" Windows ve GDPR: BT Yöneticileri ve Karar Vericiler için Bilgiler" gibi GDPR uyumluluğuna ilişkin tavsiyeleri içeren Microsoft'tan çok sayıda belge vardır ve bir Hangi verilerin nereye taşındığına dair oldukça kapsamlı bir açıklama.

Belgenin kendisine göre okumak 17 dakika sürüyor. Bunu yaptıktan sonra kendinizi daha iyi hissedeceğinizi düşünüyorum.

Microsoft hakkında pek çok paranoya var, bazıları muhtemelen haklı, ancak gerçek şu ki, MS GDPR'yi göz ardı edemez veya ABD'de, HIPAA.

Information Security SE'deki cevabı okudum ve yararlı bulmadım; MS'den yapılan alıntı, yasaların veya yasal süreçlerin gerektirdiği şekilde verilerin ifşa edilmesiyle ilgilidir.

Düzenle: Biraz daha arka plan eklemem gerektiğini düşünüyorum. Aslında araştırma yapmak için işe alınmış bir doktora pozisyonundayım. Yine de bilgisayar bilimlerindeki geçmişim nedeniyle, laboratuvarımızda elektronik veri işlemeyle ilgili her şeyden 'resmi olarak' sorumluyum.

Öncelikle laboratuvarınızda ciddi bir yönetim sorunu olduğunu düşünüyorum: veri koruma sorumluluğunu bir doktora öğrencisine bırakmak tamamen profesyonelce değil. Bir doktora öğrencisi olarak kesinlikle teknik bir danışmanlık rolüne sahip olabilirsiniz, ancak resmi sorumluluğa sahip kurumun daimi bir üyesi olmalıdır. Bir sorun ortaya çıkarsa, sizi bundan sorumlu olan kişi, neden bunun uygun olduğunu düşündüklerini kesinlikle açıklamak zorunda kalacaktır. Sizin için iyi haber şu ki, zaten yasal olarak sorumlu sayılma ihtimaliniz çok düşük (her zamanki sorumluluk reddi: IANAL).

İkincisi, [düzenlenmiş] bilgisayar bilimlerindeki beceriler yararlı olabilir, ancak gerektiğinde kesinlikle yeterli değildir özellikle insan denekleriyle ilgili hassas veriler söz konusu olduğunda, veri korumanın yasal ve etik kaygılarına gelir. En iyi niyetle bile, yasal geçmişiniz yok. O zaman bu kimin işi? Muhtemelen laboratuvarınızda değil, üniversiteniz / kurumunuz düzeyinde birkaç seçenek vardır:

• BT departmanı: Yazılım güvenlik açıkları ve veri korumayla ilgili öneriler hakkında sorduğunuz şeyler bunlar.
• Etik komitesi: Onlardan, belirli insan denekleri verileri için gerekli olan uygun koruma düzeyi hakkında yönergeler isteyebilirsiniz. Btw normalde laboratuvarınızda bu tür verilerle çalışan herkes, projelerine başlamadan önce etik onayı almalıdır.
• Veri koruma ofisi veya hukuk ofisi yoksa: sizi ve meslektaşlarınızı bu konuda bilgilendirebilirler. insan denekleri verileriyle ilgili yasal görevleri.

Kurumunuzdaki bu departmanlar mesleki becerilere ve yasal sorumluluğa sahiptir. Kendinizi onların tavsiyelerini sorarak ve ona uyarak korursunuz: Windows 10'un iyi olduğunu söylerlerse, paçayı sıyırmış olursunuz. Güvenli olmadığını söylerlerse, tek işiniz onların tavsiyelerini meslektaşlarınıza iletmek ve nereden geldiğini belirtmektir.

Üniversitenizde bir tür veri gizliliği uyum ofisi olmalıdır. Kesinlikle onlarla konuşmanız gerekiyor. İnternetteki yabancılardan iyi niyetli tavsiyeler, size sorunların ne olduğuna dair bir fikir vermesi açısından harikadır ancak burada üniversite için potansiyel yasal yükümlülük vardır ve işi yapmak olan insanlarla konuşmalısınız bu sorunları yönetin.

Tavsiyenizin gerçekte somut gerçeklere dayandığından emin olun ve verilerin dışarı sızma olasılığı en yüksek yolların hangileri olduğunu düşünün. Windows 10'un Microsoft'a tam olarak neyi bildirebileceğini ve bunun sizin durumunuzda gerçek bir sorun olup olmadığını öğrenin.

Ülkenizde bununla ilgili gerçek düzenlemeleri ve yasaları ve varsa, belki de üniversite kurallarını öğrenin. . Belirli bir düzenlemeye işaret edebilmek, bu tür tartışmalar için yararlıdır.

