Video


Jak zapewnić aplikacji ciągłe cyberbezpieczeństwo i zgodność z RODO?

Opublikowano: 12-07-2019 przez Marcin Michalski

Kategoria: cyberbezpieczeństwo | rodo |

Lemlock Lemlock logo

Hakerzy stale szukają luk w systemach, aby dokonać dewastującego ataku. Przeczytaj o zapewnianiu ciągłego bezpieczeństwa aplikacji i zgodności z RODO, aby mieć pewność, że Twoja firma jest bezpieczna.

Z artykułu dowiesz się:

  • na których obszarach z zakresu cyberbezpieczeństwa powinna skupić się Twoja firma,
  • w jaki sposób możesz uniknąć lub zminimalizować ryzyko w biznesie,
  • jak zapewnić bezpieczeństwo swojej aplikacji czy systemom,
  • czym jest usługa ciągłego testowania bezpieczeństwa (z ang. continuous pentesting) i dlaczego może to mieć dla Ciebie kluczowe znaczenie.

Prowadząc biznes czy firmę w XXI wieku, stajesz się osobą bardziej świadomą powstających technologii. Jeśli jesteś w trakcie transformacji cyfrowej, gdyż tworzysz aplikację webową/mobilną albo udoskonalasz tę istniejącą, możesz sobie zdać sprawę (lub nie), że przy tak wielkich i licznych możliwościach, jakie przynoszą nowe technologie dla Twojego biznesu, przynoszą one również ryzyko, z którym trzeba się zmierzyć… Ataki cybernetyczne i kwestie związane ze zgodnością firmy z RODO mogą być ogromnym problemem współczesnych produktów cyfrowych takich jak aplikacje webowe lub mobilne, platformy SaaS, IoT. I szkoda czasu na snucie przypuszczeń, bo tak naprawdę jest.

Bezpieczeństwo małych, średnich i dużych firm

Średnio co 39 sekund następuje atak hakerski. Co więcej, 43% cyberataków przeprowadza się na małe firmy, a zespół ekspertów Lemlock - firmy ds. cyberbezpieczeństwa - to potwierdza. Zostało zaobserwowane, jak nie tylko duże firmy (np. Maersk czy Renault), ale także małe biznesy (t.j. atak na Green Ford Sales, salon samochodowy w Kansa lub or atak na Wright Hotels, firmę deweloperską) stają się celem cyberprzestępców. Takie ataki hakerskie są druzgocące dla firmy, niezależnie od jej wielkości, wpływów w branży czy posiadanej reputacji. Nie ma również znaczenia to, czy firma pochodzi z sektora logistycznego, finansowego czy e-randkowego, ponieważ każda branża związana jest z pieniędzmi, a więc z korzyściami finansowymi, które haker może uzyskać, wykorzystując luki w systemach.

Co więcej, wraz z pojawieniem się RODO firmy muszą zmierzyć się z kwestią związaną z zachowaniem właściwej dbałości o prywatność swoich użytkowników. W ostatnim czasie firma Google była zmuszona zapłacić grzywnę w wysokości 50 mln EUR za niewystarczająco skrupulatne udostępnienie swoim użytkownikom informacji, w jaki sposób gromadzone są ich dane pomiędzy usługami. Jak wiadomo, Google to duży gracz na rynku i wydawałoby się, że jest w stanie odpowiednio chronić posiadane zasoby lub systemy zarówno przed podejrzanymi i przestępczymi działaniami, jak i przed nieodpowiedzialnym zarządzaniem danymi, naruszeniem danych czy nieprzestrzeganiem przepisów RODO. Jak się okazało, pieniądze szczęścia nie dają i nawet Google padło ofiarą niechlujnej troski o prywatność użytkowników.

Cyberbezpieczeństwo w tworzeniu aplikacji

Warto zadać sobie tutaj bardzo ważne pytanie: w jaki sposób można uniknąć lub przynajmniej zminimalizować ryzyko tego, że system zostanie zhakowany? I kolejne: czy jesteś w stanie właściwie zadbać o prywatność użytkowników? Aby odpowiedzieć na to pytanie, warto wyobrazić sobie następującą sytuację i przy okazji zadać sobie pytanie: co zrobisz, jeśli wybierasz się na długie wakacje na Wyspy Kanaryjskie, a nie chcesz, żeby ktokolwiek włamał się do Twojego domu, gdy już go opuścisz? Najprostsza z odpowiedzi brzmi: należy jeszcze raz udać się do domu i dokładnie sprawdzić, czy wszystkie okna (nie wspominając o drzwiach...) są zamknięte.

To była tylko metafora, aby Ci uświadomić, że to samo da się zrobić z Twoimi aplikacjami. W szybki sposób możesz sprawdzić, czy Twoje aplikacje webowe lub aplikacje mobilne są prawidłowo zabezpieczone, przeprowadzając audyt bezpieczeństwa znany również jako test penetracyjny lub pentest). Taki audyt bezpieczeństwa to metoda weryfikacji, która opiera się na przeprowadzaniu rzeczywistych cyberataków przez wyspecjalizowaną firmę ds. cyberbezpieczeństwa lub przez wyspecjalizowaną agencją. W ten sposób możesz dowiedzieć się, jakie luki czy słabości posiada Twój system IT i jak je naprawić. Wracając do przykładu z domem, prosząc o wsparcie firmę zajmującą się cyberbezpieczeństwem, to analogiczna sytuacja do tej, gdy znajdujesz się już w samochodzie i dosłownie przed wyruszeniem na upragnione wakacje pytasz żonę lub kogokolwiek z członków rodziny, którzy właśnie wychodzą z domu - „Czy możesz sprawdzić, czy w domu zostały zamknięte wszystkie okna?”.

I teraz skoro wiesz, że można sprawdzić, czy system IT jest prawidłowo zabezpieczony przed atakami hakerskimi, prawdopodobnie zastanawiasz się, czy można również zdobyć informacje o stopniu zapewniania prywatności swoim użytkownikom. Oczywiście, że da się to zweryfikować. Niektóre agencje ds. cyberbezpieczeństwa świadczą usługi, które umożliwiają sprawdzenie, czy architektura systemu, bazy danych, serwery, kopie zapasowe itp. spełniają wytyczne RODO, takie jak bezpieczeństwo w fazie projektowania (z ang. Privacy by design), domyślna ochrona danych (z ang. Privacy by default) lub, czy zapewniają inne prawa podmiotów. Ale co, jeśli jesteś w trakcie procesu tworzenia aplikacji webowej lub mobilnej?

Jak dodawać nowe funkcje do aplikacji w sposób bezpieczny?

Powróćmy ponownie do metafory z wakacjami i domem. A zatem sprawdzasz, czy wszystkie drzwi i okna są zamknięte i następnie z czystym sumieniem możesz udać się na wymarzone wakacje. Ale co, jeśli podczas wakacji został zlecony remont Twojej łazienki? Ludzie chętniej decydują się na takie usługi właśnie wtedy, gdy są poza domem. Więc wyobraź sobie teraz, że skorzystałeś/-aś z okazji, aby wykonać remont, ale wciąż zastanawiasz się, czy po tym, jak pracownicy zakończą pracę będą pamiętać o zamknięciu wszystkich drzwi i okien w Twoim domu. Nie masz tej pewności, dlatego pytasz swojego sąsiada, czy może sprawdzać, czy wszystko jest odpowiednio zamknięte, gdy pracownicy opuszczają Twój dom.

Audyt bezpieczeństwa i audyt zgodności z RODO

Teraz przyrównajmy naszą historię z domem do sytuacji z Twoją aplikacją. Powiedzmy, że chcesz upublicznić i oddać swój produkt do użytku. Aby to zrobić w sposób odpowiedzialny oraz bezpieczny, warto poprosić firmę ds. cyberbezpieczeństwa o zweryfikowanie zarówno poziomu ochrony, jak i zgodności aplikacji z RODO, aby uniknąć nieprzyjemnych sytuacji w przyszłości. Taka firma dostarczy Ci raporty zawierające wszystkie rzeczy, które musisz wykonać, aby zwiększyć poziom bezpieczeństwa aplikacji. Z pewnością zarekomenduje ona powtórzenie audytu systemu po 6 lub 12 miesiącach (w zależności od rodzaju). A zatem, zostały naprawione wszystkie problemy uwzględnione w raportach i możesz spać spokojnie, ponieważ na dłuższą chwilę aspekt bezpieczeństwa Twojej aplikacji został całkowicie rozwiązany.

