Kategorie
Bez kategorii

Dokumentacja RODO, GDPR UE, polityka bezpieczeństwa danych osobowych, instrukcja zarządzania systemem informatycznym

Po wcześniejszej analizie procesów biznesowych, obiegu informacji, ocenie ryzyka i diagnozie rejestrów przetwarzania danych osobowych pomagamy skompletować wewnętrzną dokumentację stanowiącą Politykę Ochrony Danych Osobowych:

  • politykę bezpieczeństwa informacji,
  • instrukcję zarządzania system informatycznym,
  • obowiązek informacyjny,
  • politykę prywatności serwisu www,
  • rejestr czynności przetwarzania danych osobowych,
  • instrukcję postępowania w przypadku naruszenia danych osobowych,
  • umowę powierzenia przetwarzania danych osobowych,
  • procedurę nadawania upoważnień,
  • regulamin ochrony danych osobowych,
  • oświadczenia pracowników upoważnionych do przetwarzania danych osobowych.

Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie swobodnego przepływu takich danych jednocześnie uchylenia dyrektywy 95/46/WE (określane jako „RODO”, „ORODO”, „GDPR” lub „Ogólne Rozporządzenie o Ochronie Danych”), oraz według Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r., poz. 1000) i na podstawie innych przepisów dziedzinowych krajowych, jak i Unii Europejskiej, np.:

  • Rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania,
  • Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów,
  • Rozporządzenie Ministra Edukacji Narodowej w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji,
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) NR 536/2014 z dnia 16 kwietnia 2014 r. w sprawie badań klinicznych produktów leczniczych stosowanych u ludzi oraz uchylenia dyrektywy 2001/20/WE,

administrator danych w większości obszarów dowolnie może kształtować i opisywać rozwiązania dotyczące przyjętych zasad i procedur przetwarzania. Wśród obszarów, w odniesieniu do których RODO nakreślono jednak pewne wymagania formalne dotyczące zakresu dokumentowania pozostały takie zagadnienia jak:

  • prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  • prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  • zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

RODO nie wymaga jednak, aby dokument zawierający wymienione wyżej, obligatoryjne elementy dokumentacji miał określona nazwę, czy strukturę. Ważne jest tylko, aby administrator danych wykazał, że wymienione wyżej rejestry, czy raporty posiadał i aby ich zawartość była zgodna z wskazanymi wyżej wymaganiami tj. wymaganiami wskazanymi odpowiednio w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 RODO.

Należy pamiętać jednak, że wskazane w RODO wymagania wymienione w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 nie są jedynymi, jakie należy uwzględnić w dokumentacji przetwarzania. Są one jedynie specyficzne pod tym względem, że wskazany jest zakres informacji, jaki w danym obszarze powinien być uwzględniony.

Decydujący dla znaczenia obszaru i zakresu informacji jakie powinny być zawarte w dokumentacji przetwarzania jest wymóg wykazania przez administratora przestrzegania przepisów RODO zawarty w art. 24, którego brzmienie jest następujące:

  • Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
  • Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
  • Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Wymaganie zawarte art. 24 RODO stanowiące, że administrator powinien być w stanie wykazać przestrzegania przepisów RODO oznacza w praktyce, że sposób przetwarzania danych, związane z nim procedury jak i zastosowane zabezpieczenia techniczne i organizacyjne, również powinny zostać zawarte w przedmiotowej dokumentacji – jako spełnienie obowiązku wykazania, że przestrzegane są wymagania RODO.

Jakie elementy powinna zawierać dokumentacja przetwarzania, aby spełniała wymagania RODO

Jak już wspomniano zatem, nieprawdą jest, jak twierdzą wprost niektórzy eksperci, że RODO znosi „uciążliwy dotąd” obowiązek prowadzenia dokumentacji przetwarzania danych tj. dokumentacji, na która składa się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.

