2 lata z RODO – wyzwania kontra rzeczywistość

Obraz cyberbezpieczeństwa w Polsce

Zarówno rozwój nowoczesnych technologii, jak i aktualna sytuacja, z którą mierzy się biznes na całym świecie, istotnie wpłynął na konieczność podniesienia poziomów bezpieczeństwa infrastruktury IT w sektorze publicznym i prywatnym. Rosnące zapotrzebowanie rynku na możliwość efektywnej pracy zdalnej również przekłada się na zwiększone ryzyko potencjalnego wycieku bądź kradzieży danych. Jak z tymi problemami powinna radzić sobie osoba zarządzająca podmiotem oraz jak to wygląda w Polsce przy okazji drugiej rocznicy wprowadzenie przepisów RODO? Sytuację analizuje Tomasz Surdyk, ekspert w tematyce cyberbezpieczeństwa i doradca firmy Kingston Technology.

Rynek pracy dynamicznie zmieniał się już od jakiegoś czasu, a obecnie wiele podmiotów przeszło na pracę zdalną w trybie bardzo szybkim i niespodziewanym, co oczywiście w żaden sposób nie zwalnia ich z konieczności dostosowania się do aktualnych standardów. Pod uwagę należy wziąć przepisy związane z cyberbezpieczeństwem. Ostatnie lata zaowocowały dwoma kluczowymi przepisami, które wymuszają na firmach wdrożenie rozwiązań i procedur, które mają chronić newralgiczne dane – RODO oraz rodzima ustawa o krajowym systemie cyberbezpieczeństwa. Przy okazji drugiej rocznicy wprowadzenia ogólnego rozporządzenia o ochronie danych, warto się przyjrzeć temu, jakie wyzwania stoją przed różnymi podmiotami. Przystosowanie przedsiębiorstwa do wymogów zewnętrznych to sprawa kompleksowa i wymagająca elastyczności.

Edukacja, edukacja i jeszcze raz…edukacja

U podstaw bezpieczeństwa w wielu sytuacjach nie leżą rozwiązania czy produkty, a edukacja. Często mimo szkoleń, wiedza na temat RODO czy cyberbezpieczeństwa nie jest wystarczająca. Wynika to z tego, że ogólne zasady i przepisy nie są przez pracodawców przełożone na konkretne sytuacje i procesy, które mają miejsce w firmie. Celem powinno być tworzenie kultury, a nie tylko odhaczenie obowiązku przeprowadzenia szkolenia, które polega na zaznaczeniu pól wyboru. Większość naruszeń w obszarze IT to w końcu wynik błędów człowieka. Brak świadomości, procedur oraz brak dostosowania infrastruktury IT do obowiązujących przepisów prawa może doprowadzić do częstych naruszeń, utraty danych, destabilizacji systemu, nie tylko poprzez naruszenie przepisów UKSC, ale także RODO. Zgodność z rozporządzeniem jest możliwa nie poprzez jednorazowe działanie, tylko ciągłą dbałość o bezpieczeństwo danych. Co ważne, dotyczy ona działań każdego pracownika.

Większa świadomość po obu stronach

Warto zwrócić uwagę na fakt, że wprowadzenie RODO zwiększyło również świadomość konsumentów w zakresie ich praw do danych. Wiedzą oni, że w przypadku utraty danych przez firmy, niezależnie od przyczyny, mają prawo do odszkodowania. Perspektywę konsumencką można wykorzystywać w szkoleniach, żeby uświadomić pracownikom, że za danymi zawsze stoi konkretna osoba. Chodzi tu o zwizualizowanie wyobrażenia, co by się stało, gdyby to ich dane wypłynęły lub ktoś nimi nieodpowiednio zarządzał. Taki przykład ułatwia tworzenie połączenia myślowego, że w ochronie danych chodzi głównie o prywatność i że w gruncie rzeczy, dotyczy to każdego z nas. W kontekście większej świadomości, RODO zmieniło biznes na lepsze, zwracając uwagę na prywatność informacji i bezpieczeństwo sieci zarówno wśród kadry dyrektorskiej, jak i klientów.

Odpowiednie narzędzia

Wciąż obserwujemy, że różne podmioty często pomijają odpowiednie wyposażenie swojego personelu, a ma to ogromne znaczenie zwłaszcza w obliczu pracy zdalnej. Narzędzia uniemożliwiające utratę informacji mogłyby przyczynić się do zmniejszenia ryzyka. Tymczasem, dla przykładu, pracownicy często otrzymują (jeśli w ogóle) najtańsze, niezabezpieczone nośniki USB. W sytuacji ich zagubienia bądź kradzieży dostęp do znajdujących się tam danych jest łatwy i bezpośredni. Od początku obowiązywania przepisów RODO były już przypadki utraty popularnych pendrive’ów i udostępnienia znajdujących się tam informacji. Zapomina się o inwestowaniu w szyfrowane pamięci, które nie tylko są doskonałym narzędziem pracy, ale także sejfem przechowywującym dane. W przypadku zabezpieczenia nośnika USB kluczem AES 256, praktycznie nie ma możliwości kradzieży danych znajdujących się na nośniku.

