docDLP expert - WEBROOT najszybszy antywirus
download 
Reklamacja Transkrypt
DLP expert - WEBROOT najszybszy antywirus
Numer 3/2014 (10) ISSN 2299-1336 DLP expert Data Leak Prevention www.dlp-expert.pl BYOD co warto wiedzieć w kontekście bezpieczeństwa danych? Bezpieczna chmura prywatna Wykorzystanie możliwości CRM w chmurze oraz na urządzeniach mobilnych Jak wybrać bezpiecznego dostawcę usług chmurowych? Cisco EMEAR Security Report: wzrost zagrożeń dla bezpieczeństwa IT Długi wobec państwa wkrótce online | 3/2014 (10) DLP expert DLP Expert kwartalnik numer 3/2014 (10) wrzesień 2014 ISSN 2299-1336 Starożytni (ci z gałęzi niższej) zauważyli, że „errare humanum est” (łac. mylić się jest rzeczą ludzką) i konsekwencje tego są zmorą współczesnych majstrów od „systemów”. Bo element skleconego „systemu”, człowiekiem zwany, jest kapryśny, ma humory i nastroje, a jego poczynania są niekoniecznie racjonalne i przewidywalne. Bywa też „cwany”. Wydawca DLP Expert Sp. z o.o. ul. Jerzmanowska 17 p.110 54-530 Wrocław tel. 71 722 76 15 fax: 71 735 18 82 e-mail: [email protected] www.dlp-expert.pl Nakład 1 500 egz. Druk Arteprint Sp. z o.o. ul. Robotnicza 45-47 55-095 Długołęka tel. 71 736 07 93 www.arteprint.pl Redaktor naczelny Piotr Domagała Redaktor prowadzący Wojciech Biecek Współpraca Przemysław Zegarek Kwartalnik DLP Expert jest wydawnictwem bezpłatnym dostępnym w subskrypcji. Wszystkie treści i artykuły publikowane na łamach wydawnictwa mogą być kopiowane i przedrukowywane tylko i wyłącznie za zgodą redakcji. Redakcja nie ponosi odpowiedzialności za treść zamieszczonych reklam i ogłoszeń. DLP expert 3/2014 (10) | N iezawodność każdego systemu jest określona przez jego najmniej niezawodny element. Jak każdy, tak i ten truizm jest prawdziwy, bo potwierdzają go „liczne przykłady”. Systemy, wyjąwszy te, w które nie ingeruje (jeszcze) tak zwany „homo sapiens”, skażone są ingerencją owego „rozumu”. Systemy wielkie, na miarę kosmosu, tworzą się „same” i działają „bez określonego nadrzędnie celu”, zgodnie z uniwersalnymi prawami natury. Twory owego „homo sapiens” w skali ogólnej systemów nie są nawet zauważalne i nazywanie ich systemami jest, w tym kontekście, swego rodzaju nadużyciem wynikającym z przerostu ambicji owych „twórców”. Ale jakieś tam cele tych tworów istnieją. Ale niech tam: zwali system, więc jest system. W odniesieniu do systemów naturalnych pojęcie niezawodności nie jest stosowalne. W odniesieniu zaś do tworów „homo sapiens”, jak choćby „systemów informatycznych”, niezawodność jest, jak najbardziej, jednym z podstawowych parametrów. „Homo sapiens” tworzy „systemy” po to, by „żyło mu się łatwiej”, więc interakcja z „homo sapiens” tkwi w ich założeniach i, co więcej, jest ich elementem podstawowym. A jako się rzekło, niezawodność całości zależy od elementu najbardziej zawodnego i w roli tej działa onże „homo sapiens” ze swej najwyższej gałęzi, na której umieścił go system nadrzędny, a sam on przejął stery swego losu i, jak sądzi, „sam sobie sterem”... Starożytni (ci z gałęzi niższej) zauważyli, że „errare humanum est” (łac. mylić się jest rzeczą ludzką) i konsekwencje tego są zmorą współczesnych majstrów od „systemów”. Bo element skleconego „systemu”, człowiekiem zwany, jest kapryśny, ma humory i nastroje, a jego poczynania są niekoniecznie racjonalne i przewidywalne. Bywa też „cwany”. Teksty, które zamieszczamy w naszym magazynie, odzwierciedlają w pewnym stopniu problemy, z jakimi borykają się zarówno twórcy, jak i ci, którym te twory oddano, by służyły im w imię racjonalizacji, postępu, rozwoju, efektywności, racjonalności, nowoczesności i - co najważniejsze - modzie. Miłej lektury życzy Wam Piotr Domagała Aktualności Co z tym BYOD? Ponad połowa firm bez wdrożeń Jak wynika z ankiety przeprowadzonej przez CompTIA’s (1), nawet do Prywatne komórki w służbie pracy? Niekoniecznie 51% firm nie wdraża w swoim środowisku pracy rozwiązań związanych Jak podaje CIO.com, wątpliwości dotyczące prywatności informacji czy prob- z BYOD (ang. Bring Your Own Device, Przynieś Swoje Własne Urządzenie). Jed- lemy techniczne związane z działaniem aplikacji mobilnych sprawiły, że coraz nocześnie analitycy Gartnera przewidują, że do 2017 r. połowa pracodaw- więcej pracowników zgłasza swoim pracodawcom chęć powrotu do swoich ców będzie wymagała od swojego zespołu korzystania z prywatnych urzą- służbowych BlackBerry. Jeden z badanych managerów IT przyznał nawet, że dzeń IT do celów zawodowych. Skąd taki rozdźwięk? Powodów może być o taką możliwość poprosiło około 60% członków zespołu (2). kilka. BYOD, które przynosi firmom wiele korzyści, jak choćby oszczędności - Na rynku nadal brakuje efektywnych rozwiązań z zakresu zarządzania urzą- przy zakupie sprzętu, nadal rodzi wiele kontrowersji. Związane są one m.in. dzeniami mobilnymi (ang. Mobile Device Management), które pozwoliłyby z bezpieczeństwem informacji czy ochroną danych, zarówno pracodawcy, użytkownikom na sprawne wykonywanie obowiązków służbowych za pomo- jak i pracownika. cą własnych urządzeń. Niektóre z dostępnych tego typu rozwiązań przyczy- BYOD to trend polegający na wykorzystywaniu prywatnego sprzętu IT niają się na przykład do szybszego rozładowania się telefonów z systemem w środowisku pracy. Jak podkreślają eksperci, wiąże się on ze zmianami Android, inne z kolei utrudniają otworzenie pliku PDF, czy też prowadzenie ko- w codziennym funkcjonowaniu firm. respondencji mailowej. W dzisiejszym świecie, w którym czas pracownika jest - Dzisiejsze miejsce pracy coraz rzadziej odnosi się do dedykowanej przestrze- na wagę złota, takie niedogodności są niedopuszczalne – tłumaczy Wojciech ni biurowej oraz biurka, przy którym spędzamy 8 godzin dziennie. Rodzi to Mach, Dyrektor Zarządzający w Luxoft Poland. ogromne wyzwania dla działów IT, które są zmuszone wspierać użytkowników pracujących na bardzo różnorodnym sprzęcie - tłumaczy Jarosław Jaksa, Jak pokazują badania (3) „Mobile Device Management Market by Solutions”, Regionalny Menedżer IT na region EMEA, Infosys. trendy związane z BYOD oraz spora nisza w obszarze rozwiązań wspiera- Według powszechnej opinii BYOD już dziś stanowi ważny element życia jących służbową pracę na prywatnych urządzeniach stanowią pozytywny licznych przedsiębiorstw. Rezultaty badania przeprowadzonego przez impuls do rozwoju rynku MDM. Według prognoz w ciągu pięciu najbliż- CompTIA wskazują jednak, że w zależności od rozmiarów firmy, rozwią- szych lat segment ten ma osiągnąć wartość prawie 4 mld dolarów. Jeśli zań dotyczących BYOD nie wdraża od 39 do 51 proc. organizacji. Powód? dodać do tego prognozy analityków przewidujących wzrost wydatków na Wprowadzenie w życie BYOD niesie ze sobą szereg trudności. Najczęściej IT w kolejnych latach, można sądzić, że zjawisko BYOD na stałe wpisze się wymieniana jest tutaj kwestia bezpieczeństwa – BYOD wymaga jasnego w krajobraz biznesowy zarówno dużych międzynarodowych organizacji, sprecyzowania zasad wykorzystywania prywatnego sprzętu IT w warun- jak i mniejszych firm. Co jednak z kontrowersjami, które pojawiają się wokół kach korporacyjnych, ustalenia metod, które przeciwdziałałaby ewen- wykorzystania prywatnego sprzętu w naszej codziennej pracy? tualnej utracie danych, oraz wskazania, jak firma powinna postępować - Strategia związana z BYOD wymaga indywidualnego podejścia dopaso- w przypadku odejścia z firmy pracownika posiadającego dane służbowe wanego do specyfiki firmy, jej rozmiaru oraz skali prowadzonego biznesu. na komputerze, który stanowi jego własność prywatną. Dodatkowo, brak Kluczowym czynnikiem w tym przypadku jest również współpraca pomiędzy kontroli nad prywatnym sprzętem pracowników pociąga za sobą koniecz- zespołem IT i pracownikami. Na tej bazie powinny powstać jasne reguły zwią- ność ustalenia mierników pozwalających na ocenę faktycznej efektywno- zane z wdrożeniem i stosowaniem BYOD w naszej codziennej pracy - wyjaśnia ści działania tych osób. Leszek Bareja, Product Manager, Xerox Polska. Linkleaders - Należy pamiętać również, że każdy laptop, tablet i smartfon to kolejne urządzenie w infrastrukturze IT przedsiębiorstwa, co oznacza nie tylko dodatkowy adres IP, jaki zajmuje, ale również ewentualną konieczność wsparcia technicznego różnych platform czy systemów operacyjnych dla działów Helpdesk - tłumaczy Tomasz Kałędkiewicz, Project & Account Manager, Capgemini. DLP expert (1) Badanie przeprowadzone na 400 respondentach (2) http://www.cio.com/article/2456112/byod/mobile-workers-i-want-my-blackberryback.html (3) Raport “Mobile Device Management Market by Solutions (Device Management, Application Management, Security Management, Network Service Management), Deployment Type (Cloud and On-premise) - Global Advancements, Market Forecast and Analysis (2014 - 2019)” 3/2014 (10) | W numerze 4 Aktualności 10 Zarządzanie drukiem w erze pracy mobilnej Xerox 12 Pięć mitów na temat bezpieczeństwa wirtualizacji IT Kaspersky Lab Polska 16 Wykorzystanie możliwości CRM w chmurze oraz na urządzeniach mobilnych Agnieszka Zarzycka, Microsoft 18 Jak wybrać bezpiecznego dostawcę usług chmurowych? Marcin Grygielski, Interactive Intelligence 21 Polscy przedsiębiorcy wciąż odkrywają cloud storage Dariusz Kowalski, home.pl 22 Bezpieczna chmura prywatna Grzegorz Stachowicz, QUMAK S.A. 24 Właściwy serwis to gwarancja podtrzymania zasilania urządzeń IT Dariusz Koseski, Schneider Electric Polska 26 Kopia zapasowa do chmury bezpieczeństwo, oszczędność czy wygoda? Janusz Mierzejewski, Symantec Polska 30 Wybór sieciowej macierzy dyskowej Grzegorz Bielawski, EPA Systemy Sp. z o.o. 33 Webroot- lekkość chmury 34 Aksjologia współczesnej RP na przykładzie propozycji Rejestru dłużników podatkowych Stefan Cieśla, radca prawny 37 Ujawnianie długów względem administracji publicznej - komentarz 38 Długi wobec państwa wkrótce online Przemysław Zegarek, Lex Artist Mateusz Borkowski, Kancelaria Olesiński & Wspólnicy 40 Ład dokumentacyjny - przechowywanie i niszczenie dokumentacji dr Bogdan Fischer, Kancelaria Prawna Chałas i Wspólnicy 44 Transatlantycka walka na polu prywatności i ochrony danych Tomasz Bil, Kancelaria Prawna Chałas i Wspólnicy 46 Co warto wiedzieć o BYOD w kontekście bezpieczeństwa danych? Paweł Odor, Kroll Ontrack w Polsce 51 Rozmawiamy z Robertem Dąbrowskim na temat BYOD 55 Co zrobić z używanymi telefonami komórkowymi? Gabriel Nowicki, BOSSG Data Security Sp. z o.o. 57 Badanie Cisco EMEAR Security Report: wzrost zagrożeń dla bezpieczeństwa IT | 3/2014 (10) DLP expert Aktualności FireEye as a Service - pierwsze na świecie rozwiązanie typu „Security as a Service” Firma FireEye Inc. poinformowała o wprowadzeniu dwóch nowych roz- nia nimi na FireEye lub zarządzać nimi wspólnie z firmą FireEye lub jednym wiązań opracowanych w celu pomocy przedsiębiorstwom w skalowaniu z jej partnerów. Dzięki FireEye as a Service firmy mają dostęp do zespołu ich strategii obrony. FireEye as a Service™ to nowa usługa zarządzania bezpieczeństwem dostępna na żądanie, która umożliwia firmom wykorzy- ekspertów ds. analizy zagrożeń pracujących w ośrodkach operacji bezpieczeństwa na całym świecie i mogą blokować działania atakujących je stanie technologii, wiedzy i doświadczenia firmy FireEye do wykrywania cyberprzestępców poprzez zastosowanie wyjątkowego połączenia tech- i blokowania cyberataków. Drugi z produktów, FireEye® Advanced Threat nologii, wiedzy i doświadczenia firmy FireEye. Intelligence™, zapewnia dostęp do danych o zagrożeniach oraz narzędzi Nowe rozwiązanie FireEye Advanced Threat Intelligence zawiera dwie analitycznych pomagających w wykrywaniu ataków i dostarcza informa- nowe funkcje uzupełniające dotychczasowe rozwiązanie Dynamic Threat cji o taktyce i motywach określonych cyberprzestępców. Połączenie tych Intelligence™ dostępne w subskrypcji. Po pierwsze, kiedy platforma FireEye Threat Prevention Platform wykryje atak, użytkownicy otrzymają dwóch rozwiązań pozwala przedsiębiorstwom wdrożyć model zabezpieczeń Adaptive Defense™, umożliwiający szybkie wykrywanie incydentów zagrażających bezpieczeństwu i podejmowanie odpowiednich działań. informacje o atakujących oraz używanym przez nich oprogramowaniu typu malware. Działy zabezpieczeń będą mogły również zobaczyć, kim są atakujący i jakie są ich prawdopodobne motywy. Uzyskają też informacje „Obecne zabezpieczenia wciąż nie nadążają za rozwojem technologii. Dla- o oprogramowaniu typu malware i innych charakterystycznych cechach tego coraz więcej przedsiębiorstw decyduje się na współpracę ze strategicz- umożliwiających poszukiwanie sprawców. Drugą nową funkcją jest usłu- nym partnerem w zakresie obrony przed zagrożeniami, który zapewni im ga badania i analizy zagrożeń, w ramach której klienci mogą wykupić długoterminową ochronę” - powiedział David DeWalt, prezes i dyrektor subskrypcję na bieżące badania, obejmujące wszechstronne informacje, generalny firmy FireEye. „W odpowiedzi na to zapotrzebowanie firma FireEye trendy, wiadomości, analizy zaawansowanych grup cyberzagrożeń oraz zdecydowała się na zmianę podejścia, wprowadzając rozwiązania FireEye as profile branż będących ich planowanymi ofiarami, w tym informacje o ty- a Service oraz FireEye Advanced Threat Intelligence. Dzięki nim możemy być pie danych będących celem cyberprzestępców. Obie funkcje są dostępne przedłużeniem działów zabezpieczeń naszych klientów, pomagającym im w formie subskrypcji dla klientów, którzy zakupili produkty FireEye. w szybszym wdrożeniu modelu zabezpieczeń Adaptive Defense. Rozwiązanie FireEye as a Service, łączące w sobie technologię, wiedzę i doświadczenie „Narzędzia używane przez atakujących do infiltracji sieci i kradzieży zasobów FireEye w ramach jednej usługi dostępnej na żądanie, pozwala przedsiębior- cyfrowych zmieniają się z dnia na dzień, a działy zabezpieczeń są już zmęczo- stwom uprościć i skonsolidować szereg rozproszonych produktów i usług ne zarządzaniem skomplikowaną zbitką różnych technologii i usług stosowa- z dziedziny bezpieczeństwa”. nych w celu ochrony przed atakami” - powiedział Jon Oltsik, główny analityk Model zabezpieczeń Adaptive Defense to metoda obrony przed zaawan- w Enterprise Strategy Group. „FireEye as a Service zapewnia klientom dostęp sowanymi cyberzagrożeniami, która umożliwia skalowanie zabezpieczeń do technologii, wiedzy i doświadczenia FireEye na żądanie, dzięki czemu mają w dowolnym momencie, w zależności od potrzeb przedsiębiorstwa. kontakt z jedną firmą, która zaspokoi ich potrzeby - zarówno przed incydentem W ramach FireEye as a Service przedsiębiorstwa mogą same zarządzać swoimi operacjami w zakresie bezpieczeństwa, przenieść ciężar zarządza- zagrażającym bezpieczeństwu, jak i w trakcie incydentu i po jego usunięciu”. FireEye Verint rozszerza współpracę z firmą Adtech Global na rynku EMEA Firma Verint® Systems Inc. poinformowała o rozszerzeniu współpracy ze Adtech Global. „Dalsze rozszerzenie gamy rozwiązań Verint oferowanych Adtech Global, co pozwoli temu przed- przez nas w regionie EMEA to naturalna kolej rzeczy, ponieważ nasi globalni siębiorstwu powiększyć asortyment rozwiązań i usług Verint dla contact klienci nieprzerwanie oczekują od nas kolejnych produktów, które uzupełnią center oferowanych w regionie Europy, Bliskiego Wschodu i Afryki (EMEA). lub udoskonalą ich środowiska Verint”. Wśród produktów dostarczanych przez Adtech Global w regionie EMEA Pakiet Verint Enterprise Workforce Optimisation umożliwia przedsiębior- znajdą się teraz oparte na chmurze rozwiązania do optymalizacji pracy stwom rejestrowanie i analizowanie interakcji z klientami, wskazywanie zasobów ludzkich Verint Workforce Optimisation™ (WFO), a także usługi podstawowych przyczyn określonych zachowań klientów i pracowników swoim wieloletnim partnerem profesjonalne i sprzęt. oraz doskonalenie procesów wewnętrznych i wydajności personelu. Dzięki tym rozwiązaniom firmy mogą w większym stopniu skoncentrować się na „Adtech Global jest od wielu lat niezawodnym partnerem firmy Verint w Sta- klientach, a tym samym zadbać o spójną, spersonalizowaną obsługę oraz nach Zjednoczonych i obsługuje wiele contact center klientów tego przed- o lojalność i utrzymanie klientów. siębiorstwa na całym świecie” - powiedział Mark Blount, wiceprezes firmy DLP expert Verint Systems Inc. 3/2014 (10) | Aktualności Co trzecia firma zwiększy budżet na ochronę informacji 77% organizacji zdaje sobie sprawę z dużej wartości informacji, a jej bez- informacji w codziennym życiu. Norma DIN 66399 (źródło: www.din66399. pieczeństwo uważa za jeden z priorytetów. Polscy przedsiębiorcy są coraz pl) jest dedykowana osobom odpowiedzialnym za bezpieczeństwo danych bardziej świadomi zagrożeń, jakie niosą za sobą wycieki poufnych danych. w firmie oraz osobom zaangażowanym w proces utylizacji. Określa ona Realne straty finansowe i wizerunkowe spowodowane utratą informacji wymagania dla procesów niszczenia oraz poszczególnych jego etapów. deklaruje ponad 31% organizacji, a blisko 97% badanych uważa, że warto Norma definiuje trzy różne metody w zakresie niszczenia nośników danych. inwestować w środki zapobiegające wyciekom danych. Eksperci przewi- Każda z nich wymaga zdefiniowania i udokumentowania organizacji, per- dują, że to dopiero początek rewolucji w polskich firmach i instytucjach sonelu oraz poszczególnych etapów procesów. Często wyciek poufnych publicznych. informacji to efekt niewiedzy lub zwykłego niedbalstwa osób, które mają z nimi do czynienia. Dlatego warto edukować pracowników w kwestii „Polskie firmy, aby sprostać coraz bardziej wyśrubowanym standardom bezpieczeństwa danych. Poufne i tajne dokumenty zapisane na nośnikach stawianym przez rynek, będą musiały zacząć wdrażać nowoczesne normy optycznych, magnetycznych czy elektronicznych podlegają takiej samej bezpieczeństwa. Mimo tego, że coraz częściej mówi się o końcu papierologii ochronie, jak informacje zapisane na papierze. Z racji ilości zapisanych na w biznesie, to nadal, aż 43% całej dokumentacji funkcjonuje w tradycyjnej pa- nich danych, winny podlegać szczególnej ochronie. Po ich zdezaktualizo- pierowej formie. Z badań wynika, że co czwarty wyciek danych odbywa się waniu należy je zniszczyć za pomocą odpowiedniej, gwarantującej pew- za pośrednictwem nośników papierowych. Przez brak znajomości podstawo- ność i bezpieczeństwo technologii. Należy także ograniczyć możliwość wy- wych norm bezpieczeństwa i niedbalstwo potencjalnym źródłem zagrożenia pływu tego typu nośników poza struktury firmy. Niszczenie elektronicznie są także sami pracownicy. Blisko 21% pracodawców widzi zagrożenie dla przechowywanych danych bezpośrednio w miejscu ich powstawania jest bezpieczeństwa informacji wewnątrz organizacji, a 33% organizacji deklaru- najlepszym sposobem zapewnienia bezpieczeństwa. Dzięki temu mamy je chęć zwiększenia budżetu związanego z ochroną informacji w przyszłości. większą pewność, że wrażliwe informacje nie wyciekną. Trzeba pamiętać Z naszego doświadczenia wynika, że im mniej osób zaangażowanych jest o tym, że zlecanie tego zadania podmiotom zewnętrznym zawsze wiąże w proces utylizacji poufnych danych, tym mniejsze prawdopodobieństwo wy- się z ryzykiem ingerencji osób trzecich. cieku. Ponad 53% badanych uważa, że systemy bezpieczeństwa w ich organizacjach są na średnim poziomie, a 2/3 badanych przedsiębiorców przyznaje, „Na przestrzeni kilku najbliższych lat w większości przedsiębiorstw i instytu- że wyciek informacji może skutkować dużymi stratami finansowymi dla ich cji publicznych świadomość bezpieczeństwa i wartości informacji znacząco organizacji. Outsourcing w przypadku bezpieczeństwa informacji też nie jest wzrośnie. Zapotrzebowanie na profesjonalne i nowoczesne narzędzia do uty- dobrym rozwiązaniem, ponieważ wymusza ingerencję osób trzecich. Naj- lizacji danych poufnych już teraz jest duże, a z każdą aferą i każdym kolejnym lepszym sposobem na zabezpieczenie się przed wyciekami informacji, a tym wyciekiem tylko rośnie. Do całkowitego zabezpieczenia się przed stratami samym przed ryzykiem poważnych strat, jest utylizacja nośników informacji spowodowanymi utratą informacji niezbędne jest także systematyczne pod- za pomocą nowoczesnych niszczarek zgodnych z normą DIN6639” - Marcin noszenie kwalifikacji administratorów IT, jak i szeregowych pracowników” Sobaniec, ekspert HSM Polska. – podsumowuje Marcin Sobaniec, ekspert HSM Polska. HSM Mimo obowiązującej od października 2012 normy DIN 66399, wciąż brakuje wiedzy na temat zastosowania elementarnych zasad bezpieczeństwa *Dane pochodzą z raportu Global Data Leakage Report oraz raportu Efektywne Zarządzanie Bezpieczeństwem Informacji Kancelarii Ślązak, Zapiór i Wspólnicy VMware nowe rozwiązania do budowy, zarządzania i ochrony centrów danych Firma VMware poinformowała o dostępności VMware NSX™ 6.1, VMware przedsiębiorstwom rozwijać się i odnosić sukcesy w epoce chmury. Klienci vCenter Site Recovery Manager™ 5.8, VMware vCloud® Suite® 5.8, VMware vRe- mogą polegać na produktach VMware, które pomagają im dokonać zmia- alize™ Operations Insight™, VMware vRealize™ Suite 6 oraz VMware vSphere® ny sposobów tworzenia, dostarczania i eksploatacji zasobów IT zależnie od Data Protection™ Advanced 5.8, które mają pomóc organizacjom w budo- zmieniającej się sytuacji i ich konkretnych potrzeb. W 2013 r. firma VMware wie, zarządzaniu i ochronie ich środowisk centrów danych definiowanych zanotowała przychód w wysokości 5,21 mld dolarów, obecnie obsługuje programowo. VMware ogłosił ponadto dostępność VMware vSphere® Re- ponad 500 tys. klientów i współpracuje z 75 tys. partnerów. Główna siedzi- mote Office Branch™ Office. ba firmy znajduje się w Dolinie Krzemowej, zaś oddziały lokalne rozsiane są na całym świecie. Więcej informacji można znaleźć na stronie vmware.com. VMware (NYSE:VMW) jest liderem w dziedzinie rozwiązań infrastruktural- VMware nych dla systemów wirtualnych i chmury obliczeniowej, które pozwalają DLP expert 3/2014 (10) | Aktualności Chmura bardziej popularna w Stanach niż w Europie Interactive Intelligence Group Inc. (Nasdaq: ININ), zauważa, że firmy ame- dostawców usługi. To główna bariera w rozwoju technologii cloud na naszym rykańskie zdecydowanie częściej niż europejskie wykorzystują technolo- rynku” - powiedział Marcin Grygielski, dyrektor regionalny na rynek Euro- gie chmurowe, co wynika prawdopodobnie z ich większej świadomości py Środkowej i Wschodniej, Interactive Intelligence. - „Nie jest to jednak i otwartości technologicznej oraz lepszych warunków gospodarczych problem nie do pokonania. Przedsiębiorcy szukają możliwości usprawnień w ostatnich latach. Według najnowszego raportu firmy Frost & Sullivan działalności i obniżenia jej kosztów, a chmura świetnie się do tego nadaje. “Future of Cloud Computing Technologies in Enterprises in the United Sta- Przedstawienie konkretnej analizy finansowej korzyści z migracji do chmury, tes and Europe” w ciągu najbliższych trzech lat ta dysproporcja dodatko- demonstracja procedur zarządzania bezpieczeństwem i wizyty referencyjne wo wzrośnie, ze względu na większą dynamikę inwestycji chmurowych u klientów już wykorzystujących rozwiązanie chmurowe często pozwalają w Stanach Zjednoczonych. przekonań największych sceptyków”. Rynek technologii cloud stale się rozwija. Według badań Frost & Sullivan Ponad 63% spośród respondentów wykorzystujących technologie cloud aktualnie około 43% firm europejskich i amerykańskich wykorzystuje roz- uważa, że są one wysoce efektywne. Chmurę szczególnie doceniają firmy wiązania chmurowe. W ciągu najbliższych trzech lat liczba ta wzrośnie do z sektora dużych przedsiębiorstw (powyżej 500 pracowników) oraz z bran- 52%. Jednak istnieje znacząca różnica w adopcji chmury w Stanach Zjed- ży przemysłowej. W tych obszarach planowane są również największe in- noczonych (48%) i Europie (38%). Firmy amerykańskie również mocniej westycje w technologie cloud. inwestują