Obecnie, w nowym systemie prawnym dotyczącym przetwarzania danych osobowych, nie wymienia się dokumentów jakie administrator powinien posiadać, aby wykazać zgodność realizowanych czynności przetwarzania, poza elementami wymienionymi w rozdziale 1. Z treści art. 24 ust 1 RODO wynika jednak, że administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania danych. W praktyce oznacza to, że administrator ma obowiązek wykazać, że:

  • stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO,
  • zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO,
  • zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO
  • zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,
  • zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,
  • zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postepowania – art. 27- 43,
  • stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

Należy jednak zaznaczyć, że zgodnie z art. 24 oraz art. 32 RODO przy wykonywaniu wyżej wymienionych obowiązków w zakresie zapewniania zgodności należy uwzględniać stan wiedzy technicznej, koszty, charakter, zakres, kontekst, cele przetwarzania a także ryzyka na jakie są narażone przetwarzane dane.

Czy dotychczas stosowana dokumentacja przetwarzania może być wykorzystana?

Obecnie prowadzona dokumentacja, na którą składają się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, z powodzeniem może być wykorzystana w celu stworzenia dokumentacji, której celem będzie wykazanie zgodności realizowanych procesów przetwarzania z wymaganiami RODO. Obowiązek wykazania przestrzegania stosowania przepisów RODO wynikający z art. 24 RODO nie określa bowiem w jaki sposób, poprzez jakie dokumenty, czy inne instrumenty zarządzania powinien być zrealizowany. Przepis art. 24 RODO stanowi jedynie, że administrator ma wykazać, że wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Opracowana w powyższy sposób dokumentacja, powinna zatem opisywać zastosowane w powyższym celu procedury i środki techniczne.

Jeśli zatem prowadzona wg. dotychczas obowiązujących wymagań dokumentacja zawierała wymagane elementy, takie jak inwentaryzacja zasobów informacyjnych, opis przepływy danych między systemami czy specyfikacje środków organizacyjnych i technicznych zastosowanych do ochrony przetwarzanych danych, czego wymagała polityka bezpieczeństwa to w pełni można je przenieść do nowej dokumentacji.

Nie ma również przeszkód, aby do problemu nowej dokumentacji, która będzie spełniała nowe wymagania, o których mowa wyżej podejść w sposób odwrotny, t.j uzupełnić dotychczas stosowaną dokumentacje o nowe elementy wymienione w rozdziale 1 takie jak:

  • rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • procedury dotyczące zgłaszanie naruszeń ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  • procedury dotyczące prowadzenia wewnętrznego rejestru naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  • raporty dokumentujące wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7. (jeśli zgodnie z przepisami RODO są wymagane).

Należy dodatkowo pamiętać, że dokumentując przyjęte procedury i wymagania dotyczące przetwarzania danych osobowych, zgodnie z art. 32 ust 1 RODO, powinniśmy mieć na uwadze, aby przyjęte rozwiązania były adekwatne do obecnego stanu wiedzy technicznej. Dotyczy to nie tylko wiedzy technicznej w zakresie dostępnych środków bezpieczeństwa, ale również wiedzy w zakresie systemów zarządzania bezpieczeństwem, do którego należą takie elementy jak standardy w zakresie zarzadzania, dokumentowania zmian, konfiguracji i innych elementów, które powinny być zawarte w dokumentacji przetwarzania.

Należy przy tym pamiętać również o innych obowiązujących wymaganiach prawnych nadal obowiązujących takich jak wymagania określone w takich przepisach jak:

  • ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jednolity Dz. U. z 2014 r. poz. 1114) oraz wydane do niej
  • rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jednolity Dz. U. z 2016 r. poz. 113), nazywanym w skrócie Rozporządzeniem KRI.

W wyżej wymienionych dokumentach, w kontekście dokumentacji przetwarzania warto zwrócić uwagę w szczególności na § 20ust. 1 KRI, który stanowi, że:

„Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność”.

