Microsoft i DZP tworzą rozwiązanie dla sygnalistów

Kancelaria DZP i Microsoft podejmują wspólne działania na rzecz osób zgłaszających nadużycia.

W dyskusji o dyrektywie UE o ochronie praw sygnalistów, która wchodzi w życie już za miesiąc, na czoło wysuwa się paląca kwestia bezpieczeństwa. To dzisiaj kluczowy element powodzenia jakże istotnego procesu budowania zaufania do organizacji publicznych i dużych spółek prywatnych. Z pomocą przychodzą technologie chmurowe, które obok najwyższego poziomu ochrony informacji gwarantują szybki proces wdrożenia konkretnych rozwiązań. Kancelaria DZP i Microsoft połączyły siły, tworząc platformę pozwalającą spełnić wymogi dyrektywy i zapewnić bezpieczeństwo sygnalistów z wykorzystaniem technologii. 

Dyrektywa o ochronie praw sygnalistów[1] zacznie obowiązywać już od 17 grudnia 2021 r. W myśl jej zapisów, od tego momentu podmioty zatrudniające powyżej 250 pracowników są zobowiązane do wdrożenia odpowiednich mechanizmów raportowania nieprawidłowości. Dyrektywa o sygnalistach daje przestrzeń działania wszystkim osobom, które czują się odpowiedzialne za swoją organizację i spółki kluczowe dla Państwa.

„Możliwość wczesnego wykrycia problemów daje spółkom okazję do szybkiej reakcji i gaszenia pożaru w zarodku. Powodzenie procesu zgłaszania nadużyć będzie możliwe tylko wówczas, gdy sygnaliści będą mieli przekonanie o bezpieczeństwie procesu i obiegu informacji. Administracja publiczna i firmy prywatne będą mogły traktować takie rozwiązania, jako faktyczny element prewencji i ochrony wartości spółki” – przekonuje Dr Anna Partyka-Opiela, Partner w kancelarii DZP.

Mając na uwadze zapewnienie maksymalnego poziomu bezpieczeństwa, kancelaria DZP wykorzystała technologie chmurowe Microsoft do stworzenia rozwiązania pozwalającego spełnić wymogi dyrektywy i stawiającego na pierwszym miejscu ochronę osób i procesów zgłaszania nadużyć.

„Podejście Microsoft do prywatności i ochrony danych opiera się na przekonaniu, że klienci są właścicielami swoich danych” – mówi Paweł Jakubik, członek zarządu w polskim oddziale Microsoft. „Bezpieczeństwo całego procesu jest wypadkową wielu elementów – ludzkich, proceduralnych i informatycznych. W wielu przypadkach firmy nie są w stanie zapewnić najwyższego poziomu bezpieczeństwa, co wynika z wysokich kosztów, wyzwań organizacyjnych i rosnącej skali zagrożeń. Dlatego, coraz częściej spółki stawiają na zewnętrznych dostawców technologii chmurowych, gwarantujących najwyższy poziom ochrony. Obok ciągłości usług, dostępności zasobów osobowych, są one w stanie zapewnić aktualne zabezpieczenia. Jeśli połączymy bezpieczeństwo chmury z pracą firmowych działów bezpieczeństwa można osiągnąć znacznie więcej”.

Twórcy platformy zapewnili bezpieczeństwo kodu źródłowego już na etapie tworzenia aplikacji chmurowej (cloud native). Wykorzystuje ona możliwości usługi Azure Security Center, jednolitego systemu zarządzania bezpieczeństwem infrastruktury. Jego zadaniem jest zwiększenie poziomu bezpieczeństwa centrów danych i zapewnienie zaawansowanej ochrony przed zagrożeniami w przypadku obciążeń hybrydowych w chmurze oraz w środowisku lokalnym. Platforma służy zapewnieniu bezpieczeństwa użytkowników, ich danych, aplikacji, urządzeń i tożsamości użytkowników, a także monitorowaniu wszelkich parametrów. Korzysta ona z mechanizmów konteneryzacji zawartych w chmurze Azure, co daje możliwość instalacji platformy w dowolnej architekturze chmurowej innych dostawców.

„W sierpniu br., Microsoft odparł największy w historii atak DDoS o łącznej wartości 2,4 terabitów na sekundę. Żadna firma nie byłaby sobie w stanie poradzić z atakiem o takiej skali. Technologia Microsoft daje nam gwarancję najwyższego poziomu zabezpieczenia aplikacji. Zastosowaliśmy wszystkie mechanizmy bezpieczeństwa, w tym szyfrowania zawarte w usłudze Azury Security Center. Co więcej, klienci korzystający z platformy mogą mieć pełne przekonanie o tym, że dane przechowywane w chmurze Microsoft stanowią ich własność” – mówi Marek Laskowski, IT Director w kancelarii DZP. 

Mając na uwadze bezpieczeństwo sygnalistów użytkownik, przy zakładaniu sprawy, nie musi podawać żadnej informacji, która pozwoli na identyfikację. System nie zapisuje informacji o źródle z jakiego przyszło zgłoszenie (adres IP itp.). Użytkownik loguje się wyłącznie w kontekście danej sprawy poprzez losowy unikalny identyfikator. Każda kolejna sprawa założona przez użytkownika jest traktowana niezależnie, a użytkownik loguje się do niej przez nowy losowo wygenerowany unikalny identyfikator. Nie ma ona powiązania w systemie z innymi sprawami potencjalnie zakładanymi przez tę samą osobę. Platforma korzysta z protokołu bezstanowego https z wykorzystaniem mechanizmów SSL do szyfrowania transmisji i bezpiecznego przekazywania danych pomiędzy aplikacją a serwerem.

Informacje dodatkowe:

Opis rozwiązania Azure Security Center

Utrzymywanie bezpieczeństwa zasobów to wspólna odpowiedzialność dostawcy usług w chmurze, platformy Azure i klienta. Podczas przechodzenia do chmury trzeba upewnić się, że obciążenia będą bezpieczne. Trzeba też pamiętać, że przejście na model IaaS (infrastruktura jako usługa) to większa odpowiedzialność po stronie klienta niż w przypadku korzystania z modeli PaaS (platforma jako usługa) i SaaS (oprogramowanie jako usługa). Usługa Azure Security Center zapewnia narzędzia potrzebne do zwiększenia bezpieczeństwa sieci, zabezpieczenia usług i zapewnienia maksymalnego poziomu bezpieczeństwa.

Usługa Azure Security Center rozwiązuje trzy najbardziej pilne problemy związane z zabezpieczeniami:

  • Szybko zmieniające się obciążenia pracy— jest to zarówno siła, jak i wyzwanie chmury. Z jednej strony użytkownicy końcowi mają możliwość robienia więcej. Z drugiej jednak pojawia się problem — jak sprawić, by ciągle zmieniające się usługi, które tworzą i wykorzystują użytkownicy, spełniały standardy bezpieczeństwa i były zgodne z najlepszymi rozwiązaniami dotyczącymi bezpieczeństwa?
  • Coraz bardziej zaawansowane ataki— wszędzie tam, gdzie realizowana jest praca, ataki stają się coraz bardziej wyrafinowane. Trzeba zabezpieczyć pracę w chmurze publicznej, która jest połączona z Internetem, co sprawia, że jest jeszcze bardziej narażona na ataki w przypadku braku zastosowania najlepszych zabezpieczeń.
  • Trudno jest znaleźć pracowników mających odpowiednie umiejętności w zakresie zabezpieczeń— liczba alertów bezpieczeństwa i systemów zgłaszania alertów przewyższa liczbę administratorów z umiejętnościami i doświadczeniem koniecznymi do zapewniania bezpieczeństwa takiemu środowisku. Bycie na bieżąco z najnowszymi atakami jest dużym wyzwaniem. Nie można stać w miejscu, gdy sytuacja w zakresie zabezpieczeń ciągle się zmienia.

Aby sprostać tym wyzwaniom, usługa Security Center oferuje narzędzia umożliwiające:

  • Zwiększenie stanu zabezpieczeń:Security Center ocenia środowisko i umożliwia zrozumienie stanu zasobów oraz tego, czy są one bezpieczne.
  • Ochrona przed zagrożeniami:Security Center ocenia obciążenia i zgłasza zalecenia dotyczące zapobiegania zagrożeniom oraz alerty zabezpieczeń.
  • Szybciej osiągnij bezpieczeństwo: W usłudze Security Center wszystko jest wykonywane z szybkością chmury. Ponieważ jest ona natywnie zintegrowana, wdrażanie Security Center jest łatwe, zapewniając automatyczną aprowizowanie i ochronę za pomocą usług platformy Azure.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii.

Powiązane posty