w technologie cloud. Przewiduje się, że w ciągu najbliższych W zakresie rozwiązań komunikacyjnych firmy najczęściej korzystają w mo- trzech lat aż 62% przedsiębiorstw ze Stanów Zjednoczonych będzie wy- delu chmury z serwerów email oraz aplikacji współpracy. Najmniej popu- korzystywać aplikacje chmurowe, podczas gdy w Europie odsetek ten nie larne są chmurowe platformy telefoniczne, wdrażane z reguły tradycyjnie przekroczy 43%. ze względu na obawy związane z bezpieczeństwem danych i kontrolą ja- „Niestety, poziom świadomości polskiego biznesu na temat chmury jest wciąż kości usługi. W ciągu najbliższych trzech lat firmy będą przenosić do chmu- jeszcze niski. Dominują obawy przed nową technologią, brakuje analizy stra- ry głównie rozwiązania współpracy zespołowej oraz telekonferencji. tegicznej, firmy też często narzekają na brak fachowego doradztwa ze strony Interactive Intelligence Raport FORTINET o bezpieczeństwie IT w największych polskich firmach. FORTINET, dostawca zaawansowanych rozwiązań bezpieczeństwa siecio- Jedynie co 10 badany wskazał, że spodziewa się wzrostu liczby ataków wego, ujawnił wyniki badania „Duże przedsiębiorstwa w Polsce a bezpie- hakerskich powiązanych z konfliktem na Ukrainie. Wszyscy badani jedno- czeństwo IT”, przeprowadzonego w II kwartale 2014 roku we współpracy cześnie wskazywali, że administrowana przez nich sieć jest dobrze zabez- z agencją PMR. Raport pokazuje, jak największe firmy w kraju podchodzą pieczona przed atakami z zewnątrz. do kwestii związanych z bezpieczeństwem sieciowym i ochroną strategicz- Pytani o najbardziej niebezpieczne z obecnych zagrożeń, respondenci nych danych. Można się z niego dowiedzieć m.in., jakie aktualne trendy najczęściej wymieniali różnego rodzaju złośliwe oprogramowanie (wirusy, i zagrożenia stanowią największe wyzwanie dla działów IT przedsiębiorstw robaki, malware [39%]), które dostają się do sieci firmowej głównie przez zatrudniających powyżej 250 pracowników. Prezentuje on także stosunek komputery szeregowych pracowników. W większości przypadków są to zarządzających działami IT w dużych firmach do wielofunkcyjnych urzą- drobne incydenty, które chociaż chwilowo obciążają sieć firmową, szybko dzeń zabezpieczających sieć, takich jak UTM-y (ang. Unified Threat Ma- są usuwane. Do największych zagrożeń dla sieci administratorzy zaliczają nagement) czy firewalle nowej generacji (ang. Next Generation Firewalls). również ataki na serwery firmowe (34%) czy ataki DDoS (30%). Raport ujawnia również, na jakiego typu rozwiązania IT security duże firmy Jeden z podstawowych wniosków płynących z badania zakłada, że firmy, bez przeznaczyłyby nadprogramowe budżety. względu na ich wielkość i branżę, doceniają wygodę, jaką daje wykorzystanie urządzeń wielofunkcyjnych. Oczywiście szczególnie dla większych przedsię- Największe przedsiębiorstwa jako jedne z pierwszych stają przed wyzwania- biorstw urządzenie wyspecjalizowane w ochronie konkretnego obszaru może mi związanymi z przystosowaniem swojej infrastruktury IT do aktualnych okazać się koniecznością z uwagi na chęć podniesienia poziomu zabezpie- trendów. W dobie dynamicznie zachodzących zmian technologicznych czeń, lecz nie zmienia to ogólnego przeświadczenia, że urządzenia wielofunk- i społecznych kluczowe staje się zapewnienie odpowiedniego poziomu bezpie- cyjne są opcją, którą zawsze warto rozważyć, a już szczególnie w przypadku czeństwa firmowej sieci. O zdanie na temat aktualnych trendów, wyzwań, za- ograniczonego budżetu - komentuje Paweł Olszynka. grożeń i rozwiązań zabezpieczających sieci zapytaliśmy specjalistów z ponad Z pełną treścią raportu można się zapoznać się na stronie: http://www.for- 160 dużych polskich przedsiębiorstw. Zebrane odpowiedzi dostarczyły bardzo tinet.pl/wp-content/uploads/2014/09/Raport-PMR-Fortinet.pdf. ciekawych, a niekiedy zaskakujących danych - mówi Mariusz Rzepka, dyrek- Fortinet tor FORTINET na Polskę, Białoruś i Ukrainę. | 3/2014 (10) DLP expert Zarządzanie drukiem w erze pracy mobilnej artykuł sponsorowany Według IDC w 2015 roku aż 37% pracowników z całego świata wybierze model pracy mobilnej. Pracodawcy coraz częściej dopuszczają to rozwiązanie, podążając za nowymi trendami w zarządzaniu. Na popularności zyskuje m.in. koncepcja BYOD (ang. Bring Your Own Device) zakładająca wykorzystanie przez pracowników urządzeń prywatnych w celach służbowych. Zjawisko to, choć korzystne dla firm, podnosi znaczenie zarządzania dokumentami oraz drukiem w dynamicznie zmieniającym się środowisku pracy. Wychodząc naprzeciw oczekiwaniom, Xerox przestawia nową odsłonę usług zarządzania drukiem – Xerox Managed Print Services. DLP expert 3/2014 (10) | 10 Efektywna administracja środowiskiem druku zajmuje coraz ważniej- Zarządzanie drukiem w erze pracy mobilnej szą pozycję w procesie zarządzania przedsiębiorstwem. Nowoczesne usługi muszą tym samym uwzględniać różne aspekty działalności firm i funkcjonować na wielu płaszczyznach. Właśnie dlatego nowa odsłona Xerox Managed Print Services obejmuje trzy obszary: Korzyści płynące z zastosowania Xerox Managed Print Services Odpowiednie zarządzanie drukiem to jednak nie tylko umiejętne wyko- » audyt i optymalizację, » bezpieczeństwo i integrację, » oraz automatyzację i uproszczenie. Dzięki temu system nie tylko generuje oszczędności, ale stanowi wartość dodaną dla klienta. Przy zachowaniu wysokiego standardu możemy jednocześnie automatyzować procesy zarządzania, podnieść poziom bezpieczeństwa IT, zwiększyć produktywność pracowników oraz dbać o środowisko. Daje to szeroki wachlarz korzyści, które firma odnosi, korzystając z usługi outsourcingu druku. rzystywanie szans, które generuje zmieniające się środowisko pracy, ale również skuteczne eliminowanie zagrożeń. Jak dowodzą badania Fortinet, 43% dużych przedsiębiorstw uważa mobilność, a 11% trend BYOD za największe zagrożenia dla zapewnienia bezpieczeństwa wewnętrznej sieci. Aby zminimalizować powstałe w tej sytuacji ryzyko, stworzono systemy, które pozwalają na zabezpieczenie obiegu informacji otrzymywanych i przesyłanych do urządzeń drukujących. Do nich należy m.in. Xerox ConnectKey – system, który umożliwia personalizację aplikacji pozwalających na sprawne zarządzanie drukiem oraz przypisanie stopni dostępu do dokumentów dla poszczególnych użytkowników. Ponadto wszystkie pliki, które znajdą się w urządzeniu wielofunkcyjnym, są sprawdzane przez Maciej Nuckowski Dyrektor Działu Usług, Xerox Polska Rozwiązania mobilne system antywirusowy, co w znacznym stopniu zwiększa bezpieczeństwo informatyczne firmy. Xerox Menaged Print Services umożliwiają nie tylko zaadaptowanie technologii i usług bezpieczeństwa, ale również ujednolicenie poszczególnych procesów. Przykładem jest technologia druku poufnego - aby skopiować Zmieniający się sposób i specyfika pracy sprawiają, że coraz częściej to dokumenty lub odebrać wydruk, pracownik musi zeskanować swój iden- sami pracownicy odgrywają kluczową rolę w procesie zarządzania drukiem tyfikator. Oprócz poprawy bezpieczeństwa, firma może w ten sposób i od nich zależy, jak znaczne korzyści jego wprowadzenie przyniesie firmie. zmniejszyć ilość i koszt wydruków, ponieważ te niepotrzebne są pomijane Każde przedsiębiorstwo ma swoją unikalną kulturę, tempo i dynamikę lub usuwane po upływie czasu określonego przed administratora syste- funkcjonowania. Dlatego ważne jest, aby procedury były dostosowane do mu. indywidualnych potrzeb organizacji i jej pracowników. W wyniku zastosowania opisanych praktyk wydatki firmy na zarządzanie Sukces wdrożenia systemu zarządzania drukiem w firmie i wielkość środowiskiem druku można zredukować od 10% do nawet 40%. Ponadto, oszczędności, jakie dzięki niemu zostaną wygenerowane, zależy dzięki audytowi i optymalizacji, uproszczeniu ulegają inne procesy prowa- w znacznym stopniu od tego, jak szybko i na jaką skalę pracownicy firmy dzone przez przedsiębiorstwo, w tym np. raportowanie czy fakturowanie. wprowadzą zmiany w swoich zachowaniach i nawykach związanych Mnogość profitów płynących z zastosowania outsourcingu druku dostrze- z drukowaniem i przechowywaniem dokumentów. gają korzystające z niego firmy. Według raportu Business Centre Club prawie 50% z nich planuje dalsze inwestycje w tym obszarze. Aby nowe reguły zostały entuzjastycznie przyjęte przez pracowników, warto zastosować systemy, które odpowiadają ich oczekiwaniom. Wychodząc naprzeciw potrzebom związanym z pracą mobilną oraz trendowi Case study: Xerox dla Grohe BYOD, Xerox oferuje szereg konfiguracji, które umożliwiają druk mobilny Firma Grohe, światowy lider wśród dostawców luksusowej armatury ła- i zarządzanie danymi przechowywanymi na wewnętrznych serwerach zienkowej, dostrzegła potrzebę usprawnienia procesów zarządzania dru- i zewnętrznych repozytoriach w chmurze. kiem i dokumentami w swoich biurach w Ameryce Północnej, Niemczech, Wielkiej Brytanii, Holandii, Austrii, Portugalii i Szwajcarii. Xerox został wy- Aplikacja Xerox PrintBack daje możliwość m.in. drukowania zdjęć i dokumentów bezpośrednio ze smartfona i tabletu, zdalnego kopiowania danych z repozytoriów w chmurze do komputera w firmie, przechowywania zadań brany, aby pomóc w optymalizacji tych obszarów. Zastosowanie Xerox Managed Print Services spowodowało: drukarki na komputerze do momentu zlecenia drukowania w celu zapew- » zmniejszenie kosztów druku o 25%, nienia bezpieczeństwa wrażliwych dokumentów. Dzięki Wi-Fi urządzenia » usprawnienie procesów fakturowania, Xerox pozwalają na pracę dowolnym miejscu, zarówno w biurze, jak i poza » zwiększenie bezpieczeństwa dokumentów, nim. » zmniejszenie floty urządzeń z 500 do 280. 11 | 3/2014 (10) DLP expert Pięć mitów na temat bezpieczeństwa wirtualizacji oraz jak niewłaściwe rozwiązanie bezpieczeństwa może stworzyć nowe problemy artykuł sponsorowany DLP expert 3/2014 (10) | 12 Gdy eksperci z Kaspersky Lab zapytali* korporacyjnych menedżerów ds. IT o ich priorytety w zakresie bezpieczeństwa IT na przyszłe 12 miesięcy, 21% przyznało, że zabezpieczenie infrastruktury wirtualnej stanowi jeden z trzech punktów znajdujących się na szczycie listy „rzeczy do zrobienia”. Ten niespotykany wcześniej nacisk na bezpieczeństwo wirtualizacji wiąże się z tym, że obecnie maszyny wirtualne są tworzone w celu obsługi większej ilości krytycznych danych i zadań niż w poprzednich latach. W tym samym badaniu ustalono również, że dla ponad połowy firm środowiska wirtualne stanowią coraz ważniejszy element istotnej dla działalności infrastruktury IT. To oznacza, że wirtualizacja zyskuje coraz większe znaczenie jako platforma do zarządzania danymi dot. klientów, transakcjami finansowymi oraz aplikacjami, które są wykorzystywane w firmach każdego dnia. Wirtualizacja nie jest już czymś, co „dobrze byłoby mieć”, czy też wyłącznie narzędziem do testów dla działu IT, dlatego tak ważne jest, aby środowiska wirtualne działały zgodnie z planem i z zachowaniem pełnego bezpieczeństwa. Zważywszy na rosnący globalny nacisk na wirtualizację, specjaliści z Kaspersky Lab postanowili rozprawić się z kilkoma powszechnymi, błędnymi opiniami dotyczącymi bezpieczeństwa tej technologii. *http://media.kaspersky.com/en/IT_Security_Risks_Survey_2014_Virtualization_report.pdf 13 | 3/2014 (10) DLP expert Pięć mitów na temat bezpieczeństwa wirtualizacji Mit 1: Oprogramowanie bezpieczeństwa punktów końcowych wykorzystywane do ochrony komputerów PC oraz serwerów może również skutecznie poradzić sobie z zabezpieczeniem środowiska wirtualnego. ty na agencie. To oznacza, że każda fizyczna i wirtualna maszyna posiada Rzeczywistość: Jest to niezwykle powszechny pogląd, który może stanowi marnotrawstwo pojemności magazynowej i może stworzyć prob- stanowić główną przyczynę wielu problemów, z jakimi będą musiały zmierzyć się działy IT, próbując zabezpieczyć swoją infrastrukturę wirtualną. Większość tradycyjnych produktów bezpieczeństwa dla punktów końcowych faktycznie może zapewnić ochronę środowiskom wirtualnym, jednak takie rozwiązanie będzie miało wpływ na wydajność, szczególnie w przypadku wdrożeń na dużą skalę, i może spowodować chaos w sieci. Co gorsza, tradycyjne oprogramowanie bezpieczeństwa punktów końcowych może stworzyć luki w zabezpieczeniach, wynikające ze spowolnienia własną kopię oprogramowania bezpieczeństwa. Doskonale sprawdza się to w przypadku maszyn fizycznych, jeśli jednak posiadamy 100 maszyn wirtualnych, musimy zainstalować 100 instancji takich agentów bezpieczeństwa plus 100 instancji baz sygnatur szkodliwego oprogramowania, a wszystko to musi działać na jednym hoście. Tak wysoki poziom duplikacji lemy dla bezpieczeństwa, które należy rozwiązać w pierwszej kolejności. W przypadku takiego modelu, jeśli kilkanaście maszyn wirtualnych zacznie jednocześnie przeprowadzać standardowe skanowanie bezpieczeństwa, spowolni to wszystkie inne aplikacje na hipernadzorcy. Odnosi się to również do innych aspektów bezpieczeństwa. Jeżeli w sieci zostanie wykryte szkodliwe oprogramowanie i - zgodnie z polityką - wszystkie maszyny będą przeprowadzać skanowanie w celu wykrycia infekcji, wirtualna sieć zostanie zatrzymana, co zmniejszy możliwość znalezienia szkodliwego działania sieci. oprogramowania. Nawet rutynowe zadanie aktualizacji 100 kopii anty- W badaniu** przeprowadzonym przez niezależnych testerów AV-Test (określane jako burze aktualizacji), jeśli wszystkie uaktualnienia będą insta- porównano podstawowe współczynniki wykrywania szkodliwego oprogramowania oraz wydajność systemu w przypadku tradycyjnej ochrony punktów końcowych oraz wyspecjalizowanych rozwiązań do wirtualizacji, w tym Kaspersky Security for Virtualization. Wszystkie rozwiązania uzyskały zbliżone, dobre wyniki dla podstawowych zadań antywirusowych, jednak różnice w wydajności były ogromne. Testerzy ustalili, że tradycyjnemu rozwiązaniu bezpieczeństwa punktów końcowych zajmowało znacznie więcej czasu – w niektórych przypadkach niemal dwukrotnie więcej – przetwarzanie dużej liczby maszyn wirtualnych uruchamiających się niemal w tym samym czasie – sytuacja, której doświadcza każdy menedżer IT około godziny 9 rano każdego dnia roboczego. W teście stwierdzono również, że podczas ochrony wielu maszyn takie środki bezpieczeństwa pochłaniają 40%-65% więcej zasobów systemowych niż wyspecjalizowane wirtualne rozwiązanie bezpieczeństwa firmy Kaspersky Lab. W teście symulowano zużycie zasobów maszyn wirtualnych, na których uruchomiono aplikacje – tak jakby był to typowy dzień w biurze z infrastrukturą wirtualnych de- wirusowych baz danych może spowodować zastoje w ruchu sieciowym lowane w tym samym czasie. To oznacza, że niektóre maszyny wirtualne będą pozostawały bez ochrony przed najnowszymi zagrożeniami przez wiele godzin, oczekując na instalację sygnatur. Trzeba również pamiętać, że na początku dnia pracy, np. o między 8:00 a 9:00 rano, jednocześnie aktywowane są dziesiątki maszyn wirtualnych. Maszyny te nie otrzymały aktualizacji, ponieważ były „zamknięte” zeszłej nocy, co oznacza, że każda z nich próbuje w tym samym czasie pobrać najnowsze bazy antywirusowe. W czasie gdy aktualizacje te przechodzą przez „zatkany” serwer (proces ten może trwać całkiem długo), wszystkie maszyny wirtualne są podatne na zagrożenia, dodane dopiero w najnowszych uaktualnieniach. Mit 3: Środowiska wirtualne z natury są bezpieczniejsze niż środowiska fizyczne. sktopów. Wyniki testów zaczynały pokazywać wysokie poziomy zużycia Rzeczywistość: Nie jest to prawda. Wirtualizacja ma sprawić, aby zasobów już przy uruchomieniu 10-12 maszyn wirtualnych, a wraz z doda- oprogramowanie, w tym szkodliwe, zachowywało się tak, jak w normal- niem kolejnych zużycie znacząco rosło. nych warunkach. Aby osiągnąć swoje przestępcze cele, twórcy szkodliwego oprogramowania wezmą na celownik wszelkie słabe punkty w sieci Mit 2: Zainstalowana ochrona przed szkodliwym oprogramowaniem nie zakłóca operacji środowiska wirtualnego. biznesowej. Im intensywniej sieci wirtualne przeznaczane są do wykony- Rzeczywistość: Zakłóca, a wspomniane wcześniej problemy zwią- mie się do jednej maszyny wirtualnej i znajdzie sposób na „przeskoczenie” zane z wydajnością mogą w rzeczywistości przyczynić się do powstania nieistniejących wcześniej luk w zabezpieczeniach. Tradycyjna ochrona punktów końcowych wykorzystuje tzw. model opar**http://www.kaspersky.pl/about.html?s=news_awards&cat=2&newsid=2249 DLP expert wania krytycznych operacji biznesowych, tym większym stają się celem. Zastanówmy się, jakie rodzaje danych są zagrożone. Jeżeli atakujący włado hipernadzorcy, uzyska tym samym dostęp do każdej maszyny wirtualnej na danym hoście. Oprócz wirtualnych desktopów cyberprzestępca może potencjalnie uzyskać dostęp do każdej wirtualnej kopii zapasowej danych lub magazynu, co otworzy drzwi do wszystkich danych firmy. 3/2014 (10) | 14 Pięć mitów na temat bezpieczeństwa wirtualizacji Mit 4: Nietrwałe maszyny wirtualne są bezpieczniejsze. Mit 5: Wszystkie rozwiązania bezpieczeństwa wirtualnego są takie same. Rzeczywistość: W takim podejściu każda maszyna, która trafi na Rzeczywistość: W rzeczywistości istnieje kilka różnych podejść do szkodliwe oprogramowanie, może zostać natychmiast skasowana i utwo- bezpieczeństwa wirtualizacji, a biorąc pod uwagę infrastrukturę danej fir- rzona na nowo (niezainfekowana). Jednak nie jest to tak bezpieczne jak my, najlepiej sprawdzi się prawdopodobnie kombinacja dostępnych opcji. się wydaje – szkodliwe oprogramowanie może przetrwać „zniszczenie” poszczególnych maszyn wirtualnych, rozprzestrzeniając się w sieci, co Powyższe przykłady pokazują, że bezpieczeństwo oparte na agencie wy- pozwala mu wrócić, gdy zostaną utworzone nowe desktopy. Ponadto maga „przetwarzania” ochrony na każdym indywidualnym punkcie końco- większość maszyn wirtualnych to „trwałe” serwery, które nie mogą zostać wym. Widzimy, że model wykorzystywany w tradycyjnej ochronie punktów błyskawicznie zamknięte i odtworzone w przypadku wykrycia zagrożenia końcowych nie jest optymalny dla infrastruktury wirtualnej. Trzeba jednak dla bezpieczeństwa. W badaniu Global IT Security Risks 2014* przeprowa- pamiętać, że odpowiednia podejście do bezpieczeństwa musi zależeć od dzonym przez Kaspersky Lab stwierdzono, że ponad 65% firm na całym tego, co będzie chronione. Serwer, który nie jest podłączony do sieci, bę- świecie wprowadzi pewną formę wirtualizacji serwera w ciągu najbliż- dzie miał inne wymagania w zakresie bezpieczeństwa niż wirtualny desk- szych 12 miesięcy. Takie serwery muszą być „włączone” przez cały czas, aby top serwera, który zarządza informacjami poufnymi. A zatem, aby dokonać firma mogła funkcjonować, dlatego podejście do bezpieczeństwa oparte trafnego wyboru ochrony dla infrastruktury wirtualnej, oprócz rozwiązania na „niszczeniu” nie sprawdza się w ich przypadku. opartego na agencie należy rozpatrzyć dwa różne rodzaje ochrony wirtualizacji określane jako rozwiązanie bezagentowe oraz oparte na lekkim agencie. Więcej informacji dotyczących opcji zapewnienia bezpieczeństwa wirtualizacji znajduje się na stronie: http://r.kaspersky.pl/wirtualizacja. 15 | 3/2014 (10) DLP expert Wykorzystanie możliwości CRM chmurze oraz na urządzeniach mobilnych w Wraz z rosnącą konkurencją na rynku rosną potrzeby firm w zakresie efektywnego zarządzania sprzedażą. W uszczelnieniu procesu sprzedaży pomagają narzędzia CRM, których wdrożenie jest teraz możliwe bez dużych nakładów finansowych dzięki dostępności produktu CRM Online. Zmieniający się tryb pracy, który wymaga dostępności niezależnie od miejsca i czasu, wpływa na wzrost znaczenia rozwiązań mobilnych. nek systemów CRM, aby wychwycić, jakie funkcjonalności wybierają Dzięki elastyczności modelu chmurowego koszty wdrożenia i utrzymania przyspieszyły rozwój systemów CRM, oferując możliwości, które jeszcze kilka systemu CRM są bardzo atrakcyjne. Istotnym elementem rozważań przy wyborze CRM Online jest kwestia bezpieczeństwa danych i zapewnienie, że nie wyjdą one poza Unię Europejską. Ważnym aspektem jest także przekonanie pracowników do korzystania z narzędzia, w czym może pomóc wybór intuicyjnego w obsłudze systemu CRM. – Korzystanie z systemów klasy CRM nie jest już wyłącznie przywilejem firm sektora Enterprise. Coraz chętniej sięgają po nie również mniejsze przedsiębiorstwa, które zdają sobie sprawę, że CRM jest nieodzowną częścią działalności firmy cieszącej się dużą konkurencyjnością i dobrymi relacjami z klienta- przedsiębiorstwa, jakich jeszcze potrzebują i z jakim odzewem z ich strony spotykają się wprowadzane na bieżąco usprawnienia. W ten sposób elastyczny i skalowalny system CRM jest wzbogacany o kolejne funkcjonalności, a firmy zyskują rozwiązanie dopasowane do ich indywidualnych potrzeb. Architekci dbają przy tym, aby był on intuicyjny w obsłudze oraz prosty we wdrożeniu i integracji. – Kolejne technologie i trendy pojawiające się na rynku lat temu były nieosiągalne dla pracowników działu sprzedaży czy marketingu. Co więcej, zmiana dotychczasowego trybu pracy z „siedzenia przed biurkiem” na „wyjście w teren do klienta” wymusiła na dostawcach opracowywanie rozwiązań pozwalających na realizację działań z dowolnego miejsca i w dowolnym momencie – komentuje Agnieszka Zarzycka. W rezultacie systemy CRM zostały znacząco rozwinięte o funkcjonalności marketingowe i analizę mediów społecznościowych, a także udostępnienie w wersji online. Zmiana mi, umożliwiając wzrost przychodów, poprawę współpracy i odpowiednie połączenie różnych systemów, procesów oraz lokalizacji – mówi Agnieszka Zarzycka, ekspert rozwiązań CRM, Microsoft. Rozwój CRM z duchem czasu Przez ostatnie lata dostawcy IT bacznie śledzili ry- DLP expert 3/2014 (10) | 16 trybu pracy wpłynęła natomiast na wprowadzenie do organizacji urządzeń Mobilność przede wszystkim mobilnych, których wybór na rynku jest coraz większy. Naturalną konse- Wraz ze zmianą trybu pracy mobilność zyskuje na znaczeniu, przekłada- kwencją mobilnego stylu pracy stało się wprowadzenie mobilnego jąc się na optymalizację procesów oraz jeszcze lepsze wykorzystanie cza- klienta CRM na urządzenia typu tablet czy smartfon. su pracy. Dzięki aplikacjom CRM na urządzenia mobilne przedstawiciele handlowi zyskują dostęp do wymaganych informacji w czasie rze- Z ziemi do chmury czywistym, mogąc na bieżąco modyfikować ofertę podczas CRM w chmurze, podobnie jak spotkania z klientem. – Warto również zaznaczyć, że przy wy- jego wersja stacjonarna, borze systemu CRM przedsiębiorstwa coraz częściej zwracają uwa- oferuje możliwoś gę na jego gotowość do wykorzystania na urządzeniach mobilnych. wglądu w czasie rze- Dlatego oferujemy natywnego klienta mobilnego na tablety i smartfony czywistym w zgro- na różne platformy. Oznacza to, że wszystko, co zdefiniujemy w samym madzone dane CRM-ie, będzie dostępne z poziomu urządzeń przenośnych bez konieczno- oraz ich ana- ści dodatkowego tworzenia aplikacji mobilnej. Przekłada się to z kolei na ni- lizę, a także ski koszt utrzymania i dalszego rozwoju aplikacji oraz gwarantuje, że każda efektyw- modyfikacja wprowadzona w rozwiązaniu będzie natychmiast dostępna na ne za- urządzeniu przenośnym – dodaje Agnieszka Zarzycka. rządzanie Zawsze w sieci k ampa- Dostępne na rynku systemy CRM wykorzystywane są również w mediach niami mar- społecznościowych, oferując możliwość współpracy z innymi osobami ketingowymi wewnątrz organizacji, jak również z klientami, partnerami i innymi zainte- czy raportowa- resowanymi stronami. Funkcjonalności typu social listening umożliwiają nie. CRM w tym śledzenie informacji w mediach społecznościowych w czasie rzeczywi- modelu jest bardzo stym oraz podejmowanie właściwych decyzji w celu natychmiastowego chętnie wybierany wykorzystania pojawiającej się szansy sprzedażowej. Znacząco ułatwia to przez sektor MŚP, po- dzielenie się informacjami oraz kluczowymi dokumentami biznesowymi. nieważ oferuje wiele moż- Pozwala to także na śledzenie w czasie rzeczywistym produktu, marki, liwości przy niskim koszcie konkurenta i kampanii realizowanych na całym świecie, aby rzeczywiście użytkowania – taka forma użyt- zrozumieć swoich klientów i ich działalność w społecznej sieci interneto- kowania nie wiąże się bowiem wej. Dzięki takiej wirtualnej sieci przedsiębiorstwo może poprawić swoje z zakupem i utrzymaniem własnej dotychczasowe wyniki i zwiększyć satysfakcję klienta. infrastruktury informatycznej, stąd jest opłacalna kosztowo. Co więcej - to firma decyduje, z jakich funkcjonalności rozwiązania chce korzystać, płacąc miesięczny abonament tylko za wykorzystywaną usługę oraz mając możliwość rezygnacji z usługi praktycznie w dowolnym momencie. Dzięki chmurze mniejsze firmy mogą korzystać z niemalże nieograniczonych mocy obli- czeniowych na żądanie i ograniczyć wydatki Dzięki obecnym możliwościom systemów CRM, w tym dostępności w chmurze czy mobilności, przedsiębiorstwa dochodzą do wniosku, że stanowią one podstawowe narzędzie do zarządzania sprzedażą, marketingiem i obsługą klienta. Coraz więcej firm wykorzystujących możliwości chmurowe pozytywnie wypowiada się na temat wspomnianych systemów, stąd można przypuszczać, że w najbliższym czasie rozwiązania do zarządzania relacjami mogą jeszcze bardziej zyskać na popularności. na IT. Agnieszka Zarzycka, ekspert rozwiązań CRM, Microsoft 17 | 3/2014 (10) DLP expert Jak wybrać bezpiecznego dostawcę usług chmurowych DLP expert ? 