W odniesieniu natomiast do działań jakie chcemy wykazać w kontekście wykazania dbałości o bezpieczeństwo przetwarzanych danych, warto skorzystać z zaleceń wymienionych w § 20 ust 2 rozporządzenia KRI odnoszących się do zarządzania bezpieczeństwem, które stanowi, że powinno to być zapewniane poprzez:

  1. zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
  2. utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
  3. przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
  4. podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
  5. bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
  6. zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
    • zagrożenia bezpieczeństwa informacji,
    • skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
    • stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
  7. zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
    • monitorowanie dostępu do informacji,
    • czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
    • zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
  8. ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
  9. zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
  10. zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
  11. ustalenie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
  12. zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    • dbałości o aktualizację oprogramowania,
    • minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    • ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    • stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    • zapewnieniu bezpieczeństwa plików systemowych,
    • redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    • niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
    • kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
  13. bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;
  14. zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Czy dokumentacja przetwarzania zgodnie z RODO powinna zawierać Instrukcje zarządzania systemami informatycznymi

RODO nie określa wprost, jak należy udokumentować organizację przetwarzania i zarządzanie bezpieczeństwem przetwarzanych danych, w tym instrukcji zarządzania systemami informatycznymi. Wymaga jednak, aby zastosowane środki bezpie­czeństwa i wszystkie podejmowane w tym zakresie działania można było wykazać. Jak stanowi art. 24 RODO, wykazując zgodność przetwarzania z obowiązującymi wymaganiami należy uwzględnić:

  • charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
  • Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
  • Stosowanie zatwierdzonych kodeksów postępowania, o których mowa w art. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Ponadto obowiązek prowadzenia dokumentacji przetwarzania danych wynika pośrednio również z art. 32 RODO dotyczącego bezpieczeństwa przetwarzania, który stanowi, że: „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…).”

Biorąc zaś pod uwagę fakt, że jednym z najważniejszych, powszechnie akceptowanych dokumentów prezentujących aktualny stan wiedzy technicznej w zakresie stosowania środków bezpieczeństwa i zarządzania bezpieczeństwem są m.in. normy ISO/IEC z serii 27000, w tym: norma PN-EN ISO/IEC 27001:2017 Technologia informacyjna – Techniki zabezpieczeń, oraz norma PN-EN ISO/IEC 27002:2017 Technika informatyczna – Technika bezpieczeństwa – Praktyczne zasady zabezpieczania informacji, warto zaznaczyć, że wyraźnie podkreśla się w nich fakt, że polityka bezpieczeństwa informacji powinna być: dostępna w formie udokumentowanej informacji, ogłoszona wewnątrz organizacji oraz dostępna dla zainteresowanych stron, jeśli jest to właściwe.

Jeśli chodzi o zawartość dokumentacji przetwarzania, to należy mieć na uwadze zawarte m.in. w art. 24 i 32 RODO wymaganie wskazujące, że opracowana polityka bezpieczeństwa powinna uwzględniać zakres, kontekst i cele przetwarzania oraz ryzyka naruszenia praw i wolności, w tym prawdopodobieństwo ich wystąpienia. Odwołując się w powyższym zakresie do aktualnego stanu wiedzy, można się posłużyć z kolei normą PN-EN ISO/IEC 27002:2017, która zaleca w tym zakresie uwzględnić takie elementy, jak:

  • zarządzanie aktywami (przetwarzanymi zbiorami danych),
  • kontrole dostępu (rejestrowanie i wyrejestrowywanie użytkowników, zarządzanie hasłami, użycie uprzywilejowanych programów narzędziowych),
  • środki ochrony kryptograficznej (polityka stosowania zabezpieczeń, zarządzanie kluczami),
  • bezpieczeństwo fizyczne i środowiskowe oraz bezpieczeństwo eksploatacji (zarządzanie zmianami, zarządzanie pojemnością, zapewnienie ciągłości działania, rejestrowanie zdarzeń i monitorowanie),
  • bezpieczeństwo komunikacji (zabezpieczenie, rozdzielenie sieci),
  • pozyskiwanie, rozwój i utrzymywanie systemów,
  • relacje z dostawcami (umowy, w tym umowy powierzenia przetwarzania),
  • zarządzanie incydentami związanymi z bezpieczeństwem informacji,
  • zarządzanie ciągłością działania,
  • zgodność z wymaganiami prawnymi i umownymi.

Część z wymienionych wyżej elementów zgodnie z obowiązującymi dotychczas wymaganiami powinna być zawarta w prowadzonej dotychczas instrukcji zarządzania systemami informatycznymi. Tak więc elementy te również można wykorzystać dla wykazania w nowej dokumentacji zgodności, o której mowa art. 24 RODO.

O jakie elementy należy uzupełnić dotychczas prowadzoną dokumentacje przetwarzania aby spełniała wymagania RODO?

Przygotowując dokument, którego celem ma być wykazanie zgodności przetwarzania danych z wymaganiami określonymi w RODO należy podejść elastycznie wykorzystując dotychczas prowadzona dokumentację. Oznacza to, że należy zweryfikować dotychczasowe elementy występujące nie tylko w wymaganej dokumentacji na którą składała się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi, ale równie takie elementy jak ewidencję prowadzonych upoważnień do przetwarzania danych, czy uprawnień do poszczególnych funkcji użytkowanych systemów informatycznych.

Reasumując, nową, zgodną z RODO dokumentację przetwarzania danych osobowych, która będzie jednocześnie instrumentem wykazującym zgodność wykonywanych czynności przetwarzania z przepisami prawa, występujące w dotychczasowej dokumentacji elementy należy uzupełnić dodatkowo o takie elementy jak:

  • rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  • procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
  • procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  • raport z przeprowadzonej, ogólnej analizy ryzyka;
  • raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
  • procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
  • plan ciągłości działania – art. 32 ust 1 pkt b RODO;
  • procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.

Uwaga!

Wymieniony wyżej zakres dokumentacji przetwarzania danych zgodnie z podejściem opartym na analizie ryzyka można w istotny sposób ograniczyć w przypadkach, gdzie brak jest niektórych ryzyk z uwagi na zastosowane tam rozwiązania. 

Kategorie
Bez kategorii

Bezpieczne uwierzytelnianie: od tego trzeba zacząć

Firmy, które umiejętnie inwestują w weryfikację uprawnień pracowników, zyskują przewagę konkurencyjną. I to z kilku różnych powodów.

W celu ochrony firmowych danych wykorzystywane są różne narzędzia: oprogramowanie antywirusowe, odpowiednio skonfigurowane firewalle, systemy szyfrowania danych i backupu. Dla jej wzmocnienia można regularnie przeprowadzać testy podatności systemu. Jednak działania zabezpieczające bez skutecznego zarządzania dostępem do zasobów przedsiębiorstwa i cyfrowymi tożsamościami, a także bez odpowiedniego nadzoru nad kontami uprzywilejowanymi, nie sprawdzą się, gdyż kradzież tożsamości to proceder łatwy, a przy tym dochodowy.

Kategorie
Bez kategorii

Rozwiązania sieciowe bezpieczeństwa IT, routery, UTM, przełączniki, oprogramowanie, sprzedaż, obsługa

Z oferty rozwiązań Fortinet korzysta ponad 320 000 klientów na całym świecie, w tym większość przedsiębiorstw z listy Global 1000, usługodawców i instytucji państwowych. Pozwalają im one wzmacniać bezpieczeństwo, upraszczać infrastrukturę sieci i obniżać całkowity koszt posiadania.

Fortinet chroni nieustannie rozwijające się sieci we wszystkich branżach i regionach świata — od punktów końcowych i urządzeń przenośnych, aż po obrzeża i rdzeń sieci, w tym także bazy danych, systemy komunikacyjne i aplikacje webowe.

Rozwiązania Fortinet z zakresu zabezpieczeń sieciowych otwiera FortiGate – wielofunkcyjna platforma zabezpieczeń zapewniająca niezrównaną wydajność i ochronę przy jednoczesnym uproszczeniu sieci. Fortinet oferuje szeroki wybór modeli, które zaspokoją wszystkie wymagania związane z wdrażaniem — od małych biur, po bardzo duże przedsiębiorstwa, usługodawców i operatorów sieci. Platformy FortiGate łączą system operacyjny FortiOS z procesorami FortiASIC oraz procesorami następnej generacji, dzięki czemu zapewniają kompleksową, skuteczną ochronę sieci. Wszystkie rozwiązania FortiGate obejmują najbogatszy zestaw funkcji ochrony i sieciowych na rynku.

Kategorie
Bez kategorii

Zalecamy aktualizację oprogramowania antywirusowego i uczulamy na podejrzany phishing e-mail.

Malware LokiBot otrzymał istotną aktualizację i jest teraz w stanie ukrywać swój kod źródłowy w niewinnie wyglądającym obrazku.

To już kolejne złowrogie wykorzystanie steganografii. Urok tej techniki polega na tym, że można z jej pomocą ukryć wiadomości lub kod w innych formatach plików np. .txt, .jpg, .rtf oraz w niektórych formatach video. Każdy z nas zetknął się z nią chociaż raz w przeszłości. Ochrona własności intelektualnej i praw autorskich dotąd była jej kluczową domeną. Nie trzeba było czekać długo, aż przestępcy znajdą dla niej praktyczne wykorzystanie także w swojej branży.

W aktualnie prowadzonej kampanii atakujący ukryli zaszyfrowane binaria LokiBot w plikach .png/.jpg. Obrazy spakowano w złośliwe archiwum, które następnie zostało rozesłane w wiadomościach phishingowych.

Przykładowy mail zawiera plik .doc, arkusz Microsoft Excel 97-2003 oraz paczkę ‚package.json’. Skan przez VirusTotal pokazał, że to jednak nie wszystko… W momencie otwarcia złośliwego pliku, skrypt instaluje malware jako plik .exe w folderze tymczasowym wraz z obrazkiem .jpg wzbogaconym o kod źródłowy LokiBot.

Ciekawostka. Spreparowany plik .jpg może zostać otwarty jako obraz.

Jak przebiega atak? Loader wyszukuje określony ciąg lub marker w kodzie, który rozpoczyna proces odszyfrowywania. Następnie odszyfrowana zawartość jest rozpakowywana i ładowana do pamięci komputera. Co daje zastosowanie steganografii? Dodaje ona kolejną warstwę zaciemnienia – wscript (interpreter plików VBS) służy egzekucji zadań malware’a. Z uwagi na to, że Autostart bazuje właśnie na skrypcie, być może kolejne wersje LokiBot będą w stanie w locie przeprowadzać jego modyfikację.

Szkody. LokiBot jest w stanie wykradać informacje, czy robić za keylogger’a. Dodatkowo program tworzy backdoor’a w zainfekowanych systemach Windows – zarówno w celu utrzymania ataku, jak i wysyłki skradzionych informacji do serwera C&C.

Kategorie
Bez kategorii

Masz w swojej firmie lub domu router Mikrotik?

Już nie tylko smartfony i stacjonarne komputery są atakowane przez zmodyfikowane skrypty do kopania kryptowalut. Od sierpnia 2018 roku routery firmy Mikrotik stały się tak popularne, że z zainfekowanych latem 2018 roku ponad 230 tysięcy urządzeń teraz odkrywamy przeszło 400 tysięcy. Wniosek jest jeden — aktualizacje bezpieczeństwa nie są mocną stroną użytkowników i administratorów.

Aby zobrazować aktualny trend ataków na routery Mikrotik, musimy wrócić do sierpnia 2018 roku. Odkryta wtedy podatność CVE-2018-14847 w oprogramowaniu Router OS 6.42 do zarządzania routerami łotewskiej firmy, umożliwiała nieuwierzytelnionym atakującym zdalne zapisanie plików na routerze. Było to możliwe, ponieważ exploity Chimay Red na Winbox i Webfig, które wypłynęły od CIA, pozwalały zdalne uruchomić plik w podatnym urządzeniu. Producent szybko udostępnił aktualizację, ale w konsekwencji zainfekowanych koparkami krytpowalut zostało ponad 230 tysięcy routerów na świecie i ponad 15 tysięcy w Polsce.

Kategorie
Bez kategorii

Zdalne wykonanie kodu (bez uwierzytelnienia) w remote desktop. Microsoft ostrzega przed robakiem. Podatne stare wersje Windows.

