Open in app

Sign in

Write

Sign in

Zabezpečení dle GDPR z pohledu správce IT školského zařízení zájmového vzdělávání

Marek Malík
Letní škola 2018
Published in
7 min readJun 8, 2018

--

Dne 25. května vešlo v platnost Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR), která nařizuje zvýšenou bezpečnost osobních dat a rovněž zařízení, která osobní data obsahují nebo se k nim lze přes tyto zařízení dostat.

Nařízení GDPR se týká všech subjektů a lidí, kteří nějakým způsobem zpracovávají osobní data, od živnostníků, přes spolky, obce, firmy až po státní správu. Týká se tedy i knihoven, škol a školských zařízení zájmového vzdělávání.

Jsem toho názoru, že zabezpečení dat a zařízení je potřeba od prvního momentu, kdy člověk takové zařízení začne používat. Bez ohledu na nařízení EU. S bezpečnostní politikou tedy souhlasím a podporuji ji.

Po internetu ale kolují různé fámy o tom, jak přehnané nároky na bezpečnost jsou vyžadovány i po těch nejmenších organizacích. Možná by se to dalo nazvat jakousi formou Fake News nebo spíše mediální bublinou. Rozhodně si na tom “mastí kapsy” spousta “příživníků”, kteří vidí příležitost se tímto způsobem obohatit a snaží se v lidech vyvolat strach, obavy a zmanipulovat je k uzavření obchodu pod tímto nátlakem. Proto je třeba abychom byli velmi obezřetní, abychom nenaletěli.

Strašit takovými sankcemi menší firmu nebo školu je nesmysl, stejně jako vydávání horentních částek, podstatně převyšujících výši pokut Úřadem pro ochranu osobních údajů ukládaných, za externí audity soulad s nařízením nezaručujícími. Případné sankce za porušení povinností obecného nařízení budou jako dosud přiměřené a v žádném případě nemohou být likvidační

— Úřad pro ochranu osobních údajů, zdroj: https://www.uoou.cz/gdpr-strucne/ds-4843/p1=4843

V tomto příspěvku se pokusím popsat adekvátní formu zabezpečení pro malé organizace, jako jsou školská zařízení zájmového vzdělávání a jím podobná. Nejedná se však o kompletní návod, ale spíše obecná doporučení, která lze jednoduše zavést do praxe a začít používat téměř okamžitě a zdarma.

Zabezpečení využívá principu kladení co nejvíce překážek před proniknutím k osobním údajům. Představte si strukturu cibule, stejným způsobem je potřeba přistupovat k zabezpečení.

Je třeba ještě dodat, že situace v zařízeních jako jsou střediska volného času, dětské domovy, obce a další malé organizace nedisponují serverovou částí sítě. Každý počítač je tedy v lokální síti jako samostatná jednotka a nefunguje na něm jeho centrální správa. S přibývajícím počtem zařízení tedy roste náročnost údržby počítačů. Z toho je nutné vycházet při volbě vhodné metody zabezpečení.

Nejdříve je však nutné udělat si přehledovou tabulku s tím, jaké osobní údaje shromažďuji, kde jsou uloženy, kdo k nim má mít přístup, atd.

Zabezpečení osobních počítačů

Jedná se pravděpodobně o první a nejčastější místo, kde mohou být osobní data uchovávány. Jedná se ale také o pevné stanice, které jsou nejčastěji v uzamykatelné kanceláři, výjimkou není ani přítomnost zabezpečovací techniky v podobně alarmu. To jejich celkovému zabezpečení napomáhá.

Přístup do počítače a odhlášení

Je tedy nezbytné nastavit silné heslo pro přihlášení do počítače, které bude nutné zadat po každém jeho spuštění. Silné heslo je kombinace alespoň 8 malých a velkých písmen, čísel a symbolů. Vyhnul bych se evidentním posloupnostem typu 123, ABC, atd.

Dále je vhodné nastavit, aby se počítač automaticky zamlknul při nečinnosti nebo pokud se vzdálíme z jeho dosahu. Toho lze dosáhnout velmi jednoduše, dle návodu na stránkách Microsoftu, zadáním pevného intervalu nečinnosti (doporučuji nečinnost max. 10 min.), případně je ve Windows 10 možné nastavit také propojení přes Bluetooth s mobilním telefonem, který když se vzdálí, tak počítač bude automaticky uzamčen.

Dalo by se uvažovat i o zabezpečení ve smyslu, že nebudeme přihlášení k administrátorskému účtu po celou dobu naší práce, ale tento přístup budeme využívat jen v případě nejnutnější potřeby (instalace aktualizací či programů). Smysl to dává především u menšího počtu zařízení, aby nedocházelo k neúměrné náročnosti při správě počítače. Aktualizace jsou vydávány prakticky denně a pokud je nebudeme včas instalovat, dochází k bezpečnostnímu riziku. Tuto volbu tedy je nutné dobře zvážit.

Zabezpečení notebooků

Zde je zabezpečení trošku problematičtější, protože lze počítač jednoduše přenášet a proto je vystaven i většímu riziku odcizení. Zde by dávalo smysl, naproti od osobního počítače, nastavení šifrování celého harddisku a nastavení kratšího limitu automatického uzamčení profilu (nečinnost max. 5 minut).

Ukládání osobních dat v počítači

Velmi důležité je zvážit, jaká data potřebuji mít trvale uložena v počítači — čím méně, tím lépe. Osobně bych doporučoval využít cloudových služeb pro ukládání osobních údajů. Řešením může být Microsoft One Drive, Dropbox nebo Google Drive. Je však nutné ověřit ve smluvních podmínkách jejich stanovisko k těmto případům.

