• A A A

RODO jako pierwszy krok do cyberbezpieczeństwa

29.11.2019

Od 25 maja 2018  bazując na regulacjach wdrożonych w Unii Europejskiej, w naszym kraju funkcjonuje rozporządzenie o ochronie danych osobowych (RODO), a wraz z nim pojawił się szereg nowych obowiązków dla administratorów danych osobowych, czyli w praktyce dla ogromnej ilości polskich firm.  Prawo nakłada  obowiązek ochrony danych, określając jednocześnie zakres kar, jakie przedsiębiorca może ponieść z tytułu ich niedopełnienia. Przez minione miesiące byliśmy świadkami kilku głośnych sytuacji, gdy firmy nie zabezpieczyły dostatecznie informacji powierzonych przez swoich klientów. Poskutkowało to nałożeniem przez Urząd Ochrony Danych Osobowych (UODO) kar sięgających nawet kilku milionów złotych ! Są to niestety realne kary i realne pieniądze.

Fundamentem dla bezpieczeństwa danych i cyberbezpieczeństwa jest przeprowadzenie audytu prawnego oraz audytu w zakresie IT, jednakże bazując na doświadczeniach ukaranych firm, wydaje się, że jest to dopiero inwestycja w świadomość potencjalnych, acz rzeczywistych niebezpieczeństw. Jak wiemy do tej pory ukarane były nie tylko podmioty gospodarcze, ale również podmioty publiczne jak Jednostka Samorządu Terytorialnego, czy jednostki służby zdrowia.

Warto przeanalizować przypadek jednej z największych firm e-commerce działającej na polskim rynku. Firma ta  za wyciek danych swoich klientów otrzymała karę w wysokości niemalże 3 milionów złotych.

Budowanie świadomości cyberbezpieczeństwa u przedsiębiorców

Cyberbezpieczeństwo to nie tylko sprzęt i aplikacje, ale głównie ludzie i procedury. Niestety dwa ostatnie elementy są w dalszym ciągu niewłaściwie przygotowane do prawidłowego utrzymywania bezpieczeństwa w sieci. Dlatego edukacja oraz budowa świadomości wśród użytkowników odpowiedzialnych za ważne dane powinna być propagowana wśród polskich przedsiębiorstw. Grupa Robocza przy Ministrze Cyfryzacji, której to mam przyjemność był członkiem, jako główny nacisk kładzie obecnie na działania związane ze świadomością, wiedzą i edukacją.

Ludzkie skłonności polegające na omijaniu procedur, czasem bezmyślności niestety są główną przyczyną braku skutecznego, hermetycznego systemu ochrony. Należy zdefiniować, opisać i wdrożyć ściśle określone procedury, które nie pozwolą lub w najgorszym przypadku, zminimalizują prawdopodobieństwo naruszenia prawa. Bardzo skutecznym rozwiązaniem jest zaangażowanie wszystkich pracowników w kwestiach cyberbezpieczeństwa bardziej niż samego zarządu.

Firma chcąc utrzymać sprawny system bezpieczeństwa  musi zadbać o ciągłą komunikację budując świadomość wśród zespołu. Nie chodzi przecież o jednorazowe, spektakularne „akcje”, których efektywność jest minimalna, a ponoszone koszty oprócz ich wysokości są całkowicie nieefektywne. Poprzez szkolenia prowadzone przez profesjonalistów można wyeliminować większość niechcianych zdarzeń związanych z bezpieczeństwem informatycznym. Niestety w dalszym ciągu mimo rosnącego zagrożenia cyberatakami wiele firm nie przeznacza adekwatnych środków inwestycyjnych do ich zapobiegania .

Wg dostępnych analiz TYLKO 3% rynku IT to działania w obszarze cyberbezpieczeństwa. Pozytywnym jednak wydaje się trend bazując na obserwacji krajów, gdzie regulacje, a co ważniejsze świadomość zagrożeń była wcześniej zdiagnozowana, że nastąpił 3-krotny wzrost wydatków na bezpieczeństwo cyfrowe. Gospodarka w Polsce poniesie zapewne większe koszty, gdyż poziom automatyzacji i informatyzacji przemysłu jest zdecydowanie niższy niż w większości  krajów zachodnioeuropejskich.

Cyberbezpieczeństwo a RODO

Ustawa RODO musi być  traktowana jako wstęp do faktycznego cyberbezpieczeństwa w każdym przedsiębiorstwie, administracji publicznej czy wśród podmiotów tzw. „budżetówki”.  W art. 32 RODO możemy wyczytać możliwe sposoby zabezpieczania informacji:

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku pseudonimizację i szyfrowanie danych osobowych”.

W podanym rozporządzeniu ustawodawca wskazuje na dwa sposoby zabezpieczenia danych: pseudonimizacja oraz szyfrowanie danych. W sierpniu 2018 obowiązki te zostały rozszerzone dzięki ustawie o krajowym systemie cyberbezpieczeństwa, która do tych działań dodaje np. gotowość zapobiegania skutkom katastrof czy testowanie przyjętych rozwiązań (np.testy penetracyjne).

Rzeczywisty przykład  firmy X, czyli co poszło nie tak?

W listopadzie ubiegłego roku spółka X  padła ofiarą cyberataku, który zakończył się wyciekiem danych osobowych ponad dwóch milionów klientów. Włamywacz dzięki wykradzionej bazie miał dostęp do danych takich jak: imię i nazwisko, adres e-mail, zahashowane hasło, numer telefonu i w niektórych przypadkach pesel, stan cywilny,  źródło dochodu oraz dane dotyczące dowodu tożsamości. PUODO w swojej decyzji o ukaraniu spółki podkreślał potrzebę regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.  Poza tym,  innym popełnionym błędem przez spółkę X  było hashowanie haseł nieodpowiednią dostępną funkcją co ułatwiło atakującemu określenie natury oryginału haseł, czyli ich – długości oraz użytych znaków. Co więcej, podczas ataku na jaw wyszło, że w wykradzionej bazie były rekordy o prawie 2000  klientach, którzy skasowali z serwisu swoje konta, mimo tego ich dane dalej były przetrzymywane. Nie bez powodu użytkownicy usunęli z serwisu swoje konta, dlaczego więc ich dane były w systemie? Spółka nie odniosła się do tego faktu, ale zdecydowanie był to przykład niedokładnego kontrolowania posiadanych informacji. Wszystkie te błędy zakończyły się  karą pieniężną i wdrożeniem nowych zabezpieczeń technicznych po incydencie, w konsekwencji  sprawa została zamknięta. Nasuwa się (oby retoryczne) pytanie, co dalej stanie  się z wykradzionymi danymi, które w dalszym ciągu są w posiadaniu włamywacza ?  Miejmy nadzieję, że żadna z poszkodowanych osób się o tym nie przekona.

Zarówno w obszarze RODO jak i cyberbezpieczeństwa najbardziej newralgicznym ogniwem jest człowiek, dlatego inwestycja czasu w wiedzę i świadomość osób które mają do czynienia z danymi osobowymi jest kluczowa dla bezpieczeństwa każdego podmiotu gospodarczego.

Prezes Krajowej Izby Gospodarki Cyfrowej, realizując misję edukacyjną organizacji, wraz z partnerami i ekspertami przygotowali bezpłatny kurs z podstawowych zagadnień dotyczących RODO.

Zachęcamy do zapoznania się z nowoczesnym podejściem do tematyki RODO na stronie www.wkilkachwil.pl

Autor: Jacek Czech

 

Powrót >