Microsoft pisze tak:

„Today Microsoft released fixes for a critical Remote Code Execution vulnerability, CVE-2019-0708, in Remote Desktop Services – formerly known as Terminal Services – that affects some older versions of Windows. (…). This vulnerability is pre-authentication and requires no user interaction. In other words, the vulnerability is ‘wormable’.”

Podatne są systemy: Windows 7, Windows Server 2008 R2, Windows Server 2008 + starsze XP-ki i Windows 2003 Serwer. W przypadku tych ostatnich Microsoft zrobił wyjątek i przygotował osobne łaty (do pobrania i ręcznej instalacji).

Podatność otrzymała niemal najwyższy score w skali CVSS – 9.8/10 – więc warto zadbać o sprawne łatanie (w przypadku starszych systemów 2003 Server oraz Windows XP – należy to zrobić ręcznie).

Krytyczna podatność w RDP (CVE-2019-0708) – prawie milion podatnych Windowsów dostępnych jest w Internecie:

Skaner wykrywający podatność (rdpscan), dość szczegółową analizę podatności, a także około miliona maszyn dostępnych bezpośrednio z Internetu, które nie są załatane. Podatne są: Windows 7, Windows Server 2008 R2, Windows Server 2008 + starsze XP-ki i Windows 2003 Serwer.

Kategorie
Bez kategorii

Zasady zgłaszania incydentów IT do wsparcia Henwar.

Szanowni Państwo,

jesteśmy dumni, że wspieramy Państwa IT. Podczas realizacji zleceń zawsze kładziemy nacisk na dokumentację zlecanych nam incydentów IT. Dlatego pragniemy przypomnieć, że: wszystkie zgłoszenia incydentów należy kierować do Henwar w następującej kolejności:

  1. logując się swoim kontem do helpdesk https://pomoc.henwar.pl/pomoc/  (chętnie przypomnimy login i hasło)
  2. jeśli z jakiś przyczyn nie można skorzystać z systemu helpdesk to w drugiej kolejności: pomoc(at)henwar.pl
  3. ostatecznie, awaryjnie dzwoniąc na nr: 22 639 91 61 (w dni robocze od 9:00 do 17:00)

Informujemy, że realizacja incydentów IT przekazywanych ustnie, bezpośrednio do pracownika IT na miejscu u Państwa, bez elektronicznego potwierdzenia w systemie helpdesk wymaga uprzedniego odnotowania zgłoszenia w systemie, co automatycznie ustala ich kolejność realizacji na ostatnim miejscu w kolejności.

Kategorie
Bez kategorii

Windows 10 1903 – oficjalna, długa lista bugów straszy. Lepiej ją zobacz

Po gigantycznej wtopie, jaką Microsoft zrobił z październikową aktualizacją Windowsa 10, ta następna, czyli Windows 10 1903, miała być niemalże perfekcyjna. Niestety tak się nie stało. Użytkownicy co chwilę zgłaszają kolejne błędy. Nie tak dawno pisałem, o bugu, który powoduje, że Nvidia GTX 1060 znika z mojego Surface Booka 2. To jedynie jeden z ogromnej listy bugów, jaką można znaleźć na stronie Microsoftu. Warto się z nią zapoznać.

