση δεδομένων

 

Τα προσωπικά δεδομένα μπορούν να καταστούν ανώνυμα κατά τρόπο ώστε το άτομο να μην είναι πλέον αναγνωρίσιμο. Η ανωνυμοποίηση είναι μια διαδικασία που συνίσταται στη χρήση ενός συνόλου τεχνικών για την ανωνυμία των προσωπικών δεδομένων κατά τρόπο ώστε να καθίσταται αδύνατη η ταυτοποίηση του προσώπου με οποιοδήποτε μέσο που είναι ευλόγως πιθανό να χρησιμοποιηθεί.

Η ανωνυμοποίηση, όταν εφαρμόζεται σωστά, μπορεί να σας επιτρέψει να χρησιμοποιήσετε τα δεδομένα με τρόπο που σέβεται τα δικαιώματα και τις ελευθερίες των ατόμων. Πράγματι, η ανωνυμοποίηση επιτρέπει την περαιτέρω χρήση δεδομένων που αρχικά δεν επιτρέπεται λόγω της προσωπικής φύσης των δεδομένων και, ως εκ τούτου, μπορεί να επιτρέψει στους οργανισμούς να χρησιμοποιούν δεδομένα για πρόσθετους σκοπούς χωρίς να παρεμβαίνουν στην ιδιωτική ζωή των ατόμων. Η ανωνυμοποίηση επιτρέπει επίσης τη διατήρηση των δεδομένων πέραν της περιόδου διατήρησης.

Όταν η ανωνυμοποίηση εφαρμόζεται σωστά, ο ΓΚΠΔ δεν ισχύει πλέον για τα ανωνυμοποιημένα δεδομένα. Ωστόσο, είναι σημαντικό να ληφθεί υπόψη ότι η ανωνυμοποίηση των προσωπικών δεδομένων στην πράξη δεν είναι πάντοτε δυνατή ή εύκολη. Πρέπει να αξιολογηθεί κατά πόσον η ανωνυμοποίηση μπορεί να εφαρμοστεί στα επίμαχα δεδομένα και να διατηρηθεί επιτυχώς, λαμβανομένων υπόψη των ειδικών περιστάσεων της επεξεργασίας των προσωπικών δεδομένων. Συχνά απαιτείται πρόσθετη νομική ή τεχνική εμπειρογνωμοσύνη για την επιτυχή εφαρμογή της ανωνυμοποίησης σύμφωνα με τον ΓΚΠΔ.

Πώς επαληθεύεται η αποτελεσματικότητα της ανωνυμοποίησης;

Οι ευρωπαϊκές αρχές προστασίας δεδομένων καθορίζουν τρία κριτήρια για να διασφαλίσουν ότι ένα σύνολο δεδομένων είναι πραγματικά ανώνυμο:

  1. Εντοπισμός: δεν θα πρέπει να είναι δυνατός ο εντοπισμός πληροφοριών σχετικά με ένα άτομο στο σύνολο δεδομένων.
  2. Δυνατότητα σύνδεσης: δεν θα πρέπει να είναι δυνατή η σύνδεση χωριστών στοιχείων που αφορούν το ίδιο άτομο.
  3. Εξαγωγή συμπεράσματος: δεν θα πρέπει να είναι δυνατή η σχεδόν βέβαιη εξαγωγή πληροφοριών σχετικά με ένα άτομο.
     

Στην πράξη

  • Εντοπισμός: σε μια βάση δεδομένων βιογραφικών σημειωμάτων όπου μόνο το ονοματεπώνυμο ενός προσώπου έχει αντικατασταθεί από έναν αριθμό (ο οποίος αντιστοιχεί μόνο στο εν λόγω πρόσωπο), εξακολουθεί να είναι δυνατός ο εντοπισμός ενός συγκεκριμένου προσώπου βάσει άλλων χαρακτηριστικών. Στην περίπτωση αυτή, τα προσωπικά δεδομένα θεωρούνται ψευδωνυμοποιημένα και όχι ανωνυμοποιημένα.
  • Δυνατότητα σύνδεσης: μια βάση δεδομένων χαρτογράφησης που περιέχει τις διευθύνσεις των ατόμων δεν μπορεί να θεωρηθεί ανώνυμη εάν άλλες βάσεις δεδομένων, που υπάρχουν αλλού, περιέχουν αυτές τις ίδιες διευθύνσεις μαζί με άλλα δεδομένα που επιτρέπουν την ταυτοποίηση των ατόμων.
  • Εξαγωγή συμπεράσματος: εάν ένα υποτιθέμενο ανώνυμο σύνολο δεδομένων περιέχει πληροφορίες σχετικά με τη φορολογική υποχρέωση των ερωτηθέντων σε ένα ερωτηματολόγιο, και όλοι οι ερωτηθέντες άνδρες ηλικίας μεταξύ 20 και 25 ετών είναι μη υποκείμενοι στον φόρο, τότε θα μπορούσε να συναχθεί ότι ένας συγκεκριμένος ερωτώμενος είναι φορολογητέος ή όχι, όταν είναι γνωστά η ηλικία και το φύλο του.

