Microsoft 365: Zvládněte GDPR
Pokud ovládnete Microsoft 365, zvládnete i GDPR. Může se to jevit jako marketingová fráze, ale je tomu prostě tak. Kde v lokálních systémech budete až potit krev při jejich ohýbání, změnách a dozoru, v online prostředí to bude víkendová procházka, při které bude potřeba jen trochu více zapojit šedou kůru mozkovou.
Sada služeb a licencí pod značkou Microsoft 365 je totiž stejně jako všechny online služby společnosti Microsoft připravena na GDPR velmi důkladně. Na vás tak zbývá jen jejich správné využití a nastavení. Nastavení, které nejen povýší bezpečnost osobních údajů, ale především neomezí produktivitu uživatelů. Pokud to přirovnám k úkolu spojit dopravní tepnou největší města republiky, máte na výběr dálnici, železniční a letecký koridor s letištěm na každém konci. Tento výběr je na vás. Ale nemusíte řešit specifikace dálničního povrchu a jeho šíře či značení, rozchody kolejí a návěstidla, ani letovou výšku a délku dráhy. Ty jsou dány normou a standardem ve formě jednotlivých plánů (Business, Enterprise E3, E5).
Office 365
Základním prvkem sady Microsoft 365 je zcela logicky sada Office 365. Tedy nám již známé služby jako Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams či pro někoho ještě Skype for Business. Všechny tyto služby mohou ze své podstaty obsahovat osobní údaje. Životopis v příloze doručené pošty, uložený také na web HR oddělení a pak zkopírovaný na prostor vedoucího IT oddělení, zde diskutovaný v týmu. Výplatní pásky, smlouvy, faktury, záznamy o prodeji, kopii dat CRM a mnohé další.
A záleží na každé společnosti, aby zde individuálně zajistila vše důležité z hlediska případného výskytu osobních údajů. Organizačně, technologicky. Samotný Microsoft se z principu ke každé organizaci chová tak, jako by osobní data obsahovala. Chrání proto při tranzici a uložení všechna data stejně. Neurčuje ovšem už, jaké retenční či bezpečnostní politiky přístupu k datům se aplikují. To je totiž právě na samotné organizaci.
Zde se musí rozhodovat o svém chování, ať už se jedná o práva subjektu údajů například na výmaz či aktualizaci údajů, nebo o samotné organizační a technické zpracování takových dat. Někdy tedy bude stačit si říct (a papír snese vše): My životopisy okamžitě mažeme. Jinde jim například vytvoří speciální místo pro uložení v dedikované a správně nastavené knihovně na webu HR, kde nebude povoleno sdílení mimo organizaci. A případný další výskyt podchytí DLP politikou, která na základě klasifikace zamezí sdílení či samotnému výskytu duplicit těchto údajů a automaticky je například po 5 letech odstraní.
Microsoft nám pomocí přednastavených průvodců pomáhá s konfigurací pravidel a dokonce našeptává jejich správné nastavení menším organizacím. Zhodnotit stav a nastavení online prostředí je řádově snazší, než se o totéž pokoušet na lokálních serverech. Už jen nutnost zajistit neměnný audit přístupu! V online prostředí stačí jedno tlačítko a Microsoft garantuje, že IT nedokáže auditní stopu upravit (pouze musí počítat s její stanovenou retenční periodou), ve světě lokálních serverů se musíte připravit na nutnost auditu na straně serveru. A také auditu, zda nikdo neměnil tento audit. A zda osoba, která může upravit ten druhý audit, není stejná osoba, kterou hlídá ten audit první. I proto vznikají řešení jako ATOM, který se snaží pomoci s plněním těchto úloh nad lokálními systémy. Přesto však jednoduchost celého ekosystému za tím ryze cloudovým zaostává.
///tady někde blízko by se měl vyskytnout ten jejich inzerát. Když to dobře půjde. Je to celá A5///
Vypnout sdílení, zavést retenční periody a oprávnění na správné knihovny, nastavit DLP pravidla, naučit se pracovat s vyhledáváním eDiscovery, to vše se dá zvládnout. Protože často pomohou zcela jednoduchá pravidla, například transportní v Exchange Online. Když dorazí do schránky HR e-mail s přílohou obsahující slova jako životopis nebo CV, odpověz automaticky zprávou informující o zpracování a získání souhlasu k těmto datům. Pro další práva můžete využít Activity Hub, který formou aplikace SharePoint umožní sledovat a vést evidenci všech požadavků od subjektů údajů, tedy požadavků na vyhledání, opravu, výmaz a další. A jak se o těchto požadavcích dozvědět? Třeba pomocí formuláře Microsoft Forms vystaveného do Internetu, který automaticky pomocí Microsoft Flow založí onen požadavek. Zjednodušte si život, když to jde.
Obrázek 1 – Volby možnosti sdílení v SharePoint Online pro firemní i soukromý prostor
Poměr organizačních a technologických opatření tady rozhoduje mezi nižšími a vyššími plány. Toto rozhodnutí usnadňuje i samotný Microsoft, který vydal českou příručku konfigurace Office 365 po stránce ochrany osobních údajů. Té se můžete držet a snáze se tak rozhodnout, které technologie a jak použijete. Zpracovány jsou také auditní zprávy a případové studie řešení GDPR a základních agend právě na platformě Office 365.
Windows 10
Nutnou součástí je samozřejmě i klientská licence na nejnovější operační systém ve formě upgrade na edici Pro či Enterprise. Případně rozšířená o sofistikované antivirové řešení a ochranu dat třeba pomocí šifrování BitLocker. Ačkoliv se to nezdá, rok 2020, tedy rok konce podpory Windows 7, se blíží. Co už se zdá o trochu více, je počet hrozeb, který dnes cílí právě na starší Windows 7 jednoduše proto, že je to pro útočníky jednodušší. Moderní operační systém se jim ubrání lépe. Spouští dokument, který vypadá jako Word, na disku soubor .EXE? To by asi dělat neměl. Bude tedy na místě mu to odepřít, nebo aspoň detekovat, že se něco takového dělo.
Správná a důvěryhodná konfigurace klientské stanice pomůže i bezpečnosti dat, ke kterým přistupuje. Proč například povolit soukromý OneDrive, pokud má uživatel přístup k firemnímu OneDrive for Business? Možná proto, že DLP politika zabrání takové tranzici dat. Pokud ano, ponechte jej. Pokud nikoli, vypněte jej jednoduše politikou. A že by disk snad přece jen mohl zašifrovat ransomware? (S Windows Defender krajně nepravděpodobné, rozhodně velmi těžké, ale přeci…) Přesměrujte výchozí uložiště dokumentů do prostředí online, kde můžete data obnovit na kliknutí až 30 dní zpět.
Snižte riziko úniku hesel, ale zvyšte komfort uživatelů s Windows Hello for Business. Usmějte se na počítač místo psaní dlouhého komplexního hesla, které většina řeší každý měsíc jen přidáním nové číslice na konec. Nezamykejte počítač až po 15 minutách nečinnosti, ale ihned, jak se uživatel vzdálí se svým mobilním telefonem, pomocí Dynamic Lock. Všechna tato opatření mohou pomoci minimalizovat riziko spojené s únikem dat.
Sledujte podrobnou telemetrii, co o vás systém zná, a nastavte, co znát nesmí. Využijte ale zároveň tuto telemetrii například pomocí Windows Analytics a vyhodnocujte zdraví lokálních stanic. Že uživatel čeká 10 minut na spuštění Office kvůli starému doplňku pro PDF? Vynásobte si to hodnotou, kterou mohl přinést za poslední měsíce, kdyby nemusel čekáním ztrácet čas.
EM+S
Poslední, ale z pohledu bezpečnosti a GDPR jedna z nejdůležitějších, komponent je pak sada Enterprise Mobility+Security opřená primárně o tři perimetry ochrany. Sada, která spolu funguje výborně jako mušketýři. Jeden za všechny, všichni za jednoho.