Tipik bir akademik ortamda, muhtemelen işleri gerçekten kilitleyecek araçlara sahip değilsiniz. Bilgisayarların tehlikeye atılabileceği en tehlikeli ve yaygın yollara odaklanırdım, Microsoft benim görüşüme göre bu endişelerin çok uzağında. Çoğunlukla aşağıdaki durumlar hakkında endişelenirdim:

• verileri eve veya özel bilgisayarlarına götüren kişiler
• bilgisayarlar kötü amaçlı yazılımlar tarafından tehlikeye atılıyor
• bilgisayarlar, sabit diskler veya USB sürücülerin çalınması veya kaybolması

Çok uzak ve olası olmayan bir tehdide odaklanıyorsunuz, bu da argümanlarınızı reddetmeyi çok daha kolay hale getiriyor. Gerçekçi ve makul tehditlere odaklanın ve yine de zorlu bir mücadeleye hazır olun.

Sorunuzu okuma şeklim, veri korumasından sizin sorumlu olmadığınız, ancak Windows PC'leri kurmaktan sorumlu olduğunuz. Bu durumda, endişelerinizi bir e-postayla grup liderinizle paylaşırım, böylece (sanal) bir kağıt iziniz olur ve onlara Windows PC'leri yine de kurmanızı isteyip istemediklerini veya sizden başka bir çözüm arayın.

Elbette, gerçek sorumluluğunuz veri koruma ise ve sizi işe aldıkları şeyi görmezden geliyorsa, muhtemelen çalışacak başka bir yer aramaya başlamalısınız.

Laboratuvarınızda veri korumasından sorumlu olduğunuzda ne yapmalısınız, ancak tavsiyeler göz ardı ediliyor mu?

Gerçekten sorumluysanız ve eğer Veri korumanın "dişleri" (yani AB / GDPR) olduğu bir yargı bölgesinde yaşıyorsanız, bu durumda uyumsuz her türlü davranışı durdurma gücüne sahipsiniz. Temel olarak her şeyi yapabilirsiniz (PC'leri kapatın, yönlendiricileri kapatın, vb.) - tabii ki bu son adımdır, ilk tepki değildir ve bunu yapmadan önce yapmanız gereken başka şeyler vardır: örneğin, bilgilendirme meslektaşlarınız; yönergeleri yazın; Paydaşlarınızın desteğini alın, bilgilendirme / öğretim oturumları yapın vb.

Tüm bunları yapmazsanız (veya iş arkadaşlarınız herhangi bir uyumu inkar ederse), kolay olanlardan başlayıp sonunda tırmanarak, o zaman siz bu "sorumlu olma" rolünü gerçekten bırakmalıdır.

GDPR aslında veri korumayla ilgili belirli rolleri tanımlar. Nerede yaşadığınıza bağlı olarak, ülkenizde bu tür başka tanımlar olabilir (veya belki hiç yoktur, ancak o zaman muhtemelen bu soruyu sormazsınız). Dolayısıyla, Veri Koruma Görevlisi rolünü yerine getirirseniz, harekete geçme yetkisine ve sorumluluğuna sahip olursunuz.

Tüm bunlar doğru değilse ve sadece normal bir işçi arısıysanız, asıl sorumluluğunuz a) DPO'nuzun söylediği ve gerektirdiği her şeyi yapmak ve b) DPO'nuza yasa ihlallerini bildirmek veya diğer paydaşlar - DPO'nuz umursamıyorsa, merdiveni daha da yükseltebilirsiniz, ancak açıkçası, bunu yapıp yapmamak sizin kişisel seçiminizdir; fiilen sorumlu kişilere herhangi bir ihlali görünür hale getirirseniz (bir kağıt izi tutun, belki kendi amirinizi Cc'ye koyun vb.), o zaman kişisel olarak sorun yaşamazsınız.

DÜZENLEME: Sorunun "sorumlu" kelimesini içeren başlığından dolayı kafam karıştı. OP'nin özel durumunda, sadece son paragrafım geçerlidir. Gerçekte "R" sorumlusu olan (RACI anlamında) birisinin buna ihtiyaç duyması durumunda geri kalanı bekleteceğim. OP , yapabileceğiniz en iyi şey, üzerinde hiçbir etkinizin olmadığı bir şeyden sorumlu görünmemek için çalışmaktır. Amirinizle konuşun ve köprüleri yakmadan bunun nasıl yapılacağına dair tavsiyelerini alın ("Hey koç, herkes benim veri güvenliği görevlimiz olduğumu düşünüyor gibi görünüyor, ancak eşyalarını kendileri toplamak zorundalar, onlara bakıcılık yapamam .. . "vb.).

Yorumlarda Avrupa'da olduğunuzu ve dolayısıyla GDPR'ye tabi olduğunuzu belirttiniz.

