Oprogramowanie dla ochrony sygnalistów – część 2 – ranking systemów
Fundacja AVLab dla Cyberbezpieczeństwa przygotowała raport analizujący oprogramowanie dla ochrony sygnalistów. Przeanalizowano m.in. kwestie zgodności z dobrymi praktykami bezpieczeństwa i ochroną danych osobowych. Ranking obejmuje siedmiu czołowych producentów oprogramowania. Badanych było siedem kluczowych obszarów bezpieczeństwa.
Kryteria wyboru systemu ochrony sygnalistów
Fundacja AVLab dla Cyberbezpieczeństwa opracowując raport przebadała siedem obszarów dotyczących bezpieczeństwa systemu ochrony sygnalistów. Były to:
- zabezpieczenie logowania do systemu,
- wybrany przez producenta rodzaj szyfrowania kryptograficznego,
- metoda szyfrowania danych na serwerze,
- dostępne metody ochrony tożsamości sygnalisty,
- anonimowość sygnalisty dla pracodawcy i producenta aplikacji,
- metoda deszyfrowania,
- a także potencjalny cyberatak na infrastrukturę serwera systemu albo użytkownika aplikacji.
Oprogramowanie Sygnanet zwycięzcą rankingu
Najlepiej ocenianym system w opracowanym rankingu okazał się być Sygnanet.
„Wybierając system wspierający proces obsługi zgłoszeń sygnalistów warto zwrócić szczególną uwagę na kwestie szyfrowania danych i tego gdzie do szyfrowania dochodzi. Dobry system powinien zapewniać szyfrowanie zgłoszenia (w tym plików) metodą kryptograficzną na urządzeniu zgłaszającego – tak jak dzieje się to w Sygnanet. Mechanizm ten gwarantuje odpowiedni poziom bezpieczeństwa zarówno danych osobowych jak i innych informacji np. związanych z metadanymi, które mogą identyfikować osobę. Posiadanie narzędzia Sygnanet w trakcie projektowania procesu zgłoszeń naruszeń pozwala na zminimalizowane dużej ilości ryzyk w obszarze technologicznym i prawnym. Dlatego zdecydowaliśmy się jako LexDigital zostać Partnerem Sygnanet – zwycięzcy tego rankingu” – skomentowała Katarzyna Ellerik, Head of Data Protection Team w LexDigital.
Kluczowe kryterium – kanał sygnalizowania nieprawidłowości
Eksperci zwracają szczególną uwagę na kwestie ochrony bezpieczeństwa danych przy wyborze oprogramowania dla sygnalistów.
System zgłaszania nieprawidłowości powinien w szczególności zapewniać najwyższy poziom bezpieczeństwa danych i komunikacji. Osoba zgłaszająca powinna mieć pewność, że treść zgłoszenia oraz dalsza komunikacja w sprawie nie są ujawniane osobom nieuprawnionym, a dane chronione są dzięki rygorystycznie dobranym środkom bezpieczeństwa. Poza bezpieczeństwem kluczowe są także budowanie zaufania do stosowanych mechanizmów, np. poprzez szkolenie pracowników dostępne na platformie” – dodała Monika Wieczorek, radca prawny z Kancelarii Wieczorek.
Metody zabezpieczania danych
Ranking zwraca uwagę na pożądane dla bezpieczeństwa danych szyfrowanie zgłoszeń w systemach z zastosowaniem kryptografii metodą end-to-end. (E2E).
Raport stwierdza, że we wszystkich badanych obszarach oprogramowania trzeba zwrócić uwagę na metody zabezpieczania danych. Sygnanet zapewnia dostateczne zabezpieczania i jest w czołówce rozwiązań w Polsce.
Na co zatem zwrócić szczególną uwagę wybierając dostawcę tej usługi? System powinien zapewniać szyfrowanie zgłoszenia metodą end-to-end (zero-knowledge service) kluczem kryptograficznym generowanym na komputerze pracownika. Według ekspertów niedopuszczalne jest używanie marketingowego opisu producenta dla „szyfrowania TLS” w architekturze systemu komputerowego typu klient-serwer. Nie można wówczas mówić o zatajeniu danych sygnalisty, a jedynie o szyfrowaniu informacji przesyłanych z formularza przeglądarki do serwera. Jeżeli system przeznaczony dla sygnalisty nie obsługuje szyfrowania na serwerze, wówczas dane nie są odpowiednio zabezpieczone.
Na ocenę systemów miał wpływ rodzaj zastosowanego szyfrowania kryptograficznego, ponieważ prawie wszystkie systemy, oprócz Sygnanet przekazują plik z jawną treścią zgłoszenia na serwer. Ważne jest, jakim procesom podlega plik przekazany przez sygnalistę. Mianowicie, czy jest pewność, że oryginalny plik będzie usunięty i nie zostanie przechwycony w cyberataku?
System powinien także zapewniać szyfrowanie zgłoszenia (w tym plików), aby lepiej wypełniał regulacje dotyczące RODO. Szyfrowanie jest najbezpieczniejszym sposobem zachowania zgodności z niektórymi aspektami unijnego rozporządzenia o ochronie danych osobowych i jest metodą zapewniającą „pseudoanimizację”. Dane sygnalisty podlegają ochronie prawnej, dlatego ich ujawnienie na przykład w następstwie cyberataku, może mieć negatywne konsekwencje dla zaatakowanej organizacji.
Kontrola dostępu – wykorzystanie logowania wieloskładnikowego
Należy także zabezpieczyć przed dostępem osób przypadkowych. Ważne jest aby zabezpieczyć logowanie dodatkowym kodem pochodzącym z aplikacji generującej jednorazowe tokeny np. Google Authenticator. W bardziej rozbudowanych środowiskach roboczych mogą to być wspierane protokoły LDAP lub framework OAuth. Maksymalnie bezpieczny system nie powinien mieć też żadnej możliwości wglądu do załączników które są przesyłane przez sygnalistów.
Dobry system ochrony sygnalistów powinien gwarantować anonimizowanie adresów IP sygnalistów. Nie może zapisywać trwale żadnych informacji (numeru IP, nazwy komputera, odcisku palca przeglądarki), które mógłby ujawnić tożsamość sygnalisty.
Raport pozwolił ukazać biznesowe spojrzenie na wiele wątków związanych z bezpieczeństwem systemów dla sygnalistów i cech, które warto znać. Jednocześnie pokazuje z jak wieloma wyzwaniami przyjdzie zmierzyć się organizacjom wdrażającym nowe przepisy o zgłaszaniu nieprawidłowości w zakresie cyberbepieczeństwa.
Aby uniknąć odpowiedzialności karnej związanej z brakiem wdrożenia oprogramowania, już dzisiaj zachęcamy do skorzystania z wersji testowej systemu Sygnanet, chętnie pomożemy zaimplementować to rozwiązanie w Państwa organizacji.
Szczegółowy raport dostępny jest pod tym linkiem: https://app.sygnanet.pl/pdf/AVLab_report.pdf