Dacă am vrea să caracterizăm în câteva cuvinte timpurile pe care le trăim cu siguranță cele mai potrivite sunt: comunicații rapide și mobilitate.

Prima Revoluție industrială a dus la mecanizarea producției prin folosirea mijloacelor naturale (apă și abur). Producția pe scară largă (folosind  electricitatea) a fost rezultatul celei de-a doua Revoluție industriale. A treia Revoluție industrială a dus  la  automatizarea producției prin folosirea computerelor și dispozitivelor de prelucrări automate a datelor. A patra Revoluție industrială, pe care o trăim în acești ani, este revoluția digitală bazată pe comunicații de mare viteză (Internet), integrarea sistemelor și senzorilor într-un singur ecosistem (Internet of Things) și prin prelucrarea intensivă a unei cantități mari de date cu caracter personal, în scopul profilării persoanelor vizate (preferințe, simpatii, economice, de sănatate etc).

Dispozitivele automate de prelucrare a datelor și-au redus mereu dimensiunile, iar astăzi am ajuns să avem in nelipsitul telefon personal o putere de calcul mai mare decât cea folosită pentru trimiterea misiunilor cu echipaj uman pe Lună în anul 1969. Odată cu evoluția dispozitivelor mobile au evoluat și sistemele de comunicații, astfel că acum, aproape 90% din traficul de internet provine de pe dispozitive mobile (telefoane smart, tablete sau laptop-uri).

Evident că a crescut cantitatea de informații prelucrată, dar și riscurile asociate prelucrării ei.

Dispozitivele mobile inteligente au un impact puternic asupra felului cum organizațiile, fie ele instituții guvernamentale sau afaceri private, funcționează.   Puterea de calcul a dispozitivelor mobile le face pe acestea un concurent serios dispozitivelor  clasice fixe, de tip computere personale sau laptopuri și aduc în general beneficii deloc neglijabile: munca la distanță (de exemplu de pe teren), reduceri de cheltuieli,  satisfacție și ușurință în folosire. Totuși, deoarece prin dispozitivele mobile se procesează o cantitate mare de date cu caracter personal, folosirea lor poate fi un motiv de coșmar pentru responsabilii oricărei organizații.

Motivele principale de îngrijorare sunt cele exprimate în Regulamentul GDPR: controlul și legalitatea prelucrărilor de date, riscurile asociate cu prelucrările de date, securitatea datelor prelucrate și modurile de accesare a datelor astfel încât drepturile persoanelor vizate de prelucrări să fie respectate.

În acest sens, organismul european supervizor (European Data Protection Superviser) a emis un ghid de bune practici pentru prelucrările datelor prin dispozitive mobile care include recomandări de securitate (prin măsuri organizaționale și de natură tehnică), informații despre riscurile asociate prelucrărilor de date prin dispozitivele mobile, precum și un set de reguli pentru asigurarea conformității cu cerințele Regulamentului GDPR.

Lăsând la o parte aceste recomandări, mai mult sau mai puțin tehnice, vom detalia în continuare 3 aspecte critice cu care se va înfrunta orice organizație atunci când prelucrează date și dorește să se alinieze la cerințele Regulamentului GDPR.

Un prim punct critic este responsabilizarea conducerii. Responsabilul cu prelucrarea datelor are un rol esențial aici, și anume să identifice riscurile asociate cu prelucrările de date prin dispozitive mobile și le aducă la cunoștința conducerii într-un limbaj cât mai simplu și cât mai ușor de înțeles.

De câte ori nu ne-am confruntat cu situația în care conducerea unei firme sau instituții acordă o importanță doar formală conformării la Regulamentul GDPR?

De multe ori, managerul general nu înțelege complexitatea problemei și riscurile la care poate supune compania în cazul unei potențiale breșe de securitate.        Care este de obicei veriga cea mai slabă dintr-o organizație?

Angajatul!

Iar acesta, folosind dispozitivul personal în cadrul prelucrărilor din activatea lui curentă, poate produce breșe de securitate conștient sau nu.

Angajatul poate să folosească telefonul personal pentru a introduce date cu caracter personal în sistemul informatic al companiei. Compromiterea dispozitivului mobil va duce la compromiterea întregii baze de date a companiei! De fapt, majoritatea atacurilor informatice  (peste 90%) au la bază folosirea unor tehnici de inginerie socială care au ca țintă angajatul și, de regulă, dispozitivul mobil pe care acesta îl folosește de obicei atât în scop personal, cât și in interes de serviciu

Un hacker ar putea urmări interesele unui angajat (de exemplu, preferințele pentru cumpăraturi ale acestuia) și apoi să inițieze o campanie de tip phishing care să urmărească în prima fază obținerea controlului asupra dispozitivului acestuia.

Într-o altă situație în care compania nu a instituit un sistem de control al accesului la date și o jurnalizare a accesului la date, un angajat nemulțumit ar putea fura baza de date a companiei cu ajutorul unui telefonul mobil, în scopul vânzării acesteia către concurență. Compania nu va avea la dispoziție nici o metodă prin care să identifice persoana responsabilă de acest incident și nici momentul în care a avut loc.

Managerul companiei trebuie să înțeleagă toate aceste riscuri și să acorde atenție și următorului punct critic: managementul și monitorizarea dispozitivelor de prelucrare a datelor din cadrul unei companii, atât sub formă de bunuri ale firmei, cât și ca bunuri personale ale angajaților care sunt folosite de către aceștia pentru a accesa datele firmei.

Compania trebuie să facă o evaluare a acestora (un inventar care să conțină tipurile de dispozitive, persoanele care le folosesc, tipurile de date care sunt accesate prin acestea, precum și măsurile de securitate implementate la nivelul lor: parolare, criptare, antivirus, licență etc.).

Dar, toate aceste evaluări nu sunt de folos dacă dispozitivele nu sunt monitorizate în timp real pentru a se urmări orice perturbare a funcționării lor normale, de exemplu dacă nu se instalează software-uri cu probleme cunoscute (malware, viruși) sau dacă nu au un comportament ieșit din tiparul obișnuit (de exemplu, accesarea bazei de date a firmei în cursul nopții).

Compania trebuie să se asigure în acest caz că monitorizarea dispozitivelor mobile nu va fi percepută ca o intruziune în viața personală a angajatului și, prin accesul la telefonul acestuia, să nu fie excesivă și să ii afecteze drepturile și libertățile acestuia. O soluție la această problemă este containerizarea operațiunilor în cadrul dispozitivului, astfel încât zona personală a angajatului să fie separată pe dispozitiv de zona care ține de îndeplinirea activităților zilnice, zonă care poate fi monitorizată și logată în mod corespunzător.

O companie responsabilă ar trebui să ia măsura constituirii unui SOC (Security Operations Center) care să aibe și aceste responsabilități de monitorizare a logurilor generate de dispozitivele mobile ale angajaților, de realizare a backup-urilor de date de pe acestea și de analiză și intervenție rapidă în cazul semnalării unui incident.

În final, Regulamentul GDPR pune accent pe instruirea angajaților privind prelucrările de date. Toți au auzit de riscuri, toți au auzit de GDPR, dar cu toate astea mereu pot să apară greșeli, dacă angajații tratează cu nepăsare acest subiect ("oricum, mie nu mi se va întâmpa nimic deosebit", "sunt deranjat că sunt doar o grămadă de acte de completat", etc.). O metodă de diminuare a riscurilor este introducerea în cadrul organizației a unei "culturi de prelucrare securizată a datelor". Angajații ar trebui antrenați să perceapă că prelucrarea datelor în condiții de conformitate cu Regulamentul GDPR, prin orice fel de dispozitiv, în orice moment și prin orice mijloace trebuie sa fie o valoare a companiei. Toate activitățile zilnice ar trebui abordate din această perspectivă, inclusiv folosirea dispozitivelor mobile sau personale.

Cele 7 principii care stau la baza cultivării unei strategii organizaționale de securitate sunt:

• atitudine proactivă ("prelucrez date gandindu-mă la securitatea acestora");
• comportament ("nu fac lucruri care pot duce la compromiterea datelor");
• conștientizare ("știu că prelucrez date, știu cu ce prelucrez date, știu în ce scop și unde sunt folosite aceste date");
• comunicare ("dacă identific o problemă o comunic imediat și nu o ascund");
• conformare ("prelucrez date doar în mod legal, echitabil și transparent față de persoana vizată");
• normare ("respect proceduri și norme de conduită");
• responsabilitate ("prelucrez datele exacte, adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt colectate");

În concluzie, prelucrarea datelor cu caracter personal prin dispozitive mobile este o mare provocare în contextul conformării la cerințele Regulamentului GDPR.

Companiile trebuie să evalueze în mod clar situația și să realizeze un echilibru între investițiile în securizarea tehnică a datelor și securizarea procedurală și informativă a acestora, prin instruiri ale personalului și prin îmbunătățirea comunicării interdepartamentale.

Bibliografie:

1. Raport evoluție utilizare internet - https://datareportal.com/reports/digital-2019-global-digital-overview
2. Opinia European Data Protection Superviser pe tema folosirii dispozitivelor mobile - https://edps.europa.eu/data-protection/data-protection/reference-library/mobile-devices_en
3. Built your security culture on the risk assessment expense - Ana-Maria Matejic (Mayday Conf, Cluj 2019)

Despre autor:

Paul Stoica Este inginer licențiat in Telecomunicații, formator, având un master în management și finanțare în administrația publică și o experiență de peste 13 ani în dezvoltarea de soluții software și aplicații online. Pasionat de domeniul securității datelor, este consultant GDPR și Responsabil cu protecția datelor pentru mai multe instituții și companii private din Arad, Timiș și Bihor. www.gdprarad.ro paul.stoica@gdprarad.ro

Preocupați de impactul tehnologiei în activitatea operatorilor de date cu caracter personal, 100 de specialisti si  responsabili cu protectia datelor din întreaga țară vor participa la cea de-a patra ediție dpo.TOOLS care va avea loc la sediul SAMSUNG România din București, la sfârșitul lunii martie 2020.

Tema principală, "Mobilitatea, o provocare pentru aplicarea GDPR" va aduce în prim plan problema "Securizarii informatiei purtatoare de date cu caracter personal la nivelul dispozitivelor mobile".  Evenimentul este organzat de Portalul dpo-NET.ro - Data Protection Officers Network in parteneriat cu SAMSUNG, certSign,  Wolters Kluwer România, NeoPrivacy România, Inperspective, Reimens si IJV& Partners Law Firm in zilele de 23 Martie si 24 Martie 2020. Datorita numarului mare de persoane interesate, s-a luat decizia organizarii a doua sesiuni, in doua zile consecutive, agenda fiind aceiasi pentru ambele zile. 

L-am rugat pe Ovidiu Seceleanu, Head of B2B IM Division la Samsung, sa impartaseasca cu cititorii dpo-net.ro cateva informatii inainte de acest eveniment.

Ce se intampla in acest moment in domeniul securitatii dispozitivelor mobile ? Ce solutii exista ?

Ovidiu Seceleanu: La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate pe de o parte cat si interesul de a obtine access la informatii cu privire la carduri bancare sau metode de autentificare in sfera de online payment. Toate acestea datorita utilizarii tot mai frecvente ale dispozitivelor mobile, in general, pentru accesul la internet (in 2013 16.2% din traficul de internet era efectuat de pe dispozitivele mobile, in 2018 procentul a ajuns la 52.2%) si in special pentru operatiuni de plati online. Prin tehnologia de containerizare separăm pe telefonul angajatului zona personală de zona de birou. În felul acesta securizam datele companiei și oferim libertate angajatului să folosească același telefon în ambele scopuri, fără să interferam în problemele lui personale.

Cum a fost posibilă colaborarea dintre un gigant IT și o companie autohtonă precum CertSign?

Ovidiu Seceleanu: Un dispozitiv mobil are nevoie de aplicații care să-l pună în valoare. Astfel, Samsung a dezvoltat un program de parteneriat pentru a sprijini dezvoltatorii de aplicații de mobilitate care vor sa integreze funcționalități Samsung. Centrul de cercetare-dezvoltare din Polonia, împreună cu partenerii din regiune, printre care se numără și CertSIGN, lucrează la dezvoltarea de aplicații în diverse industrii, pentru a face utilizarea acestora mai sigură, mai productivă și mai ușor de administrat de la distanță. Împreuna cu certSIGN am lansat conceptul de #GoMobile pentru ca în afara telefoanelor, a funcționalităților DEX și a softului nostru care face managementul securității telefoanelor, avem nevoie de aplicații specifice fiecarei industrii.  Ei au dezvoltat o solutie care presupune semnătura electronică în cloud și practic putem semna de pe terminalul mobil, fara sa avem nevoie de un PC

Cât de importantă va fi mobilitatea în viitorul apropiat pentru activitatea de business și care sunt trendurile în această materie.

Ovidiu Seceleanu: Piața muncii se schimba, în anul 2020 peste 50% dintre oamenii din campul muncii vor fi millennials, oameni care s-au născut cu telefoane în brațe și care se așteaptă de la angajatori și de la companiile producătoare de tehnologii să le pună la dispoziție mijloace, device-uri dar și soluții software în așa fel încât să nu fie legați de un anumit loc de munca, să își poată desfășura activitatea de oriunde și să nu fie nevoiți sa care dupa ei un laptop sau să vina la birou numai pentru a lucra pe un desktop. IT Managerii dacă se gandesc sa achiziționeze sau să schimbe flota de device-uri mobile, sau dacă analizează ce tipuri de probleme au avut cand au implementat o soluție de mobilitate, se lovesc de următoarele probleme: securitate, urmată de managementul device-urilor, pe locul trei aflandu-se productivitatea. Pentru a răspunde asteptarilor clientilor, Samsung a creat, pe baza acestor trei piloni, un portofoliu de soluții software, sub numele de Samsung KNOX, care a fost integrat deja în peste 50 de milioane de terminale ale clientilor din peste 80 tari

La ce ar trebui sa fim atenți în procesul de digitalizare?

Ovidiu Seceleanu: Dacă vorbim de digitalizare, cel mai important element pe care trebuie să-l avem în vedere este schimbarea. Propunem sa nu mai dăm vina pe utilizatori ca nu respecta procedurile si masurile de securitate, ci sa folosim aplicații de management si securitate. Cu portofoliul nostru de produse Samsung Knox putem face de la distanta atat toate setarile cat si managementul aplicațiilor pe dispozitivele mobile.

Este adevărat că astăzi este posibil să îți transporți computerul în buzunar?

Ovidiu Seceleanu: Pentru că performanțele terminalelor mobile Samsung au ajuns chiar sa le depaseasca pe cele ale majoritatii laptopurilor, pentru a crește productivitatea oamenilor, Samsung a dezvoltat tehnologia DeX, prin care putem să conectăm telefonul mobil la un monitor printr-un simplu cablu. Cu alte cuvinte,  telefonul pe care îl folosim în viața de zi cu zi, când ajungem acasă, la birou sau la un client, il conectam la un monitor sau la un orice alt display și putem susține o prezentare, putem lucra productiv in aplicatii office sau business atașând o tastatură și un mouse precum unui un desktop sau unui laptop. 

Cum separam viața privata de cea profesională, având în vedere utilizarea de cel mai multe ori a unui singur dispozitiv mobil ?

Ovidiu Seceleanu: Solutia Samsung Knox Platform for Enterprise creeaza o zona personală și o zona de business. Prin tehnologia de containerizare separăm pe telefonul angajatului zona personală de zona de birou, iar în zona de birou noi hotărâm care este  politica de securitate, lăsând ca în zona personală să facă ceea ce dorește. În felul acesta securizam datele companiei și oferim libertate angajatului să folosească același telefon în ambele scopuri, fără să interferam în problemele lui personale. Dacă vorbim de digitalizare, cel mai important element pe care trebuie să-l avem în vedere este schimbarea. Propunem sa nu mai dăm vina pe utilizatori ca nu respecta procedurile si masurile de securitate, ci sa folosim aplicații de management si securitate. Cu portofoliul nostru de produse Samsung Knox putem face de la distanta atat toate setarile cat si managementul aplicațiilor pe dispozitivele mobile