A jelen üzleti környezetben, minden egyes adat létrehozásával a cégek értéket is teremtenek, melyek jelentősége sokkal fontosabb, mint valaha, így elengedhetetlen, hogy megvédjük azokat. Az adatok nyilvánvalóan létfontosságú üzleti eszközök, amelyet védeni kell, ezért a biztonsági elemzők teljes körű védelmi megoldásokat javasolnak, amelyek mind szoftveres, mind hardveres titkosítást tartalmaznak. Az azonnali elérés és a maximális tárolási teljesítmény együtt jár azzal is, hogy az üzleti adatok minden egyes bitje titkosítva legyen.
A legutóbbi nagy horderejű tömeges adatvesztések, melyek például az Equifax és a Yahoo esetében történtek, a kiberbiztonságot, mint alapvető elvárást. A GDPR azt jelenti, hogy a biztonságra és a megfelelésre vonatkozó kemény Európai Uniós (EU) szabványok is normává válnak az Egyesült Államokban és világszerte. Az elszámoltathatóságra nagyobb hangsúlyt fektetnek, a meghajtó szintű titkosítás a technológiák egyike, amelyekkel megfelelhetnek ezeknek az irányelveknek.
Miben jelent újdonságot a GPDR?
A GDPR az egyik legjelentősebb változás az adatvédelem világában, mióta számítástechnika létezik. A törvény felismerte, hogy az elmúlt 20 évben, az IT technológia jelentős fejlődést könyvelhetett el, ráadásul az általános felhasználók adataikat számos cégnek átadták. Tehát a cél kettős, elsősorban az egyén védelemhez való jogának fenntartása, valamint az adatalapú gazdaság fejlesztése anélkül, hogy az megzavarja az innovációt.
Hatáskör
A GDPR az EU-ban székhellyel rendelkező és a világ bármely részén működő szervezetre vonatkozik, amely árut vagy szolgáltatásokat kínál, vagy az EU-ban élő emberek viselkedését követi. Az, hogy valaki állampolgársággal vagy a rezidens státusszal rendelkezik irreleváns. A GDPR közvetlenül kötelezi a szolgáltatókat (úgynevezett processzorokat) a törvény betartására. Ezenkívül a személyes adatok európai koncepciója szélesebb körben gyűjti az adatokat, mint az USA személyazonosításra alkalmas koncepciója (PII) és magában foglalja az online azonosítókat, például az IP-címeket is.
Elszámoltathatóság
Ez a GDPR egyik legfontosabb vezérszála. Az elszámoltathatóság számos, a személyes adatokért felelős hatóság felügyeli. Nem elegendő, ha a szervezetek egyszerűen megfelelnek, bizonyítaniuk kell a GDPR-nek való megfelelősségüket. A szervezeteknek nyilvántartást kell, hogy vezessenek, rögzíteniük és igazolniuk kell döntéseiket, az egyén hozzájárulását és bizonyítaniuk kell azt bármely európai hatóságnak.
Biztonság
A GDPR megköveteli, hogy a szervezetek „megfelelő technikai és szervezeti intézkedéseket” tegyenek a személyes adatok védelmére. A technikai intézkedések közé tartoznak a meghajtó alapú titkosítás, a jelszavak, a hozzáférés-ellenőrzések, a kétfaktoros hitelesítés stb. A szervezeti intézkedések közé tartozik az információkezelési politika, a személyzet képzése és az információ irányítási struktúrája. A megfelelő beállítások a körülményektől függenek: a feldolgozandó adatok típusa, annak érzékenysége és az adatszivárgás általános kockázata.
Adatvesztés esetén történő értesítés kötelezettsége
Az adatok feltörése, a véletlen elvesztés vagy a személyes adatok megosztása esetén van tájékoztatási kötelezettség. Ennek oka lehet a hacker támadás, a titkosított merevlemez elvesztése vagy a régi rekordok biztonságos eltávolítása. A szabályozó szervezeteknek 72 órán belül jelentést kell tenniük a hatóságoknak, és értseíteniük kell az érintett személyeket. A processzorszervezeteknek a lehető leghamarabb tájékoztatniuk kell ügyfeleiket.
Bírságok
A GDPR egyik célja az, hogy az adatvédelem / biztonságot a legfelsőbb szintre emeljék. Ennek eredményeként a bírságok jelentősen nőttek a globális éves bruttó forgalom tekintetében, így az elérheti annak 4%-át, vagy 20 millió Eurót. A büntetési tétel kiszabásánál a nagyobbat kell alapul venni. Az EU hatóságai is jelentősen szélesebb hatáskörökkel rendelkeznek a nyomozás és szankcionálás terén is.
Az adatbiztonságnak és titkosításnak megfelelő eszközök
A Seagate hardveres titkosítással rendelkező meghajtói (SED-ek) a rajtuk lévő összes adatot biztonságosan tárolják, mivel önmagán a meghajtón található a titkosítókulcs. A meghajtó tárolt adatok mindegyike titkosítva kerül letárolásra. A meghajtó lecserélése vagy helyreállítása esetén a meghajtó tulajdonosa parancsot küld a SED számára az azonnali biztonsági törlés (ISE) végrehajtására. Az ISE a SED titkosítási törlési képességét használja az adat titkosítási kulcs megváltoztatására. Az adatok olvashatatlanná válnak és nem lehet visszanyerni azokat. A titkosítást és a pszeudoanonimizációt a GDPR határozza meg, melyet szövegében 20 alkalommal említ meg. Noha nem feltétlenül szükséges a titkosítás, azonban hatékony eszköznek bizonyult, az ezt a technológiát használó szervezetek amellett, hogy az adatokat nagyobb biztonságban tudhatják, a GDPR alacsonyabb követelményeket is támaszt. Ugyanakkor nem határozza meg egyértelműen, hogy milyen technológiákat kell, hogy használjon a szervezet a védelem érdekében.
A Seagate SED meghajtói az adatbiztonság terén már többször bizonyítottak. Ugyanakkor a vállalat fontosnak tartja, hogy további garanciákat nyújtson ügyfeleinek, így a termékkínálatban megtalálható a speciális, minősített megsemmisítés lehetősége (ebben az esetben az ügyfél végig követheti, ahogy megsemmisítik a merevlemezt), valamint, hogy nem is kell visszaadni garanciális igényesetén a tönkrement eszközt.
A Seagate Exos SED lemezei az alábbi linken tekinthetők meg:
https://www.seagate.com/gb/en/enterprise-storage/enterprise-security/
A Seagate adatbiztonsági tájékoztatója megtekinthető itt:
https://www.seagate.com/www-content/product-content/enterprise/files/Seagate-Secure-Brochure.pdf
A GDPR-ral kapcsolatos pontos leírások, az alábbi linken érhetők el:
http://www.seagategov.com/seagategov-content/drive-level-security/files/gdpr-encryption-white-papers.pdf