3/2014 (10) | 18 Jak wybrać bezpiecznego dostawcę usług chmurowych ? Cloud computing, czyli usługowy model udostępniania i korzystania danych w czasie rzeczywistym. Serwer oprogramowania powinien zawsze z zasobów informatycznych realizowany za pomocą połączenia sieciowe- być zdublowany w innej, oddalonej geograficznie lokalizacji, co zapewni go, to zjawisko, które może całkowicie zmienić świat nowych technologii. niezależność od katastrof naturalnych czy ataków terrorystycznych. Ak- Fenomen chmury stanowi prostota i wygoda tego modelu dla użytkow- tywny serwer zapasowy stanowi lustrzany obraz serwera podstawowego nika. Zamiast kupować całe pakiety oprogramowania i serwery, odbiorca i na bieżąco monitoruje jego działanie. W chwili wykrycia jakiegokolwiek kupuje funkcje, których w danym momencie potrzebuje. Nie musi samo- problemu serwer zapasowy natychmiast przejmuje całość funkcji - w spo- dzielnie niczego instalować, nie potrzebuje wykwalifikowanego persone- sób praktycznie nieodczuwalny dla odbiorcy usługi. Wszystkie dane są na lu, który będzie wdrażał aktualizacje i dbał o ciągłość działania systemu. bieżąco replikowane pomiędzy dwoma serwerami, natomiast długoter- W dowolnym momencie może zrezygnować z części usługi lub zwiększyć minowe obrazy systemu zostają dodatkowo zapisywane na zewnętrznym jej zakres. A przecież większość firm działa w trybie sezonowym – branża nośniku lub w chmurze. handlowa prowadzi wielką mobilizację przed okresami świątecznymi, dla firm turystycznych lub ubezpieczeniowych gorącym okresem są tygodnie wakacyjne. W modelu chmury firma może dopasować ilość zasobów in- Bezpieczeństwo fizyczne formatycznych do aktualnych potrzeb i płacić tylko za funkcje, których Bezpieczne zduplikowane centra danych to fundament, na którym opie- w danym momencie potrzebuje. W dłuższej perspektywie pozwala to ra się całe przetwarzanie w modelu chmury. To najważniejszy fragment osiągnąć spore oszczędności. w układance elementów, które zapewniają dobrą współpracę pomiędzy dostawcą a użytkownikiem usługi. Dlatego przed podpisaniem umowy Jednak cloud computing budzi również wśród odbiorców wiele pytań chmurowej warto osobiście wybrać się do data centeru, aby dokładnie za- i obaw. Niełatwo jest postawić pierwszy krok w chmurze. Przekazując od- poznać się ze wszystkimi stosowanymi tam procedurami bezpieczeństwa. powiedzialność za zarządzanie naszymi zasobami IT na barki dostawcy, Jeśli nie ma możliwości fizycznej wizytacji, poprośmy dostawcę o opro- musimy mieć pewność, że potrafi on zagwarantować bezpieczeństwo wadzenie wirtualne – dzięki technologii wideo możemy przecież zwiedzić składowanych w chmurze danych i wysoką ciągłość dostarczania usługi. każde miejsce na świecie bez konieczności wielogodzinnej podróży. W jaki sposób prowadzić rozmowy z dostawcami, aby wybrać pewnego i zaufanego partnera? Poniżej przedstawiamy kilka rad dla przedsiębior- Podstawą bezpieczeństwa każdego obiektu jest kontrola dostępu i bez- ców, którzy przygotowują się do wdrożenia usługi chmurowej w firmie. pieczeństwo fizyczne. Budynek, w którym mieści się data center, nie może być otwarty dla osób z zewnątrz. Całodobowy monitoring wideo obiek- Gwarancja ciągłości realizacji usługi tu, umieszczenie serwerów w zamkniętych stalowych szafach, podwójna Zaufany dostawca usługi chmurowej jest w stanie podpisać z nami umowę lania, chłodzenia oraz wewnętrzna infrastruktura sieciowa zostały zdupliko- SLA gwarantującą czas działania usługi na poziomie 99,999%. Praktycznie wane na wypadek awarii. Czasami zwykły przypadek, na przykład zerwanie rzecz biorąc, mamy w tym wypadku większą gwarancję stabilności dzia- kabla w czasie prac budowlanych prowadzonych w pobliżu data centeru, łania systemu, niż w wypadku tradycyjnego zakupu licencji i wdrożenia może zablokować dostarczanie usługi, zatem warto zapewnić połączenie systemu w siedzibie firmy. Każdy przedsiębiorca posiadający w firmie kilkoma kablami do kilku operatorów. We wszystkich centrach danych platformy ERP czy CRM wie, że oprogramowanie doskonałe nie istnieje Interactive Intelligence znajdują się nawet podwójne generatory prądu – wprowadzanie aktualizacji czy dodatkowych integracji często skutkuje i zbiorniki paliwa zapewniające ciągłość usług w przypadku wielodniowej nieoczekiwanymi błędami w działaniu systemu, rozpaczliwymi telefonami przerwy w dostawie energii – żadna katastrofa nie przeszkodzi nam w do- do działu wsparcia dostawcy i mozolnymi próbami zidentyfikowania źród- starczaniu klientom funkcji call center zgodnie z umową! autoryzacja pracowników za pomocą kart elektronicznych oraz skanerów siatkówki oka to procedury, które powinno posiadać każde profesjonalne centrum danych dla usług w chmurze. Warto sprawdzić, czy systemy zasi- ła kłopotów. Wdrażając oprogramowanie w chmurze, przenosimy problem na dostawcę usługi. Możliwość wystąpienia błędów w czasie aktualizacji systemu nas nie interesuje. Dostawca gwarantuje poziom usługi i rozliczamy go z efektu. Bezpieczeństwo danych Przekazanie danych zewnętrznemu partnerowi rodzi zazwyczaj największy opór i obawy przedsiębiorców. Często są to dane wrażliwe, na przykład Podczas podpisywania umowy z wysokim poziomem SLA warto jednak dane osobowe klientów firmy. Wystarczy, że przypadkowo, przez jeden sprawdzić, czy nasz partner poważnie podchodzi do podjętego zobowią- mały błąd ludzki, wyciekną do konkurencji. Ponieważ dostawca systemu zania. System musi być w pełni redundantny i posiadać funkcję backupu zwykle obsługuje wiele firm z danej branży, klient w takiej sytuacji ponie- 19 | 3/2014 (10) DLP expert Jak wybrać bezpiecznego dostawcę usług chmurowych ? sie stratę trudną do zrekompensowania. Jednak istnieją procedury, które z sektora finansowego czy telekomunikacyjnego mogą postrzegać chmu- gwarantują zachowanie bezpieczeństwa danych wrażliwych przechowy- rę publiczną jako krok zbyt radykalny, ciężki do przeprowadzenia również wanych w chmurze. ze względu na restrykcyjne wymagania prawne w zakresie zapewnienia bezpieczeństwa danych. Przede wszystkim należy upewnić się, że system oferowany w chmurze jest w pełni zwirtualizowany i udostępniany w architekturze multi-instant, W przypadku wdrożenia systemów telekomunikacyjnych w chmurze naj- która umożliwia tworzenie na serwerze systemowym odrębnej instancji częściej rekomendujemy klientom tzw. model chmury prywatnej, łączą- dla każdego odbiorcy usługi chmurowej. Obniża to koszty współpracy oraz cy zalety zdalnego dostarczania usługi z kontrolą na poziomie lokalnym. zwiększa bezpieczeństwo przechowywania danych. W przypadku mniej W tym wypadku wszystkie dane wrażliwe, np. nagrania rozmów czy dane zaawansowanej technologicznie architektury multi-tenant pojedynczy sy- klientów firmy, pozostają w sieci wewnętrznej odbiorcy usługi. Wiele firm stem jest wykorzystywany dla wielu różnych klientów. Taka struktura rodzi rozpoczyna swoją przygodę z chmurą właśnie od tego modelu, gwarantu- problemy integracyjne i administracyjne; nie jest również polecana klien- jącego zachowanie kontroli nad informacjami kluczowymi dla prowadze- tom o restrykcyjnych wymaganiach w zakresie bezpieczeństwa. nia biznesu. Nie każda profesjonalna firma musi posiadać certyfikacje dla swoich pro- Nasze podejście jest proste. Po pierwsze, rekomendujemy klientowi utrzy- duktów i usług, ale certyfikaty oznaczają gwarancję spełniania pewnych manie dotychczasowego dostawcy telekomunikacyjnego. Podłączamy standardów, a zatem dodatkowy argument za podjęciem współpracy z da- linie telefoniczne do bramek VoIP osadzonych w sieci klienta. Instaluje- nym partnerem. ISO 9001 to podstawowa norma określająca wymagania, my lokalne urządzenie zarządzające telefonami (LCM) w sieci klienta oraz które powinien spełniać system zarządzania jakością w organizacji. War- wdrażamy połączenia MPLS lub VPN pomiędzy siecią klienta a data cente- tościowym certyfikatem określającym procedury wewnętrznej kontroli dla rem Interactive Intelligence. W końcowym etapie wdrażamy telefony VoIP. organizacji usługowych, przetwarzających poufne dane swoich klientów W tego typu konfiguracji Urządzenia LCM działają jako instancja awaryjna. - takich jak firmy outsourcingowe lub dostawcy cloud computingu - jest Jeśli z jakichkolwiek powodów data center oraz serwer systemowy stanie amerykański certyfikat SSAE-16. Bardzo ważny dla usług chmurowych jest się niedostępny, klient cały czas może prowadzić rozmowy. W rzeczywisto- także PN-ISO/IEC 27001-2007, określający normy dla zarządzania bezpie- ści można nawet kolejkować i kierować do konsultantów rozmowy przy- czeństwem informacji. chodzące, choć w mniej wyrafinowany sposób niż w przypadku dostępności serwera. LCM pozwala utrzymywać w sytuacji kryzysowej komunikację W przypadku usługi Communication-as-a-Service, czyli udostępniania ze światem. w chmurze systemu telekomunikacyjnego, zalecaną praktyką jest szyfrowanie wiadomości za pomocą TLS (Transport Layer Security) oraz SRTP Moim zdaniem druga fala spowolnienia gospodarczego przyczyni się do (Real-time Transport Protocol). Dostawcy zaawansowanego oprogramo- rozwoju rynku cloud computingu. Kryzys weryfikuje rynek oraz strategie wania telekomunikacyjnego bazują na standardzie AES 256. Jest to jeden IT przedsiębiorców i zachęca do szukania nowych metod zwiększenia zy- z najsilniejszych kluczy szyfrowania, który jest potwierdzonym i zalecanym sków. A rozwiązania w chmurze to idealna odpowiedź na trudne czasy. standardem bezpieczeństwa przez wiele międzynarodowych instytucji Brak bariery inwestycyjnej, redukcja kosztów CAPEX i kontrola OPEX, bez- oraz departamentów bezpieczeństwa. Dodatkowo wszystkie protokoły pośrednie powiązanie wykorzystywanych funkcjonalności z aktualnymi niebędące aktualnie w użyciu są automatycznie blokowane za pomocą potrzebami biznesowymi – w chwili, gdy firmy zaciskają pasa, takie rzeczy firewalla. System jest stale monitorowany pod kątem ewentualnych wła- są na wagę złota. mań, co zapobiega próbom kradzieży danych. Elastyczność wdrożenia W modelu chmury publicznej przetwarzanie i składowanie informacji odbywa się w całości w data centerze dostawcy; na stacjach roboczych klienta zostają zainstalowane jedynie niezbędne końcówki do zarządzania poszczególnymi funkcjami systemu. Dla odbiorcy usługi jest to najwygodniejszy model, zdejmujący z jego barków konieczność inwestycji w sprzęt Marcin Grygielski, i administracji oprogramowania. To idealne rozwiązanie dla firm z sektora dyrektor regionalny na rynek MSP, które nie posiadają rozbudowanych działów IT i nie chcą angażować Europy Środkowej i Wschodniej, się w procesy wdrożenia i utrzymania systemu. Jednak duże korporacje Interactive Intelligence DLP expert 3/2014 (10) | 20 Polscy przedsiębiorcy wciąż odkrywają cloud storage i inne rozwiązania chmurowe Cloud computing staje się słowem-wytrychem do sukcesu we współczes- sprawę, że nie trzeba już inwestować dużych nakładów finansowych nym świecie. Wydaje się, że jeśli coś ma się udać, musi być przeprowadzo- we własny sprzęt i oprogramowanie, ponieważ mogą one być dostępne ne właśnie w chmurze. Można też stwierdzić, że cloud computing stał się w formie usługi na żądanie. Jednocześnie osoby korzystające z chmu- po prostu bardzo modny. ry mają pełną kontrolę, kto i na jakich warunkach ma dostęp do danych. Kopia zapasowa danych podnosi dodatkowo bezpieczeństwo, które Nie wszyscy jednak podchodzą do chmurowych rozwiązań z dużym en- w chmurze jest na wyższym poziomie niż w modelu tradycyjnym. Dodat- tuzjazmem. Z rezerwą odnoszą się do nich np. działy IT. Może to wynikać kowo dane gromadzone w chmurze mogą być udostępniane użytkowni- z faktu, że są one zwykle najbardziej konserwatywnymi komórkami w fir- kom niezależnie od miejsca, w którym przebywają. mach. Przyjmowanie nowoczesnych rozwiązań z opóźnieniem może też pełnić w przedsiębiorstwach rolę swego rodzaju upewnienia się, czy za Co ciekawe, z doświadczenia home.pl wynika, że nie da się wyróżnić gru- nową modą stoją rzeczywiste argumenty w postaci zwiększonej wydajno- py typowych użytkowników chmury. Wśród nich będą zarówno duże, jak ści czy bezpieczeństwa. i małe firmy, a także osoby fizyczne. Niektórzy przedsiębiorcy zainteresowali się chmurą, usłyszawszy gdzieś tę nazwę albo kierując się modą. Inni Polscy użytkownicy wciąż uczą się korzystać z przestrzeni w chmurze. Wie- trafili na rozwiązania chmurowe, poszukując odpowiedzi na konkretny le firm podchodzi do rozwiązań typu cloud storage jak do tradycyjnego problem trawiący ich firmę. Najlepszym rozwiązaniem okazała się właśnie dysku w serwerowni i wykorzystuje je przede wszystkim w roli metody chmura – technologia oferująca takie cechy jak dostępność, skalowalność archiwizacji dużej ilości danych. Docenianie możliwości współdzielenia oraz niski koszt eksploatacji. Rozwiązania te używane są przede wszyst- zgromadzonych w chmurze zasobów – tzw. hot data – pojawia się dopiero kim ze względu na dostępność z praktycznie każdego miejsca, gdzie tylko w drugiej kolejności. Zwłaszcza wtedy, gdy np. zespół pracuje nad wspól- można uzyskać połączenie z internetem. Potrzebne dane są więc zawsze nymi projektami albo trzeba pilnie podzielić się uwagami czy nanieść ko- pod ręką - tego właśnie wymagają użytkownicy. mentarze. To także ważny element cloud storage. Faktem jest, że cloud storage staje się integralną częścią naszego życia. Obecna popularność usług typu cloud storage pozwala jednak mówić o Głównymi powodami są bardzo szybki wzrost wolumenu generowanych dużej ewolucji tak samych rozwiązań, jak i podejścia do nich. Jeszcze kilka współcześnie danych oraz chęć współdzielenia ich na wielu urządzeniach lat temu na hasło „chmura” wiele firm mogło reagować alergicznie. Głów- – mobilnych i stacjonarnych. Firmy straciły wyłączność na generowanie nym zarzutem było ryzyko związane z bezpieczeństwem danych. Chmura olbrzymich ilości danych. Rośnie udział klien- zakłada bowiem wyjęcie ich spod fizycznej kontroli firmowego działu IT. tów indywidualnych, którzy coraz chętniej Wraz z upowszechnianiem się tego modelu obawy jednak nikną. Zauważa- korzystają z kopii zapasowych. Wartość firmy, my, że przedsiębiorcy coraz chętniej sięgają po usługi chmurowe, np. takie jak i urządzenia mobilnego wynika wszakże jak poczta Cloud Email Xchange w home.pl, ale także i po cloud storage. w dużym stopniu ze zgromadzonych danych. Wzrost ich popularności związany jest z ciągłym odkrywaniem przez przedsiębiorców zalet usług chmurowych. Zaczynają oni zdawać sobie 21 | 3/2014 (10) Dariusz Kowalski, Kierownik Produktu Hosting, home.pl DLP expert Bezpieczna chmura prywatna Odpowiednio zaprojektowana chmura prywatna może przynieść firmie szereg nowych możliwości i korzyści. Istotne jest jednak to, aby przedsiębiorstwo decydujące się na jej wdrożenie zadbało o kluczową kwestię – bezpieczeństwo tej struktury informatycznej. Chmura to sposób budowania i zapewniania usług, przy czym ostateczny kich wyżej wspomnianych funkcjonalności, np. jeżeli nie potrzebujemy model dostarczania infrastruktury IaaS, platformy PaaS, oprogramowania rozliczać użytkowników, nie potrzebujemy jej implementować. Podobnie SaaS lub dowolnie innej usługi …aaS zależy od wymagań biznesu. Naj- jest w przypadku natychmiastowej elastyczności, jeżeli wystarczy nam je- częściej to właśnie biznes wymaga od IT coraz tańszego, efektywniejszego dynie ręczne zwiększenie zasobów. oraz szybszego implementowania nowych pomysłów. Dział IT, który chce stać się brokerem usług w przedsiębiorstwie, w przypadku wdrożenia Pierwszym krokiem jest analiza wymagań biznesu oraz możliwości i ogra- chmury prywatnej ma pełną kontrolę nad doborem narzędzi. Z drugiej niczenia obecnej infrastruktury IT. Wymaga to odpowiedzi na pytanie, czy strony, mnogość przeróżnych rozwiązań powoduje, że droga do chmury faktycznie potrzebuję chmury prywatnej i czy pozwoli mi ona zrealizować nie zawsze jest prosta i oczywista. zamierzone cele. Należy zdefiniować i sklasyfikować usługi, określić ich stan obecny i docelowy w perspektywie najbliższych kilku lat. Dla każdej Czym chmura jest, a czym nie jest? Chmura to nie rewolucja technologiczna, a raczej ewolucja sposobu wykorzystania IT. Prawdziwe rozwiązania chmurowe to: » Samoobsługa, czyli tzw. self-service – konsumenci usługi w miarę potrzeb mogą sami, automatycznie, bez ingerencji człowieka żądać zasobów od usługodawcy oraz nimi zarządzać. » Dostępność – rozumiana zarówno jako możliwość ciągłego korzystania z usługi, ale także dostęp z wykorzystaniem dowolnych urządzeń, np. telefonów komórkowych, tabletów, laptopów i stacji roboczych poprzez łącza szerokopasmowe. » Pule zasobów – zasoby usługodawcy są łączone w pule, aby obsłużyć wiele różnych środowisk za pomocą modelu „multi-tenancy” (ang. wielu najemców), który z różnych zasobów fizycznych oraz wirtualnych dynamicznie przypisuje i rozdziela zasoby zgodnie z zapotrzebowaniem konsumentów. » Natychmiastowa elastyczność – możliwości pul zasobów można dynamicznie zwiększać i zmniejszać, w niektórych przypadkach automatycznie, aby szybko odpowiadać na potrzeby z zewnątrz, np. zwiększony popyt czy większa ilość wejść użytkowników na strony. » Mierzalność usług – możliwość pomiaru oraz rozliczania klienta z wykorzystania usług. W zależności od rodzaju usługi na pewnym poziomie abstrakcji, np. pamięć masowa, przetwarzanie, przepustowość i liczba aktywnych kont użytkowników, możliwe jest wyliczenie kosztów funkcjonowania usług. Wykorzystanie zasobów może być monitorowane, kontrolowane i zgłoszone, zapewniając przejrzystość, zarówno dla usługodawcy, jak i dla konsumenta. Plan działania Decydując się na budowę chmury prywatnej, nie musimy wdrażać wszystDLP expert usługi trzeba wyznaczyć priorytet oraz wyzwalacze przejścia do chmury, zbudować macierz korzyści oraz bariery i ograniczenia wynikające z wdrożenia usługi w chmurze. Kolejnym krokiem jest pokazanie redukcji kosztów utrzymania usługi w chmurze poprzez określenie ROI/TCO w modelu klasycznym i cloud z uwzględnieniem CAPEX i OPEX, gdzie CAPEX oznacza wydatki inwestycyjne, a OPEX odnosi się do kosztów operacyjnych związanych z utrzymaniem. Nie należy zapominać o oczekiwanych rezultatach, wśród których wymienić należy efektywność, wydajność i jakość. Ostatni krok to zdefiniowanie modelu architektury chmury, który powinien spełniać takie normy jak dostępność, ochrona danych oraz zgodność z regulacjami prawnymi. Model musi zawierać wymagania interesariuszy oraz standardy architektury tj. infrastruktura, model usług, zarządzanie operacyjne i biznesowe platformą chmury, zdefiniowanie konsumentów, twórców, integratora, a także dostawcy usług. Po zatwierdzeniu modelu architektury przechodzimy do wyboru odpowiednich rozwiązań, umożliwiających implementację chmury prywatnej. Najpopularniejszą usługą chmury prywatnej jest Infrastructure-as-a-Serv- ice (IaaS). Dobrze zaprojektowana infrastruktura jest bazą dla następnych wyższych usług, dlatego dobór rozwiązań powinien zakładać możliwości jej rozbudowy. Narzędzia umożliwiające budowę chmur można podzielić na: zintegrowane – łączące w sobie gotową platformę sprzętową, wirtualizację i oprogramowanie, jak np. HP CloudSystem, VCE Vblock; na ofertę dostawców niezależnych sprzętowo - jak VMware, Microsoft; a także rozwiązania typu open source - oferowane między innymi przez SUSE i Red Hat, bazujące na OpenStack lub CloudStack. Wszystkie rozwiązania oparte są na wirtualizacji. Większość z nich wspiera VMware oraz Hyper-V, część dodatkowo KVM oraz Xen. Możliwość wyboru hypervisora jest niewątpliwą zaletą przy różnicowaniu klas/poziomów usług, gdzie część środowisk 3/2014 (10) | 22 musi być świadczona na najwyższym możliwym poziomie, np. testowe i developerskie. Po implementacji platformy IaaS następnym krokiem jest określenie tzw. katalogu usług, definiującego wszystkie zasoby i procesy z związane z uruchomieniem usługi. Wysoki poziom bezpieczeństwa DRUKUJ Z NAMI! Budowa bezpiecznej chmury to budowa bezpiecznej infrastruktury. Konieczna jest implementacja odpornej na zagrożenia sieci z wykorzystaniem klasycznych rozwiązań firewall, systemów IPS/IDS, ale także odpowiedniej infrastruktury wirtualnej. Rozwiązania bezpieczeństwa, które do tej pory były dostępne jako fizyczne urządzenia umieszczane w odpowiednich segmentach sieci, powinny być teraz wdrażane także w warstwie wirtualnej, zapewniając izolację, segmentację, filtrowanie i analizowanie ruchu, a także ochronę antywirusową oraz system ochrony przed atakami. Ideal- www.drukarniaspeed.pl nym przykładem platformy wirtualizacji, dla której istnieje najwięcej rozwiązań bezpieczeństwa na rynku, jest VMware. Partnerami VMware są m.in. Intel, Palo Alto, Trend Micro, Symantec, Citrix, F5, Juniper, Dell, HP, Brocade czy Cisco. VMware również sam dostarcza rozwiązanie NSX, będące wirtualizacją sieci i platformą bezpieczeństwa określaną jako SDN (Software Defined Network). Ponieważ tzw. private cloud (ang. chmura prywatna) zakłada model wielu najemców, trudno wyobrazić sobie chmurę bez odpowiedniej izolacji i bezpieczeństwa na warstwie wirtualizacji. Kolejnym ważnym elementem jest odpowiednia, wysokodostępna infrastruktura – chmura sama w sobie nie rozwiąże problemu zapewnienia wyższej dostępności, jeżeli pojedynczym punktem awarii będzie centrum przetwarzania. Dodatkowo, implementacja rozwiązań kopii zapasowych, przywracania po awarii oraz wdrożenie procedur i procesów z nimi związanych pozwolą nam osiągnąć wyższy poziom bezpieczeństwa. Płynne wdrożenie Chmura to nie tylko technologia, to przede wszystkim zmiana podejścia do świadczenia usług. Implementacja chmury bez kompleksowej analizy wymagań oraz odpowiedniego zaplanowania oraz zaprojektowania tel. 71 736 0 736 tCSPT[VSZ tLBUBMPHJ tNBHB[ZOZ tVMPULJ tQMBLBUZ tFUZLJFUZ tNBUFSJBZ104 tLBMFOEBS[F może wiązać się z wieloma problemami lub okazać się wręcz niemożliwa i nieopłacalna. Wdrożenie takiego projektu to długofalowy proces migracji obecnych usług, a także implementacji nowych. Warto go wykonać wspólnie ze sprawdzonym integratorem i dostawcą rozwiązań. Współpraca z doświadczonym partnerem umożliwi nam płynne przeniesienie naszych procesów do chmury i może przynieść oczekiwane efekty. Grzegorz Stachowicz, Arteprint Sp. z o.o. ul. Robotnicza 45-47, 55-095 Długołęka tel. 71 736 0 799 [email protected] www.drukarniaspeed.pl Business Solutions Manager Data Center, Business Continuity & Data