Ochrana identity
Na identity se dnes neprávem zapomíná. Ale identita uživatele je to, co získá přístup k počítači, k datům i systému. Identita, ke které často uživatel používá slabé heslo nebo heslo stejné jako do jiné online služby. Ze které mohou uniknout. A kdokoliv je může zneužít. Stejně tak spustit v lokální doméně nástroje jako mimikatz je otázkou pár minut na oblíbeném vyhledávači. Či otevřít USB klíčenku nalezenou před firmou. Pokud to útočník dokáže, je mu cesta do online prostředí otevřená. Nutné je tedy zabezpečit i lokální AD, její integritu a odolnost vůči takovým útokům.
Zajistit ověření identity při přihlášení druhým faktorem je dnes naprostou nutností. I jeden český online obchod s potravinami by si ušetřil ostudu, kdyby místo obvyklého sortimentu nenabízel lehkou erotiku. Nemusíte s ním ale uživatele zatěžovat vždy. Pokud již například prošel v recepci přes ostře vypadající ochranku a sedí ve své kanceláři, kam patří, má už vlastně jeden faktor ověření za sebou. Pomocí Conditional Access se aplikace mohou chovat různě a automaticky odepřít přístup k systému obsahujícímu citlivé údaje mimo firemní síť nebo si k tomu vyžádat právě dodatečné pověření. Opět platí pravidlo: zvýšení bezpečnosti, minimalizace rizika, ale bez velké zátěže uživatelů. Což pomůže i ve školení bezpečnosti, které je nejen pro existenci GDPR dobré zavést.
Mobilní zařízení
Proč se vůbec věnovat mobilním zařízením? Především proto, že dnes častěji najdete firemní dokumenty na přenosném notebooku, jablečném tabletu nebo i na chytrém mobilním telefonu. V lepším případě ležícím na firemním stole a v kapsách správného saka, v horších pak osaměle cestujícím zapomenutém v taxi či nejhůř ze všeho ztraceném nebo ukradeném v bazarech. Pokud jde o ochranu osobních údajů, musíme si položit otázku: dokáže je mít takové zařízení lokálně uložené pro off-line přístup? Pokud ano, musíme se už z principu věnovat i těmto zařízením.
Vynutit šifrování úložiště, ochránit přístup pomocí PIN nebo zajistit automatické vymazání telefonu v případě ztráty či pokusu o průnik. To jsou základní politiky, které by většina firem měla implementovat. Můžete asi namítnout, máme přece politiky Exchange ActiveSync (EAS), vždyť ty to přece také zvládnou, proč nějaký sofistikovanější MDM (Mobile Device Management)?
Prvním důvodem může být fakt, že s EAS můžete jednoduše omezit přístup do Office 365 a k firemním datům ze zařízení, která spravujete a můžete je považovat za důvěryhodná. Zařízení, u kterých dokážete zajistit jejich bezpečnou konfiguraci, stejně jako si ověřit jejich aktuální stav. Důvodem druhým pak třeba prostý fakt, že používáte telefony s operačním systémem Android. Mnozí si toho ještě nevšimli, ale společnost Google ukončí v příští verzi tohoto OS podporu pro Device Manager API, přes které právě EAS svoje politiky vynucuje.
Máte na výběr, zda si vystačíte se základní bezpečností mobilních zařízení v plánech Business, nebo oceníte a využijete možnost instalovat vzdáleně aplikace, konfigurovat celkové chování zařízení, nastavit profily pro automatickou konfiguraci Wi-Fi či VPN a mnohé další v plánech Enterprise či dokoupením plného Intune k plánu Business.
Využít můžete i služby Windows AutoPilot, která pomůže s instalací a prvotní konfigurací zařízení pro nového uživatele nebo v případě jeho výměny. Postačí jednou nastavit instalační volby a všechna nová zařízení jsou si podobná jako vejce vejci i bez nutnosti instalovat a pochopit System Center Configuration Manager. Uživatel se pak při prvním spuštění počítače přihlásí, čímž iniciuje malý zázrak. Zjeví se všechny důležité aplikace, politiky upraví konfiguraci, dokumenty zobrazí automaticky nastavený OneDrive for Business klient a uživatel může začít pracovat.