Aktualizacja Windows 10 1903 May Update – lista błędów

DGPU może czasami zniknąć z menedżera urządzeń w Surface Book 2 z dGPU. Niektóre aplikacje lub gry, które wymagają intensywnych operacji graficznych, mogą się zamknąć lub nie otworzyć na urządzeniach Surface Book 2 z Nvidia dGPU – w trakcie badania.
Zainicjowanie połączenia pulpitu zdalnego może spowodować czarny ekran. Podczas inicjowania połączenia pulpitu zdalnego z urządzeniami ze starszymi sterownikami GPU, może pojawić się czarny ekran – w trakcie badania.
Windows Sandbox może się nie uruchomić – z kodem błędu „0x80070002”. Windows Sandbox może nie uruchomić się z „ERROR_FILE_NOT_FOUND (0x80070002)” na urządzeniach, w których język systemu operacyjnego został zmieniony między aktualizacjami – w trakcie badania.
Jasność wyświetlacza może nie odpowiadać na regulacje. Microsoft i Intel zidentyfikowały problem ze zgodnością sterowników na urządzeniach skonfigurowanych z niektórymi sterownikami wyświetlania Intela – w trakcie badania.
Uruchamianie urządzeń używających PXE z serwerów WDS lub SCCM może się nie powieść. Urządzenia, które uruchamiają się za pomocą obrazów środowiska PXE (Preboot Execution Environment) z Usług wdrażania systemu Windows (WDS), mogą nie uruchomić się z błędem „0xc0000001” – problem złagodzony.
Usługa RASMAN może przestać działać i spowodować błąd „0xc0000005”. Usługa RASMAN może przestać działać i spowodować błąd „0xc0000005” z profilami VPN skonfigurowanymi jako połączenie Always On VPN – problem złagodzony.
Rampy gamma, profile kolorów i ustawienia oświetlenia nocnego nie mają zastosowania w niektórych przypadkach. Firma Microsoft zidentyfikowała kilka scenariuszy, w których rampy gamma, profile kolorów i ustawienia oświetlenia nocnego mogą przestać działać – problem złagodzony.
Nie można wykryć lub połączyć się z urządzeniami Bluetooth. Firma Microsoft zidentyfikowała problemy ze zgodnością z niektórymi wersjami sterowników radiowych Realtek i Qualcomm Bluetooth – problem złagodzony.
Intel Audio wyświetla powiadomienie intcdaud.sys. Microsoft i Intel zidentyfikowały problem z szeregiem sterowników urządzeń Intel Display Audio, które mogą spowodować szybsze rozładowanie baterii – problem złagodzony.
Nie można uruchomić aplikacji Aparat. Microsoft i Intel zidentyfikowały problem dotyczący aplikacji kamer Intel RealSense SR300 lub Intel RealSense S200 – problem złagodzony.
Przerywana łączność Wi-Fi. Niektóre starsze urządzenia mogą tracić łączność Wi-Fi z powodu przestarzałego sterownika Qualcomm – problem złagodzony.
Utrata funkcjonalności w aplikacji Dynabook Smartphone Link. Po aktualizacji do systemu Windows 10, wersja 1903, może wystąpić utrata funkcjonalności podczas korzystania z aplikacji Dynabook Smartphone Link – problem rozwiązany.
Dźwięk nie działa ze słuchawkami Dolby Atmos i zestawem kina domowego. Użytkownicy mogą doświadczać utraty dźwięku w słuchawkach Dolby Atmos lub w kinie domowym Dolby Atmos – problem rozwiązany.
Błąd podczas próby aktualizacji z podłączonym zewnętrznym urządzeniem USB lub kartą pamięci. Komputery z podłączonym zewnętrznym urządzeniem USB lub kartą pamięci SD mogą mieć błąd: „Tego komputera nie można uaktualnić do systemu Windows 10” – problem rozwiązany.
Podgląd zdarzeń może zostać zamknięty lub może pojawić się błąd podczas korzystania z widoków niestandardowych. Podczas próby rozwinięcia, wyświetlenia lub utworzenia Widoku niestandardowego w Podglądzie zdarzeń może pojawić się błąd, a aplikacja może przestać odpowiadać lub zamknąć – problem rozwiązany.
Zobacz także: Co wiemy o World of Warcraft 2?

Windows 10 1903 download zalecany przez Microsoft

Co Microsoft ma do napisania w sprawie aktualizacji? Stan na 16 lipca 2019:

Rozpoczynamy aktualizację systemu Windows 10 May 2019 Update dla klientów z urządzeniami, które są przy końcu lub zbliżają się do końca świadczenia usług i nie zaktualizowali jeszcze swojego urządzenia. Utrzymywanie tych urządzeń w obsługiwanych i wspieranych comiesięcznych aktualizacjach ma kluczowe znaczenie dla bezpieczeństwa urządzeń i zdrowia ekosystemu. W związku z dużą liczbą komputerów z aktualizacją z kwietnia 2018 r., której wsparcie dobiegnie końca po 18 miesiącach działania usługi, czyli 12 listopada 2019 r., rozpoczynamy proces aktualizacji dla wersji Home i Pro, aby zapewnić odpowiedni czas na sprawny proces aktualizacji.

Nasz proces aktualizacji uwzględnia skalę i złożoność ekosystemu Windows 10, z wieloma dostępnymi opcjami konfiguracji sprzętu, oprogramowania i aplikacji, aby zapewnić bezproblemowy update dla wszystkich użytkowników. Dokładnie monitorujemy informacje zwrotne dotyczące aktualizacji, aby umożliwić nam ustalenie priorytetów dla tych urządzeń, które mogą mieć dobre doświadczenia z aktualizacją i szybko wprowadzić zabezpieczenia na innych urządzeniach, a jednocześnie rozwiązać znane problemy. Użytkownicy systemów Windows 10 Home i Pro będą mogli wstrzymać aktualizację na okres do 35 dni, aby mogli wybrać dogodny czas.

Aktualizacja systemu Windows 10 z maja 2019 r. jest dostępna dla każdego użytkownika, który ręcznie wybiera opcję „Sprawdź aktualizacje” za pośrednictwem witryny Windows Update na urządzeniu, które nie posiada zabezpieczenia po wykryciu problemów [jak np. SurfaceBook 2]. Jeśli nie zaoferowano Ci aktualizacji, sprawdź wszelkie znane problemy, które mogą mieć wpływ na Twoje urządzenie.

Zalecamy klientom komercyjnym korzystającym z wcześniejszych wersji systemu Windows 10 rozpoczęcie ukierunkowanych wdrożeń systemu Windows 10 w wersji 1903 w celu sprawdzenia, czy aplikacje, urządzenia i infrastruktura używane przez ich organizacje działają zgodnie z oczekiwaniami w nowej wersji i funkcjach.

Kategorie
Bez kategorii

Upgrade Windows 7 i 8 do Windows 10. Obraz płyty ISO MS Winows 10

możesz pobrać system Windows 10. Aby użyć narzędzia do tworzenia nośnika, odwiedź stronę pobierania oprogramowania Windows 10 firmy Microsoft, korzystając z urządzenia z systemem Windows 7, Windows 8.1 lub Windows 10.

Ta strona służy do pobierania obrazu dysku (pliku ISO), którego można używać do instalowania lub ponownego instalowania systemu Windows 10. Ten obraz umożliwia również utworzenie nośnika instalacyjnego w postaci dysku flash USB lub dysku DVD.

Źródło: https://www.microsoft.com/pl-pl/software-download/windows10

Kategorie
Bez kategorii

Windows XP w przeglądarce – przeżyj podróż w czasie lub wkręć swoich znajomych

Jeśli jesteście zbyt młodzi, aby pamiętać swojego czasu bardzo lubiany system operacyjny Windows XP, to macie świetną okazję, by nadrobić zaległości. Możecie przy okazji nabrać znajomych! Spokojnie, nie będzie to wymagało żadnego zachodu – wcale nie chodzi nam o instalację OSu na dysku twardym. Znaleźliśmy coś lepszego.

Projekt o nazwie Online Windows XP Simulator to strona internetowa, która umożliwia zaznajomienie się z systemem Windows XP, a przynajmniej niektórymi jego elementami i aplikacjami z tego okresu. Możecie zagrać w klasycznego Sapera, Tetrisa, wypróbować możliwości słynnego Winampa i przeglądać strony internetowe w Internet Explorerze 7.

Oczywiście aby w pełni móc rozkoszować się projektem, warto odpalić go w trybie pełnoekranowym – dzięki temu interfejs przeglądarki internetowej nie będzie widoczny. Prawda jest brutalna: to „tylko” swojego rodzaju graficznie zaawansowana strona internetowa, więc… nie spodziewajcie się cudów.

Uwaga: strona działa z powodzeniem także na smartfonach i tabletach z Androidem!

Online Windows XP Simulator to także ciekawy sposób, aby… wkręcić znajomych. Włączcie witrynę, zmaksymalizujcie okno przeglądarki i obserwujcie z ukrycia swoją ofiarę.

Aby wypróbować Windowsa XP w przeglądarce, przejdźcie tutaj.