Continuous Integration i Continuous Delivery w tworzeniu aplikacji

Bardzo często zdarza się, że podczas procesu tworzenia aplikacji została ona już udostępniona publicznie na długo przed jej rzeczywistym ukończeniem, a co więcej - masz w planach dodać do niej kolejne, nowe funkcje! Jest to powszechny scenariusz, zwłaszcza jeśli weźmiesz pod uwagę stosowane podejścia Ciągłej Integracji (Continuous Integration), Ciągłego Dostarczania (Continuous Delivery) i wykonywanie projektów w metodologii scrum, gdzie aplikacje są rozwijane w przy zastosowaniu iteracji. Takie podejście pozwala zminimalizować ryzyko niepowodzenia i lepiej dostosować aplikację do użytkowników końcowych, a także umożliwia efektywniejsze wprowadzanie do niej nowych funkcji. Nowe funkcje, ze względu na dynamikę ich wprowadzania, często nie są uwzględniane podczas audytu bezpieczeństwa, a tym samym stanowią potencjalne zagrożenie.

Znaczenie usługi ciągłego bezpieczeństwa w tworzeniu aplikacji

Więc może istnieje prostsze rozwiązanie. „Jak mogę znaleźć „sąsiada”, który zna mój dom i może dla mnie szybko sprawdzić stan bezpieczeństwa?” Znaczy… „Jak mogę znaleźć firmę, która zadba o bezpieczeństwo mojej aplikacji w sposób ciągły, zważywszy na to, że wciąż jest ona w fazie rozwoju?

Zapytaj firmę ds. cyberbezpieczeństwa, z którą pracujesz, czy może udzielić Ci wsparcia w sposób nieustanny. W tym momencie sugerowana jest coraz popularniejsza usługa continuous pentesting i ciągłej weryfikacji zgodności z RODO. Jeśli wspomniana firma przeprowadza dla Twojej aplikacji tę usługę, to oznacza, że dobrze zna Twój system i może skupić się na nowych funkcjach. Co więcej, najprawdopodobniej zostały przez nią przygotowane pewne skrypty podczas wykonywania wstępnego audytu bezpieczeństwa, aby móc szybciej zweryfikować, czy nowe funkcjonalności wpływają w jakiś sposób na bezpieczeństwo tych istniejących (tak zwane testy regresywne). Ponadto firma może dostarczyć zespołowi developerów rekomendacje i poinstruować ich, jak w bezpieczny sposób dodać nową funkcjonalność do aplikacji.

Czy warto nieustannie sprawdzać bezpieczeństwo systemu?

Usługa continuous pentesting umożliwia w szybki i zwinny sposób zapewnić bezpieczeństwo Twojej aplikacji, a owy partner ds. cyberbezpieczeństwa może stać się integralną częścią Twojego zespołu. Omawiana usługa pozwala również na obniżenie kosztów, ponieważ nie ma potrzeby przeprowadzać złożonych i czasochłonnych audytów bezpieczeństwa za każdym razem, gdy wypuszczasz nową wersję aplikacji. Podsumowując, w sposób ciągły możesz stawiać czoło wyzwaniom związanym z cyberbezpieczeństwem i RODO.

Kwestii „ciągłego bezpieczeństwa” nie należy lekceważyć, zwłaszcza, jeżeli aplikacja może ulegać dynamicznym zmianom w miarę potrzeb naszych użytkowników. Hakerzy również pozostają aktywni; wciąż poszukują nowych luk w systemach. Dlatego zawsze warto mieć ciągłe wsparcie firmy ds. cyberbezpieczeństwa lub pozostać w kontakcie z „sąsiadem”, który nie pozwoli złodziejom włamać się do Twojego domu. I tym sposobem będziesz mógł/-a spokojnie odpocząć na swoich wakacjach.