Google to vyřešil následovně, je však nutné potvrdit nové smluvní podmínky a postupovat dle video návodu níže.

G Suite pro školy

Vzhledem k tomu, že školská zařízení mají zdarma k dispozici firemní služby G Suite, kterého je součástí i Google Drive s kapacitou 30 GB — zvolil bych tuto variantu. Výhodou je pak propojení Drive s dalšími službami Google (Gmail, Kalendář, atd.).

Všechny osobní data bych přesunul do cloudu, kde je možné spravovat oprávnění jednotlivých uživatelů a jejich přístup ke konkrétním typům souborů. Autor a administrátor je schopný oprávnění libovolně přidávat a odebírat.

Pozor! Není vhodné instalovat do počítače synchronizačního klienta. Je nutné pracovat pouze ve webovém rozhraní. V případě zavirování počítače by se virus mohl snadno rozšířit i na další počítače. To stejné platí i v případě odcizení.

Užitečné je i použití Google Docs (Dokumenty), protože není vhodné do počítače stahovat kopie souborů s osobními údaji. Ty lze v případě zcizení počítače poměrně jednoduše obnovit i po jejich smazání z koše. Google Docs totiž umožňují kolaborativní práci s dokumenty přímo ve webovém prohlížeči (ideálně Chrome) aniž by bylo nutné cokoliv instalovat nebo stahovat do počítače. Služba je navíc v balíku zdarma a proto je to i řešení, jak se vyhnout kompatibilitě formátování mezi formáty Open Office a Microsoft Office.

Zabezpečení přístupu do účtu G Suite

Všechny údaje, informace, emaily a další budou dostupné pouze po přihlášení k účtu. Příjemná a zároveň riziková je možnost přihlášení do účtu odkudkoliv (z domu, z kavárny, z knihovny, atd.) a proto se musíme velmi dobře pojistit, aby byl účet dostatečně zabezpečený.

Pro přihlášení je tedy nezbytné používat dvoufázové ověření pomocí druhého zařízení (telefonu), kam bude buď zaslán ověřovací kód (podobně jako u banky), případně budete vyzváni k potvrzení přihlášení stiskem tlačítka OK, nebo kliknutím na stejné dvouciferné číslo, jako je na obrazovce.

V administraci je také dobré nastavit maximální délku relace na max. 8 hodin (pracovní doba). Po tomto čase budete znovu vyzváni k opětovnému přihlášení. Zabezpečení ve veřejných prostorách výrazně pomůže přihlašování se k účtu pouze v anonymním režimu, který neukládá žádná hesla ani přihlášené relace a po zavření anonymního okna (i bez odhlášení) nebude možné se k účtu bez přihlášení znovu dostat. Nemusíte tedy myslet na odhlášení, ale dát si pozor na spouštění anonymního okna.

Správa hesel

Častou otázkou je, jakým způsobem zabezpečit hesla. Zcela běžná praxe je taková, že si lidé píší svá hesla na nástěnky, do kalendáře a všude možně kolem sebe. Stačí se pak pouze rozhlédnout a okamžitě máme přístup volný. To také z důvodu, že se dá předpokládat, že pokud si heslo nepamatujeme a musíme si ho psát, pravděpodobně si chceme ušetřit práci s hesly a používáme to stejné téměř všude.

Osobně doporučuji používat manažera hesel, mým oblíbeným je multiplatformní Enpass, který chrání hesla díky 256-bitovému AES šifrování. Využívá se pak pouze jedno hlavní heslo tzv. “Master Key”, které je silné a má cca alespoň 12–15 znaků v kombinaci velkých malých písmen, čísel, symbolů, diakritiky, atd. Tímto heslem se pak jednoduše dostanete ke všem ostatním heslům, které si tedy nemusíte pamatovat. Do internetového prohlížeče si nainstalujete rozšíření, které bude za vás hesla samo vyplňovat na stránkách, které jste si uložili. Použitelnost je tak velmi jednoduchá. Na mobilním telefonu velmi oceníte možnost zabezpečení pomocí čtečky otisku prstu a žádné heslo již zadávat nemusíte.

Pro vyznavače tužky a papíru je možnost si hesla zaznamenat i na papír, ten však musí být trvale uložený v uzamykatelné přihrádce stolu (kde nebudou klíče v zámku) a tyto klíče budete střežit jak oko v hlavě.

Zabezpečení mobilních telefonů

Mobilní telefony jsou také velmi častým problémem a bezpečnostním rizikem. Je proto důležité mobilní telefon zabezpečit nejen PINem na SIM, ale také PINem do telefonu, který se bude chovat velmi podobně, jako je tomu na počítači. PIN (nebo případně alespoň gesto) bude potřeba zadat po určitém intervalu pro odemčení telefonu. Pokud máte telefon se čtečkou otisku prstů, je to ideální způsob zabezpečení a rovněž ten nejjednodušší.

Díky G Suite však získáte také možnost vzdáleného smazání účtu Google a osobních dat z telefonu. To je velmi užitečné v případě ztráty zařízení či jeho odcizení. Může k tomu být užitečná i aplikace Google Device Policy, kterou administrátor může vyžadovat nainstalovat po přihlášení ke Google účtu organizace. Dnes již aplikace není pro smazání dat nezbytná, Google to umí udělat i bez ní.

Závěrem

Bezpečnostních prvků, které je potřeba zabezpečit je ještě o něco více. Pokud by se téma líbilo, připravil bych podrobnější přehled.

Lš2018
Barcamp
Příprava

--

--

Marek Malík
Letní škola 2018

Written by Marek Malík

5 Followers
Writer for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams