Ochranu údajov z technologického pohľadu nemožno vnímať len ako konkrétny izolovaný problém, ktorý sa dá vyriešiť „technologickou krabičkou“. Ide skôr o to využiť etablované technológie a princípy na správne dáta a na základe ich povahy nastaviť technológie či princípy.

Povedzme si to na rovinu

Jednou z najdôležitejších ochrán osobných údajov je šifrovanie. Možnosti šifrovania, respektíve výber správnej metódy, šifry či dokonca princípu siaha ďaleko za možnosti tohto článku. Čo je však dôležitejšie a, bohužiaľ, často opomínané, kde sa samotné dáta šifrujú. Je nutné minimálne zvážiť šifrovanie dát pri prenose, používaní a aj počas toho, keď sa s nimi nepracuje. Dokonca aj pri zálohovaní.

Ak vieme, „kde“ sa dáta nachádzajú, prichádza na rad druhá, nemenej dôležitá otázka. Aké dáta? Inými slovami, aká je povaha dát, ktoré spracúvame, či tých na úložiskách? Klasifikácia dát je širší kontext, ktorý všeobecne odpovedá na otázku, aké dáta spracúvame vzhľadom na legislatívny či normatívny rámec. A identifikácia osobných údajov je len časť z nich.

Ak už vieme, „kde a aké“ dáta, máme ideálny počiatočný stav na stanovenie adekvátnej ochrany osobných údajov. Na výber sú rôzne prístupy šifrovania, logického oddelenia a samotného prístupu k dátam.

Prístup k dátam predstavuje ďalší stavebný kameň. Musí byť správne použitý, inak bude identifikácia a klasifikácia dát irelevantná. Hoci by sme implementovali správne šifrovanie na správne dáta, vytúžený efekt ochrany by sa nedostavil, ak by k dátam mali prístup neoprávnené osoby. Prístup je teda vhodné nastaviť pomocou princípov minimálnych oprávnení a nevyhnutnej znalosti.

Nové technológie

Niektoré technológie či trendy môžu priniesť výrazné zlepšenie pri ochrane osobných údajov. Jedným z nich je aj architektúra nulovej dôvery – Zero Trust. Koncept vychádza z predpokladu, že nikomu vnútri ani mimo siete nemožno dôverovať. Tento prístup potom znižuje riziko vnútorných hrozieb a zabezpečuje robustnú ochranu systémov v našej správe.

Prevratnou technológiou, ktorá by mohla zmeniť pohľad na ochranu osobných údajov, je blockchain. Prináša decentralizáciu, nemennosť a transparentnosť, čo sú vlastnosti, ktoré môžu významne prispieť k ochrane osobných údajov. Blockchain by mohol byť využitý na vytváranie bezpečných digitálnych identít a zabezpečenie, že údaje sú nemenné a transparentné. Je však nutné poznamenať, že nápad je len v rovine myšlienkového smeru či skorej idey.

Komplexný proces

Ochrana osobných údajov nie je nikdy uzavretý problém, ktorý by sa dal vyriešiť zázračnou krabičkou od renomovaného výrobcu. Je nutné dodržať základné princípy a hlavne si „poupratovať doma“, a teda vedieť, kde máme aké dáta a ako ich spracúvame.

Paradoxne, komplexná ochrana osobných údajov môže viesť k technologicky relatívne lacným riešeniam, ak budú vhodne nastavené a „šité na mieru“ danej organizácii. Tento princíp môže byť výhodný tak pre malé podniky, ako aj pre nadnárodné korporácie.

Napriek tomu, že Zero Trust architektúra a blockchain ponúkajú sľubné riešenia, základné bezpečnostné praktiky zostávajú nezmenené. Technológie klasifikácie dát pomocou umelej inteligencie nám môžu dokonca pomôcť s identifikáciou dát najmä pri rozsiahlych úložiskách.

Finálne vyhodnotenie a nastavenie opatrení bude vždy do značnej miery pozostávať z kombinácie základných stavebných kameňov a princípov overených časom v mnohých implementáciách.

Michal Srnec, vedúci oddelenia informačnej bezpečnosti Aliter Technologies