EU BDAR “pritaikymas prie” Office 365 (dabar jau Microsoft 365)

Pastarosiomis savaitėmis dėl COVID-19 situacijos viso pasaulio mokyklos mažiau ar daugiau pradėjo persikelti į virtualią erdvę. Ir didžiausią grėsmę matau su tomis įstaigomis, kuriuos minimaliai arba visiškai nebuvo tam pasiruošusios. Kodėl? Todėl, kad visas dėmesys yra sutelktas į sistemos, proceso perkėlimą, o pamiršta – apie saugumą. Teko dalyvauti keliose BDAR seminaruose Lietuvoje ir išklausius nemažą dalį pranešėjų susidariau nuomonę, kad BDAR Lietuvoje nuvertinamas ir jo „nemėgsta“. Tačiau visi žinome, kad baimės ateina iš žinių trūkumo. Turiu IT ir teisės išsilavinimą, daugiau kaip 15 metų darbo patirtį IT, daugiau kaip 7 metų darbo patirtį vartotojų teisių ir duomenų apsaugos srityje, todėl man itin lengva būnant DAP (duomenų apsaugos pareigūnas) įvertinti ir pamatyti grėsmes ir kaip IT specialistui, ir kaip teisininkui. Visada būtina matyti bendrą vaizdą. Kadangi dalis švietimo įstaigų persikels į „Microsoft 365“ platformą, nusprendžiau pasidalinti keliomis įžvalgomis ir patarimais, kaip pradėjus naudotis Office 365 aplinka nesusilaukti didelių, tikrai didelių baudų už netinkamą duomenų tvarkymą ar dar baisiau – jų nutekinimą bei neprarasti reputacijos. Jeigu seniau B2B (angl. Business to Business) vienas iš svarbiausių elementų tavo kredito reitingas, dabar labai svarbu ir kaip tu tvarkaisi su duomenimis. Kadangi įmonė/organizacija keisdamasi duomenimis su partneriu, kuris netinkamai juos tvarko, rizikuoja taip pat.

Kas yra BDAR? Kodėl tai svarbu tau?

Pirmasis klausimas, į kurį reikia atsakyti: „Kas yra EU BDAR?“. BDAR reiškia Bendrąjį duomenų apsaugos reglamentą, o tai yra Europos Sąjungos reglamentas, kurio tikslas yra apsaugoti visų EU gyvenančių asmenų duomenis.

Kadangi tai yra reglamentas, reiškia, kad jis yra taikomas nedelsiant ir vykdomas visose valstybėse narėse, nereikalaujant specialių perkeltų nacionalinių įstatymų kiekvienoje valstybės narėje. BDAR pradžia buvo paskelbta 2018 m. gegužės 25 d. Taigi nuo šios datos visi verslai, valstybinės įmonės ir įstaigos visame pasaulyje (ne tik EU), kurie tvarkys bet kurių duomenų subjektų, gyvenančių EU, asmens duomenis turi atitikti GDPR taisykles ir jomis vadovautis. Praktikoje dažnai matau, kad tiek privačios, tiek valstybinės įmonės turi stalčiuje apdulkėjusį įmonės BDAR aprašą, bet praktikoje jo netaiko arba labai paviršutiniškai. Toks požiūris prie nieko gero neprives.

Microsoft 365 ir BDAR

Atsižvelgiant į tai, kad šiais laikais dauguma įmonių turi tam tikrus duomenis ir procesus debesyje, tokiame kaip „Microsoft Office 365“, verta pabandyti išsiaiškinti, ką galima padaryti su Microsoft 365 „Thinking Outside the Box“, atsižvelgiant į BDAR poreikių perspektyvą.

„Microsoft 365“ turi krūvą paslaugų ir įrankių, kurie padeda įmonėms stebėti atitikimą BDAR ir saugumo lygį, stebi įvykius ir užkerta kelią duomenų nutekėjimui. Šioje schemoje naudodami „Microsoft Office 365“ galite rasti naudingiausias paslaugas ir įrankius, suskirstytus pagal kategorijas.

Įrankiai

  • Office 365 Saugumo lygis (score)
  • Duomenų praradimo prevencija (angl. DLP)
  • Office 365 eDiscovery
  • Customer Lockbox

Stebėjimas ir įrašinėjimas

  • Sustiprinta apsauga nuo grėsmių
  • Grėsmių apžvalgos ir stebėjimas
  • Debesijos aplikacijų apsauga
  • Office 365 auditai

Valdymas

  • Sustiprintas duomenų valdymas (angl. ADG)
  • SharePoint svetainės klasifikacija

Raportai

  • Saugumo laikymosi ataskaitos
  • Grėsmių ir atitikimo stebėjimo pultas

Atminkite, kad kai kurioms iš aukščiau nurodytų paslaugų reikalingi specialūs planai (pvz., E3 ar E5) arba SKU (produktų licencijos).

Pvz., su „Microsoft 365 Saugumo lygis“ funkcija, kurią galima rasti „Apsaugos ir atitikties centre“, suteikia galimybę įvertinti, koks jūsų „tenanto“ saugumas, palyginti paslaugų parametrus su „Microsoft“ teikiama pradine padėtimi. Be to, jis suteikia „stepus“, kuriuos galite atlikti norėdami pagerinti savo rezultatą/lygį. Aišku, kad ir koks būtų jūsų rezultatas, nėra jokios garantijos, kad nebūsite pažeisti. Nepaisant to, aukštas įvertinimas leidžia labiau pasitikėti sistemos saugumu, o ir nusikaltėliams sunkiau į tokias sistemas patekti, duomenų nutekėjimo galimybė būna žemesnė.

Paslaugos kaip duomenų praradimo prevencija (DLP) leidžia identifikuoti jautrius/asmeninius duomenis, kai jie siunčiami per „Exchange Online“, „SharePoint Online“ ir „OneDrive for Business“. Taip galite išvengti atsitiktinio keitimosi neskelbtina informacija ir galite padėti vartotojams laikytis duomenų saugumo taisyklių.

Naudodami DLP galite užkirsti kelią vartotojams dalintis tam tikrų kategorijų dokumentais, naudodamiesi turinio taisyklėmis ar etiketėmis, taikomomis turiniui. Jei vartotojas dalijasi slaptu ar įslaptintu turiniu, DLP neleis jam nutekinti ar pasidalinti duomenimis, parodys informacinį pranešimą, paaiškinantį, kodėl veiksmas yra draudžiamas.

„Customer Lockbox“ užtikrina, kad „Microsoft“ inžinieriai negauna prieigos prie kliento turinio be aiškaus kliento sutikimo. Tiesą sakant, visa prieiga gaunama naudojant griežtą prieigos kontrolės technologiją, o „tenanto“ administratoriai gali patvirtinti arba atmesti prieigos prašymą.

„Office 365“ vieninga audito registravimo sistema leidžia administratoriams ieškoti vartotojų veiklos ir įvykių, kurie gali būti naudingi norint stebėti visus įvykius iš BDAR perspektyvos. Pvz., naudodamiesi „Office 365 Unified Audit žurnalu“ galite nustatyti, kas ištrynė failą, kas pasidalino failu su kuo nors kitu ir pan.

Paskutinis, bet ne mažiau svarbus dalykas – „SharePoint Online“ perspektyvoje galite sukonfigūruoti savo „tenantą“ svetainių klasifikavimo palaikymui. Svetainių klasifikacija leidžia jums pritaikyti politikos (policy) lygį kiekvienai svetainei.

Artūras IT|Buddy