A z pohledu GDPR si jednoduše pomůžete tím, že vynutíte při prvním přihlášení souhlas uživatele s podmínkami užití firemní techniky, ochrany osobních údajů a dalšími interními předpisy. A protože Intune ve výchozí konfiguraci nesleduje soukromé užití (pokud je vůbec povolíte), ani lokaci zařízení, usnadníte si případný balanční test oproti jiným řešením.
Ochrana informací
Z hlediska GDPR téměř nejdůležitější komponentou je možnost ochrany dokumentů či elektronické komunikace šifrováním, tedy využitím Azure Information Protection. WP29 totiž šifrování uvádí jako jednu z mála přímo aplikovatelných a doporučených ochran osobních údajů.
Ochránit můžete obsah akcí ze strany uživatele automatickým transportním pravidlem na straně Exchange Online, nebo třeba i automatickou klasifikační politikou na celém Office 365 či na lokálním sdíleném disku. A protože klasifikace mohou být skutečně jednoduché, pochopí je každý z uživatelů podobně jako barevné kategorie ve svém Outlooku.
Obrázek 2 – Klasifikace a ochrana dat
Pomocí AIP obsah navíc ochráníte nejen šifrováním, ale zamezíte například nedovolenému kopírování obsahu či tisku dokumentů. Nespornou výhodou je možnost sdílení takto chráněného obsahu mimo perimetr firmy. Zajistíte si tak snáze ochranu osobních údajů na straně zpracovatelů z role správce. SharePoint Online i OneDrive for Business mohou na základě klasifikace omezit sdílení takto citlivého obsahu.
Bude vám stačit klasifikační směrnice a manuální volba ze strany uživatele, nebo potřebujete obsah ochránit automatizovaně? To bude volba směrem k plánům Enterprise.
Online služby jako celek
Ďábel bývá někdy skryt v detailu, zde ho ovšem odhalíme celkem snadno. Je jím samotné nastavení online organizace. Pokud navštívíte centrum administrace, jednoduše se dostanete například na volbu, kde můžete nastavit kontakt na DPO a vystavit pravidla ochrany osobních údajů v rámci organizace.
Obrázek 3 – Volba organizačního kontaktu z hlediska ochrany osobních údajů
Dalším důležitým zastavením je administrační centrum Security & Compliance. Nejenže z něj můžete ovládat podstatné bezpečnostní mechanismy a ochrany dat, například již zmiňované retenční a DLP politiky, ale především po nastavení organizačního profilu zde najdete auditní zprávy datových center, kde jsou uložena data organizace. Stejně důležité informace, jako je například řešení ochrany dat, oddělení organizací, popis řešení bezpečnostních incidentů a další důležité dokumenty.
Pamatujete, jak jste nastavovali e-mail na technický kontakt organizace? Tak to je kontakt, kde vás Microsoft upozorní na řešení bezpečnostního incidentu na straně poskytovatele. Máte vůči GDPR vypořádán postup řešení bezpečnostního incidentu? Ze strany Microsoft 365 jej najdete právě ve výše zmíněných dokumentech. Ze strany vaší se jím můžete jednoduše inspirovat.
Obrázek 4 – Menu bezpečnostního centra Microsoft 365
Za zítřky i data bezpečnější
Evropská unie začala ochranu osobních údajů řešit především kvůli nemile častým únikům z komerčních firem. Firem, které nedbaly na svou bezpečnost tak, jak by měly. Pokud využíváte online služby, i malá chvilka jim věnovaná může přinést značné snížení rizika, že se budete od května dále každý den bát, aby u vás nezazvonil audit.
A nezapomeňte. Pokud vyřešíte nastavení svých systémů pro zajištění souladu s GDPR, je už otázkou jen několika kliknutí ochránit stejně dobře i ostatní citlivé firemní informace. A rozhodně nesrovnatelně lépe se vám bude spát ve dnech, kdy budou po internetu řádit nákazy sestřelující hromadně firmy na starších Windows 7 bez dodatečné ochrany.
- Petr Vlk (MVP, KPCS CZ, WUG)