Idea cyberbezpieczeństwa…

W Polsce od sierpnia 2018 roku obowiązuje ustawa o krajowym systemie cyberbezpieczeństwa (UKSC). Wskazany przepis od momentu obowiązywania nie wzbudzał entuzjazmu wśród osób zarządzających podmiotami publicznymi oraz przedsiębiorstwami. Ustawa została określona „młodszą siostrą RODO”, ponieważ nakłada wiele obowiązków na operatorów usług kluczowych, dostawców usług cyfrowych, podmiotów publicznych, organów właściwych CSiRT poziomu krajowego czy podmiotów świadczących usługi z zakresu cyberbezpieczeństwa. Lista podmiotów objętych tymi przepisami jest dużo szersza, niż mogłoby się wydawać i zawiera zarówno przedsiębiorstwa z wybranych sektorów, jak i podmioty publiczne.[1]

Głównymi zadaniami wdrażających UKSC jest powołanie osoby odpowiedzialnej za bezpieczeństwo obszaru IT, zespołu wdrażającego system bezpieczeństwa IT, dostosowanie podmiotu do wymogów ustawy, przeprowadzenie procesu analizy ryzyka czy też wdrożenie procesu zarządzania incydentami bezpieczeństwa. Oczywiście należy dodatkowo przeprowadzić działania edukacyjne oraz wdrożyć wymaganą dokumentację bezpieczeństwa, opisującą zastosowanie środków organizacyjnych i technicznych.

…a rezultat

Czy wskazane podmioty dostosowały się do obowiązujących przepisów i należycie wdrożyły procedury bezpieczeństwa? Trudno wystawić tutaj pozytywne oceny - brak właściwego nadzoru i zastosowania narzędzi uniemożliwiających przeciwdziałanie naruszeniom w obszarze cyberbezpieczeństwa wpływa na podatność systemu IT na wszelkiego rodzaju zagrożenia. Pracownicy nie są szkoleni i uświadamiani. Zagrożenia są bagatelizowane, coraz częściej dochodzi do incydentów doprowadzających do naruszenia obowiązujących przepisów i utraty posiadanych danych.

Bezpieczeństwo obszaru IT dla większości podmiotów w Polsce nie jest najważniejsze. Nie inwestuje się w ekspertów z obszaru IT. Często zdarzają się sytuacje, w których informatycy, będący administratorami systemów informatycznych, nie posiadają fachowej wiedzy dotyczącej wdrażania odpowiednich procedur bezpieczeństwa i zapewnienia wszelkiej pomocy – posiadają głównie wiedzę serwisową. W całej Europie zatrudnionych jest ponad 500 000 inspektorów ochrony danych – i to sześć razy więcej niż przewidywano w 2017 r.[2] A jednak znaczenie ich roli jest często pomijane i trywializowane.

Wiele podmiotów w Polsce nie zgłasza naruszeń związanych z wyciekiem danych, atakiem hakerskim czy utratą lub kradzieżą danych. Brak zgłoszeń wynika z obawy, że na te podmioty zostaną nałożone wysokie kary finansowe wskazane w przepisach RODO. Dodatkowo zarządzający podmiotami obawiają się roszczeń odszkodowawczych.

Co dalej?

Bezpieczeństwo infrastruktury IT należy uznać za niezwykle istotne, ponieważ w sektorze publicznym i prywatnym w Polsce są przetwarzane niespotykane ilości informacji. Administrator danych jest zobowiązany do podjęcia określonych działań, żeby zminimalizować ryzyko naruszenia ochrony danych osobowych. Jedno z tych działań to wprowadzenie minimalnych poziomów bezpieczeństwa w obszarze IT. Wymogiem prawnym wskazanym w UKSC oraz w przepisach RODO jest zapewnienie poufności, dostępności, integralności i rozliczalności bezpieczeństwa przetwarzanych danych.

Według informacji opublikowanych w lutym 2020 roku przez Ministerstwo Cyfryzacji powstał projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa zaostrzający przepisy.

Czy wtedy zmieni się podejście do bezpieczeństwa w obszarze IT? Zobaczymy.

[1] Do tej grupy należą między innymi podmioty z sektora energetycznego, transportowego, zdrowotnego, wodociągowego, telekomunikacyjnego czy bankowości i infrastruktury rynków finansowych. Wśród podmiotów publicznych można wymienić m.in.: organy władzy publicznej, w tym organy administracji samorządowej, organy kontroli państwowej i ochrony prawa, jednostki budżetowe, uczelnie publiczne, Zakład Ubezpieczeń Społecznych, Narodowy Fundusz Zdrowia czy Narodowy Bank Polski. Według wykładni prawnej są to jednostki organizacyjne sektora finansów publicznych, które nie mają osobowości prawnej, m.in.: urzędy czy szkoły publiczne.

[2] https://www.varonis.com/blog/gdpr-effect-review/