Security, Pion Rozwoju i Wsparcia QUMAK S.A. 23 | 3/2014 (10) POZNAJ CAŁĄ OFERTĘ DLP expert Właściwy serwis to gwarancja podtrzymania zasilania urządzeń IT Zabezpieczenie pracy centrum danych lub urządzeń tworzących sieć in- od modelu UPS-a. Serwisant powinien poinformować o przewidywanej formatyczną to jedno z głównych zadań specjalistów od infrastruktury IT. żywotności baterii w konkretnym urządzeniu i zaplanować, kiedy należy Do tego niezbędna jest wiedza i odpowiedni sprzęt, ale równie ważny jest ją wymienić. Dodatkowo, dzięki stałemu monitorowaniu pracy urządzeń serwis urządzeń zasilania gwarantowanego. Pozwala on ograniczyć nerwy jesteśmy w stanie przewidzieć zbliżającą się awarię. w przypadku awarii, ale również często minimalizuje ryzyko ich wystąpie- Trwałość akumulatorów instalowanych w UPS-ach wynosi w dobrych wa- nia. runkach środowiskowych od 5 do 10 lat. Po tym czasie pojemność akumulatora maleje, a czas podtrzymywania pracy urządzenia znacząco spada. Na co więc zwrócić uwagę podczas serwisowania naszych urządzeń? Dlatego też w czwartym roku działania UPS-a należy zaplanować budżet na wymianę baterii. Zakup dobrej jakości urządzenia to dopiero pierwszy krok w zabezpieczeniu naszych urządzeń i systemów IT. Drugi to odpowiedni serwis, który po- Obecnie na rynku dostępnych jest wiele zamienników baterii, rozwija się winien być wykony przez producenta danego urządzenia. Dlaczego jest to sektor baterii coraz tańszych, ale tylko akumulator rekomendowany przez takie ważne? Powodów jest kilka. producenta UPS-a zapewni nam stuprocentową pewność, że bateria jest Serwisowanie przez producenta daje gwarancję technologicznej znajomo- oryginalna. Urządzenia oferowane przez nieautoryzowane punkty czy ści produktu i zastosowanych w nim rozwiązań. Wówczas szybciej i bez poprzez aukcje internetowe są znacznie tańsze niż w oficjalnej sprzedaży błędów będzie w stanie takie urządzenie sprawdzić. Kolejnym elementem i mogą mieć znacznie krótszą żywotność oraz mniejszą wydajność. Co wię- jest dostęp do oryginalnych części. Serwis producencki daje nam pewność, cej, nie są także objęte gwarancją producenta UPS-a. Może to spowodować że nie zostaną zastosowane zamienniki, które z jednej strony wpływają na wiele problemów w czasie ewentualnej awarii. Oszczędności poczynione żywotność urządzenia, a z drugiej obniżają bezpieczeństwo naszych urzą- na tańszych zamiennikach są więc tylko pozorne. Wymianą akumulatorów dzeń czy systemów. powinni zająć się specjaliści. Da nam to pewność, że zostały prawidłowo podłączone, a tym samym, że będą sprawnie działały. Obecna sytuacja na rynku serwisowania pokazuje, że są sytuacje, w których klienci korzystają z odmiennego serwisu niż producencki, kierując się Warto jeszcze wspomnieć, że serwis akumulatorów zależy od wybranego wyłącznie niższą ceną. W efekcie często zdarza się, że urządzenie trzeba przez klienta rodzaju kontraktu. Dobry plan serwisowy powinien określać wymienić wcześniej niż jego fabryczny termin. Na rynku pojawia się wie- terminy wizyt specjalistów, zakres usług, daty wymiany materiałów eksplo- le ofert dotyczących serwisowania tych urządzeń, ale pamiętać trzeba, że atacyjnych i jest ustalany w zależności od potrzeb klienta. Ważnym aspek- najlepszą znajomość poszczególnych jego elementów może posiadać wy- tem jest również to, że w niektórych firmach serwis nie może odbywać łącznie producent. się w godzinach pracy, dlatego godziny przyjazdu naszych serwisantów są bardzo elastyczne. Bateria to zasadniczy element sprawnego działania UPS-a Bateria to ważny element UPS-a. Awaria akumulatora może spowodować Odpowiedni serwis to gwarancja bezpieczeństwa naszych urządzeń paraliż funkcjonowania całej serwerowni. Co za tym idzie, dostęp do klu- i systemów. Co więcej, pozwala nam dłużej użytkować sprzęt i cieszyć czowych danych firmowych zostaje przerwany, co z kolei może spowodo- się jego bezawaryjnością. Jako doświadczony producent tych urządzeń wać przestój w pracy przedsiębiorstwa i wymierne straty finansowe. wiemy, że przełoży się to bezpośrednio na Dlatego, jeśli dawno nie zdarzyła się okazja do sprawdzenia sprawności obniżenie kosztów utrzymania, co z punktu podtrzymania zasilania, warto się zastanowić, kiedy UPS został zakupiony. funkcjonowania biznesu jest bardzo istotne. Jeśli minęło już parę lat, konieczna staje się inwestycja w wymianę akumulatorów, aby urządzenie nadal spełniało wyznaczoną mu rolę. Przed awarią akumulatora można się zabezpieczyć. Najważniejsza jest świadomość, że baterie mają ograniczoną żywotność i muszą być regularnie serwisowane i wymieniane. Jak często należy to robić – zależy to DLP expert Dariusz Koseski, Wiceprezes, Schneider Electric Polska 3/2014 (10) | 24 Serwisowanie przez producenta daje gwarancję technologicznej znajomości produktu i zastosowanych w nim rozwiązań. 25 | 3/2014 (10) DLP expert Kopia zapasowa do chmury bezpieczeństwo, oszczędność czy wygoda? A może wszystko razem? Wykorzystanie potencjału chmur obliczeniowych stało się głównym trendem rynku IT. Co chwilę nowo powstające firmy z tej branży promują nowe formy chmur. Istniejący gracze, tacy jak usługodawcy internetowi czy integratorzy, również zwracają swoją uwagę ku świadczeniu usług w chmurze. DLP expert 3/2014 (10) | 26 Rozwiązania kierowane do konsumentów (np. dyski sieciowe z możliwoś- nak stanowią mniejszość i najczęściej są wykorzystywane jako tymczaso- cią współdzielenia zasobów, bezpłatna poczta hostowana przez portale we miejsce przechowywania, z którego kopie replikowane są na docelowe internetowe, strony współdzielące multimedia, a nawet wirtualne kom- taśmy. Taki nośnik taśmowy można wywieźć poza teren firmy, np. do in- putery z mocą obliczeniową na żądanie w chmurze) już nie są nowością, nego oddziału lub skrytki bankowej, co zapewni bezpieczeństwo danych a sami użytkownicy zdają się być oswojeni i z potencjałem wspomnianych i odporność na kataklizmy w firmie - zalanie, pożar, kradzieże itp. Tradycyj- platform, i z ryzykiem, które ze sobą niosą. O ile rozwiązania indywidualne ne podejście do kopii zapasowej bazującej na własnych serwerach, macie- i ich zakres wykorzystania wybierane są przez samego użytkownika, o tyle rzach i bibliotekach taśmowych w firmie ma więc swoje zalety, ale ma też identyczna funkcjonalność, wykorzystywana przez firmy do wewnętrzne- wady. Podobnie jak w przypadku nośników, sam sprzęt, jego utrzymanie, go użytku, podlegać powinna procedurom zabezpieczania dostępu do serwisowanie i wymiana także kosztują: płacimy przecież za miejsce, zasi- danych, aby te nadal pozostały firmowymi. Sam rodzaj danych także ma lanie czy klimatyzację w serwerowni. Stałym kosztem będzie także obsługa znaczenie, jako że informacje poufne, niejawne i wrażliwe muszą być chro- tych narzędzi. W odpowiedzi na te wady tradycyjnych rozwiązań powstają nione zgodnie z obowiązującą legislacją. alternatywy kopii zapasowej do chmury. Kopia zapasowa (ang. backup) wykonywana jest przez firmy w celu zabez- Co oferuje rynek? pieczenia się przed utratą danych i zawiera większość (jeśli nie wszystkie) najważniejszych danych. Faktem jest, iż głównym nośnikiem wykorzystywanym jako docelowe miejsce przechowywania takich kopii nadal są kasety taśmowe. Taniejące dyski twarde powoli zyskują na znaczeniu w procesie tworzenia kopii zapasowej i archiwizowania danych. Wciąż jed27 | 3/2014 (10) Na chwilę obecną najwięcej dostawców usług kopii do chmury stanowią międzynarodowe firmy, często spoza Europy, posiadające wiele globalnych centrów danych. Taki model działania zapewnia szybkość i niezawodność usługi niezależnie od lokalizacji firmy, która wykonuje kopie zapasowe przez internet do usługodawcy. Replikacja danych między centrami (częDLP expert Kopia zapasowa do chmury - bezpieczeństwo, oszczędność czy wygoda? sto interkontynentalnie) to dodatkowe zabezpieczenie na wypadek awarii awarii. W takiej sytuacji alternatywą staje się wysyłka nośnika z kopiami do w którejś z serwerowni. Normy i ustawy w poszczególnych krajach (np. usługobiorcy na życzenie w celu szybkiego odzyskania danych. w Polsce) jasno określają, jakie dane gromadzone przez firmy mogą być przechowywane poza granicami kraju, w którym działa firma i z którego Opłacalność i sens korzystania z kopii w chmurze definiują także ilość dane pochodzą. Dlatego powstaje coraz więcej lokalnych firm spełniają- i rodzaj danych. Firmy posiadające bardzo duże ilości danych zazwyczaj cych lokalne bądź unijne normy prawne, stanowiących alternatywę dla ze względu na już kosztowne i duże serwerownie preferują tradycyjne ko- międzynarodowych dostawców, szczególnie jeżeli gwarantują miejsce pie na własne dyski/taśmy. Mniejsze firmy, których dane często zmieniają przechowywania danych w kraju usługobiorcy. się, również powinny dokładnie przeliczyć koszty chmury i porównać do nakładów na budowę własnego rozwiązania do kopii zapasowej- częste Proces migracji kopii zapasowej z lokalizacji tradycyjnej do chmury rzad- zmiany plików to częste wykonywanie kopii zapasowych i duże transfery ko odbywa się szybko. Mnogość dostępnych rodzajów kopii chmurowej przez łącza internetowe. umożliwia klientom powolne oswojenie się z decyzją o gromadzeniu danych poza siedzibą, zdobycie zaufania do usługodawcy oraz takiej formy Aby można było polegać na kopiach w chmurze, konieczne jest zapozna- zabezpieczania danych. nie się z jakością świadczonych usług, tzw. SLA (Service Level Agreement). SLA definiują, jakie dopuszczalne przestoje w dostępności usługi zakłada W wariancie współpracy z lokalną firmą dostawca wykonuje standardowe dostawca chmurowy. Dotyczą one wykonywania kopii lub replikacji na procedury backupu, jednak kopię kopii przesyła usługodawcy chmuro- własne potrzeby w obrębie danej serwerowni (i miejsca docelowego dla wemu jako dodatkowe zabezpieczenie. Często taka firma zastępuje kopie tej kopii), standardów jej wyposażenia, rodzajów łączy internetowych zapisywane na taśmach wywożonych poza firmę kopiami zapisywanymi i energetycznych itp., czyli klasy bezpieczeństwa i dostępności centrum w chmurze, dzięki czemu zyskuje większą elastyczność, obniża koszty danych. utrzymania repliki i zapewnia sobie szybsze odzyskanie danych. W tym modelu klient nadal kontroluje cały proces, lecz korzysta z przestrzeni dy- Ostatnim i najważniejszym elementem implikującym wybór usługodawcy skowej w centrum danych usługodawcy, pozostając przy obecnie posiada- chmurowego dla backupu jest sposób zabezpieczenia samych danych za- nym narzędziu do kopii zapasowej(oprogramowanie). równo na czas transportu przez internet (szyfrowanie transferu, VPN itd.), jak i już w samym centrum danych - tak aby usługodawca nie miał w nie Innym wariantem migracji kopii, i zarazem mniej popularnym, jest całkowi- wglądu, a jeżeli zostaną wykradzione z jego serwerowni, aby nie można te wyzbycie się infrastruktury backupowej z firmy i skorzystanie z pełnego było ich odczytać. Tutaj z pomocą przychodzi szyfrowanie. Najbezpiecz- rozwiązania kopii zapasowej do chmury. W tej opcji kopie zapasowe są niejsza kopia to taka, która szyfruje dane tuż przed ich wysłaniem do bezpośrednio wysyłane przez internet do centrum danych usługodawcy. miejsca docelowego i oferuje klucz deszyfrujący znajdujący się wyłącznie Klient może podjąć decyzję, czy nadal administruje procesem, czy ceduje w posiadaniu pierwotnego właściciela danych (usługobiorcy). całkowicie zarządzenie kopiami na chmurowego dostawcę usług. Ta decyzja niesie ze sobą największe korzyści finansowe, gdy zbędne stają się: ser- Znalezienie i dostosowanie takiej chmurowej usługi kopii zapasowej, któ- werownia, sprzęt, klimatyzacja, zasoby do administrowania całością, firmy ra spełniałaby wymagania firmy oraz stanowiła opłacalną alternatywę dla utrzymujące i serwisujące itd. tradycyjnych środowisk backupowych, to trudny i czasochłonny proces. Zapoznanie się z warunkami usługodawcy, specyfiką jego działalności, Niezależnie od wybranej opcji kopia zapasowa do chmury daje dużą wy- prawami kontrolującymi dane, które firma chce wysyłać poza siedzibę, godę użytkowania - dzięki internetowi jest zawsze i wszędzie dostępna kosztami uruchomienia i utrzymania takiej usługi oraz oferowanymi za- oraz oferuje elastyczne powiększanie przestrzeni dyskowej na żądanie - bezpieczeniami danych pozwolą dostosować i wybrać produkt końcowy wszystko wykona usługodawca. spełniający wszystkie założenia: tańszy niż tradycyjne rozwiązania, wygodniejszy w zarządzaniu i utrzymaniu oraz przynajmniej tak bezpieczny, jak Jak wszystko inne, technologia ta ma też swoje ograniczenia i nie jest do- kopia na własnych nośnikach. skonała. Jeżeli chcemy wykonywać kopie danych do chmury, newralgicznym elementem staje się szybkość łącza internetowego, z którego korzysta firma, a które może wymagać przyśpieszenia dla tego celu. Koszty szybkich łączy firmowych nadal są relatywnie duże, co obniża atrakcyjność oferty chmurowej. Niewiele firm może pozwolić sobie na łącza, których przepu- Janusz Mierzejewski, stowość nie będzie stanowiła wąskiego gardła, a tym samym nie wydłuży Presales Consultant, czasu wykonywania kopii zapasowych lub czasu odzyskiwania danych przy Symantec Polska DLP expert 3/2014 (10) | 28 www.dlp-expert.pl 29 | 3/2014 (10) DLP expert Wybór sieciowej macierzy dyskowej Na rynku znajduje się coraz więcej rozwiązań do przechowywania danych (np. NAS, SAN, Unified Storage), co sprawia, że wiele osób ma problem z wybraniem odpowiedniego systemu dla siebie. Wybór sieciowej macierzy dyskowej to poważna decyzja, gdyż trzeba wybrać takie rozwiązanie, które będzie przystępne cenowo i w pełni spełni nasze aktualne oczekiwania, ale w żaden sposób nie będzie nas ograniczać w przyszłości. Skalowalność Przy wyborze macierzy należy brać pod uwagę tylko te rozwiązania, które Przykładem takich rozwiązań jest marka Qsan, gdzie najmniejsza macierz są skalowalne. Dzięki temu, gdy zajdzie potrzeba rozbudowania naszego obsługuje 12 dysków w obudowie 2U, a największa 60 dysków w obudo- systemu, macierz nam to umożliwi. Jest to bardzo ważne, ponieważ ni- wie 4U. Najważniejsze jest to, że w każdej chwili mamy możliwość rozbu- gdy nie wiadomo, co przyniesie jutro. To, że dzisiaj macierz o pojemności dowania systemów do obsługi 256 dysków. Kolejne dyski dodaje się przy 10 TB jest wystarczająca, wcale nie oznacza, że za 3 lata nie będzie po- pomocy dodatkowych półek, które podłącza się do głównej macierzy trzebna inna o pojemności 400 TB. Dlatego należy pamiętać, że nie warto przez porty mini SAS. Qsan w swojej ofercie posiada cztery wersje półek: ograniczać się już na starcie. Dobry inżynier zawsze ma plan B. 12-, 16-, 24- i 60-dyskowe. DLP expert 3/2014 (10) | 30 Wybór sieciowej macierzy dyskowej Infrastruktura Wydajność Obecnie wiele osób patrzy nie tylko na koszty zakupu, ale także na koszty Jeżeli wiemy, że macierze będą przechowywać dane, które będą miały utrzymania macierzy. Przykładowo, jeżeli chcemy wstawić macierz do ze- duże wymagania co do ilości IOPS i przepustowości, to na pewno trzeba wnętrznej serwerowni, to powinno nam zależeć na dużym zagęszczeniu będzie zdecydować się na model z dyskami SAS i kontrolerem sprzętowym. dysków, bo będziemy wtedy płacić za mniejszą przestrzeń w szafie rack. W przypadku gdy będą to tylko dane pracowników, które nie mają dużego W takim przypadku zamiast kupować tańsze modele 24-dyskowe o wiel- priorytetu, możemy przechowywać je na dyskach SATA. Gdy potrzebujemy kości 4U każdy, lepiej jest zainwestować pieniądze w jedną macierz 4U, wydajnej macierzy, a nie stać nas na szybkie dyski SAS, to warto rozważyć która pomieści 60 dysków. Faktem jest, że przy zakupie wydamy więcej, opcję macierzy obsługującej SSD cache, która sprawi, że osiągi na dyskach ale później zamiast opłacać 12U w dzierżawionej szafie, płacimy tylko za SATA zbliżą się do dysków SAS. Taką opcję w standardzie mają systemy ma- 4U. Inną zaletą macierzy o dużym zagęszczeniu jest mniejszy pobór prądu, cierzy typu SAN i NAS od firmy Qsan. co w dłuższym okresie czasu sprawia, że są one bardziej opłacalne, gdyż całkowity koszt utrzymania jest niższy. Ceny Bezpieczeństwo Macierze mogą mieć jeden lub więcej kontrolerów. Należy zadać sobie pytanie, czy od razu potrzebujemy dwóch kontrolerów. To oczywiście zależy To bardzo ważny parametr, szczególnie w macierzach, bo wbrew pozorom od rodzaju danych: jeśli na macierzy będą przechowywane tylko kopie za- nie zawsze drogie jest lepsze, a tanie gorsze. Okazuje się, że znane marki pasowe, to wystarczy jeden kontroler, jeśli natomiast będzie to główna ma- typu IBM, HP, Dell, EMC czy NetApp nadużywają popularności, co sprawia, cierz, potrzebne będą co najmniej dwa kontrolery. Na pewno przy zakupie że często przepłacamy za funkcje, które obecnie są standardem, np. repli- wersji z jednym kontrolerem warto zwrócić uwagę na to, czy w przyszłości kacja między urządzeniami czy uruchomienie migawek. Z drugiej strony będzie można dołożyć dodatkowy kontroler. firmy takie jak Qsan, mniej znane na rynku w Polsce, w cenie macierzy ofe- Bezpieczeństwo naszych danych jest najważniejsze, więc należy zwrócić rują takie funkcje jak deduplikacja, thin provisioning, migawki, replikację, uwagę na to, w jaki sposób wybrana macierz je zabezpiecza. Jako przykład klonowanie wolumenów czy wysoką dostępność, co sprawia, że warto posłużą nam rozwiązania firmy Qsan. Każdy system macierzy dyskowej rozważyć ich zakup. tego producenta został tak zaprojektowany, aby zapewnić ciągłość pracy systemu, dlatego każdy element macierzy jest w pełni redundantny. Co Przeznaczenie Musimy jasno zdefiniować, jakie będzie przeznaczenie macierzy: czy będzie ona przechowywała bardzo ważne bazy danych (macierz produkcyjna), będą na niej kopie zapasowe, czy może maszyny wirtualne. Może się też okazać, że na macierzy będziemy trzymać różnego rodzaju dane, i wtedy warto wybrać taką, która umożliwia montaż w jednej obudowie zarówno wolnych dysków SATA, jak i szybkich dysków SAS. Przykładowo firma Qsan umożliwia montaż w jednej macierzy dyskowej obudowę dy- więcej, system został tak skonstruowany, że wymiana uszkodzonego modułu odbywa się podczas pracy całego systemu. Oprócz tego systemy Qsan posiadają zaawansowane oprogramowanie, które dodatkowo zabezpiecza dane. Mamy więc możliwość aktualizacji oprogramowania kontrolerów bez restartowania systemu, co zapewnia ciągłość pracy. Macierze Qsan umożliwiają także upgrade oprogramowania dysków twardych podczas pracy systemu. Zatem gdy dyski mają wgrany firmware potencjalnie mogący spowodować utratę cennych danych, sków twardych z interfejsem SAS i SATA. bez problemu będziemy mogli go zaktualizować. Ważną kwestią do rozważenia przy wyborze sieciowej pamięci masowej że w razie awarii kontrolera nadal mamy dostęp do naszych danych. Każdy jest też to, jaką rolę ma pełnić macierz. Jeśli ma być podłączona do istniejącego już środowiska i jej zadaniem będzie udostępnianie przestrzeń dyskowej na poziomie blokowym przy pomocy protokołów FC lub iSCSI, to można zdecydować się na rozwiązanie typu SAN. Jeżeli jednak macierz dyskowa sama będzie udostępniać w sieci swoją przestrzeń na poziomie plikowym przy pomocy protokołów sieciowych, tj. SMB, CIFS, NFS czy AFP, to należy zakupić system NAS. Może też się okazać, że zależy nam na tym, aby macierz miała możliwość udostępniania swojej przestrzeni zarówno na poziomie plikowym, jak i blokowym - w takim przypadku należy wybrać system Unified Storage (SAN i NAS w jednym). Kontrolery w macierzach Qsan pracują w trybie active-active, co sprawia, kontroler ma moduł bateryjny, którego zadaniem jest podtrzymanie pamięci cache kontrolera w razie awarii zasilania. Dzięki temu w momencie, gdy awaria zasilania zostanie usunięta, mamy pewność, że spójność danych została zachowana. W celach zwiększenia wydajności, jak i bezpieczeństwa danych możemy łączyć dyski w grupy RAID 0, 1, 0+1, 3, 5, 6, 10, 30, 50, 60. Ponadto możemy konfigurować dyski zapasowe dedykowane dla konkretnej grupy RAID lub tzw. globalne dyski zapasowe, które w razie awarii dysku obsłużą wszystkie grupy RAID. Wszystkie macierze dyskowe firmy Qsan posiadają w standardzie oprogramowanie, które umożliwia wykonywanie migawek wolumenów, co 31 | 3/2014 (10) DLP expert Wybór sieciowej macierzy dyskowej umożliwia wersjonowanie kopi zapasowych danych. Zatem w przypadku, gdy ktoś przez pomyłkę skasuje plik lub nadpisze go innym plikiem w złej wersji, w każdej chwili istnieje możliwość odzyskania takich danych. Istnieje także możliwość klonowania wolumenów między różnymi grupami RAID, więc w sytuacji, gdy w danej grupie RAID awarii ulegnie więcej dysków niż dopuszcza to skonfigurowany tryb RAID, nasze dane będą Zarejestruj się, aby pobrać magazyn w wersji elektronicznej lub zaprenumerować wydanie drukowane. bezpieczne na drugim wolumenie. Oczywiście może się też tak zdarzyć, że awarii ulegnie cała macierz, np. na skutek zalania podczas powodzi lub spalenia podczas pożaru. Jednak i to nie będzie problemem, gdyż firma Qsan przewidziała takie przypadki. Umożliwia ona wykonywanie replikacji danych między różnymi macierzami, które znajdują się w różnych lokalizacjach, dzięki czemu w takiej sytuacji dane są nadal zabezpieczone. Na uwagę zasługuje także fakt, że w systemach NAS firmy Qsan został zaimplementowany system ZFS, który ma wiele zalet. Najważniejszą z nich jest funkcja samoleczenia - podczas zapisu bloków danych na macierz dla www.dlp-expert.pl każdego bloku obliczana jest funkcja skrótu, która jest sprawdzana przy odczycie - zanim blok danych zostanie odczytany przez aplikację - przez system ZFS, czy nie uległa tak zwanemu cichemu uszkodzeniu danych. Jeżeli okaże się, że funkcja skrótu, która została obliczona przy zapisie, nie będzie taka sama jak ta przy odczycie, to blok danych zostanie najpierw naprawiony, a dopiero później przesłany do aplikacji, która wysłała zapytanie o dostęp do niego. Wiele firm produkujących macierze milczy na temat cichego uszkodzenia danych, gdyż nie mają one narzędzia, które potrafiłoby wyeliminować ten istotny problem. Sam fakt posiadania kopii zapasowych danych może być niczym, jeśli po kilku miesiącach zostaną one uszkodzone, a my dowiemy się o tym w momencie, gdy dojdzie do awarii systemu i zajdzie konieczność odzyskania danych z kopii zapasowych. Inną ważną opcją systemu ZFS jest jego odporność na nagły zanik zasilania. Systemy plików takie jak NTFS, EXT3 czy EXT4 źle znoszą nieprawidłowe zamknięcie systemu i głównie w takich momentach ulegają uszkodzeniu. System ZFS zawsze tworzy kopie bloków, co sprawia, że jest bardzo odporny na takie zdarzenia. Gwarancja Wbrew pozorom to bardzo ważny element całości. Obecnie gwarancje typu 5 lat NBD onsite na macierz i dyski to już standard, niektórzy producenci, tak jak firma Qsan, dają gwarancję usunięcia awarii w czasie 4h od momentu jej zgłoszenia. Ale nadal są firmy, które oferują tylko standardową gwarancję obejmującą 2 lata. Warto na to zwrócić uwagę, bo macierz może mieć naprawdę wiele elementów, które sprawiają wrażenie, że jest niezniszczalna i odporna na wszelkiego rodzaju awarie. Ale bądźmy szczerzy, dobrze jest mieć zapewnione dobre wsparcie w sytuacji, gdy znajdziemy się wśród 0,3% właścicieli rozwiązań sieciowych pamięci masowych, którym niestety system uległ poważnej awarii. Grzegorz Bielawski, Product Manager, EPA Systemy Sp. z o.o. DLP expert 3/2014 (10) | 32 Webroot artykuł sponsorowany – lekkość chmury Dzisiejszy rynek jest przepełniony oprogramowaniem zapewniającym bez- pamięci RAM. Większość antywirusów działa lokalnie na naszej jednostce, pieczeństwo naszym komputerom oraz przede wszystkim danym. Produ- co powoduje znaczne zużycie procesora oraz pamięci podczas procesów cenci oferują nam pełną gamę softu, które spełni, jak zapewniają, nasze skanowania lub pracy w tle, ponieważ baza sygnatur, niezbędnych do zi- oczekiwania. Niejeden z nas słyszał o markowych produktach potentatów dentyfikowania zagrożenia, znajduje się na naszym dysku twardym. takich jak Kaspersky Lab, G-Data, ESSET, Emsisoft oraz wielu innych, lecz na horyzoncie pojawiło się nowe „zielone” słońce – Webroot. Pomysłowość Konsola jest znanym dodatkiem serwowanym przez prawie wszystkich i rewolucja – tak najlepiej można opisać „dziecko” amerykańskiej firmy. vendorów jako propozycja łatwego zarządzania chronionymi jednostka- Zostało wytoczone nowe działo, a jego pocisk trafił w chmurę obliczenio- mi. Zazwyczaj jest to standard zbioru narzędzi takich jak zbiorowa insta- wą. Nowa technologia została zastosowana w całej gamie produktów dla lacja agentów na endpointach, wymuszanie procesów (np. skanowanie, domu, biznesu – i co ciekawe – nawet platformy mobilnej. zamknięcie systemu) czy wglądu do logów. W przypadkuWebroot SecureAnywhere Endpoint Protection po zalogowaniu do konsoli przez prze- Webroot Inteligents Network to innowacja opierająca się na technologii glądarke WWW, z każdego miejsca na świecie, jesteśmy w stanie zarządzać chmury obliczeniowej. W czym tkwi cała magia? To proste, brak lokalnej wszystkimi końcówkami znajdującymi się na naszej liście chronionych bazy sygnatur. Potężna baza zagrożeń liczy już 210 TB i jest ciągle rozwija- endpointów. Oprócz standardowych narzędzi możliwe jest tworzenie na. Można sobie wyobrazić superbohatera, który przemierza sieć internet polityk zawierających pełne ustawienia wszystkich poziomów zabezpie- w poszukiwaniu zagrożeń, zwalcza je, ale - co najważniejsze - kolekcjonu- czeń w zależności od potrzeb użytkownika oraz skonfigurowania samego je informacje o zagrożeniu, identyfikując je za pomocą sumy MD5. Co za Webroota. Możliwość grupowania endpointów ułatwia szybki dostęp oraz tym idzie? Uzyskamy od razu odpowiedź na najczęściej padające pytanie, zarządzanie. Amerykański vendor w trosce o komfort użytkowników swo- a mianowicie: Brak sygnatur lokalnych, chmura – czyli moje dane z kompu- jego oprogramowania utworzył na swoim forum dział „Feature Request”, tera są wysyłane na serwery? Oczywiście, że nie. Webroot po zidentyfiko- zachęcając do zgłaszania sugestii co do interfejsu i oczekiwanych funkcjo- waniu zagrożenia określa je w bazie osadzonej w chmurze za pomocą nalności. sumy kontrolnej, która jest unikatowa dla każdego pliku – jest niczym linia papilarna u człowieka. Proszę sobie wyobrazić – interakcja zachodzi mię- Webroot na pewno zrewolucjonizował technologie bezpieczeństwa, poka- dzy serwerem a komputerem – maksymalnie wykorzystując potencjał zał pazur i z powodzeniem wybił się na rynku. Zdecydowanie postawiono łącza internetowego oraz serwerów, nie mocy podzespołów komputera. nie tylko na ochronę, ale także na opracowanie mechnizmu działania całe- Dzięki temu Webroot osiąga zadziwiające wyniki. Pełne skanowanie kom- go interfejsu tak, aby użytkownik nie musiał tracić zasobów swojego kom- putera zajmuje około 1,5 min, nie mówiąc już o śladowym wykorzystaniu putera, a znajdował się pod stałą profesjonalną ochroną antywirusową. 