Na nedavno održanom meetup-u u sklopu MS ITPro Community Varaždin, Mladen Kuzminski je održao predavanje na temu
Opasnost od gubitka podataka – upravljanje incidentima
da li su nam podaci usklađeni sa smjernicama GDPR
U ovom predavanju je autor sagledao sigurnost baza podataka s aspekta GDPR-a i usklađenosti s uredbom.
Kad pokušamo odgovoriti na pitanje „Gdje se nalaze osobni podaci u našoj organizaciji
i koji su to podaci?” dolazimo do zaključka da većina današnjih organizacija svoje podatke čuva u bazama podataka. Stoga dolazimo do sljedećeg pitanja „Kako štitimo podatke u bazama podataka i kako to dokazujemo?”
Kad su u pitanju baze podataka, javlja se i niz dodatnih pitanja, kao npr:
- Koje su potencijalne slabosti naše baze?
- Tko može pristupiti podacima?
- Da li legalni korisnici koriste slabe i nesigurne lozinke?
- Kako vidjeti koja su pravila ponašanja na serveru?
- Kako uraditi sigurnosni audit baze podataka i dobiti gotov izvještaj koji ima smisla?
- Da li sve to trebamo sami ručno uraditi ili postoje alati koji nam mogu pomoći?
U praksi danas postoje specijalizirani alati (softver) koji nam može pomoći u dobivanju odgovora na ova pitanja i pomaže nam posložiti naše database servere na siguran način. Jedan od takvih softvera, lider u tom segmentu tržišta, je IDERA SQL Secure.
SQL Secure nam pomaže identificirati između ostalog sljedeće:
- Koje su potencijalne slabosti naše baze? – alat daje usporedba sigurnosnih postavki svih SQL Servera u organizaciji, vrši provjeru definirane razine sigurnosti za zaštitu od upada, identificira najčešće sigurnosne ranjivosti te daje izvještaj o rizicima u kategorijama visoki rizik, srednji rizik ili nizak rizik.
- Tko može pristupiti podacima? – omogućuje otkrivanje svih prava pristupa na SQL Server i Azure SQL bazama podataka. pregled i analizu svih SQL Server objekata od razine servera do razine uloga, pregled svih sigurnosnih svojstava i dopuštenja za sve objekte te povijesni pregled audita i usporedba stanja (traženje promjena).
- Kako vidjeti koja su pravila ponašanja na serveru? – 80+ provjera ponašanja kroz 7 kategorija, import predložaka pravila ponašanja na temelju preporuka autoriteta kao što su DISA SRR, CIS i SNAC, i dr.
- Brzi i pregledni izvještaji – prijave na više servera, svi serveri na koje je pristupio određeni korisnik, slabosti servera, prava pristupa, uloge na bazama podataka i dr, vremenska usporedba izvještaja i usporedba s predefiniranim modelom.
SQL Secure time direktno pomaže u zadovoljenju zahtjeva GDPR-a „Data Protection by Design and Default”, „Security of Processing” i „Data Protection Impact Assessment”.
No ukoliko usprkos svih poduzetih mjera zaštite ipak dođe do upada u bazu podataka i pokušaja promjene, tada na scenu stupa alat IDERA SQL Compliance Manager koji nam pomaže kako bi otkrili sljedeće:
- Tko je radio s podacima i kojim točno podacima?
- Pruža nam dnevnik aktivnosti za forenzičku analizu incidenta.
- Omogućuje 24/7 praćenja svih aktivnosti nad bazama podataka.
Ovaj alat radi centralizirani audit svih SQL Server-a I baza podataka, praćenje svih aktivnosti korisnika I upozorava na promjene podataka u stvarnom vremenu. Definirani alarmi se oglašavaju prilikom pristupa osjetljivim podacima, a omogućeno je i praćenje trendova aktivnosti korisnika. Alat daje informacije ne samo koji je korisnik pristupio osobnim (ili bilo kojim drugim podacima na serveru), već točne informacije o načinu pristupa (koje komande su izvršene) te kako su podaci izgledali prije i nakon pristupanja, čime je znatno olakšana forenzika u slučaju incidenta.
SQL Compliance Manager nudi također automatsko stvaranje izvještaja koji udovoljavaju zahtjevima HIPAA, HITECH and PCI DSS I dr. regulativa, te nudi 25 gotovih predložaka audita uz stalno proširenje istih. Time je omogućeno zadovoljenje zahtjeva uredbe „Notification of Personal Data Breach to the Supervisory Authority”, „Records of Processing Activities”, kao i „Data Protection Impact Assessment”.
Oba ova alat mogu se preuzeti sa stranica proizvođača www.idera.com i potpuno besplatno isprobati. Sve dodatne informacije mogu se dobiti kod regionalnog distributera, tvrtke Konto d.o.o na adresi idera@konto.hr
Slajdovi s predavanja i prospekti koji su se mogli uzeti:
KUZMINSKI ITPro Opasnost od gubitka podataka – upravljanje incidentima
SQL compliance manager datasheet_WEB