Veracomp: GDPR a jak se z něj nezbláznit

Hosty v úvodu přivítal obchodní ředitel Veracompu Lukáš Mirovský, který v prostorách strašnického GreenPointu představil program celého dne. Následně převzal slovo Jakub Císař z advokátní společnosti Novalia. Císař se ve své prezentaci zaměřil zejména na legislativní stránku GDPR. Vysvětlil, že nařízení doplňuje stávající Zákon o ochraně osobních údajů, který bude nadále existovat společně s GDPR. Nařízení GDPR pak definuje, jaké povinnosti plynou pro všechny, kteří se podílejí na zpracování osobních údajů, ale také například rozšiřuje, co všechno je dnes chápáno jako osobní údaj (přibývá např. IP adresa). Jakub Císař se dotkl i tématu pověřence pro ochranu osobních údajů, přičemž zdůraznil, že zavést tuto instituci budou muset jen ty subjekty, jejichž je zpracování osobních údajů hlavní činností. Císař připomněl, že by měly společnosti s příchodem GDPR co nejdříve revidovat, jaké údaje a jak společnost zpracovává a doporučil data důkladně sledovat, aby měla společnost přehled o tom, co se s daty skutečně děje. 

Alois Andrýsek se věnoval v přednášce „LAN je mrtvá“ dopadu GDPR na IT, tedy představil, co je nutné technicky zajistit pro odpovídající úroveň zabezpečení dat. Vyvrátil přitom představu, že společnosti na příchod GDPR postačí standardní vybavení, tedy UTM firewall, certifikáty SSL VPN, špičková ochrana koncových stanic a správa identit. Dotkl se přitom měnící se povahy firemních sítí, které jsou silně ovlivňovány trendem mobility a BYOD. V návaznosti na to Andrýsek upozornil na nutnost důkladného bezpečnostního auditu, což vyzdvihl jako příležitost pro participaci partnera.

„Vy vs internet – Jak chránit, auditovat vnitřní síť a bez čeho to do budoucna už nepůjde“, to vysvětlil ve své přednášce Ondřej Večl, který se věnoval rozmanitosti firemních sítí a s tím rostoucími možnostmi ohrožení. Navázal tak na přednášku svého kolegy, přičemž se soustředil na to, co je nutné v souladu s GDPR pro zabezpečení těchto sítí udělat.

Poté se ke slovu vrátil opět Alois Andrýsek, který v prezentaci „Co oči nevidí, to srdce nebolí – aneb víte co se děje uvnitř LAN?“ řešil, jak zabezpečit středovou síť, ideálně prostřednictvím kombinace behaviorální a signaturové detekce. 

Adam Postl se následně věnoval síťovému monitoringu, zejména technologickým možnostem monitoringu a network packet brokeru, který se používá pro přesměrování síťových toků a je schopen posílat specifické vybrané toky na další bezpečnostní nástroje.

Proč jsou open source systémy vhodné pro nasazení v podnicích a jak jsou na tom z bezpečností, to ve své prezentaci ukázal Radek Langkramer. Zdůraznil přitom, že reakce na chyby a jejich opravy jsou v případě open source systémů rychlejší a pružnější, a to právě díky otevřenosti a přístupnosti. Open source systémy jsou dnes podle Langkramera na takové úrovni, že je jejich použití vhodné i pro podnikové nasazení a na přizpůsobení se požadavkům GDPR.

Možnosti autentizace probral Zdeněk Tlustý. Předmětem jeho prezentace byla nutnost autentizace přístupu do sítě. Zdůraznil také, že jedině prostřednictvím důkladné autentizace s bezpečnou identifikací uživatele lze na síti vytvořit bezpečný prostor.

Odpolední část otevřel Jan Šveňha, který se věnoval nutnému základu důkladné bezpečnosti, tedy zabezpečení koncových bodů. Bezpečnost koncových stanic v pojetí GDPR není ale jen o antiviru. Podle Šveňhy je však ochrana koncových bodů základním kamenem při budování bezpečného prostoru pro pohyb dat. Dotkl se přitom i toho, že GDPR pamatuje i na náhodnou ztrátu či zničení dat, což se týká zejména zařízení, jako jsou notebooky, tablety a telefony, proto s GDPR roste i nutnost důkladného zálohování.

S přednáškou „Nestačí jen věřit. Někdy je třeba i zkontrolovat a doložit“ přešel Jan Ryneš k tématu logů. S GDPR roste potřeba důkladných log management nástrojů, které pomohou udržovat přehled o všech aktivitách v síti. Na Ryneše navázal v podobném duchu Adrián Kocián, jehož přednáška „Když hledáme a nevíme co – Logy na jednom místě“ uzavírala celý seminář.

Kocián se věnoval řešení pro správu logů, jelikož pro potřeby a soulad s GDPR je důležité nejen logy sbírat, ale také uchovávat.

Veracomp seminářem představil GDPR a dílčí aspekty, které bude nutné s blížícím se datem účinnosti nařízení řešit. Z celého dne si pak posluchači odnášeli zajímavý základ pro další zapojení se do příprav na příchod GDPR. Platnost GDPR nabývá 25. května 2018 a na aktivní řešení je nejvyšší čas.