33 | 3/2014 (10) DLP expert Aksjologia współczesnej RP na przykładzie propozycji Rejestru dłużników podatkowych W dniu 15 kwietnia 2014 r. Ministerstwo Finansów zapowiedziało Utworzenie Centralnego Rejestru Dłużników, zdaniem Ministerstwa Fi- utworzenie kolejnego rejestru. Ma to być powszechnie dostępny nansów, powinno wywrzeć pozytywny wpływ na zwiększenie dyscypliny rejestr dłużników podatkowych zawierający informacje o zaległoś- podatkowej i zmniejszenie deficytu budżetowego. Zagrożenie upublicz- ciach podatników względem podmiotów publicznych, w szczegól- nieniem zaległości będzie miało za zadanie mobilizowanie dłużników do ności fiskusa. dobrowolnej spłaty zobowiązań przed przymusowym dochodzeniem tych należności, a tym samym powinno wpłynąć z jednej strony na zwiększe- Utworzenie owego rejestru ma być jednym ze sposobów realizacji wy- nie dochodów budżetu państwa, z drugiej zaś na zmniejszenie wydatków mogów Rady Ecofin, zajmującej się realizacją programu konwergencji państwowych (także zalecane przez Radę Ecofin) poprzez ograniczenie w Unii Europejskiej, która to Rada już w 2009 r. zaleciła znaczące obniże- kosztów egzekucji komorniczych związanych z odzyskiwaniem należności. nie długu publicznego w Polsce. W celu realizacji tego zadania w grudniu Powinno również zmniejszyć należności, które ulegną przedawnieniu ze 2013 r. Rada zaleciła Polsce między innymi „zwiększenie stopnia przestrze- względu na bezskuteczność podjętych działań egzekucyjnych. gania przepisów podatkowych (tax compliance) i skuteczności administracji podatkowej”. W odpowiedzi w Ministerstwie Finansów dokonano analizy Ministerstwo Finansów zakłada, że docelowo w rejestrze ujawniani byliby ściągalności podatków w Polsce i zdiagnozowano najistotniejsze problemy dłużnicy posiadający zaległości w zakresie wszystkich danin publicznych w powyższych obszarach. W efekcie powstał dokument pt. „Działania w rozumieniu ustawy o finansach publicznych. Należą do nich podatki, zwiększające stopień przestrzegania przepisów podatkowych i poprawiające składki, opłaty, wpłaty z zysku przedsiębiorstw państwowych i jedno- efektywność administracji podatkowej na lata 2014 – 2017”. Dokument ten osobowych spółek Skarbu Państwa, a także inne świadczenia pieniężne, zawiera zbiór działań poprawiających m. in. ściągalność podatków, które których obowiązek ponoszenia na rzecz państwa, jednostek samorządu podzielono na dwa zasadnicze rodzaje: działania, które powinny przynieść terytorialnego, państwowych funduszy celowych oraz innych jednostek efekty w krótkim czasie, oraz działania mające charakter długofalowy, takie sektora finansów publicznych wynika z odrębnych ustaw. Wszystkie te da- jak promowanie postaw obywatelskich, działania edukacyjne i informacyj- niny podlegają egzekucji administracyjnej na podstawie przepisów usta- ne skierowane również do dzieci i młodzieży. Jednym z najważniejszych wy o postępowaniu egzekucyjnym w administracji. Prościej rzecz ujmując, działań krótkoterminowych ma być utworzenie Centralnego Rejestru Dłuż- w szczególności są to podatki, cła, należności ZUS, PFRON, grzywny ników. i mandaty. DLP expert 3/2014 (10) | 34 Aksjologia współczesnej RP stawowym, najwyższym aktem prawnym, jakim jest Konstytucja RP. Artykuł 30 Konstytucji RP chroni bowiem przyrodzoną i niezbywalną godność człowieka. Zgodnie z treścią tej normy konstytucyjnej poszanowanie i ochrona godności człowieka jest obowiązkiem władz publicznych. Jednocześnie przepisy prawa chronią dane osobowe, w tym nazwisko i wizerunek człowieka, nawet w przypadku społecznie niebezpiecznego przestępcy. Ministerstwo Finansów swoimi interpretacjami i aktywnością w zakresie realizacji zaleceń Rady Ecofin chce doprowadzić do poważnego naruszenia godności człowieka. Państwo polskie już dysponuje szeroko rozbudowanym aparatem przymusu pozwalającym ściągnąć należne mu podatki od wszystkich podatników, tak od przedsiębiorców, jak i od osób fizycznych. Jeśli robi to nieskutecznie, powinno poszukać przyczyn przede wszystkim we własnej organizacji systemu ściągania podatków, zamiast działać wbrew zasadom konstytucyjnym i wbrew obowiązującej w Polsce Ordynacji podatkowej. Ordynacja ta wprowadza przecież pojęcie tajemnicy podatkowej, której celem jest ochrona relacji pomiędzy obywatelem a organem skarbowym przed wglądem osób postronnych. Ordynacja Podatkowa, chroniąc interes gospodarczy, określa szeroki krąg podmiotów, którym organy skarbowe są obowiązane udostępnić informacje o stanie rozliczeń podatkowych między podatnikiem a fiskusem. Są między nimi zarówno podmioty publicznoprawne, jak i komornicy dochodzący zasąW pierwszym etapie tworzenia rejestru publikacji podlegać mają wyłącznie należności podatkowe i celne, których pobór leży w kompetencji Administracji Podatkowej i Służby Celnej, a ujawniane informacje będą dotyczyły tylko należności bezspornych i wymagalnych powyżej 500 zł wobec jednego wierzyciela. Twórcy projektu nowego rejestru zakładają, że będzie on prowadzony w trybie online. Udostępniony zostanie w Biuletynie Informacji Publicznej Ministra Finansów z możliwością nieodpłatnego wyszukiwania danych o zadłużeniu osoby fizycznej lub przedsiębiorstwa, na podstawie takich danych dotyczących dłużnika jak np. nazwa firmy, numer PESEL lub numer NIP przez dowolnego użytkownika za pomocą wyszukiwarki. Adresatami informacji w rejestrze byliby wierzyciele publicznoprawni, wierzyciele cywilnoprawni - przedsiębiorcy, jednostki gospodarcze - oraz, co jest szczególnie istotne, obywatele posiadający dane dłużnego podmiotu. Jednym słowem dzięki takiemu rejestrowi każdy człowiek na świecie i każdy podmiot gospodarczy na świecie będzie mógł w prosty sposób pozyskać wiedzę o bardzo prywatnych i chronionych danych osobowych, informacjach dotyczących stanu finansów człowieka lub przedsiębiorstwa, częściowo o jego zadłużeniu, a pośrednio o jego dochodach. To posunięcie legislacyjne jest kolejnym dowodem supremacji finansów nad jednostką w Polsce i jednocześnie stoi w jaskrawej sprzeczności z pod35 | 3/2014 (10) DLP expert Aksjologia współczesnej RP dzonych należności od dłużników. I wydaje się, że to powinno wystarczyć dla ochrony interesów Państwa przed nierzetelnością lub brakiem wiedzy niektórych podatników. Oznacza to, że już jest wdrożona szeroko rozumiana ochrona interesu gospodarczego, który powinien być chroniony przez Państwo. Publiczne informowanie o zaległościach podatkowych podatnika jest więc z punktu widzenia celowości, do czego się zresztą Ministerstwo Finansów wyraźnie przyznaje, środkiem nacisku, który ma doprowadzić do ochrony „wartości fiskalnych” nawet poprzez działania przeciwne obowiązującemu prawu, a skutkujące ujawnieniem chronionych dóbr człowieka - obywatela tego kraju i publicznym tego obywatela poniżaniem. O autorze: Stefan Cieśla, radca prawny Jest ekspertem ds . zagadnień prawnych związanych z informatyką i wdrażaniem rozwiązań technologicznych w przedsiębiorstwach i jednostkach administracji publicznej. Doradza on przy licencjonowaniu, transakcjach kupna-sprzedaży (również w drodze przetargów) i wdrażaniu systemów informatycznych. Ponadto, mec. Cieśla specjalizuje się w problematyce Open Source i jego wykorzystania w przedsięwzięciach komercyjnych. W trakcie swojej kariery zawodowej pełnił on również obowiązki prezesa zarządu w licznych instytucjach finansowych, gdzie zdobył praktyczne doświadczenie w zarządzaniu transakcjami IT. Mec. Cieśla jest członkiem Warszawskiej Izby Radców Prawnych. Ukończył on z wyróżnieniem studia na Wydziale Prawa i Administracji Uniwersytetu Wrocławskiego, a następnie podyplomowe studium legislacyjne na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego. Adres www kancelarii: www.radcaprawny-ciesla.pl W relacjach z Państwem nawet przestępcy skazani za bardzo niebezpieczne przestępstwa mają zapewnioną konstytucyjną ochronę „przyro- Nie wnikając w przyczyny nierzadkich pomyłek fiskusa, o których donoszą dzonej godności”. Media nawet o najgroźniejszych przestępach piszą jako media, należy stwierdzić tylko, iż już w obecnej sytuacji prawnej występu- o „Arkadiuszu K.”; twarze osób, które prowadząc samochód pod wpływem ją u podatników liczne problemy wywołane tymi błędami. W przypadku alkoholu, zabiły ludzi, są skrzętnie zasłaniane, a takim przestępcom przysłu- utworzenia projektowanego rejestru trzeba będzie dodać do nich dodat- guje prawo do odszkodowania pieniężnego za publiczne pokazanie jego kowe problemy wizerunkowe, towarzyskie, czyli szeroko rozumiane prob- twarzy. Ale pełne dane podatników, którzy być może bez swojej winy nie lemy społeczne. mogli zapłacić podatków, będą miały być publicznie dostępne. Należy podkreślić, iż w bardzo wielu wypadkach będą to problemy nieza- I tu rodzi się pytanie aksjologiczne: po co jest państwo i kim w tym pań- winione przez podatnika, którego nazwisko i kwota zadłużenia i tak znajdą stwie jest człowiek? Jaka jest rola obywatela w państwie? Jeżeli uznamy się w publicznym rejestrze. człowieka za wartość samą w sobie, za wartość najwyższą, wartość, dla której tworzone są instytucje społeczne, w tym państwo, to ujawnianie przez państwo informacji, które człowieka poniżają i oddzierają z godności, narażają na szykany w życiu społecznym i w życiu zawodowym, budzi bardzo poważne wątpliwości, wręcz sprzeciw wewnętrzny. Projekt utworzenia publicznego rejestru dłużników może zostać uznany za słuszny i zasadny tylko w jednym wypadku – gdy uznamy, że podstawową wartością jest państwo i jego finanse. Wówczas każdy, kto niezależnie od przyczyn nie wypełnia swoich obowiązków wobec państwa, może, a nawet powinien być stosownie publicznie napiętnowany i potępiony. W literaturze już wiele lat temu Orwell pokazał nam wizję takiego właśnie aksjologicznego państwa. Tak jak staraliśmy się nie dopuścić do urzeczywistnienia tej apokaliptycznej wizji społeczeństwa „Roku 1984” przez wiele lat przed rokiem 1989, tak i teraz powinniśmy liczyć, że dominująca w naszym parlamencie partia polityczna odwołująca się do obywateli, a nie do państwa pozwoli nam zachować system wartości, w którym nie państwo jest odniesieniem, a obywatel właśnie. Natomiast rolą państwa jest służenie obywatelowi, a nie działanie na jego szkodę. Stefan Cieśla, radca prawny, właściciel, Kancelarii Radca Prawny Stefan Cieśla DLP expert 3/2014 (10) | 36 Komentarz C ała dyskusja na temat ujawniania długów względem administracji publicznej doskonale wpisuje się w temat konfrontacji prawa do in- formacji z prawem do prywatności. Do tego aby państwo funkcjonowało sprawnie konieczne jest, zachowanie pewnej równowagi, złotego środka. Niedobrze, jeśli jawność i dostęp do informacji naruszają prawo do prywatności ale niedobrze jest również, kiedy dostęp do informacji jest zanadto ograniczany. Przykładem kraju, który poszedł bardzo mocno w kierunku całkowitego i swobodnego dostępu do informacji – jest Szwecja. Polecam nasz artykuł na ten temat: http://blog-daneosobowe.pl/szwecja-handluje-danymiswoich-obywateli-cz-ii/. Obywatele Szwecji mogą bez problemu sprawdzić w Internecie, jakie dochody zadeklarował ich sąsiad, czy był karany, etc. Myślę, że projekty naszego ministerstwa nie przeraziłyby Szwedów w ogóle. W Polsce przeważnie w takiej sytuacji pojawiają się irracjonalne obawy – że przecież jeśli ktoś może sprawdzić nasze dochody w internecie, to zapewne już czyha cała siębiorca lub osoba fizyczna miała w którymkolwiek momencie swojego życia polska mafia, żeby zorganizować włamanie do jego willi. Dobrze znam to zadłużenie, to taka informacja zawsze będzie widoczna” - dodaje. [http:// pytanie z prowadzonych przeze mnie szkoleń. Zawsze kiedy opowiadam www.polskieradio.pl/9/302/Artykul/1223628,Czym-grozi-ujawnienie-w-in- o oświadczeniach majątkowych – to pierwszą obawą jest to, że oświad- ternecie-dlugow-wobec-panstwa] – przyp. Redakcji). Nie można stworzyć czający zostaną „namierzeni” przez złodziei. Wydaje mi się, że złodzieje nie internetowego rejestru, który nagle zostanie przez Sieć zapomniany! przeglądają internetu w poszukiwaniu majątku potencjalnych ofiar. Mają Wystarczy, że kilka firm przechowa dane o niespłaconych długach i te dane zupełnie inne źródła wyszukiwania swoich ofiar. pozostaną w Sieci już być może na zawsze. Wygląda na to, że urzędnicy Jeśli długi względem banków czy instytucji prywatnych mogą być częś- mówiąc o tym, że dane mają być wymazywane – nie do końca zdają sobie ciowo jawne, to w czym gorsza jest od tego nasza administracja publiczna, sprawę z tego, jak działa internet. Warto przytoczyć orzeczenie Europej- dlaczego biznes ma mieć łatwiej, a urzędnicy mają mieć trudniej? Powsta- skiego Trybunału Sprawiedliwości (ETS) w sprawie C131/12 (tutaj link do je tu swojego rodzaju dysonans. Poza tym argument, że przedsiębiorcy szerszego mojego komentarza: http://blog-daneosobowe.pl/europejski- z długami rzędu ok. 1000 zł będą później dyskryminowani na rynku, rów- trybunal-sprawiedliwosci-poucza-google-prywatnosci/). nież jest dość mało przekonujący. Kontrahenci nie dyskryminują swoich Może to faktycznie prowadzić do sytuacji, w której dłużnicy, którzy spłacili partnerów biznesowych z dobrą usługą i ceną tylko dlatego, że ci zalegają zobowiązania, cały czas będą żyli z„piętnem”. Cała dyskusja pokazuje też wy- kilkaset złotych fiskusowi. Pomysł, w którym dłużnicy mieliby być wpisy- raźnie, jak wygląda poziom zaufania obywateli do instytucji państwowych. wani do rejestru bez uprzedniego potwierdzenia ich należności przez sądy W Skandynawii ludzie chcą (!) płacić wysokie podatki, bo ufają urzędnikom – także budzi duże wątpliwości. Wydaje mi się jednak, że tutaj też nasze i wiedzą, że oni dobrze te pieniądze spożytkują. Jest zaufanie. U nas urzęd- społeczeństwo jest trochę przewrażliwione – faktycznie było kilka błęd- nik nie ufa obywatelowi, że ten spłaci niezwłocznie swoje zobowiązanie, nych orzeczeń fiskusa w sprawach podatkowych. Niemniej jednak najczęś- kiedy tylko będzie miał możliwość. Z kolei obywatel nie ufa urzędnikowi, ciej urzędnicy działają prawidłowo, na podstawie przepisów i nie krzywdzą zakładając, że ten źle zinterpretuje przepisy podatkowe bądź naliczy nie- podatników. Oczywiście poza samą wysokością podatków ;-) słuszny podatek. Brak zaufania i lęk nie pomagają szukaniu konstruktyw- No i w końcu… chodzi jednak o publiczne pieniądze. Pamiętajmy o tym, nych rozwiązań. że dłużnicy tego rodzaju poniekąd zabierają pieniądze, które powinny być wydatkowane między innymi na drogi czy służbę zdrowia. Ja osobiście nie potępiam samej idei, jednak diabeł tkwi w szczegółach. To wszystko są argumenty za jawnością. Wszystko zależy od tego, jaki będzie finalny kształt projektu. Może jednak tym razem warto, aby urzędnicy pierwsi wy- Jednak ta jawność ma też swoją ciemną stronę. To, co mówił dr Wiewió- kazali się większym zaufaniem do obywateli rowski w trójkowej audycji „Za, a nawet przeciw”, jest bardzo trafne. (Dla i pokazali, że nie muszą sięgać po tego typu niewtajemniczonych: temat ujawnienia w internecie długów wobec Państwa kontrowersyjne instrumenty przy ściąganiu był poruszany przez Pana Kubę Strzyczkowskiego w audycji radiowej Trójki. należności? W tejże audycji Generalny Inspektor Ochrony Danych Osobowych - Wojciech Rafał Wiewiórkowski - mówi, że „trzeba sobie zdawać sprawę z tego, że taka Autor: Przemysław Zegarek, Właściciel, wiadomość raz ujawniona będzie już nieusuwalna. To oznacza, że jeśli przed- Lex Artist 37 | 3/2014 (10) DLP expert Długi wobec państwa wkrótce online Informacje o zadłużeniu osób fizycznych i firm przetwarzają i udostępnia- nia sprzeciwu, bez ograniczeń czasowych, a następnie ją, zasadniczo za opłatą, biura informacji gospodarczej („BIG”) działające także zażalenie oraz skarga do wojewódzkiego sądu w oparciu o ustawę z dnia 9 kwietnia 2010 r. o udostępnianiu informa- administracyjnego. Samo postępowanie odwoławcze cji gospodarczej i wymianie danych gospodarczych (Dz.U. z 2014 r. poz. w toku nie zawieszałoby jednak publikacji informacji 1015). W obowiązującym systemie znaleźć można praktycznie tylko dane o wpisie – powodowałoby jedynie ujawnienie w Reje- nt. zobowiązań cywilnoprawnych (niezapłacone faktury/rachunki). To ma strze stosownej adnotacji o odwołaniu. się jednak zmienić. Ministerstwo Finansów prowadzi prace nad projektem ustawy o zmianie ustawy o postępowaniu egzekucyjnym w administracji Jakie są główne cele zmian? Wpisanie do publicznie z dnia 17 czerwca 1966 r. oraz niektórych innych ustaw, która umożliwi dostępnego rejestru dłużników zwykle, dla wpisanej do publiczny dostęp do informacji o zadłużeniach publicznoprawnych (sze- niego osoby, oznacza problemy z zaciągnięciem kredytu, roko pojęte długi wobec państwa) poprzez centralny, państwowy Rejestr zakupem telefonu z abonamentem, obniża wiarygod- Dłużników Należności Publicznoprawnych („Rejestr”). ność wobec kontrahentów itp. Funkcjonowanie Rejestru ma działa na podatników/zobowiązanych motywująco Bezpłatny dostęp do udostępnianego za pośrednictwem internetu Reje- - zgodnie z prezentowanymi przez rząd informacjami stru mieliby wierzyciele publicznoprawni oraz organy egzekucyjne (np. 12% dłużników wpisanych do BIG-ów reguluje swoje zo- komornicy), ale informacje przekazywane byłyby również dalej, do komer- bowiązania. Dodatkowo, nowy Rejestr ma pełnić funkcję cyjnych BIG-ów, a za ich pośrednictwem - do wszystkich zainteresowanych ochronną - usprawnić i zabezpieczyć obrót gospodarczy odbiorców. Sam Rejestr miałby działać od 1 stycznia 2016 r., a w celu ure- poprzez informowanie o kontrahentach, którzy np. gulowania zasad wymiany informacji pomiędzy powyższymi podmiota- z powodu znacznych zaległości podatkowych mi Ministerstwo Gospodarki pracuje równolegle nad nowelizacją ustawy wkrótce mogą utracić płynność finan- o udostępnianiu informacji gospodarczych i wymianie danych gospodar- sową. czych. Jak natomiast Rejestr sprawdzi się w praktyce? I czy jego Zgodnie z założeniami projektu przygotowywanego przez Ministerstwo wprowadzenie koresponduje z chroniącą dane podatników Finansów, ujawnieniu w Rejestrze podlegałyby dane dłużników niewyko- tajemnicą skarbową oraz przepisami o ochronie danych oso- nujących obowiązków finansowych wobec państwa, m.in. podatkowych bowych? i celnych, stwierdzonych ostateczną decyzją administracyjną. Ministerstwo co do zasady zakłada obligatoryjne ujawnienie należności nie mniejszych Na obecnym etapie prac legislacyjnych brak szczegółowych niż 500 zł. Przed zamieszczeniem informacji o zaległościach dłużnik otrzy- informacji, w jaki sposób dane dłużników będą chronione małby od organu upomnienie wraz z informacją o zagrożeniu wpisem do w Rejestrze i jakim zabezpieczeniom będzie podlegał sam sy- Rejestru. Po dokonaniu wpisu dłużnikowi przysługiwałoby prawo wniesie- stem udostępniany online. Informacja, która pojawia się w in- DLP expert 3/2014 (10) | 38 którego BIG-i ujawniają zadłużenie podmiotów prowadzących działalności gospodarczą nie mniejsze niż 500 zł (konsumentów zaś nie mniejsze niż 200 zł). ternecie, często staje się trudna (niemożliwa) do usunięcia, w przypadku omawianego projektu mamy zaś do czynienia z danymi niezwykle wrażliwymi. Należy więc oczekiwać, że ustawodawca podejmie szczególne środki bezpieczeństwa. Budzi wątpliwości, czy ostateczna decyzja administracyjna powinna być wystarczającą podstawą do dokonania wpisu do Rejestru jako dostateczna gwarancja istnienia „niespornego” zobowiązania. Odpowiedzią na ew. wątpliwości w tym zakresie ma być prawo zgłaszania nieograniczonego w czasie sprzeciwu przez zainteresowany podmiot oraz prawo korzystania przez niego z dalszych środków Samo przetwarzanie danych osobowych dłużnika na potrzeby ujawniania jego zadłużenia ministerstwo uzasadnia „koniecznością wykonywania zadań realizowanych dla dobra publicznego, tj. zapewnienia wykonywania funkcji motywacyjnej, informacyjnej, windykacyjnej i wychowawczej względem wierzycieli i dłużników należności publicznoprawnych”. Podkreślić jednak należy, że indywidualne dane dłużników, które będą podawane do publicznej wiadomości, podlegają ochronie tajemnicą skarbową na mocy art. 293 ustawy z dnia 29 sierpnia 1997 r. Ordynacja Podatkowa (Dz.U. z 2012 r. poz. 749). Tajemnica skarbowa oznacza zakaz ujawniania indywidualnych danych podatników zawartych w deklaracjach i innych dokumentach składanych przez nich, a także przez płatników i inkasentów. Jej zakres przedmiotowy jest szeroki – obejmuje wszelkie informacje o charakterze indywidualnym, możliwe do przypisania konkretnej osobie (a więc praktycznie wszystkie posiadane przez organ dane, które dostarczają informacji o podatniku, w tym jego sytuacji życiowej czy ekonomicznej). Zgodnie z powyższym, informacje przekazywane do Rejestru, a następnie dalej do BIG-ów, będą objęte tajemnica skarbową – w tym kontekście planowane jest wprowadzenie przepisu, który wprost uzna publikację danych w Rejestrze jako nienaruszające tajemnicy skarbowej. Proponowane zmiany wypełniłyby lukę w obowiązującym już systemie zaskarżenia. Trzeba jednak zauważyć, że sama procedura odwoławcza w żaden sposób nie zawiesza publikacji informacji w Rejestrze, a ujawnianie danych przed wykorzystaniem wszystkich środków odwoławczych może powodować po stronie rzekomych dłużników poważne szkody. Z drugiej jednak strony już teraz wpisowi do BIG-ów podlegają informacje wynikające z dokumentów, których wiarygodność nie została jeszcze w żaden sposób potwierdzona przez sądy (wpis nie wymaga, aby wierzytelność była stwierdzona wyrokiem sądu). Czy w przyszłości można spodziewać się uzupełnienia właściwych rejestrów dotyczących zadłużonych przedsiębiorców lub konsumentów dalszymi danymi? Na ocenę wiarygodności kontrahentów mogłoby mieć wpływ także ujawnianie informacji o grzywnach i innych opłatach o charakterze karnym. Co ciekawe, pomysł uwzględnienia takich informacji był rozważany, natomiast projektodawcy na tym etapie uznali jednak, że takie dane mają małe znaczenie w praktyce obrotu gospodarczego. Reasumując, ujawnienie danych o zadłużeniu podatników wobec państwa w internecie to temat niewątpliwie bardzo wrażliwy, wymagający od ustawodawcy szczególnego podejścia. Ułatwienie dostępu do informacji o długach publicznoprawnych (które obejmują nie tylko podatki, ale również składki na ZUS, etc.) pozwoli na sprawniejszą i bardziej kompleksową niż dotychczas weryfikację wiarygodności kontrahenta, co może przyczynić się do większej pewności obrotu gospodarczego. Może jednak również budzić kontrowersje i wątpliwości co do metod/zakresu przymuszania zobowiązanych do regulowania ich zobowiązań publicznoprawnych. W każdym wypadku, jeżeli projekt ustawy nie ulegnie istotnym zmianom, od stycznia 2016 r. ujawnienie informacji o zaległościach wobec państwa będzie obligatoryjne. Wobec firm i osób prywatnych – (jeszcze) nie. udostępniania danych, w ramach którego BIG-i Mateusz Borkiewicz, informują (także online) o zadłużeniach wynikających Kancelaria Olesiński & Wspólnicy ze stosunków cywilnoprawnych. Skoro rejestry długów prywatnych miały na celu usprawnienie systemu kontroli 39 O autorze: wiarygodności i wypłacalności kontrahentów, dodanie Autor, w ramach zespołu Kancelarii Olesiński & Wspólnicy, do nich informacji o zaległościach publicznoprawnych doradza przedsiębiorcom działającym w sektorze daje pełniejszy obraz wiarygodności finansowej konkretnej nowoczesnych technologii, osoby. Projekt wydaje się być spójny z obecnym systemem w tym w zakresie danych osobowych. pod kątem wartości ujawnianych zobowiązań, w ramach Współtworzy blog.e-prawnik.pl. | 3/2014 (10) DLP expert Ład dokumentacyjny – przechowywanie i niszczenie dokumentacji Każde przedsiębiorstwo ma na co dzień do czynienia z dużą ilością dokumentacji. Jest ona nieodłączną częścią prowadzenia jakiejkolwiek działalności. Korespondencja, dokumenty, sprawozdania, raporty, faktury, umowy, protokoły, regulaminy, rejestry, akta, uchwały zarządu, nośniki elektroniczne i wiele innych – to wszystko musi być przechowywane w sposób kompletny i uporządkowany według jasno określonych kryteriów, aby zapewnić stałą kontrolę nad przepływem dokumentów wewnątrz przedsiębiorstwa. Dodatkowo, wspomniana dokumentacja powinna być przechowywana w taki sposób, by każdy uprawniony w razie potrzeby mógł bez większego problemu się z nią zapoznać. Konieczne jest więc stworzenie w przedsiębiorstwie tzw. ładu dokumentacyjnego. DLP expert Ład dokumentacyjny jest w dużej części regulowany odpowiednimi przepisami, jednakże w części zależy także od aktualnych potrzeb zarządzania przedsiębiorstwem. Do przepisów regulujących tę tematykę zaliczyć należy m. in. ordynację podatkową, ustawę o rachunkowości, prawo budowlane, ustawę o narodowym zasobie archiwalnym i archiwach oraz wiele innych przepisów odnoszących się do koncesji, zezwoleń, ubezpieczeń społecznych czy kwestii pracowniczych. Niemal każda nowa ustawa czy rozporządzenie wprowadza kolejne wymogi związane z tworzeniem, zabezpieczeniem i przechowywaniem dokumentów. Każde przedsiębiorstwo może dodatkowo kształtować ład dokumentacyjny w sposób, jaki najlepiej pasuje do jego potrzeb. Może to czynić za pomocą wewnętrznych regulacji, takich jak np. instrukcje czy regulaminy. 3/2014 (10) | 40 Ład dokumentacyjny - przechowywanie i niszczenie dokumentacji Ponadto różne rodzaje dokumentacji podlegają zróżnicowanym okresom którego dane zbiory dotyczą. Wymogi powyższe dotyczą zarówno doku- przechowywania. Dla przykładu, ustawa o narodowym zasobie archiwal- mentacji prowadzonej w formie papierowej, jak i elektronicznej. nym i archiwach przewiduje wieczyste przechowywanie materiałów sta- dokumenty podatkowe, to spółka jako płatnik jest obo- nowiących narodowy zasób archiwalny. W odniesieniu do dokumentacji Jeśli chodzi o niearchiwalnej okresy przechowywania określone są w ustawach szczegó- wiązana przechowywać dokumenty podatkowe do czasu upływu okresu łowych i zależą od rodzaju i przeznaczenia danego dokumentu. przedawnienia zobowiązań podatkowych. Odnosi się to do ksiąg podatkowych i dokumentów związanych z ich prowadzeniem, kopii wystawionych Ze względu na rozległość problematyki wskażę jedynie klika przykładów rachunków, faktur VAT, faktur korygujących i oryginałów otrzymanych ra- ukazujących różnorodność podejścia w zakresie przechowywania doku- chunków, faktur VAT, faktur korygujących oraz ich duplikatów. Ewidencja mentacji. prowadzona dla celów rozliczania podatku VAT oraz wszystkie inne doku- W odniesieniu do dokumentów korporacyjnych - spółka oraz jej nabyw- menty związane z tym rozliczaniem również powinny być przechowywa- ca (następca prawny) są obowiązani przechowywać księgi i dokumenty ne do czasu upływu terminu przedawnienia zobowiązania podatkowego. spółki w sposób nieprzerwany w całym okresie istnienia spółki oraz po jej Termin przedawnienia dla ogólnych zobowiązań podatkowych wynosi rozwiązaniu. 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku. Ponieważ jednak przepisy Ordynacji podatkowej przewidu- Dokumenty korporacyjne obejmują w szczególności: ją możliwość zawieszenia biegu terminów przedawnienia lub przerwania » umowę spółki i jej zmiany, tego biegu (nawet wielokrotnie), najbezpieczniej jest przechowywać » protokoły ze zgromadzeń wspólników i uchwał wspólników, ww. dokumenty przez okres 10 lat, licząc od końca roku podatkowego, któ- » protokoły z posiedzeń zarządu i uchwał zarządu, rego dotyczą. Po 10-letnim okresie przechowywania, ale przed zniszcze- » protokoły z posiedzeń rady nadzorczej i uchwał rady nadzorczej, niem dokumentacji, należy zbadać, czy rzeczywiście nastąpiło przedaw- » księgi protokołów i zgromadzeń, nienie zobowiązania podatkowego z roku podatkowego, którego dotyczą » akta struktury organizacyjnej, dane dokumenty oraz księgi. Dokumenty oraz księgi prowadzone według » inne dokumenty związane ze sprawami korporacyjnymi. przepisów ustawy o rachunkowości oraz jednocześnie według przepisów podatkowych powinny być przechowywane przez dłuższy okres, tak aby Jeśli chodzi o dokumenty związane z ubezpieczeniem społecznym, to nie naruszać przepisów Ordynacji podatkowej (tj. przez okres 10 lat). płatnik składek ubezpieczeniowych jest zobowiązany przechowywać kopie wszelkich deklaracji rozliczeniowych i imiennych raportów miesięcz- Dokumentacja celna powinna być przechowywana prze okres 5 lat, licząc nych oraz dokumentów korygujących te dokumenty przez okres 5 lat od od końca roku zakończenia odpowiedniej procedury celnej. dnia ich przekazania do wskazanej jednostki organizacyjnej Zakładu Ubezpieczeń Społecznych. Płatnik składek jest zobowiązany przechowywać listy Jeszcze raz podkreślenia wymaga przykładowy charakter przywołanych płac, karty wynagrodzeń albo inne dowody, na podstawie których nastę- okresów przechowywania. Przedsiębiorca może mieć pewność prawidło- puje ustalenie podstawy wymiaru emerytury lub renty, przez okres 50 lat wości działań dopiero po uwzględnieniu wszystkich rodzajów dokumen- od dnia zakończenia przez ubezpieczonego pracy u danego płatnika. tacji. dokumentów księgowych należy przechowywać stale za- Często w praktyce pojawia się jednak problem stosowania odpowiednich twierdzone roczne sprawozdania finansowe. Natomiast w odniesieniu do przepisów, gdy z jednej strony przepisy prawa nakazują usunięcie danych, poszczególnych zbiorów wprowadzono zróżnicowane okresy przechowy- a z drugiej konieczne jest ich przechowywanie. Przykładem może być wania, w większości przypadków co najmniej 5–letnie. Na przykład dla zakończenie świadczenia usługi w internecie przez portal. Usługobiorca/ ksiąg rachunkowych czy dowodów księgowych dotyczących rozpoczę- użytkownik może zwrócić się wówczas do usługodawcy z żądaniem usu- tych wieloletnich inwestycji, pożyczek, kredytów oraz umów handlowych, nięcia swoich danych osobowych. W takim przypadku dane te zgodnie roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępo- z obowiązującymi przepisami o ochronie danych osobowych powinny zo- waniem karnym albo podatkowym - obowiązuje okres 5 lat od początku stać przez usługodawcę usunięte lub zanonimizowane. Jednym z pytań, roku następującego po roku obrotowym, w którym operacje, transakcje które może się wówczas pojawić, jest to, czy obowiązek usunięcia danych i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub obejmuje także sporządzone backupy oraz archiwalne kopie zapasowe przedawnione. Najkrótsze okresy przechowywania spośród dokumentów (np. spakowane zrzuty baz danych służące do archiwizacji, jak też kopie baz księgowych przewidziano dla rękojmi i reklamacji - 1 rok po terminie upły- danych wykonane na wypadek wystąpienia awarii) lub logi systemowe, wu rękojmi lub rozliczeniu reklamacji. Okresy przechowywania określone w których mogą być zapisywane takie dane osobowe (np. historia zmian powyżej biegną od początku roku następującego po roku obrotowym, wykonana przez administratorów lub użytkowników). W przypadku 41 | 3/2014 (10) DLP expert Ład dokumentacyjny - przechowywanie i niszczenie dokumentacji Zgodnie z ustawą o ochronie danych osobowych (u.o.d.o.) przez usunięcie zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się danych rozumie się zniszczenie danych osobowych lub taką ich modyfi- w systemach informatycznych. Do systemów tych zaliczają się wszystkie kację, która nie pozwoli na ustalenie tożsamości osoby, której dane doty- współpracujące ze sobą urządzenia, programy, procedury przetwarzania czą. Przepisy dotyczące ochrony danych osobowych nie różnicują danych informacji i narzędzia programowe, które mają związek z przetwarzaniem osobowych z uwagi na to, czy ich przetwarzanie, w tym przechowywanie, danych. Zatem wykonywanie i tworzenie kopii zapasowych czy logów sy- następuje za pomocą narzędzi informatycznych, umożliwiających bezpo- stemowych stanowić będzie przetwarzanie danych osobowych w syste- średnie i natychmiastowe przetwarzanie i dostęp do danych, czy odbywa mie informatycznym. się ono w ramach sporządzanych backupów, kopii zapasowych czy logów systemowych. Zawierając umowy obejmujące świadczenie usług za pośrednictwem portalu, użytkownicy akceptują postanowienia regulami- Ustawa ta ma zastosowanie do przetwarzania danych osobowych zarów- nu portalu. W konsekwencji przetwarzane są zarówno dane oso- no w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach bowe niezbędne do realizacji i wykonania umów, jak i inne dane, ewidencyjnych, jak też w systemach informatycznych, także w przypadku odnośnie których użytkownicy wyrażają zgodę na ich przetwarza- przetwarzania danych poza zbiorem danych. Zgodnie z brzmieniem u.o.d.o. nie. Dane osobowe związane z zawartymi umowami mogą być przetwarzanie danych to wszystkie operacje wykonywane na danych oso- i są w dużej mierze niezbędne usługodawcy także po zakończeniu procesu bowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, świadczenia usług na podstawie zawieranych umów. Mogą być w szcze- DLP expert 3/2014 (10) | 42 Ład dokumentacyjny - przechowywanie i niszczenie dokumentacji gólności konieczne w zakresie dochodzenia roszczeń z tytułu prowadzonej Zróżnicowanie regulacji prawnych w zakresie postępowania z dokumenta- działalności gospodarczej, jak też dokumentacji przychodów i kosztów ich mi i zawartymi w nich danymi oraz potrzebę zapewnienia zgodności we- uzyskania. wnętrznych procedur z tymi regulacjami powoduje konieczność przyjęcia przez przedsiębiorcę własnych dodatkowych przepisów regulujących tę Zachowanie określonych podstawowych danych osobowych może być problematykę. Przygotowane rozwiązania powinny uwzględniać wyniki również usługodawcy potrzebne do ich usunięcia po otrzymaniu żądania oceny zgodności stosowanych rozwiązań (w tym informatycznych) z obo- użytkownika, a także dla wykazania, że usługi były świadczone zgodnie wiązującymi przepisami, analizę i ocenę ryzyka prawnego (w tym zwią- z prawem oraz ich przetwarzanie, w ramach realizacji usług, również speł- zanego z przyjętymi i stosowanymi rozwiązaniami informatycznymi oraz niało ustawowe wymogi. Przechowywanie tych danych mogłoby mieć wynikającymi z tego zagrożeniami). Jeśli chodzi o adresatów - w pierw- w takim przypadku również miejsce w ramach sporządzonych kopii szym rzędzie powinny zawierać instrukcję dla pracowników określającą zapasowych czy logów systemowych. obowiązek i sposób rejestracji przychodzących i wychodzących dokumentów, jak również sposób segregowania i oznaczania dokumentacji. Przedsiębiorca będący administratorem danych - przetwarzający dane, ma Opracowane zasady powinny w jednym systemie umożliwiać współfunk- obowiązek dołożenia szczególnej staranności w celu ochrony interesów cjonowanie rozwiązań prawnych, organizacyjnych i systemowych, wpły- osób, których dane dotyczą. Jest obowiązany także zapewnić przetwarza- wając na zminimalizowanie ryzyka prawnego, w tym uniknięcia w przy- nie danych zgodnie z prawem, zbieranie ich dla oznaczonych, zgodnych szłości niekorzystnych następstw nieznajomości obowiązujących procedur z prawem celów i niepoddawanie dalszemu przetwarzaniu niezgodnemu związanych z ewentualną utratą dokumentów oraz sankcjami za ich znisz- z tymi celami. Dane te muszą być merytorycznie poprawne i adekwatne czenie przed terminem. w stosunku do celów, w jakich są przetwarzane, oraz przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Użytkownikom z kolei zgodnie z u.o.d.o. przysługuje w szczególności prawo do żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane. Przedsiębiorca musi więc całościowo brać pod uwagę rozwiązania prawne, a nie realizować określone odseparowane obowiązki bez uwzględniania pozostałych. W przytoczonym przypadku jest uprawniony do przechowywania tych danych, które są mu nadal niezbędne, jak również danych sporządzonych w ramach backupów czy logów systemowych, także po zakończeniu świadczenia usług i otrzymania żądania usunięcia danych od dr Bogdan Fischer, użytkownika. W szczególności chodzi tu o sytuacje związane z dochodze- radca prawny i partner, niem roszczeń z tytułu prowadzonej działalności gospodarczej, związane Kancelaria Prawna Chałas i Wspólnicy z dokumentacją przychodów i kosztów ich uzyskania, na wypadek żądania użytkownika usunięcia danych, czy też dla wykazania, że usługi były świadczone zgodnie z prawem a przetwarzanie danych osobowych, w ramach realizacji usług, również spełniało ustawowe wymogi. Dane, o których mowa, mogą obejmować: imiona, nazwiska i adresy, a także inne dane objęte treścią wystawionych faktur, informacje o wysokości należnych opłat za świadczenie usług, terminach płatności, sposobie płatności, okresie, na który została zawarta umowa, sposobie, w jaki doszło do jej wygaśnięcia, zakresie świadczonych usług, sposobie ich udostępniania oraz na jakiej podstawie były one udostępniane i przetwarzane - czyli kto i w jaki sposób wyraził zgodę na przetwarzanie danych osobowych. Inne dane powinny zostać w przypadku żądania użytkownika niezwłocznie usunięte. 43 | 3/2014 (10) O autorze: Autor, od kilkunastu lat doradza przedsiębiorstwom i międzynarodowym korporacjom w zakresie problematyki prawnej IT, ochrony informacji i ochrony własności intelektualnej. Arbiter w Sądzie Polubownym ds. Domen Internetowych przy Polskiej Izbie Informatyki i Telekomunikacji oraz przy Krajowej Izbie Gospodarczej. Pracownik naukowy na Uniwersytecie Jagiellońskim, wykładowca w zakresie prawa mediów, prawa prasowego i autorskiego. Autor licznych prac naukowych i popularnonaukowych. DLP expert Transatlantycka walka na polu prywatności i ochrony danych Negocjacje wielkiej umowy handlowej pomiędzy Unią Europejską i USA trwają od pewnego czasu i w ostatnich miesiącach przed wakacjami podobno znacząco przyspieszyły, jak przekonywały nas coraz bardziej optymistyczne oficjalne komunikaty. Projekt Transatlantyckiego Partnerstwa Handlowego i Inwestycyjnego (Transatlantic Trade and Investment Partnership - TTIP) zakłada wyeliminowanie ceł, barier administracyjnych i regulacyjnych utrudniających handel i inwestycje w stosunkach UE - USA. Gdzieś w tle wielkich gospodarczych interesów pojawia się też wątek ochrony prywatności i swobodnego przepływu przez Atlantyk danych osobowych, w którym pomiędzy oboma wielkimi partnerami od dawna istnieją poważne rozbieżności, pogłębione dodatkowo przez niedawne działania organów UE. nych osobowych oparta na zasadzie dopuszczalności przetwarzania i wykorzystywania danych jedynie w przypadkach wyraźnie wskazanych w przepisach. Z kolei w USA zasadą jest swoboda przetwarzania danych, a prawne zakazy stanowią wyjątek. Prawną ochronę danych w stylu europejskim uważa się tam za restrykcyjną i stanowiącą zbędne ograniczenie dla biznesu IT – potężnej części amerykańskiej gospodarki, dla której zbieranie i przetwarzanie danych osobowych ma coraz większe znaczenie. Amerykańskie przepisy o ochronie danych są słabo rozwinięte i fragmentaryczne, a przeważa tzw. samoregulacja, czyli zasady ustalane samodzielnie przez biznes, chociażby w postaci znanych każdemu internaucie polityk prywatności. Unia Europejska nie odrzuca samoregulacji, ale uważa ją jedynie za uzupełnienie dla wiążących powszechnie przepisów prawa. Różnice w podejściu Chociaż Stany i Nowe przepisy europejskie general- Obecnie obowiązujące w UE zasady ochrony danych osobowych, opar- nie wyznają zbliżony stosunek do praw jednostki, to w za- te na dyrektywie 95/46/WE i na implementujących ją krajowych aktach kresie prawa do prywatności i ochrony danych osobowych prawnych, firmom informatycznym zza oceanu mogą wydawać się zbyt występują zauważalne różnice. Kraje UE uznają prawo do ochrony pry- restrykcyjne, jednak Komisja Europejska od dłuższego czasu uważała je za watności za jedno z istotnych praw obywatelskich, umocowane w podsta- przestarzałe i niezapewniające obywatelom Unii wystarczającej ochrony wowych aktach prawnych takich jak konstytucje poszczególnych państw w świetle gwałtownego rozwoju technologii. Prace nad nowymi przepi- i konwencje o ochronie praw człowieka. Konsekwencją powyż- sami toczące się w powolnym tempie typowym dla unijnych instytucji szego jest m.in. realizowana ustawowo szczegółowa ochrona da- znacznie przyspieszyły po ujawnieniu informacji o inwigilacji i zbieraniu DLP expert Zjednoczone unijna część Europy 3/2014 (10) | 44 Transatlantycka walka na polu prywatności i ochrony danych prywatnych danych w USA (w tym o programie PRISM). Kiedy w marcu padkach prawo do prywatności powinno przeważyć. Co istotne, ocenę 2014 r. Parlament Europejski przegłosował projekt rozporządzenia o ochro- w tym zakresie Trybunał powierzył prywatnemu podmiotowi prowadzą- nie danych osobowych, było jasne, że nowa regulacja w pierwszej kolej- cemu wyszukiwarkę, nakładając na firmę Google dodatkowe obowiązki ności ma być wymierzona w amerykański brak poszanowania dla danych rozpatrywania wniosków jednostek o usunięcie dotyczących ich danych. osobowych, którego symbolami stały się Facebook czy Google. Trybunał uznał, że jeżeli po rozpatrzeniu wniosku złożonego przez osobę, której dotyczą dane, zostanie stwierdzone, iż zawarcie na liście wyników Nowe przepisy, które mają wejść w życie najwcześniej w 2016 r., pozosta- wyszukiwania określonych linków jest niezgodne z dyrektywą, należy wią najważniejsze z obecnych zasad ochrony, wzmacniając jednak pewne usunąć z listy wyników wyszukiwania te informacje. Trybunał wykonał aspekty i wprowadzając nowe mechanizmy, np. potrzebę zapewnienia zatem znaczący krok w kierunku mocniejszej ochrony prywatności w zgo- prywatności już w fazie projektowania (privacy by design) czy prywatności dzie z nowymi regulacjami będącymi jeszcze w fazie planów. Dotyczy to jako ustawienia domyślnego (privacy by default). Szeroko dyskutowane zarówno samego prawa do domagania się wykreślenia danych, jak i za- tzw. prawo do zapomnienia trafiło do projektu w złagodzonej formie jako kresu terytorialnego stosowania unijnych regulacji ochrony danych. Try- prawo do domagania się wykreślenia danych. Projekt wprowadza także bunał nie uwzględnił mianowicie obrony Google powołującej się na brak wysokie kary administracyjne za naruszenia zasad ochrony danych. przetwarzania danych na terytorium objętym dyrektywą, ponieważ operatorem wyszukiwarki jest podmiot mający siedzibę poza UE. Trybunał Jeśli chodzi o zmiany istotne z punktu widzenia stosunków UE – USA (czy stwierdził, że prowadzona w UE działalność Google w zakresie sprzedaży nawet szerzej UE – reszta świata), to pierwsza z nich kryje się w nazwie usług reklamowych jest powiązana z działalnością wyszukiwarki i to uza- aktu prawnego i polega na zastąpieniu dotychczasowej dyrektywy rozpo- sadnia zastosowanie unijnych regulacji o ochronie danych. rządzeniem. Dyrektywa wiąże tylko co do celu i wymaga implementacji do prawa krajowego, stąd mamy obecnie w UE 28 systemów ochrony danych osobowych – zbliżonych choć odrębnych. Natomiast rozporządzenie będzie obowiązywać bezpośrednio, co spowoduje pełne ujednolicenie ochrony w ramach UE. Drugą istotną zmianą jest odejście od zasady terytorialności i zapewnienie większej ochrony danych obywateli UE przetwarzanych przez podmioty spoza Unii. W obecnym stanie prawnym np. polską ustawę o ochronie danych osobowych stosuje się do podmiotów, które albo mają siedzibę na terytorium RP, albo przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na naszym terytorium. Wobec tego polskie prawo było bezradne choćby wobec Facebooka przetwarzającego nasze dane na wielką skalę, ale bez siedziby i bez infrastruktury w Polsce. Natomiast nowe rozporządzenie będzie miało zastosowanie do przetwarzania danych osób na terenie UE, bez względu na to, gdzie znajduje się administrator danych lub podmiot przetwarzający, jeśli operacje na danych związane są z oferowaniem europejskim podmiotom produktów i usług. Wobec tego amerykańskie firmy kierujące usługi do obywateli UE będą objęte nowymi regulacjami niezależnie od tego, gdzie przetwarzają dane. Precedensowy wyrok Co dalej? Zarówno nowe przepisy o ochronie danych, jak i wyrok w sprawie Google zwiększają restrykcyjność unijnych regulacji w stosunku do standardów amerykańskich, ale jednocześnie zwracają uwagę na konieczność znalezienia równowagi pomiędzy prawem do prywatności a swobodą przepływu informacji i swobodą prowadzenia biznesu nowych technologii. Problem na gruncie prawa jest tym większy, że z jednej strony na szali leży podstawowe prawo jednostki, które winno być chronione przez instytucje publiczne (np. w drodze wprowadzania wiążących regulacji prawnych, tak jak robi to UE), a z drugiej mamy prywatne przedsiębiorstwa, które jednak są dysponentami ogromnej ilości danych osób fizycznych. Wydaje się, że amerykańscy giganci IT czerpiąc korzyści z przetwarzania danych, powinni przyjąć na siebie część odpowiedzialności za ich ochronę, a chcąc działać na europejskim rynku, nie unikną dostosowania do nowych przepisów UE czy wymogów wyroku w sprawie Google. Jest prawdopodobne, że wraz z dalszym rozwojem cyfrowych usług związanych z przetwarzaniem danych napięcie pomiędzy europejskim a amerykańskim podejściem do ochrony prywatności będzie narastać i w konsekwencji wszystkie zainteresowane strony uznają za niezbędne stworzenie od fundamentów całkowicie nowych regulacji prawnych po obu stronach Atlantyku. Jednak tylko Niezależnie od planów wprowadzania przepisów o prawie do wykreślenia, najwięksi optymiści nadal uważają, że jakiekolwiek prawo będzie w stanie instytucję taką Trybunał Sprawiedliwości UE wyinterpretował z obowiązu- nadążyć za nowymi technologiami. jącego prawa w słynnym już wyroku z 13 maja 2014 r. w sprawie Google, w którym potwierdzono prawo obywatela do żądania od wyszukiwarki usunięcia określonych danych osobowych z wyników wyszukiwania. W rozpoznawanej sprawie Trybunał rozważył konflikt pomiędzy prawem do prywatności i ochrony danych osobowych a prawem dostępu do informacji i wolnością słowa, w konsekwencji uznając, że w niektórych przy45 | 3/2014 (10) Tomasz Bil, radca prawny w krakowskim oddziale Kancelarii Prawnej Chałas i Wspólnicy DLP expert Co o warto wiedzieć BYOD w kontekście bezpieczeństwa danych? Aż 77 procent firm na świecie pozwala swoim pracownikom na używanie prywatnych smartfonów, tabletów czy komputerów w celach związanych z pracą – wynika z badania IT Executives and CEO Survey Final Report (1). Czy przedsiębiorcy generują dzięki temu faktyczne oszczędności? Jakie są zalety i wady tej polityki? Które kwestie związane z bezpieczeństwem danych należy wziąć pod uwagę, wdrażając w firmie trend BYOD? (1) Źródło: IT Executives and CEO Survey Final Report 2012 DLP expert 3/2014 (10) | 46 Co kryje się pod pojęciami BYOD, BYOT, BYOP i BYOPC? Korzystanie z prywatnego sprzętu w miejscu pracy to stosunkowo nowe zjawisko. Jedną z pierwszych firm, która oficjalnie zezwoliła swoim pracownikom na używanie prywatnych urządzeń podczas wykonywania służbowych obowiązków, był Intel. Miało to miejsce w 2009 roku. Zapoczątkowany w ten sposób trend został określony jako BYOD (Bring Your Own Device – tłum. przynieś swój własny sprzęt). Wpisuje się on w szersze zagadnienie tzw. konsumeryzacji IT, a więc korzystania z urządzeń oraz aplikacji prywatnych w miejscu i czasie pracy. Konsumeryzacja to także takie szczegółowe rozwiązania jak: - BYOT (Bring Your Own Technology – tłum. przynieś swoją własną technologię), - BYOP (Bring Your Own Phone – tłum. przynieś swój własny telefon) - lub BYOPC (Bring Your Own PC – tłum. przynieś swój własny komputer osobisty). Zyskują one coraz większą popularność wśród pracowników i kadry zarządzającej, szczególnie w niewielkich firmach, w których budżet oraz wydatki na infrastrukturę informatyczną są ograniczone. Duże korporacje sięgając po BYOD doceniają także pozafinansowe zalety trendu: wpływ na komfort pracowników i możliwość zwiększenia efektywności. Niezależnie od motywacji, BYOD bywa wygodne zarówno dla pracowników, jak i pracodawców tylko wówczas, gdy uważnie przeanalizowane i uregulowane zostaną kluczowe aspekty związane z wdrożeniem tego trendu w przedsiębiorstwie. BYOD – zysk czy strata? Korzystanie przez pracowników z prywatnych smartfonów, tabletów i laptopów w miejscu pracy niesie ze sobą kilka poważnych zagrożeń. Na prywatne urządzenia mobilne trafiają wówczas strategiczne dane firmowe, a pracownik ma do nich stały, niczym nieograniczony dostęp. Nigdy nie wiadomo, do jakich celów poza pracą mogą mu posłużyć informacje o danym przedsiębiorstwie. Katalog zagrożeń nie kończy się na potencjalnym negatywnym działaniu pracownika. Nawet jeśli nie ma on zamiaru wykorzystywać czy udostępniać celowo osobom trzecim kluczowych informacji, urządzenie może trafić w niepowołane ręce w wyniku zgubienia lub kradzieży. Bywa także narażone na ataki z zakresu 47 | 3/2014 (10) DLP expert Co warto wiedzieć o BYOD w kontekście bezpieczeństwa danych? szpiegostwa przemysłowego. Prywatny smartfon, tablet czy laptop jest Urządzenia prywatne przynoszone do pracy łączą się z internetem po- dużo łatwiejszym celem niż np. profesjonalnie zabezpieczony system kom- przez firmową sieć Wi-Fi, ale nie oznacza to jeszcze, że są objęte korpo- puterowy danej firmy. Jedna z firm informatycznych postanowiła przepro- racyjną polityką bezpieczeństwa. Niezabezpieczone smartfony, tablety wadzić interesujący eksperyment pokazujący, do czego mogą wykorzystać i laptopy zwiększają prawdopodobieństwo zainfekowania sieci kompu- zgubiony sprzęt (nie)uczciwi znalazcy. W tym celu z premedytacją „zgu- terowej i przyczyniają się do wzrostu ryzyka utraty danych. Sieć może biła” na terenie USA i Kanady 50 smartfonów ze spreparowanymi również zostać obciążona poprzez szereg zbędnych aplikacji, zainstalo- osobistymi i firmowymi danymi. Okazało się, że 60 procent osób, wanych na prywatnych urządzeniach przenośnych. Te i podobne kwestie które znalazły „bezpański” sprzęt, próbowało uzyskać dostęp do należy uregulować, tworząc odpowiednie procedury bezpieczeństwa zapisanych na nim prywatnych danych, natomiast aż 80 procent i opracowując zasady dostępu do poszczególnych baz danych. Takie do- było zainteresowanych plikami służbowymi, które nosiły chwytliwe kumenty muszą zawierać zapisy dotyczące stosowania przez pracowni- nazwy, takie jak „zarobki” oraz „analizy przypadków”. Potwierdza to ków zabezpieczeń związanych m.in. z szyfrowaniem nośników pamięci badanie IT Executives and CEO Survey Final Report 2012, z którego wynika, czy zabezpieczaniem transmisji przesyłanych danych. Pracodawcy mogą że prawie połowa badanych przedsiębiorstw, w których zatrudnieni korzy- także zobligować swoich pracowników do częstego przeprowadzania stają ze swojego prywatnego sprzętu, doświadczyła przypadków kradzie- backupu, zainstalowania oprogramowania antywirusowego lub pro- ży danych czy też naruszenia bezpieczeństwa. Być może z tego powodu gramu, który w razie kradzieży czy zagubienia urządzenia mobilnego informatycy czasem żartobliwie rozwijają skrót BYOD jako Bring Your Own pozwoli na zdalne skasowanie umieszczonych na nim danych. Wsparcia Disaster (tłum. przynieś swoje własne nieszczęście). w tym zakresie powinni udzielać firmowi informatycy. Po stronie pracodawcy leży również szczegółowe określenie zarówno sposobu, jak BYOD to jednak nie tylko zagrożenia, ale także szereg zalet, zarówno dla i zakresu zwrotu kosztów związanych z eksploatacją prywatnych smart- pracowników, jak i pracodawców. Ci pierwsi zyskują przede wszystkim fonów, tabletów czy też laptopów. Musi on zdecydować, czy rozliczenie czas i wygodę. Wiedzą, jak szybko i sprawnie obsługiwać swoje urządzenia, kosztów nastąpi na podstawie rachunku, czy też pracownikowi okresowo i nie natrafiają dzięki temu na bariery technologiczne. Pozwala im to sku- będzie zwracana stała bądź zmienna kwota pieniędzy. Pracownik powi- tecznie zarządzać obowiązkami zawodowymi i łączyć je płynnie z życiem nien także otrzymać jasną informację, jakie dodatkowe usługi, związane prywatnym. Mając swój prywatny sprzęt mobilny zawsze przy sobie, mogą z eksploatacją sprzętu, będzie musiał pokryć z własnej kieszeni. wykonywać zadania z każdego miejsca, w którym się znajdują, jeśli tylko zajdzie taka potrzeba. Co więcej – niejednokrotnie pracuje im się sprawniej, ponieważ korzystają z urządzeń, które świadomie wybrali, dopasowując do swoich preferencji związanych m.in. z marką, typem rozwiązań technologicznych czy wyglądem zewnętrznym. Co zyskują pracodawcy? Przede wszystkim oszczędności, bo nie muszą przeznaczać firmowych pienię- Prawne aspekty BYOD Firmowe dane, które są magazynowane na dyskach twardych i kartach pamięci urządzeń mobilnych, często mają większą wartość niż samo urządzenie. Są cenne nie tylko ze względów gospodarczych, dzy na nowoczesny sprzęt dla pracowników. Badania dowodzą także, że ale także prawnych. W przypadku ujawnienia niektórych informa- pracownicy wykorzystujący swoje smartfony, tablety i laptopy pracują cji objętych klauzulą poufności, danych osobowych oraz mogących efektywniej i sprawniej – może się to więc przełożyć także na lepszy wynik w negatywny sposób wpłynąć na działalność podmiotów współpracu- finansowy całego przedsiębiorstwa. jących, przedsiębiorstwo może ponieść konsekwencje prawne. Są one BYOD – konieczność odpowiednich regulacji BYOD to nie tylko wady i zalety związane z korzystaniem przez pracowników z własnych urządzeń mobilnych, ale także konieczność wprowadzenia szeregu uregulowań. Firmy, które zezwalają na BYOD, tracą przecież kontrolę nie tylko nad częścią sprzętu IT, ale także - niejednokrotnie - nad sposobem, w jaki jest on wykorzystywany w danej organizacji. Firmowi informatycy nie powinni zapominać o sprawdzeniu, czy licencje na oprogramowanie, jakim dysponują pracownicy, pozwalają na wykorzystanie go w celach służbowych. Bezwzględnie należy też pomyśleć o oprogramowaniu gwarantującym właściwy poziom bezpieczeństwa. DLP expert regulowane poprzez Kodeks Cywilny, Kodeks Karny i Ustawę o Ochronie Danych Osobowych. Można tu mówić zarówno o odpowiedzialności pracowników, którzy doprowadzili do utraty lub też wycieku danych, odpowiedzialności podmiotu administrującego danymi, jak i odpowiedzialności podmiotów współpracujących. Miewa ona charakter karny lub cywilny, a ostateczne rozstrzygnięcia w tym zakresie zależą od indywidualnego charakteru sprawy. Jedną z dotkliwszych konsekwencji będzie z pewnością odpowiedzialność odszkodowawcza. Kwestie prawnych regulacji pojawiają się w kontekście BYOD także z powodu jednoczesnego gromadzenia na sprzęcie mobilnym danych firmowych oraz prywatnych. W przypadku utraty informacji, wymagającej interwencji specjalistów do spraw odzyskiwania danych, wszystkie zgromadzone na laptopie, smartfonie czy tablecie dane, jakie udało się odzyskać, mogą trafić w ręce podmiotu 3/2014 (10) | 48 Co warto wiedzieć o BYOD w kontekście bezpieczeństwa danych? zlecającego odzyskiwanie – którym najczęściej bywa pracodawca. Nie ma z pracownikami tak, by odchodząc z firmy, nie oskarżyli jej np. o łamanie fizycznej możliwości odróżnienia plików prywatnych od służbowych, więc prawa do prywatności. w posiadanie przedsiębiorstwa mogą wejść nie tylko odzyskane raporty, kosztorysy czy prezentacje, ale również np. rodzinne zdjęcia pracownika czy jego wiadomości wymieniane z przyjaciółmi. Wdrażając w firmie politykę BYOD, nie należy również zapominać o konsekwencjach, jakie może nieść za sobą odejście z pracy pracownika wykonującego obowiązki zawodowe przy użyciu prywatnego sprzętu. Odchodząc, zabierze on przecież ze sobą urządzenia, na których pracował, wraz z zapisanymi na nich firmowymi danymi. Mogą wówczas trafić w niepowołane ręce i zostać wykorzystane w działaniach na szkodę przedsiębiorcy. Dlatego ważne jest odpowiednie uregulowanie tych kwestii z pracownikiem jeszcze przed odejściem z pracy. Przedsiębiorca powinien wskazać pracownikowi dane, które musi usunąć z pamięci urządzeń lub też przekazać firmie. Minimalizuje to straty, jakie może ponieść organizacja. O fakcie zwolnienia powinien być niezwłocznie poinformowany dział IT, tak by administrator był w stanie w odpowiednim czasie przystąpić do działań przewidzianych procedurą. Ponieważ w polskim prawie brak szczegółowych regulacji skupiających się na wykorzystywaniu przez zatrudnionych ich własnych urządzeń w celach służbowych, ważne jest wcześniejsze uregulowanie kwestii polityki BYOD w dodatkowych regulaminach czy też porozumieniach 49 | 3/2014 (10) BYOD a utrata danych Z przeprowadzonych na zlecenie firmy Samsung badań wynika, że ponad połowa polskich firm (56 procent), które zatrudniają powyżej 1000 osób, wprowadziła formalną lub też nieformalną politykę BYOD. Co ciekawe, podobna ilość rodzimych firm (57 procent) przyznaje, że utraciła dane bądź obawia się utraty związanej z naruszeniem zasad bezpieczeństwa. Jak wskazuje raport webhosting.pl „Bezpieczeństwo IT w polskich firmach” 50 proc. pracodawców zezwala pracownikom na dostęp online do danych firmowych. Stale rosnąca popularność urządzeń mobilnych sprawia także, że na rynku rośnie zapotrzebowanie na usługi związane z odzyskiwaniem danych z tego typu sprzętów. Inżynierowie Kroll Ontrack w ostatnim czasie zauważyli wzrost liczby zapytań związanych z odzyskiwaniem firmowych danych ze smartfonów, tabletów i laptopów. Około 65 procent przypadków utraty danych z urządzeń mobilnych jest wynikiem fizycznych uszkodzeń. Powodem 31 procent z nich były awarie elektroniczne, 23 procent działanie wody i wilgoci, a 7 procent zewnętrzne uszkodzenie urządzeń. Smartfony, tablety czy laptopy częściej niż urządzeDLP expert Co warto wiedzieć o BYOD w kontekście bezpieczeństwa danych? nia stacjonarne bywają narażone na niebezpieczne czynniki zewnętrzne, Dekalog wdrażania BYOD w przedsiębiorstwie m.in. zamoczenie oraz działanie wysokich i niskich temperatur, skutkujące utratą danych. Bardzo częstą przyczyną awarii są także błędy ludzkie i uszkodzenia logiczne. Aż 26 procent takich przypadków stanowią incydenty przypadkowego usunięcia plików, 7 procent przypadki uszkodzenia oprogramowania, a 6 procent – konsekwencje blokady hasła. Statystyki pokazują, że utrata danych nie zależy w żadnym stopniu od zainstalowanego systemu operacyjnego, dotyka bowiem wszystkich popularnych dostępnych na rynku rozwiązań dedykowanych sprzętom mobilnym. Obawa przed utratą danych nie powinna jednak być powodem rezygnacji z BYOD. Nowoczesne, stale dostosowywane do najnowszych technologii rozwiązania pozwalają na stałe zwiększanie bezpieczeństwa informacji i prawdopodobieństwa ich odzyskania. Technologie dedykowane użytkownikom biznesowym coraz częściej umożliwiają też optymalizację wielu procesów, poprawę efektywności prowadzonych działań, a także skuteczną i sprawną komunikację. Pojawiają się m.in. rozwiązania z zakresu konteneryzacji, czyli oddzielania danych prywatnych od biznesowych. Dylemat, przed którym staje wielu przedsiębiorców – czy pozwolić pracownikom korzystać z prywatnych urządzeń mobilnych, czy też zaopatrzyć ich w sprzęt służbowy - wymaga każdorazowo indywidualnego podejścia i drobiazgowej analizy. Przy zachowaniu odpowiednich standardów bezpieczeństwa, opracowaniu regulaminu oraz wszelkich możliwych scenariuszy kryzysowych – BYOD zdecydowanie może być rozwiązaniem wartym rozważenia. 1. Zweryfikuj zasady bezpieczeństwa w Twojej firmie. Dołącz do nich te, które związane są z użytkowaniem przez pracowników ich prywatnych urządzeń mobilnych. 2. Wskaż osoby odpowiedzialne za przeprowadzanie backupów, aktualizację programów antywirusowych i inne czynności związane z bezpieczeństwem sprzętu mobilnego. 3. Określ typy urządzeń, jakie można wykorzystywać w Twojej firmie. Zbyt duża liczba modeli i wersji urządzeń przysparza firmowym informatykom mnóstwo problemów. 4. Przeprowadź cykl szkoleń dla pracowników. Muszą być świadomi, jakie są ich prawa i obowiązki oraz co oznacza dla przedsiębiorstwa wyciek bądź też utrata istotnych informacji. 5. Wprowadź odpowiednie zapisy w umowach o pracę dotyczące tego, co pracownik powinien zrobić z danymi, które po ustaniu stosunku pracy zostały w pamięci jego urządzeń mobilnych. 6. Uzgodnij z pracownikiem, jakie koszty związane z użytkowaniem przez niego prywatnego sprzętu będą refundowane. 7. Zrób szczegółową listę aplikacji, których używanie jest dozwolone w trakcie dnia pracy. 8. Opracuj scenariusz na wypadek utraty danych: wybierz dostawcę usług odzyskiwania, wyznacz osobę, która dostarczy mu sprzęt, zdecyduj, kto pokryje koszty odzysku i w jaki sposób informacje służbowe zostaną oddzielone od prywatnych. 9. Konsultuj politykę BYOD zarówno z pracownikami, jaki i przedstawicielami działów IT, HR oraz prawnego. 10. Pamiętaj, że stworzenie odpowiedniej polityki BYOD to, m.in. z uwagi na zmieniające się rozwiązania technologiczne, proces ciągły. Aby utrzymać stały stopień bezpieczeństwa, należy dokonywać regularnej aktualizacji i weryfikacji tych zasad. Paweł Odor, główny specjalista, Kroll Ontrack w Polsce DLP expert 3/2014 (10) | 50 Z badań Global Data Leakage Report 2013 wynika, że wśród źródeł utraty danych tylko 1,1% stanowią odpowiadający za bezpieczeństwo informacji administratorzy IT, natomiast aż 49,5% to szeregowi pracownicy. Kiedy BYOD stanie się w Polsce popularne? Jakie są największe wyzwania związane z wdrożeniem BYOD? Co w sytuacji, gdy pracownik utraci swój telefon? Jak się zabrać za wdrożenie polityki BYOD? Od czego zacząć? na temat BYOD rozmawiamy z Robertem Dąbrowskim – starszym inżynierem systemowym w firmie FORTINET 51 | 3/2014 (10) DLP expert Rozmowa z Robertem Dąbrowskim - starszym inżynierem systemowym w firmie FORTINET Kiedy BYOD stanie się w Polsce popularne? odsetek respondentów ma pełną świadomość czyhających na nich Urządzenia przenośne nowej generacji sprzedają się bardzo dobrze i jest zagrożeń, działom IT i osobom ich w Polsce coraz więcej. Ich ceny regularnie spadają i dlatego już teraz zarządzającym firmami powinna korzystają z nich praktycznie wszyscy, także szeregowi pracownicy. Wśród zapalić się lampka ostrzegawcza. Polaków aktywnych zawodowo naprawdę rzadko można już spotkać po- Choć wyniki badania pokazały, siadaczy tradycyjnych telefonów komórkowych bez systemu operacyj- że niektórzy młodzi pracownicy nego. W XXI wieku bezprzewodowe sieci także stały się standardem dla posiadają dużą wiedzę w zakresie większości przedsiębiorstw. BYOD przywędrowało do Polski jako nieod- bezpieczeństwa danych, są wśród łączny element naturalnej technologicznej ewolucji. Otrzymaliśmy dostęp nich również osoby wcale nieświa- do sieci Wi-Fi z poziomu telefonu, czemu więc tego nie wykorzystać także dome zagrożeń oraz grupa 27% w pracy? Zaczęliśmy żyć zgodnie z tym trendem, choć świadomość jego osób o minimalnej świadomości. nazwy może być wśród społeczeństwa nadal niewielka. Można powie- Aż 52% respondentów w ogóle nie dzieć, że właśnie teraz przeżywamy szczytowy wzrost zainteresowania orientowało się w zagadnieniach BYOD nad Wisłą. takich jak APT (zaawansowane kierunkowe ataki o długotrwałym Robert Dąbrowski, FORTINET Wykorzystanie prywatnego sprzętu do celów służbowych często działaniu), DDoS (rozproszony atak nie jest uregulowane żadną firmową polityką. Jak wiele polskich typu odmowa usługi), botnet i pharming. Najbardziej alarmujący jest jed- przedsiębiorstw dostrzega znaczenie trendu BYOD? nak fakt, że 16% badanych w Polsce stwierdziło, że nie poinformowałoby swojego pracodawcy, gdyby ich urządzenie osobiste użyte do celów służ- Pod koniec ubiegłego roku FORTINET przeprowadził badanie na temat bowych padło ofiarą ataku. Ta sytuacja powinna być impulsem dla działów trendu BYOD wśród ponad 3200 młodych ludzi z 20 krajów świata, w tym informatyki do edukowania pracowników na tematy związane z zagroże- z Polski. Respondentów pytano m.in. o istnienie polityki BYOD w zatrudnia- niami i ich skutkami. jących ich firmach. Wyniki dobrze świadczą o otwarciu na trendy polskich przedsiębiorstw, ponieważ 51% badanych – dokładnie tyle samo co w skali Jakie są największe wyzwania związane z wdrożeniem BYOD? światowej – potwierdziło, że ich pracodawcy stworzyli i stosują wytyczne związane z korzystaniem z prywatnych urządzeń w firmie. Z jednej - strony Jeżeli za zagrożenia związane z BYOD uznamy nadmierne wysycenie cieszy fakt, że świat nie odbiega od nas nawet na krok, z drugiej jednak pasma, utratę danych czy nieautoryzowany dostęp do sieci firmowej, to - połowa świadomych firm to nadal za mało. W dobie dynamicznego roz- największe wyzwania dotyczą ustanowienia polityki bezpieczeństwa. Po- woju technologii takie polityki powinny bowiem istnieć w każdej organi- lityka ta nie może sparaliżować działania urządzeń, a jednocześnie musi zacji. Należy liczyć się z tym, że ich wdrażanie może zająć jeszcze trochę zapewnić określony poziom ochrony. Naturalnym dążeniem powinno być czasu, głównie przez niedostateczną edukację o zagrożeniach związanych scalanie funkcji zarządzających i bezpieczeństwa dla laptopów, tabletów z mobilnością wśród administratorów sieci. To jednak ostatni dzwonek dla czy smartfonów. Oprócz zabezpieczenia systemów operacyjnych powinno przedsiębiorstw, które jeszcze nie zastanawiały się nad stworzeniem strate- się zabezpieczyć rdzeń sieci, gdzie możemy określić reguły dostępu, a także gii wobec BYOD. Zagrożenie wyciekiem danych czy uzyskaniem nieupraw- zablokować ruch związany ze szkodliwym oprogramowaniem. nionego dostepu spowodowane przez używanie prywatnych urządzeń Ciagłym wyzwaniem jest skuteczne reagowanie na pojawianie się nowych pracowników jest bowiem o wiele większe, niż w przypadku urządzeń rodzajów narzędzi cyberprzestępców. Przykładowo malware typu Mobile fizycznie znajdujących się w firmie. Remote Access Trojans (mRATs), którego celem jest wykradanie poświadczeń użytkowników zdalnego dostępu, może być wykryte na poziomie No właśnie. Z badań Global Data Leakage Report 2013 wynika, że urządzenia, aplikacji, a także generowanego ruchu sieciowego. wśród źródeł utraty danych tylko 1,1% stanowią odpowiadający za bezpieczeństwo informacji administratorzy IT, natomiast aż 49,5% Co w sytuacji, gdy pracownik utraci swój telefon? W wielu to szeregowi pracownicy. W kontekście rozwijającego się trendu przypadkach składowane na nim dane mają wyższą wartość niż BYOD jest się chyba czego obawiać? samo urządzenie. Zgodnie z naszym raportem liczba Polaków gotowych złamać korpora- Dokładnie tak, najbardziej niebezpieczna jest utrata danych i urządzeń. cyjne zasady korzystania z własnych urządzeń w miejscu pracy wzrosła Sprzęt mobilny może zostać zainfekowany szpiegowskim oprogramo- aż o 150% w porównaniu z 2012 rokiem. Biorąc pod uwagę fakt, jak niski waniem przesyłającym na zewnątrz poufne dane, może także zostać DLP expert 3/2014 (10) | 52 Rozmowa z Robertem Dąbrowskim - starszym inżynierem systemowym w firmie FORTINET zgubione czy stracone na skutek kradzieży. Komputery PC, które nie Jak się zabrać za wdrożenie polityki BYOD? Od czego zacząć? spełniają wymagań bezpieczeństwa, można po prostu zablokować, w przypadku BYOD konieczne jest wymuszanie na właścicielach urządzeń Oprócz przeszkolenia pracowników na temat zagrożeń wynikających z nie- stosowania polityki bezpieczeństwa. Hakerzy dawno odkryli, że urządzenia umiejętnego wykorzystywania własnych urządzeń w sieci firmowej, przed- mobilne są potencjalną „kopalnią złota” w kontekście zdobywania danych siębiorstwa chcące uchronić się przed szkodliwymi atakami z sieci powinny przez nieautoryzowane aplikacje. postawić na efektywne zarządzanie dostępem (ang. Access Management) oraz zbudować dopasowaną do potrzeb politykę bezpieczeństwa firmy. Nawet jeżeli firma używa systemów Virtual Desktop Infrastructure (VDI) i same smartfony nie przechowują danych firmowych, to utracone urzą- Administratorzy sieci muszą działać stopniowo: pierwszy krok to odpo- dzenie może zawierać informacje niezbędne do uzyskania zdalnego do- wiedzieć na podstawowe pytanie: kto i do czego powinien mieć dostęp? stępu. Powinno się jak najszybciej zmienić hasła i unieważnić certyfikaty Określenie odpowiedniego poziomu uprawnień wymaga zbadania, cze- cyfrowe pracownika, który utracił swój telefon. go potrzebują użytkownicy do osiągnięcia maksymalnej wydajności. Po wprowadzeniu odpowiednich poziomów dostępu należy następnie po- Przypuśćmy, że pracownik odchodzi z firmy, zabierając ze sobą informować o tym użytkowników. Oznacza to konieczność edukowania dane służbowe na komputerze, który stanowi jego własność pry- pracowników na temat tego, co mogą, a czego nie mogą robić w sieci watną. Co wtedy? przedsiębiorstwa. Z technicznego punktu widzenia nie ma możliwości zdalnego usunię- A jeśli chodzi o technikę zabezpieczającą urządzenia mobilne cia przez administratora dokumentów firmowych, które zostały zapisane przed atakami hakerów? na prywatnym urządzeniu. Gotowe scenariusze postępowania w takich przypadkach – po konsultacji z prawnikami – powinny się znaleźć Technicznie kontrolę urządzeń można osiągnąć np. przez wykorzystanie w polityce BYOD. Już przy podpisywaniu umowy obie strony powinny wie- Virtual Desktop Infrastructure (VDI). Połączenia do instancji wirtualnych dzieć, co zrobić z takimi danymi po ustaniu stosunku pracy. Podobnie jak są kontrolowane przez centralny serwer zgodnie z wymaganiami bizne- w przypadku zdawania służbowego samochodu, również dane powsta- sowymi. Użytkownicy są od siebie odizolowani, ponieważ dołączają się łe w trakcie wykonywania obowiązków powinny być zwrócone do firmy, do wirtualnych kontekstów. Podobną rolę pełnią koncentratory SSL VPN, niezależnie od tego, w jakim miejscu się znajdują. które umożliwiają osobom działającym zdalnie przyłączenie się do centralnego punktu w sieci i na podstawie skonfigurowanych polityk uzyskanie 53 | 3/2014 (10) DLP expert Rozmowa z Robertem Dąbrowskim - starszym inżynierem systemowym w firmie FORTINET dostępu do żądanych zasobów. To z kolei rodzi pytania o mocne uwierzy- do autoryzacji, wymuszając używanie dozwolonych aplikacji, chroniąc telnianie dwuskładnikowe. Obecnie tokeny software’owe często występują jednocześnie przez atakami, malware i blokując niepożądane treści. Jed- jako aplikacje mobilne działające na urządzeniu, z którego inicjowane jest nocześnie technologia radiowa musi zapewnić ochronę przed wrogimi połączenie VPN. punktami dostępowymi. Tradycyjny Mobile Device Management (MDM) nie koncentruje się na spójnej polityce bezpieczeństwa, ale raczej na zarządzaniu, inwentaryzacji Generalnie należy zabezpieczać sieć firmową na trzy sposoby – po pierw- oraz dystrybucji oprogramowania. Naturalnym rozwinięciem tych funkcji sze przez odpowiednie zarządzanie dostępem i edukację, po drugie przez powinno być wpisywanie ustawień bezpieczeństwa na stacji mobilnej oraz wprowadzenie polityki BYOD, na zastosowaniu urządzeń i aplikacji bezpie- sprawdzanie, czy te ustawienia są aktywne podczas próby wykorzystania czeństwa kończąc. zasobów sieciowych. System zarządzający instaluje politykę antywirusa, kontroli aplikacji, ochrony przed atakami, kontroli stron WWW na kliencie, W jaki sposób FORTINET chroni sieci firmowe w modelu BYOD? który – jeżeli ponownie nawiąże kontakt z siecią organizacji – zostanie poproszony o potwierdzenie ustalonych wcześniej opcji kontrolnych. FORTINET koncentruje swoją uwagę na zabezpieczeniu ruchu sieciowego. W czasie, kiedy koncepcja BYOD staje się coraz bardziej popularna, kluczo- Oprogramowanie typu Endpoint Security Clients w wersji mobilnej jest wym wymaganiem jest integracja funkcji bezpieczeństwa we wszystkich zbliżone funkcjonalnie do wersji desktopowej, ale zapewniając pewien punktach przetwarzania i przesyłania danych. Bramy bezpieczeństwa stopień bezpieczeństwa (VPN, anty-malware), dostarcza wyzwań związa- FortiGate (zapewniające poziom bezpieczeństwa wykraczający poza gart- nych z zarządzaniem. Naturalnym dążeniem powinno być scalanie funkcji nerowską definicję urządzenia UTM) rozpoznają rodzaj urządzeń dołączo- zarządzających i bezpieczeństwa dla laptopów, tabletów czy smartfonów. nych do sieci przewodowych i bezprzewodowych. Co więcej, rozpoznają Innym podejściem jest tzw. Network-Based Enforcement, gdzie zasoby or- użytkowników tych urządzeń i na tej podstawie mogą podejmować decy- ganizacji są chronione przed dostępem z urządzeń mobilnych lub przed zje o przyznanym dostępie do zasobów oraz poziomie ochrony. Aplikacje szkodliwym działaniem złośliwego oprogramowania, jeżeli ten dostęp jest FortiClient pracujące na Windows, Mac OSX, iOS, czy Android zapewniają jednak dozwolony. Urządzenia kontrolujące ruch w sieci muszą sprostać bezpieczne korzystanie z urządzeń mobilnych oraz dołączenie do zaso- wymaganiom wydajnościowym oraz zapewnić inteligencję niezbędną bów organizacji. Dotyczy to dostępu bezpośrednio z sieci LAN oraz do- do rozpoznania urządzeń klienckich różnego rodzaju. Reguły ochrony stępu zdalnego VPN: IPSec i SSL. Przykładowe zaimplementowane funkcje i dostępu powinny bazować na rozpoznawaniu i powstrzymywaniu prób ochrony to antywirus, filtrowanie URL, kontrola aplikacji. Ustawienia tych ataków, blokowaniu złośliwego oprogramowania, a także na kontroli ruchu funkcji na FortiClientach są kontrolowane przez bramy FortiGate. charakterystycznego dla konkretnych aplikacji. Nie bez znaczenia jest profil przeglądanych treści w internecie. Wyeliminowanie potencjalnie groźnych FortiClient potrafi rozróżnić stan dołączenia do sieci firmowej (ON-Net) od aplikacji czy zablokowanie stron WWW z niebezpieczną treścią znacznie dołączenia do sieci zewnętrznej (OFF-Net). W sieci firmowej może zostać zmniejsza ryzyko skompromitowania sieci organizacji. wyłączony filtr URL na FortiClient (ochronę zapewnia FortiGate), a włączo- Poszczególne warstwy ochrony przypominają mechanizm, który na ne logowanie do FortiAnalyzera. W stanie „OFF-Net” możemy wymusić podstawie przygotowanej skali punktowej mógłby wskazać użytkow- automatyczne aktywowanie VPN. Dzięki temu FortiClient zawsze będzie ników/urządzenia stanowiące zagrożenie i wyeliminować te jednostki otrzymywał aktualne profile ochronne od FortiGate. z sieci. Skala punktowa powinna umożliwiać dostosowanie odpowiedniej ilości „punktów karnych” za każde wykrocznie, np. 10 za otwarcie strony Mówiliśmy o niebezpieczeństwach, jednak BYOD to również zalety. bezwartościowej z punktu widzenia działań biznesowych, 30 za otwarcie Które z nich są największe? strony z potencjalnie niebezpieczną treścią, 50 za próbę ściągnięcia wirusa lub poddanie się atakowi typu client side. Ten ostatni jest jednym z nie- Niezależnie od zajmowanego stanowiska pracownicy przyznają, że moż- docenianych rodzajów ataków i często ochrona przed nim jest wyłączana liwość stałej łączności z siecią korporacyjną z dowolnej lokalizacji wpły- w celu poprawy wydajności urządzeń sieciowych. Urządzenia łączące się wa korzystnie na zwiększenie ich produktywności i zadowolenia z pracy. z serwerami w internecie są narażone na zdalne wykonanie kodu przez Prywatne urządzenia nierzadko oferują większą wydajność, elastyczność złośliwy serwer – co nie wymaga instalowania aplikacji na stałe. i użyteczność w porównaniu z firmowymi. Z kolei dla przedsiębiorców BYOD może oznaczać dodatkowe oszczędności. Dzięki wdrożeniu takiego Pozostaje jeszcze kwestia zarządzania i bezpieczeństwa w sieciach bez- modelu mogą oni przesunąć część kosztów utrzymania na pracownika przewodowych. Zarządzanie tymi sieciami powinno być realizowane przez i obniżyć wydatki przedsiębiorstwa związane z zakupem firmowych lap- urządzenia bezpieczeństwa. Kiedy spełnione zostaną wymagania dotyczą- topów czy tabletów. ce uwierzytelniania i bezpiecznego transportu danych, można przystąpić DLP expert Rozmawiał Wojciech Biecek 3/2014 (10) | 54 Co zrobić z używanymi telefonami komórkowymi? Czy wystarczy skasować znajdujące się na nich dane, żeby zabezpieczyć się przed dostaniem się ich w niepowołane ręce? O tym, jak niebezpieczne mogą być prywatne zdjęcia z telefonów, przekonały się niedawno Jennifer Lawrence i dziesiątki innych słynnych kobiet… We wrześniu w internecie zostało opublikowane wiele prywatnych zdjęć przedstawiających nagie lub roznegliżowane aktorki, piosenkarki i sportsmenki. Co prawda wyciekły one z chmury, po zgadnięciu haseł do kont właścicielek, ale nie zmienia to faktu, że analogiczny problem powstałby, gdyby złoczyńcy dostali w swoje ręce same telefony tych pań. 55 | 3/2014 (10) DLP expert Co zrobić z używanymi telefonami komórkowymi? Oczywiście nie każdy posiada w telefonie zdjęcia swoje czy też swojej na- Problem staje się jeszcze większy, gdy zdamy sobie sprawę, że powszech- giej żony, ale to nie są jedyne ważne dane, jakie można znaleźć w pamięci nie uznawane normy niszczenia nośników nie dotyczą mikroskopijnych owych urządzeń. Nie tak dawno firma Avast przeprowadziła test spraw- fragmentów nośników, tylko ich RELATYWNIE WIELKICH FRAGMENTÓW. dzający poziom dbałości użytkowników smartfonów o swoje dane. W tym celu zakupiła 20 smartfonów na jednym z portali aukcyjnych i poddała je Dla przykładu, powszechnie rozpoznawana niemiecka norma DIN 66399 działaniu prostych i łatwo dostępnych w internecie aplikacji do przywra- wskazuje, że w przypadku danych klasa H-4 (dla nośników z danymi szcze- cania skasowanych plików. W rezultacie otrzymano wyniki, które zadziwiły gólnie chronionymi i poufnymi) wymaga rozdrobnienia do ścinków o po- testujących. wierzchni mniejszej niż 2000 mm2. Ale co takie rozdrobnienie tak napraw- Z tych 20 smartfonów odzyskano bowiem: dę oznacza? Standardowe wymiary powierzchni dysków twardych: » ponad 40 000 zdjęć, w tym: 3,5” wraz z obudową = 101,6 mm x 146 mm = 14 833,6 mm2 » ponad 1500 rodzinnych zdjęć oraz zdjęć dzieci, 2,5” wraz z obudową = 69,85 mm x 100 mm = 6985 mm2 » ponad 750 zdjęć kobiet w różnych fazach negliżu, 1,8” wraz z obudową = 54 mm x 71 mm = 3834 mm2 » ponad 250 męskich nagich selfies, Bez obudowy, sam talerz + wrzeciono: » ponad 1000 wyszukiwań Google, 3,5” ≈ 8,89 cm średnicy ≈ 6204,02 mm2 < - talerz w około 3 kawałkach » ponad 750 e-maili i wiadomości SMS, 2,5” ≈ 6,35 cm średnicy ≈ 3165,316 mm2 < - talerz przecięty na pół » ponad 250 danych kontaktowych i adresów mailowych, 1,8” ≈ 4,572 cm średnicy ≈ 1640,9 mm2 < - talerz w całości » dane, na podstawie których można było ustalić tożsamość czterech poprzednich właścicieli, » jedną wypełnioną aplikację o pożyczkę bankową. Dodatkowo w celu przenoszenia zdjęć między urządzeniami wiele osób synchronizuje swoje telefony z komputerami albo – jak Jennifer Lawrence i inne celebrytki – z chmurą, dzięki czemu m.in. po podłączeniu ich do siebie zdjęcia ze smartfona mogą automatycznie być kopiowane na dyski twarde. Tak więc bardzo często są one na kilku urządzeniach – na smartfonie, domowym komputerze, laptopie, na dyskach urządzeń tworzących chmurę. Z uwagi na dużo większą pojemność dysków niż kart pamięci, często w komputerach obecna jest znacznie większa ilość zdjęć niż w telefonie. Jak widać, właściciele badanych smartfonów błędnie uważali, że sprzętowe usunięcie danych uniemożliwi dostęp do ich zdjęć, jednak bardzo się pomylili. Podobnie jest w przypadku dysków twardych - większość popularnych metod niszczenia danych nie daje prawdziwej gwarancji ich zniszczenia. Cóż bowiem z tego, że program zakomunikuje “usuwanie danych zakończono”, jeśli ktoś dociekliwy będzie w stanie je odtworzyć? Historia i doświadczenia laboratoriów odzyskiwania danych pokazują jednak prawdziwą sytuację. W wielu przypadkach, gdy wydawało się, że nośniki są już tak zniszczone, że właściwie nie ma szans na odzyskanie czegokolwiek, specjaliści byli w stanie odzyskać wiele danych. Rozwój wiedzy w tej dziedzinie również jest bardzo szybki - na przykład jeszcze kilka lat Jak wobec tego można się bronić przed utratą danych? Aby być pewnym, że żadne dane nie wyciekną, tak naprawdę należy nie wyrzucać ani nie odsprzedawać starych nośników danych. W firmach i instytucjach praktykuje się przechowywanie nośników dotąd, aż uzbiera się ich ilość pozwalająca na relatywnie niskie koszty jednostkowe niszczenia. W warunkach domowych oczywiście trwa to o wiele dłużej, ale można na przykład umówić się z kilkoma sąsiadami, że raz na jakiś czas każdy przejrzy, ile nośników ma do zniszczenia. Większe ilości mogą pomóc w uzyskaniu rabatów - ponieważ niszczenie pojedynczych sztuk jest tu najbardziej kosztowne. Użycie dowolnej profesjonalnej metody niszczenia danych jest znacznie lepsze niż skasowanie ich samemu. Jeśli jednak wiadomo, że na nośniku znajdują się dane, których naprawdę nie chciałoby się pokazać obcym, to warto skorzystać z najskuteczniejszych dostępnych obecnie sposobów - chemicznych oraz termicznych. Niemniej należy pamiętać o tym, że wrzucenie do standardowego pieca nie zniszczy danych - trzeba by zapewnić temperaturę powyżej 1000 stopni Celsjusza. Jedyną mobilną, ekologiczną i bezpieczną metodą chemiczną jest technologia LiquiDATA, dzięki której nośnik zmienia się w ekologiczną ciecz, z której nie da się odzyskać żadnych danych, bo nie zostaje nawet najmniejszy fragment nośnika. temu mówiono, że absolutnie niemożliwe jest odzyskanie danych z dysku uszkodzonego fizycznie. Dzisiaj rysy czy inne uszkodzenia dla dobrych laboratoriów nie stanowią problemu nie do przejścia. Do dziś wiele osób twierdzi, że jeśli dysk się połamie czy zwiórkuje, to nikt nie ma szans odzyskać spójnych danych - ale fakty pokazują, że i ten problem jest to rozwiązania, a zwiększająca się pojemność nośników sprawia, że spójne dane Autor: Gabriel Nowicki, można znaleźć na coraz bardziej mikroskopijnych fragmentach nośników. BOSSG Data Security Sp. z o.o. DLP expert 3/2014 (10) | 56 Badanie Raport Cisco ujawnia wzrost zagrożeń dla bezpieczeństwa IT spowodowany „kulturą samozadowolenia” pracowników polskich firm Podczas konferencji Cisco Secure, która odbyła się 7 i 8 października Po pierwsze, szczególnie słabym ogniwem w systemach bezpieczeństwa w hotelu Radisson Blu Centrum Warszawa, Cisco zaprezentowało wyniki są pracownicy i sposób ich zachowania się, który powoduje zwiększenie najnowszego raportu na temat bezpieczeństwa IT. Ryzyko utraty danych poziomu ryzyka. Przy czym ryzyko to wynika bardziej z samozadowole- o krytycznym znaczeniu dla działania firm jest w Polsce coraz wyż- nia lub ignorancji niż ze złej woli – większość firm tak starannie odizolo- sze – to główny wniosek płynący z raportu. Wynika to z faktu, iż polskie wała swoich pracowników od bieżących informacji o pojawiających się firmy i organizacje opracowując polityki bezpieczeństwa i budując syste- codziennie zagrożeniach, że nabrali oni przekonania, iż firmowy system my zabezpieczeń, koncentrują się głównie na zewnętrznych zagrożeniach bezpieczeństwa sam zajmuje się wszystkim, zwalniając ich z jakiejkolwiek związanych z działaniem hakerów i cyberprzestępców, nie poświęcając odpowiedzialności. dostatecznej uwagi zagrożeniom wewnętrznym. Nasza redakcja miała przyjemność objąć patronatem medialnym tegoroczną konferencję. Po drugie, rośnie liczba pracowników, którzy uważają, że polityka bezpie- Raport został opracowany na podstawie badań, które objęły ponad 1000 czeństwa hamuje innowacyjność i przeszkadza we współpracy. Co więcej, pracowników firm w Polsce. Ich wyniki ujawniają dwa ważne problemy rosnące przekonanie, że utrudnia ona efektywną pracę, powoduje, iż przy- związane z bezpieczeństwem. najmniej niektórzy pracownicy próbują ominąć reguły firmowej polityki bezpieczeństwa. 57 | 3/2014 (10) DLP expert Cisco EMEAR Security Report nych w firmach polityk bezpieczeństwa tak, by w dalszym ciągu zapewniały najlepszą możliwą ochronę przed zewnętrznymi atakami, ale jednocześnie zostały przystosowane do realnych zachowań pracowników. Gdy ankietowani zostali poproszeni o określenie, jakie są dwa największe zagrożenia dla bezpieczeństwa danych, 62% odpowiedziało, że zorganizowana cyberprzestępczość, ale aż 55% wymieniło zachowanie pracowników. Jednocześnie wszyscy objęci badaniem przyznali, że wykorzystują firmową sieć również do celów prywatnych: 82% korzysta w pracy z systemów osobistej bankowości, 63% robi zakupy w internecie, a 43% łączy się z sieciami społecznościowymi. - Badanie Cisco EMEAR Security Report pokazuje, jak złożone problemy dotyczące bezpieczeństwa IT stają przed polskimi firmami. Większość pracowników zdaje sobie sprawę, że zagrożenie ze strony cyberprzestępców jest realne i należy mu przeciwdziałać, ale jednocześnie wykazują oni zbyt duży poziom samozadowolenia, który powoduje zwiększenie ryzyka. Pracownik, który ma ślepe zaufanie do firmowego systemu bezpieczeństwa, staje się niejako jednym z jego głównych słabych punktów – mówi Gaweł Mikołajczyk, ekspert ds. bezpieczeństwa w Cisco Poland. Z badania wynika też, że stosowane obecnie strategie bezpieczeństwa IT nie uwzględniają preferowanych sposobów efektywnej pracy. Zdaniem ankietowanych pracowników istniejące polityki bezpieczeństwa muszą ulec modyfikacji, jeśli dotychczasowe wsparcie dla innowacyjności i efektywnej współpracy ma w przedsiębiorstwach zostać utrzymane przy jednoczesnym zapewnieniu odpowiedniej ochrony firmowej sieci, urządzeń i systemów chmurowych przed zewnętrznymi zagrożeniami. - Zrównoważenie wymagań związanych z efektywnym działaniem biznesowym i ochroną przed zagrożeniami będzie wymagało fundamentalnej zmiany podejścia do bezpieczeństwa systemów IT. To, w jaki sposób zachowują się użytkownicy, powinno wpływać na modyfikację mechanizmów bezpieczeństwa i być ważnym elementem nowoczesnego systemu ochrony, który z kolei musi zapewniać pełną, bieżącą widoczność wszystkich zagrożeń i koncentrować się na ich eliminacji, co jest możliwe tylko przy wykorzystaniu zintegrowanej platformy dostarczającej pełny obraz stanu bezpieczeństwa w czasie rzeczywistym - tłumaczy Gaweł Mikołajczyk. źródło: CISCO – Firmy, które wciąż wykorzystują zestaw niezintegrowanych, punktowych rozwiązań zapewniających ochronę różnych elementów systemu, same zwiększają poziom ryzyka. Tego typu klasyczne podejście do zabezpieczania IT w nieunikniony sposób prowadzi bowiem do pojawienia się luk, które mogą zostać wykorzystane do ataku – ostrzega ekspert Cisco. Realne zachowania pracowników muszą zostać uwzględnione w nowym podejściu do bezpieczeństwa IT Z badania Cisco wynika, że istnieje pilna konieczność modyfikacji stosowaDLP expert Szczególnie ryzykowne mogą być działania tych pracowników, którzy mając dużą wiedzę o działaniu oprogramowania i systemów IT, potrafią ominąć zasady narzucone przez politykę bezpieczeństwa. Jak wynika z badania Cisco, aż jeden na ośmiu ankietowanych pracowników polskich firm przyznaje, że aktywnie omija te zasady, gdy tylko czuje taką potrzebę. 3/2014 (10) | 58 Cisco EMEAR Security Report Kultura samozadowolenia i ignorancji Według badania największe wewnętrzne zagrożenia wynikają z pewnego rodzaju samozadowolenia pracowników, którzy zakładają, że firmowy system bezpieczeństwa będzie ich efektywnie chronił podczas przeglądania internetu i innych aktywności online. Z badania wynika, że 29% pracowników spodziewa się, iż firmowy system zabezpieczeń ochroni ich przed każdym zagrożeniem, a 56% uważa, że są dobrze odizolowani od potencjalnych, zewnętrznych zagrożeń, a ich zachowania mają mały lub co najwyżej umiarkowany wpływ na bezpieczeństwo firmowego systemu IT. Taki stosunek do bezpieczeństwa może być wynikiem niewłaściwej polityki, zbudowanej w oparciu o zagrożenia o względnie małym znaczeniu. 55% ankietowanych sądzi, że firma w której pracują, ma wdrożoną politykę bezpieczeństwa, z kolei 30% tego nie wie. Blisko jedna trzecia (32%) mówi, że firmowa polityka bezpieczeństwa nigdy nie wywołała problemu, który miałby wpływ na ich pracę, a 49% zauważa jej istnienie tylko wtedy, gdy jakieś ich działanie zostanie zablokowane przez mechanizmy chroniące system. W sumie 57% ankietowanych przyznaje, że przestrzega zasad firmowej polityki zaledwie w stopniu małym lub umiarkowanym. Jednocześnie warto zauważyć, iż więcej pracowników (25%) deklaruje bardziej rygorystyczne podejście do reguł bezpieczeństwa w domu niż w pracy (19%). Co więcej, zaskakująca liczba ankietowanych, bo aż 83%, nie zdaje sobie sprawy z istnienia takich poważnych, nowych zagrożeń jak Heartbleed. W efekcie 27% respondentów w ogóle nie zmieniło swoich zachowań dotyczących bezpieczeństwa, a 60% wciąż nie wprowadziło zasady definiowania różnych haseł dla każdego z wykorzystywanych serwisów lub aplikacji. - Efektywna strategia bezpieczeństwa to taka, która pozwala chronić firmowy system przed, w trakcie i po ataku. Niestety, wyniki ankiety pokazują, że większość pracowników czuje się tak odporna na zagrożenia, że nie zmienia swoich zachowań i przyzwyczajeń niezależnie od bieżącej sytuacji - radzi Ga- być dobrą podstawą do opracowania praktycznych strategii biorących pod uwagę różne typy zachowań pracowników. Każdy profil prezentuje inny poziom zagrożenia dla bezpieczeństwa firmowych danych i wymaga innego rozwiązania, które z jednej strony ograniczy ryzyko, ale z drugiej zapewni możliwość uzyskania optymalnej wydajności i efektywności pracy. » Pracownicy „świadomi zagrożeń” – wiedzą, jakie jest ryzyko, i starają się ściśle przestrzegać zasad bezpieczeństwa IT podczas pracy. » Pracownicy „mający dobre intencje” – ci, którzy starają się przestrzegać zasad polityki bezpieczeństwa, ale w rzeczywistości stosują je na zasadzie „chybił – trafił”. » Pracownicy „zadowoleni z siebie” – przekonani, że firmowy system bezpieczeństwa zrobi wszystko za nich. Uważają, że nie są indywidualnie odpowiedzialni za bezpieczeństwo firmowych danych, a jego zapewnienie nie wymaga od nich żadnej aktywności. » Pracownicy „znudzeni i cyniczni” – czyli tacy, którzy uważają, że opinie o wysokim poziomie zagrożeń są przesadzone, a firmowy system zabezpieczeń ogranicza ich wydajność, więc są gotowi do omijania reguł firmowej polityki bezpieczeństwa. Rozwój nowej generacji polityk bezpieczeństwa skoncentrowanych na użytkownikach spowoduje, że w przyszłości CISO (Chief Information Security Officer - dyrektor ds. bezpieczeństwa informacji) będą korzystali z centralnie zarządzanej aplikacji umożliwiającej automatyczne monitorowanie i wymuszanie przestrzegania zasad polityki bezpieczeństwa. Nastąpi więc odejście od tradycyjnych rozwiązań, które zapewniają kontrolę różnych pojedynczych elementów systemu. Trend ten wynika z upowszechniania systemów mobilnych i rosnących wymagań pracowników dotyczących możliwości korzystania z systemów pracy grupowej oraz zdalnego dostępu do firmowych zasobów informacji. W przyszłości menedżerowie IT będą weł Mikołajczyk z Cisco. mieli możliwość określenia protokołów specyficznych dla indywidualnych Przestarzałe podejście do bezpieczeństwa hamuje efektywną współpracę i krępuje innowacyjność nich urządzenia niezależnie od ich bieżącej lokalizacji. Tego typu polityki pracowników. Będą one obsługiwały wszystkie wykorzystywane przez bezpieczeństwa pozwolą firmom na jednoczesne obniżenie podatności na zagrożenia i zwiększenie elastyczności biznesu. Pracownicy polskich firm w coraz większym stopniu zaczynają postrzegać - Choć edukacja i lepsza komunikacja mogą pomóc, to z pewnością nie roz- mechanizmy bezpieczeństwa IT jako barierę hamującą działania bizneso- wiążą problemu z postawą „samozadowolenia” prezentowaną przez wielu we. 34% uważa, że system bezpieczeństwa IT w ich firmie hamuje inno- pracowników, którą ujawnia najnowszy raport Cisco. Liderzy IT będą zmu- wacyjność, przeszkadza we współpracy i powoduje, iż wykonywanie pracy szeni do opracowywania bardziej przyjaznych użytkownikom polityk bez- jest trudniejsze. Natomiast 22% jest przekonanych, iż wartość utraconych pieczeństwa, które będą wykorzystywały indywidualne wzorce zachowań, zysków powodowana przez rygorystyczny system zabezpieczeń przewyż- aby zmniejszyć ryzyko jego naruszenia w skali całej firmy – mówi Gaweł sza koszty związane z potencjalnymi skutkami udanego ataku na firmowy Mikołajczyk. – Jeśli pracownicy będą w dalszym ciągu przekonani, że system system IT. bezpieczeństwa IT utrudnia im pracę, lub też nie będą zdawać sobie sprawy, jakie zagrożenia dla biznesu mogą wynikać z ich niewłaściwego zachowania, W ramach badania analitycy Cisco określili też cztery główne profile za- firmy będą kontynuowały grę hazardową, która może doprowadzić do bar- chowań polskich pracowników w kontekście bezpieczeństwa IT. Mogą one dzo kosztownych przypadków naruszenia bezpieczeństwa danych – dodaje ekspert Cisco. 59 | 3/2014 (10) DLP expert DLP expert 3/2014 (10) | 60