Hassas bilgileri topladığınızdan, bunların toplanması ve yönetilmesi için resmi bir süreç olması gerekir hangi bilgilerin toplandığı, hangi amaçlarla, ne kadar süreyle saklandığı, nasıl korunduğu vb. bilgiler de dahil olmak üzere tüm bunların sizden önce verilerini topladığınız kişilerle paylaşılması gerekir.

Ayrıca bundan resmi olarak sorumlu olan bir kişi (DPO) olmalı ve bu ifadede listelenmelidir.

O kişiye atıfta bulunun. Gerçekte sorumlu olan siz değilsiniz.

Bu politika ve prosedürlere sahip değilseniz, o zaman müdürünüzü bu gerçek ve bunun doğurabileceği sonuçlar konusunda uyarmalısınız. Yazılı olarak yazın, böylelikle a ** kapanır.

Kurumunuzun yükümlülüklerini ihlal ettiğini ve bunları ele almak için hiçbir şey yapmayacağını düşünüyorsanız, elbette bunu şu adrese bildirme seçeneği vardır: ilgili makamlar, bunun ilgili tüm taraflar için yaratabileceği tüm sonuçlarla birlikte (tabii ki siz de dahil - ihbarcıların genellikle nasıl sonuçlandığı görmezden gelinemez).

Sorunuzu yanıtlamak için, açıkça " Tavsiyeniz göz ardı edildiğinde ne yapılmalı " diye sorarak, kesinlikle CYA-kısaltmasını öneriyorum: C Y 'den fazla A .

Bir yönetim rolünde olmadığınız için (sanırım), büyük olasılıkla gerçekten uygulamak için sınırlı imkanınız var Verdiğiniz tavsiyeler, ancak suçun düşmesini önlemek için faaliyetlerinizi belgelemek için araçlar kullanmalısınız. Belki de buradaki en önemli önlem, bir kağıt izi bırakmaktır.

Örneğin, amirinize bir e-posta yazabilirsiniz:

Sevgili XY,

Konuyla ilgili biraz araştırma yaptıktan sonra, Laboratuvarımıza Windows telemetri verileriyle ilgili endişelerden dolayı Windows 10'u kullanmamasını tavsiye ediyorum. (...) Bunun yerine, XYZ by ABC'yi kullanmanızı tavsiye ederim.

Saygılarımızla, ...

Bu sadece sizin için bir kanıt olarak hizmet etmeyecek, ama aynı zamanda yöneticinizin bu teklifi daha fazla düşünmesini sağlayabilir. İşler suya düştüğünde artık sorumlu olduğunu anlarsa, sizi görmezden gelmeye daha az meyilli olabilir.

Danışmanla konuşun. Seni desteklemezse, pozisyondan çekil.

Üniversite laboratuvar gruplarının güvenlik, veri güvenliği, gizlilik, yazılım telif hakları vb. konularda gerçekten doğru politikaları takip etmediği çok yaygındır. Endüstri de mükemmel değildir, ancak genellikle üniversite laboratuvar gruplarından çok daha uyumludur. .

Laboratuvar grubumun güvenlik "memuruydum". Standartları kontrol etmek, periyodik olarak göz yıkamak, vb. Yanlış yaptığımız net şeyler bulduk ama danışman beni desteklemekle ilgilenmiyordu (çok katı davrandığımı düşündü ... ama endüstri geçmişinden geldim ve insanların incindiğini görmüştüm ve daha çok ilgiye alışıktı.) Zaten eksik olduğunu belirlediğim bir alanda ancak bir şeyleri düzeltmek istemeyen insanlarla yangın çıkardık. Bundan sonra PI'ye oranın onun laboratuvarı olduğunu ve sorumlu olması gerektiğini söyledim ve onun tavrı göz önüne alındığında laboratuar güvenliği ile ilişkilendirilmeyi reddettim. (İyi dedi ve bir başkası gidip gözlerini kontrol etti.)

Belki de bu kadar karşı karşıya gelmenize gerek yoktur, ancak insanlar donarken yardımcı görevi yerine getirmeyi reddetmeyi çok ciddi bir şekilde düşünürdüm. Ciddiye almayın ve PI sizi desteklemiyor.

Veri koruma hakkında bilmiyorum ama güvenlik konusunda gördüklerime göre aynı sorun olduğundan şüpheleniyorum. Güvenlik, kapsamlı araştırmalara ve yazılara sahipti ve akademik laboratuvarlar, endüstriyel araştırma laboratuvarlarının yaklaşık 10 katı vakaya sahip. Üni laboratuarında solvent yangınları nedeniyle ciddi zaman kaybı olan iki kişiyi şahsen tanıyordum (yüzler yanmış ve aylarca hastanede) ve bunu büyük bir CRD şirketinde hiç görmemiştim. Prof. Öğrencilere çalışanlardan daha az değer verilir, vb. Ve onlarca yıldır değişmeyecek ve değişmeyecek. Yani gerçekten kendi kendinizle olan ilişkinizi kesmeniz daha iyi. Ve kendi donanımınızı güvende ve uyumlu halde tutmak.

