Ochrana dat v elektronické podobě – archivace a skartace

V dnešním digitálním světě jsou elektronická data (např. účetní záznamy, zákaznické databáze, smlouvy atd.) zásadní pro správné fungování podniku. Jako taková tak představují cenné aktivum.

Ochrana dat podléhá předpisům GDPR, ISO 27001 a NIS2. Tyto ukládají organizacím přísná pravidla pro uchovávání, zpracování i skartaci elektronických informací. A cílem tohoto textu je poskytnout přehled principů archivace a skartace dat především z pohledu daňově účetní legislativy a nastínit budoucí vývoj v této oblasti.

Principy ochrany dat

Dříve než se zaměříme na archivaci dat, měli bychom si představit základní principy ochrany dat dle ISO 27001. Základní prvky datové bezpečnosti se opírají o tzv. CIA triádu:

• Confidentiality (důvěrnosti) – data by měla být šifrována a přístup k citlivým datům by měly mít jen oprávněné osoby, aby se zamezilo zneužití dat neoprávněnou osobou.
• Integrity (neporušenosti) – měla by být zajištěna správnost a úplnost informací, například skrze digitální podpisy v kombinaci s časovými razítky v souladu s evropskou směrnicí eIDAS, aby se zamezilo poškození dat, nežádoucím úpravám a manipulaci s daty.
• Availability (dostupnosti) – data by měla být dostupná oprávněnému uživateli.

Aby nedošlo ke zneužití, nechtěné změně a ztrátě dat, je důležité, aby byla CIA triáda dodržená. Podniky by také měly provádět pravidelné audity kybernetické bezpečnosti.

Archivace dat

Důsledná archivace dat pomáhá uchovávat informace pro právní, účetní i historické účely a zároveň zajišťuje plynulý chod firmy. Archivaci dat lze rozdělit dle času na krátkodobou (do 5 let) a dlouhodobou (5 a více let) a dle četnosti využívání dat na aktivní a pasivní.

Pro archivaci elektronických dat mohou společnosti využívat různé technologie. Mezi nejčastější způsoby archivace patří níže uvedené technologie, přičemž každá má své výhody a nevýhody.

• Cloudová úložiště umožňují ukládání dat na servery spravované poskytovatelem cloudových služeb. K jejich hlavním výhodám patří snadný přístup k datům odkudkoliv prostřednictvím internetu, automatické zálohování a možnost flexibilně rozšiřovat kapacitu úložiště podle potřeb konkrétní společnosti. Nevýhodou je naopak závislost na poskytovateli. Uživatelé totiž nemají plnou kontrolu nad infrastrukturou ani nad dostupností dat. S tím souvisí také zvýšená bezpečnostní rizika a možná právní omezení z hlediska dodržování zásad GDPR.
• On-premise servery a NAS (Network-Attached Storage) využívají zejména společnosti, které požadují plnou kontrolu nad svými daty. Data jsou ukládána v rámci interní IT infrastruktury, čímž se minimalizuje závislost na externích poskytovatelích. Mezi hlavní výhody tohoto řešení patří vyšší úroveň zabezpečení, možnost využití vlastního šifrování, rychlý přístup k datům nezávislý na kvalitě internetového připojení a úplná kontrola nad správou dat. Nevýhodou jsou naopak vyšší pořizovací a provozní náklady a zvýšené riziko selhání hardwaru.

Správná archivace dat není jen otázkou ukládání dat, ale je také otázkou jejich ochrany před ztrátou, poškozením, neoprávněným přístupem a kybernetickým útokem. Mezi hlavní bezpečnostní opatření patří šifrování dat, zálohování a řízení přístupu.

Skartace elektronických dat

Úschovu a zálohování dat aktivně řeší každá společnost, mezi neméně zajímavé prvky kybernetické bezpčnosti však patří i správná skartace dat. Skartace dat znamená nevratné odstranění elektronických informací tak, aby nebylo možné data obnovit a zneužít.

Nesprávně skartovaná citlivá data (např. osobní údaje, finanční a účetní záznamy, smlouvy, interní strategie) a také nadbytečná a zastaralá data, která se dostanou do nepovolaných rukou, mohou být zneužitá k podvodům, k vydírání a ke kybernetickým útokům.

Skartace dat je tedy klíčovou součástí kybernetické bezpečnosti a kromě toho, že je zákonnou povinností, je důležitá i proto, aby nedocházelo k nadměrnému přetěžování datové infrastruktury.

Pro správnou skartaci dat nestačí pouze data smazat nebo naformátovat disk. Existují dvě hlavní metody skartace dat:

• Softwarová skartace je vhodná pro paměťové karty, HDD, SSD a USB disky, pokud máme v úmyslu zařízení nadále používat nebo přeprodat. Tato metoda funguje na opakovaném přepisu dat náhodnými hodnotami za použití standardizovaných algoritmů. Pokud jsou data předem šifrována, pak stačí pro jejich skartaci smazat šifrovací klíč, čímž se stanou nečitelnými a neobnovitelnými. Mobilní telefony a chytrá zařízení IoT lze resetovat do továrního nastavení, ale i po resetu mohou v zařízení zůstat zbytková data, proto je vhodné tuto metodu využívat pouze jako doplňkovou k přepisování a šifrování dat.
• Hardwarová skartace je vhodná pro nefunkční nebo vyřazená zařízení, protože tato metoda znemožňuje jejich další použití. U pevných disků (HDD) nebo magnetických pásek lze využít metodu demagnetizace, při níž je nosič vystaven silnému magnetickému poli, které naruší jeho strukturu a učiní jej nefunkčním. SSD disky, USB flash disky či také HDD lze znehodnotit mechanicky, například drcením, vrtáním, lámáním nebo spalováním.

Zvolení vhodné metody skartace dat závisí na povaze nosiče a dat a na požadované úrovni bezpečnosti. Skartace by měla proběhnout v souladu s právními, ekologickými a bezpečnostními požadavky.

Trendy a budoucnost ochrany elektronických dat

S neustálým zdokonalováním technologií jdou ruku v ruce i sofistikovanější kybernetické útoky, kterým budou muset společnosti čelit, a proto se budou zpřísňovat i regulatorní požadavky na správu a ochranu dat.

Jedním z důvodů může být rozvoj kvantových počítačů, který do oblasti kryptografické bezpečnosti vnáší mnoho otázek. Tradiční metody šifrování, jako například AES-256 nebo RSA, jsou v současnosti považovány za bezpečné, protože jejich prolomení by klasickým počítačům trvalo tisíce let. Kvantové počítače však disponují exponenciálně vyšším výpočetním výkonem, což by jim umožnilo prolomit dnes používané kryptografické algoritmy během několika hodin. Z tohoto důvodu se vyvíjejí nové, kvantově odolné algoritmy a technologie kvantového šifrování, které mají zajistit ochranu dat i v budoucnosti.

Další výzvou do budoucna je automatizace systému pro správu dat, kdy by se minimalizovala možnost lidské chyby. Systém by za pomoci AI sám dokázal data třídit a vyhodnocovat, která data by měla být archivována a která skartována.

V budoucnosti bude hrát AI stále zásadnější roli na poli kybernetické bezpečnosti. V současnosti využívají AI v oblasti cybersecurity různé technologie od předních firem v oboru pro detekci kybernetických hrozeb, anomálií a prevenci úniku dat.

Závěr

Ochrana elektronických dat, jejich správná archivace a skartace jsou nezbytné pro zajištění kybernetické bezpečnosti, efektivní správu dat a dodržení legislativních požadavků. Archivace dat by měla být strukturovaná a měla by podléhat zákonným lhůtám. Následná skartace musí být provedená tak, aby nebylo možné data opět obnovit. Zároveň by měly společnosti zavádět AI-driven nástroje pro monitorování rizik a řízení bezpečnosti dat a investovat do moderních technologií, které zajistí dlouhodobou odolnost a ochranu dat.

Článek byl připravený ve spolupráci se společností EKP Advisory, s.r.o.