Ειδικές περιπτώσεις

Μέτρα ασφαλείας για την τηλεργασία

Στο πλαίσιο της τηλεργασίας, είναι αναγκαίο να διασφαλιστεί η ασφάλεια των επεξεργασμένων δεδομένων, με παράλληλο σεβασμό της ιδιωτικής ζωής των ατόμων.

Τι να κάνετε:

  • Να εκδώσετε πολιτική ασφάλειας τηλεργασίας ή τουλάχιστον ένα σύνολο ελάχιστων κανόνων που πρέπει να τηρούνται και να κοινοποιήσετε αυτό το έγγραφο στους εργαζομένους σύμφωνα με τους εσωτερικούς κανονισμούς σας·
  • Εάν χρειαστεί να αλλάξετε τους επιχειρηματικούς κανόνες του πληροφοριακού σας συστήματος για να ενεργοποιήσετε την τηλεργασία (π.χ. αλλαγή των κανόνων εκκαθάρισης, απομακρυσμένη πρόσβαση διαχειριστή κ.λπ.), να εξετάσετε τους σχετικούς κινδύνους και, εάν είναι απαραίτητο, να λάβετε μέτρα για τη διατήρηση του επιπέδου ασφάλειας·
  • Εξοπλίστε όλους τους σταθμούς εργασίας των υπαλλήλων σας με τουλάχιστον ένα τείχος προστασίας, λογισμικό προστασίας από ιούς και ένα εργαλείο για να μπλοκάρετε την πρόσβαση σε κακόβουλες τοποθεσίες. Εάν οι εργαζόμενοι μπορούν να χρησιμοποιήσουν τον δικό τους εξοπλισμό, να τους παρέχετε καθοδήγηση για την ασφάλειά του (βλ. «Μέτρα ασφαλείας για BYOD»)·
  • Δημιουργήστε ένα εικονικό ιδιωτικό δίκτυο (VPN) για να αποφύγετε την άμεση έκθεση των υπηρεσιών σας στο Διαδίκτυο όποτε είναι δυνατόν. Eάν είναι δυνατόν, ενεργοποιήστε τον έλεγχο ταυτότητας VPN δύο παραγόντων·
  • Παρέχετε στους υπαλλήλους σας μια λίστα με εργαλεία επικοινωνίας και συνεργασίας κατάλληλα για την εξ αποστάσεως εργασία, τα οποία εγγυώνται την εμπιστευτικότητα των ανταλλαγών και των κοινών δεδομένων. Επιλέξτε εργαλεία που ελέγχετε και διασφαλίζετε ότι παρέχουν τουλάχιστον τελευταίας τεχνολογίας έλεγχο ταυτότητας και κρυπτογράφηση των επικοινωνιών και ότι τα δεδομένα κατά τη μεταφορά δεν επαναχρησιμοποιούνται για άλλους σκοπούς (βελτίωση προϊόντων, διαφήμιση κ.λπ.). Ορισμένα λογισμικά εξυπηρέτησης καταναλωτών μπορούν να μεταδώσουν τα δεδομένα των χρηστών σε τρίτους και, ως εκ τούτου, είναι ιδιαίτερα ακατάλληλα για εταιρική χρήση.

 

Μέτρα ασφαλείας για BYOD (Φέρτε τη δική σας συσκευή)

Με την ανάπτυξη του BYOD, ειδικά στις ΜΜΕ, τα όρια μεταξύ επαγγελματικής και προσωπικής ζωής εξαφανίζονται. Ακόμη και αν το BYOD δεν αντιπροσωπεύει, από μόνο του, επεξεργασία προσωπικών δεδομένων, εξακολουθεί να είναι απαραίτητο για τη διασφάλιση της ασφάλειας των δεδομένων.

Το ακρωνύμιο «BYOD» σημαίνει «φέρτε τη δική σας συσκευή» και αναφέρεται στη χρήση προσωπικού εξοπλισμού υπολογιστών σε επαγγελματικό πλαίσιο. Ένα παράδειγμα αυτού είναι ένας υπάλληλος που χρησιμοποιεί προσωπικό εξοπλισμό όπως υπολογιστή, tablet ή smartphone για να συνδεθεί με το δίκτυο της εταιρείας.