Lemlock ebook. Poradnik ekspercki: Trzy podejścia do cyberbezpieczeństwa
Udostępnij
CZYTAJ WIĘCEJ:
Przygotowanie do RODO krok po kroku
RODO

Przygotowanie do RODO krok po kroku - checklista
Ogólny wygląd Rozporządzenia oraz najczęściej poruszane zagadnienia w jego ramach
RODO

Ogólny wygląd Rozporządzenia oraz najczęściej poruszane zagadnienia w jego ramach
Jak doszło do wprowadzenia RODO? Fakty
RODO

Jak doszło do wprowadzenia RODO? Fakty.
Interesuje Cię kompleksowe rozwiązanie,
związane z bezpieczeństwem gromadzonych przez Ciebie danych?
Zgoda na  przetwarzanie danych w celu kontaktu
Potwierdzam, że zapoznałem/am się z  klauzulą informacyjną Sagiton Sp. z o.o.

Niniejszym wyrażam zgodę na przetwarzanie moich danych osobowych przez Administratora Danych Osobowych (dalej: „ADO”) – Sagiton Sp. z o.o. ul. Fabryczna 19, 53-609 Wrocław, w zakresie: imię i nazwisko, adres email lub telefon, w celach sprzedaży produktów i usług Sagiton Sp. z o.o. oraz w celu przesłania do mnie informacji zwrotnej i nawiązania ze mną kontaktu przez Sagiton Sp. z o.o.

Jednocześnie przyjmuję do wiadomości, że: w każdej chwili mogę zażądać usunięcia moich danych osobowych z bazy ADO Sagiton Sp. z o.o., poprzez wysłanie na adres poczty elektronicznej [email protected]. lub na piśmie, na adres Sagiton Sp. z o.o., ul. Fabryczna 19, 53-609 Wrocław, oświadczenia zawierającego stosowne żądanie co skutkować będzie usunięciem moich danych osobowych z bazy danych ADO Sagiton Sp. z o.o.; mam prawo dostępu do treści swoich danych; podanie moich danych jest dobrowolne, aczkolwiek odmowa ich podania jest równoznaczna z nieotrzymywaniem informacji dotyczących sprzedaży produktów i usług Sagiton Sp. z o.o., a także z nieotrzymaniem informacji zwrotnej i nawiązaniem ze mną kontaktu przez Sagiton Sp. z o.o.

Zgodnie z art. 13 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016r., (RODO), informujemy, iż administratorem Pana/Pani danych osobowych jest Sagiton Sp. z o.o. z siedzibą przy ul. Fabrycznej 19, 53-609 Wrocław, e-mail: [email protected].

Pana/Pani dane osobowe przetwarzane będą w zakresie imię i nazwisko, adres email i/lub numer telefonu w celu odpowiedzi na Pana/Pani zapytanie/prośbę o kontakt i wystosowanie informacji zwrotnej– na podstawie art. 6 ust. 1 lit a RODO tj. zgody na przetwarzanie danych osobowych.

Administrator danych informuje, że Pana/Pani dane osobowe nie będą udostępniane podmiotom trzecim.

Pana/Pani dane nie będą przekazywane poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowych.

Pana/Pani dane osobowe będą przetwarzane do wycofania przez Pana/Panią zgody na przetwarzanie danych a także w przypadku ustania celów przetwarzania tych danych.

Ma Pan/Pani prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia oraz prawo do wniesienia sprzeciwu.

W przypadku wyrażenia zgody ma Pan/Pani prawo wycofania zgody w dowolnym momencie. Skorzystanie z prawa do wycofania zgody nie ma wpływu na przetwarzanie, które miało miejsce do momentu wycofania zgody.

Przysługuje Panu/Pani prawo do wniesienia skargi do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

Podanie przez Pana/Panią danych osobowych jest warunkiem nawiązania z Panem/Panią kontaktu przez Sagiton Sp. z o.o. z siedziba przy ul. Fabrycznej 19, 53-609 Wrocław. W przypadku niepodania danych osobowych, Sagiton Sp. z o.o., nie będzie w stanie nawiązać z Panem/Panią kontaktu.

Administrator Danych Sagiton Sp. z o.o. informuje, iż nie będzie wykorzystywał Pana/Pani danych osobowych do zautomatyzowanego podejmowania decyzji, które opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Pana/Pani skutki prawne lub w podobny sposób istotnie na Pana/Panią wpływa.

Pozostańmy w kontakcie: