Také jste podlehli mýtu povinného šifrování dat a dalším? A věděli jste, že ne pro každý osobní údaj je šifrování povinné? GDPR totiž vneslo do problematiky ochrany osobních údajů nový přístup založený na riziku. Rozlišuje přitom pouze riziko a vysoké riziko. Jako správce máte povinnost při zpracování osobních údajů přihlédnout k pravděpodobným rizikům pro práva fyzických osob a tomuto riziku i přizpůsobit ochranu dat.

Zabezpečení je tedy vhodné volit přiměřeně na základě analýzy rizik. O úrovni citlivosti a povahy uchovávaných a zpracovávaných informací rozhoduje vždy jejich správce. Šifrování lze správcům dat u citlivých údajů doporučit a bezesporu snižuje riziko úniku dat. V konkrétních případech skutečně dává smysl. Ale drtivá většina firmiček s jedním či několika málo zaměstnanci nejspíš nezpracovává natolik citlivé údaje, které by potřebovala zašifrovat.

Ptáte se tedy, proč šifrovat, když je šifrování uváděno jen jako jedno z možných – nikoliv nutných – opatření vedoucí k lepší ochraně dat? Dojde-li k úniku dat, toto nadstandardní opatření vám může ušetřit oznamovací povinnost vůči dozorovému úřadu, resp. subjektu údajů. A značně tak také eliminujete riziko samotného vzniku bezpečnostního incidentu.

Šifrovaný server od spolehlivého poskytovatele

Výrazněji chráněna musí být z hlediska GDPR citlivá data (nyní takzvaná zvláštní kategorie osobních údajů), kupříkladu zdravotnická dokumentace, osobní údaje vypovídající o rasovém původu jedince, jeho politických názorech, vyznání, či sexuální orientaci a další. Vyšší riziko představuje ale i únik přihlašovacích údajů do elektronického bankovnictví a podobně. Z pohledu ceny se pak šifrování vyplatí u takzvaně „cenných“ dat.

Typický příklad menší firmy s potřebou šifrování tvoří právnické a advokátní kanceláře pracující s daty klientů nebo podniky požadující přísné plnění bezpečnostních pravidel, třeba z obav před průmyslovou špionáží konkurence. Riziko úniku dat u takových firem snižuje v prvé řadě jejich přemístění z kancelářských serveroven do profesionálního datacentra.

Další možností, která se firmám nově naskýtá, je využití šifrovaných serverů v cloudu. „V Master Internet jsme připravili maximálně zabezpečené šifrované virtuální servery na platformě VMware. Používáme silnou šifru v souladu s Advanced Encryption Standard (AES) a službu poskytujeme zákazníkům včetně správy klíčů,“ říká mluvčí datacentra Michaela Rabasová. Pro zákazníky, kteří namísto cloudu preferují fyzické servery, pak mají v Masteru možnost pronájmu šifrovaného managed serveru ve správě certifikovaných administrátorů.

Ať už jste se rozhodli šifrovat sami, nebo si najmete profesionály, nezapomeňte: Šifrujte s rozumem. A pamatujte také, že šifrování není všespásné. Je jen natolik bezpečné, nakolik je v bezpečí šifrovací klíč.