0

Cyberbezpieczeństwo na tle RODO

Mogłoby się wydawać, że hasło RODO jest już znane wielu polskim przedsiębiorcom. Nic bardziej mylnego. Z badania przeprowadzonego na zlecenie firmy T-Mobile wynika, że co czwarta badana firma nie spotkała się nigdy wcześniej z określeniem RODO/GDPR, nie mówiąc już o znajomości wymagań tego aktu prawnego. A to już ostatni dzwonek, by wdrożyć wymagania unijnego Ustawodawcy dotyczące ochrony danych osobowych.

Świadomość prawna przedsiębiorców w zakresie ochrony danych osobowych, niestety, była i jest niewielka. Jak podkreślają przedstawiciele firmy T-Mobile, polskie firmy często ignorują kwestie związane z koniecznością nadzorowania stanu bezpieczeństwa zasobów IT, co opóźnia, a czasami wręcz uniemożliwia wykrywanie ewentualnych incydentów związanych z wyciekiem danych lub złożonych, rozproszonych ataków ukierunkowanych.

Najczęściej identyfikacja incydentów następuje już po wystąpieniu określonych naruszeń i szkód z nimi związanych. Korzystają na tym cyberprzestępcy oraz podmioty handlujące wykradzionymi danymi. Pozyskane dane stanowią cenny towar, a rynek nielegalnego handlu nimi rośnie. Raz utracone dane mogą być wielokrotnie przetwarzane w sposób nieuprawniony. Granice wykorzystania tych danych wyznacza wyobraźnia cyberprzestępców.

Wyzwania cyberrzeczywistości

Niemal każdego dnia dowiadujemy się z mediów o kolejnym cyberataku na różnego rodzaju podmioty – przedsiębiorstwa prywatne i jednostki sektora publicznego. Ofiarami ataków padają banki, podmioty finansowe, giełdy kryptowalut, podmioty świadczące usługi w sieci, e-commerce czy e-gaming.

Radosław Wesołowski, ekspert ds. cyberbezpieczeństwa w Grey Wizard:

Wyzwaniem dla tych podmiotów staje się połączenie dostępności cyfrowej z zabezpieczeniem się przed ingerencją w ich systemy, nadążanie za rozwijającymi się technikami cyberataków oraz ochrona klienta. Ponadto, wobec zderzenia liczby zagrożeń z rosnącymi wymogami prawa, wyzwaniem dla tych podmiotów, ich kadry zarządzającej i służb bezpieczeństwa stać się może wykazanie dopełnienia odpowiedzialności za cyberbezpieczeństwo.

Adekwatna ochrona danych

Mając na uwadze drastycznie rosnącą liczbę incydentów bezpieczeństwa w systemach informatycznych i licznych wycieków danych, nie tylko osobowych, kluczowym zagadnieniem jest prawidłowe zabezpieczenie danych w systemach informatycznych. Regulację w tym zakresie znajdziemy w art. 32 RODO, w którym czytamy: „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku pseudonimizację i szyfrowanie danych osobowych”.

W przytoczonym postanowieniu Rozporządzenia Ustawodawca nie wskazuje na konkretne środki bezpieczeństwa w celu realizacji obowiązku zabezpieczenia danych osobowych. Przywołuje jednak, nie zawsze wprost, możliwe sposoby zabezpieczania danych, które uznaje za odpowiednie: pseudonimizację, szyfrowanie danych, zapewnienie bezpieczeństwa informacji i systemów – cyberbezpieczeństwo, gotowość zapobiegania skutkom katastrof oraz testowanie przyjętych rozwiązań.

Radosław Wesołowski ekspert ds. cyberbezpieczeństwa z Grey Wizard:

Metody te, w szczególności szyfrowanie danych, zapewniają odpowiedni poziom ochrony, jednak to tylko kropla w morzu potrzeb i dzisiejszych wyzwań w obszarze bezpieczeństwa. Bez sztucznej inteligencji i rozwiązań najnowszej generacji opartych o maszynowe uczenie trudno będzie wygrać wojnę z cyberprzestępcami, z hakerami jutra.

Analiza ryzyka przetwarzania danych

RODO wymaga przeprowadzenia analiz przetwarzania danych. Zgodnie z art. 35 RODO (tzw. PIA: Privacy Impact Assessement) analizę wpływu przeprowadza się w sytuacji wysokiego ryzyka naruszenia praw i wolności osób fizycznych. Większość eksperckich poglądów zwraca uwagę na fakt, że tylko nowe rodzaje przetwarzania danych wymagają takiej analizy, np. wdrażanie nowych rozwiązań IT.