Η δυνατότητα χρήσης προσωπικών εργαλείων αποτελεί πρωτίστως ζήτημα επιλογής του εργοδότη και εθνικής νομοθεσίας. Ο ΓΚΠΔ απαιτεί το επίπεδο ασφάλειας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία να είναι το ίδιο, ανεξάρτητα από τον χρησιμοποιούμενο εξοπλισμό. Οι εργοδότες είναι υπεύθυνοι για την ασφάλεια των προσωπικών δεδομένων της εταιρείας τους, ακόμη και όταν αποθηκεύονται σε τερματικά επί των οποίων δεν έχουν φυσικό ή νομικό έλεγχο, αλλά για τα οποία έχουν δώσει άδεια πρόσβασης στους πόρους ΤΠ της εταιρείας.

Οι κίνδυνοι ενάντια στους οποίους είναι απαραίτητο να προστατεύσετε τον οργανισμό σας κυμαίνονται από μια μεμονωμένη επίθεση στη διαθεσιμότητα, την ακεραιότητα και την εμπιστευτικότητα των δεδομένων έως μια γενική διακύβευση του πληροφοριακού συστήματος της εταιρείας (εισβολή, ιός κ.λπ.).

Παράδειγμα λίστας ελέγχου

Ενδεικτικά μια λίστα ελέγχου για τη βελτίωση του επιπέδου ασφάλειας που ισχύει στον οργανισμό σας θα μπορούσε να είναι η ακόλουθη:

  • Να ενημερώνετε και να εκπαιδεύετε τακτικά τους χρήστες δεδομένων σχετικά με τους κινδύνους που σχετίζονται με την ιδιωτική ζωή
  • Να καταρτίζετε  μια εσωτερική πολιτική και να της δίνετε δεσμευτική ισχύ
  • Να εφαρμόζετε την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού
  • Να βεβαιώνεστε ότι τα δεδομένα που υποβάλλονται σε επεξεργασία είναι επαρκή, συναφή και περιορίζονται στα αναγκαία (ελαχιστοποίηση των δεδομένων)
  • Να εφαρμόζετε  πολιτική διαβάθμισης πληροφοριών για εμπιστευτικά δεδομένα
  • Να προσθέτετε ειδική ένδειξη σε έγγραφα που περιέχουν ευαίσθητα δεδομένα
  • Να διεξάγετε συνεδρίες κατάρτισης και ευαισθητοποίησης σχετικά με την ασφάλεια των πληροφοριών, καθώς και περιοδικές υπενθυμίσεις.
  • Να υπογράφετε συμφωνία εμπιστευτικότητας με τους υπαλλήλους σας ή να συμπεριλαμβάνετε συγκεκριμένες ρήτρες εμπιστευτικότητας
  • Να παρέχετε αυτόματο κλείδωμα συνεδρίας, ενημερωμένο τείχος προστασίας και προστασία από ιούς, εφεδρικό χώρο αποθήκευσης για τους χρήστες
  • Να περιορίζετε τη φυσική σύνδεση (USB, εξωτερικοί σκληροί δίσκοι κ.λπ.) στα απολύτως βασικά
  • Να προστατεύετε τις εγκαταστάσεις της εταιρείας (π.χ. συναγερμοί, ανιχνευτές καπνού, προστατευόμενα κλειδιά, ξεχωριστός χώρος ανάλογα με τον κίνδυνο, άδειες πρόσβασης σε συγκεκριμένους χώρους, ειδικό σύστημα πυρόσβεσης)
  • Να δίνετε ένα μοναδικό αναγνωριστικό στον κάθε χρήστη
  • Να απαιτείτε έλεγχο ταυτότητας για την πρόσβαση σε εγκαταστάσεις υπολογιστών
  • Να διαχειρίζεστε εξουσιοδοτήσεις (π.χ. ξεχωριστά προφίλ ανάλογα με τις ανάγκες, μοναδικό αναγνωριστικό, ισχυροί κωδικοί πρόσβασης)
  • Να καταρτίζετε συγκεκριμένη πολιτική για την ασφάλεια της τηλεργασίας
  • Να καταργείτε παρωχημένα δικαιώματα πρόσβασης
  • Να διενεργείτε τακτικά επανεξέταση των εξουσιοδοτήσεων
  • Να χρησιμοποιείτε ψευδωνυμοποίηση ή ανωνυμοποίηση δεδομένων για τον περιορισμό της επαναταυτοποίησης των ατόμων
  • Να διενεργείτε κρυπτογράφηση δεδομένων για την αποτροπή μη εξουσιοδοτημένης πρόσβασης
  • Να εγκαταστήσετε VPN για τηλεργασία
  • Να βεβαιώνεστε ότι έχετε καταστήσει ασφαλείς τις προσωπικές συσκευές που χρησιμοποιούνται για την εργασία (BYOD).