Her ne sebeple olursa olsun işler ters giderse, güvenli tarafta olmak isterim.

Soru, neye karşı korumak istediğinizdir - Sen mi yoksa bırakılmak mı?

Şüphem (ama ben bir avukat değilim, tabii ki) ilkinin çok az tehlikesi olduğu ve ikincisine karşı gerçek bir korumanın neredeyse hiç olmadığı.

Rahatsız edici gerçek şu ki, pek çok kişi (akademide ve dışarıda) bir veri koruma sorumlusu gibi rolleri yerine getirirken sigorta satın almak yerine bir çalışanı işe almıyor (endüstrideki belirli sertifikalarda olduğu gibi). Yaptıklarının yasal olmadığını, değişmek istemediklerini bilirler (veya en azından şiddetle şüphelenirler) ve işler ters gittiğinde gösterebilecekleri birini ararlar.

Herhangi bir gerçek yasal sorun varsa Veri koruma sorunundan doğarsa, orada çalışan bireyler yerine üniversiteyi hedef alacağından tamamen şüpheleniyorum - ve belirli kişileri hedef alsa bile, yetkisi olmayan bir laboratuvar teknisyeni değil, sorumlu yöneticiler olacaktır. diğer çalışanların davranışlarını değiştirmek için. Bununla birlikte , eğer bu boktan başka bir sebep yokuş aşağı yuvarlanma eğilimindeyse, dahili olarak hala günah keçisi haline gelme ihtimaliniz çok yüksektir (bırakılma dahil olmak üzere). Üniversite yönetim yapılarıyla ilgili deneyimime göre, hiçbir kağıt izi sizi bundan gerçekten koruyamaz.

Elbette, gördüğünüz tüm ilgili sorunlar hakkında laboratuvarınızı bilgilendirmek için elinizden geldiğince çabalamalısınız , ancak bunlar üzerinde hiçbir yetkiniz olmadığı için, şu şekilde olmalıdır: katı kurallar yerine tavsiyelerde bulunun. Ekiple iyi ilişkiler içinde olmak (ve harika sosyal becerilere sahip olmak) muhtemelen bir fark yaratmak için en iyi seçeneğinizdir. Ayrıca burada pragmatik olmak ve ekibinizden çok fazla fedakarlık gerektirmeyen büyük tehditleri ele almak için para ödeyebilir - InfoSec Yığın Değişimi, bunların neler olabileceği hakkında bilgi almak için çok iyi bir kaynak olabilir (Windows kullanımından şüpheleniyorum bu durumlardan biri değildir ).

Not: Belirli türlerde kişisel olarak sorumlu olduğunuz işler var (otomotivde işlevsel güvenlik akla gelen bir örnektir). Bununla birlikte, bunlar tipik olarak, bu işi yapmak için yasal olarak izin alabilmek için açık niteliklere ihtiyacınız olmasıyla karakterize edilir. Bir şirket, güvenlik sertifikasyonundan yasal olarak sorumlu olması için rastgele bir mühendis atayamaz. Bu tür işler için zorunlu eğitimin bir kısmı, aynı zamanda neyden sorumlu olduğunuza ve uyumsuzluk durumunda beklenen eylem planının ne olduğuna ilişkin açık bilgilerdir.

Telemetri ve bilgi sızıntısı konusunda son derece endişeliyseniz ve laboratuvarınızın kullandığı ekipman üzerinde idari görevler gerçekleştirmek için gerekli haklara sahipseniz, bir telemetri engelleme uygulaması öneririm, yine de test etmenizi ve incelemenizi tavsiye ederim herhangi bir dağıtımdan önce. Kişisel olarak, BlackBird hayranıyım, ancak işlevselliği iptal eden etkilerine karşı dikkatli olun (Konum farkındalığı, LAN vb.). Yine, bu tür yazılımları önceden çalışın ve test edin.

Ancak veri korumanın başka bir yönünden bahsetmek istiyorum, gizlilik anlamında değil, veri bütünlüğü .

Veriye duyarlı işler için Windows'u kullanırken bir milyon yıl içinde yakalanmazdım çünkü ben ve diğer pek çok kişi Windows ve uygulamalarının (örneğin OneDrive) kullanıcı dosyalarını silme eğiliminin kurbanı oldum bildirimde bulunmaksızın (kalıcı olarak, Geri Dönüşüm Kutusunu atlayarak). Daha yeni bir örnek için 1809 güncellemesine bakın; daha birçok şey var.