Jednak gdy popatrzymy na art. 32 RODO dojdziemy do wniosku, że w przypadku wycieku danych, niezwykle trudno będzie wykazać, że zastosowano wszystkie odpowiednie środki ochrony, jeśli uprzednio nie udokumentuje się analizy adekwatności środków ochrony danych, w tym analizy ryzyka naruszenia praw i wolności. Wniosek z tego taki, że jeśli w przedsiębiorstwie dojdzie do wycieku danych osobowych, to będzie ono musiało wytłumaczyć się, dlaczego nie zostały zastosowane wszystkie możliwe środki ochrony danych, w pierwszej kolejności zostanie odpytany o środki przewidziane w RODO, a wśród nich tak naprawdę tylko jeden wskazany jest wprost – szyfrowanie.

Zgłoszenie naruszenia

Od dnia 25 maja 2018 r. na firmach i instytucjach publicznych będzie ciążył obowiązek zgłaszania naruszeń ochrony danych, w ciągu 72 godzin, organowi nadzorczemu i informowania o tym osób, których dane zostały naruszone. Chodzi tu o wycieki danych, zarówno zewnętrzne, wskutek cyberataku, ale i np. zagubienia nośnika danych, jak i wewnętrzne poprzez nieuprawniony dostęp własnego personelu.

Kary

Rozporządzenie unijne nakłada surowe kary pieniężne za naruszenie zasad przetwarzania danych osobowych, w tym za ich niewłaściwe zabezpieczenie. Zgodnie z postanowieniami Rozporządzenia Administrator danych może być zobowiązany do uiszczenia kary pieniężnej w wysokości do 10. 000. 000 euro, w tym za brak zastosowania odpowiednich do ryzyka i zagrożeń środków organizacyjnych i technicznych zabezpieczających przetwarzanie danych. W sytuacjach przewidzianych postanowieniami Rozporządzenia możliwe jest nałożenie również kar wyższych, w tym nawet 20.000.000 euro.

Odpowiedzialność za cyberbezpieczeństwo

Świadomość toczącej się cyberwojny, coraz częstszych i bardziej zaawansowanych cyberataków, w wyniku których pozyskiwane są nie tylko dane osób fizycznych, ale również informacje objęte tajemnicą przedsiębiorstwa, mającą, co do zasady, dużą wartość rynkową, przedsiębiorstwa powinny potraktować priorytetowo bezpieczeństwo tych danych. Należy zadbać o kompleksowe zabezpieczenie systemów informatycznych, aplikacji webowych oraz serwisów www.

Radosław Wesołowski, ekspert z Grey Wizard:

Na świecie firmy przeznaczają ok. 20 proc. budżetu IT na cyberbezpieczeństwo. W Polsce – około 10 procent. To poważny błąd, ponieważ cyberataki generują ogromne straty – finansowe i wizerunkowe, a za niewłaściwą ochronę danych osobowych na przedsiębiorcę nakładane są bardzo wysokie kary pieniężne. Zagrożenie dotyczy każdego podmiotu, bez wyjątku. Weźmy niedawny atak na Equifax. Przestępcy znaleźli błąd w zewnętrznym kodzie, dzięki czemu ukradli dane około 140 mln Amerykanów. Z kolei w Polsce mocno wybrzmiał atak na Komisję Nadzoru Finansowego. KNF miała wdrażać praktyki bezpieczeństwa, a sama padła ofiarą cyberprzestępstwa i zaczęła zarażać banki złośliwym oprogramowaniem. Mając to wszystko na uwadze, konstruowanie budżetu IT powinno zacząć się tak naprawdę od ustalenia nakładów na bezpieczeństwo.

By chronić dane osobowe w sposób jakiego oczekuje od nas Ustawodawca unijny, by uniknąć ogromnych kar jakie grożą przedsiębiorcom za wyciek danych, czyli niedostosowanie zabezpieczających środków technicznych i organizacyjnych do ryzyka i skali zagrożenia, należy zrobić wszystko, by do niego nie doszło.

Radosław Wesołowski ekspert ds. cyberbezpieczeństwa z Grey Wizard:

W dzisiejszej cyberrzeczywistości trudno sobie wyobrazić skuteczniejszą broń niż inteligentna technologia oparta na maszynowym uczeniu. Tylko z pomocą sztucznej inteligencji jesteśmy w stanie skutecznie zabezpieczyć się przed cyberatakami, tzw. atakami jutra.

Jednocześnie nie należy zapominać, że to człowiek stanowi najsłabszy element cyberochrony. Według badań, najwięcej wycieków danych dokonują zwykli pracownicy firmy z powodu nieostrożności, a nie przestępcy poprzez zewnętrzne ataki. Same zabezpieczenia technologiczne nie są więc wystarczające, jeżeli w firmach nie są prowadzone regularne szkolenia w zakresie ochrony danych.