Czy RODO to już temat znany?

Mogłoby się wydawać, że hasło RODO jest już znane wielu polskim przedsiębiorcom. Nic bardziej mylnego. Z raportu przeprowadzonego przez PWC wynika, że jedynie 3% firm osiągnęło pełną gotowość, a 20% respondentów nie zaczęło jeszcze przygotowań. Biorąc pod uwagę, że od wprowadzenia wymagań unijnego Ustawodawcy dotyczących ochrony danych osobowych minęło już półtorej roku, to przedstawione dane są bardzo niepokojące. Niestety świadomość przedsiębiorców i większości ludzi w tym zakresie dalej jest niewielka mimo często pojawiających się wiadomości o wysokich karach i groźnych cyberprzestępstwach.

Nadal też funkcjonuje bardzo wiele mitów i absurdów związanych z RODO, z jego często nadgorliwym i nieumiejętnym wdrażaniem. Sprzyja to również funkcjonującym już w przestrzeni publicznej, a zwłaszcza w sieci, przestępstwom i oszustwom na RODO. Należałoby więc dla własnego dobra rzetelnie i ze zrozumieniem wypełniać wymogi i oczekiwania tego rozporządzenia.

Niestety firmy nie wprowadzają odpowiednich procedur i zabezpieczeń w obszarze cyberbezpieczeństwa i wręcz stają się hazardzistą liczącym na szczęście podczas rozgrywki. Właśnie w taki sposób około połowa przedsiębiorstw badanych przez PWC w roku 2017 odnotowała straty finansowe w zakresie teleinformatycznym. Mimo że były one badane 2 lata temu to wiele się w tej kwestii nie zmieniło. Najczęściej identyfikacja incydentów następuje już po ich zaistnieniu, czyli w momencie gdy jest już za późno. Korzystają na tym cyberprzestępcy, którzy handlują wykradzionymi z firmy danymi. Jak wiadomo raz utracone informacje mogą być wielokrotnie wykorzystane przeciwko nam. A przecież każdy z nas chce, by z jego danymi obchodzono się z szacunkiem i odpowiednio zabezpieczano. Dlatego postaramy się naświetlić problemy i niebezpieczeństwa związane z cyberbezpieczeństwem.

Jak powinna wyglądać adekwatna ochrona danych?

Mając na uwadze wspomnianą wcześniej rosnącą liczbę incydentów w systemach informatycznych oraz liczne wycieki danych powinniśmy określić jak prawidłowo zabezpieczać dane. Dużym zaskoczeniem w tej kwestii może być fakt, że to bezpośrednie otoczenie firmy jest głównym zagrożeniem. To właśnie osoby zatrudnione w firmie mogą być źródłem zaistnienia większości incydentów. Nieświadomi potencjalnych zagrożeń pracownicy są dużą i niebezpieczną luką w systemach zabezpieczeń przedsiębiorstw. Bardzo prostym i skutecznym działaniem by włamać się do systemu są ataki phishingowe, dzięki którym można np. pozyskać środki finansowe. Metoda ta polega na podszywaniu się pod inną osobę bądź instytucję w celu wykradzenia danych, zainfekowania komputera czy nakłonienia do zrobienia określonych działań. Takich sytuacji można unikać budując świadomość wśród pracowników, wprowadzając odpowiednie zabezpieczenia, procedury i polityki określające sposoby postępowania w danych sytuacjach. Należy więc przede wszystkim zacząć od szkoleń. Zresztą wymóg dopuszczenia do przetwarzania danych osobowych jedynie osób upoważnionych, zobowiązanych do zachowania tajemnicy danych osobowych, przeszkolonych z zasad i przepisów z zakresu bezpieczeństwa informacji, wynika wprost z RODO oraz innych przepisów prawa. Jednym z obligatoryjnych obowiązków inspektora ochrony danych jest informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów o ochronie danych i doradzanie im w tej sprawie, a także działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania. Natomiast każdy administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem
i aby móc to wykazać. Bezwzględnie jednym z podstawowych organizacyjnych środków bezpieczeństwa jest przeszkolenie pracowników. Oczywiście nie jest określona forma oraz częstotliwość przeprowadzania takich szkoleń. Na pewno należy pamiętać aby przeszkolić nowo przyjmowanego pracownika zatrudnianego na stanowisku związanym z przetwarzaniem danych osobowych. Warto w tym miejscu przypomnieć, że „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Każdy więc pracownik czy współpracownik, do którego obowiązków służbowych będzie należało przetwarzanie danych, musi być upoważniony, zobowiązany do zachowania tajemnicy danych osobowych (która to tajemnica nie ulega przedawnieniu), oraz przeszkolonym z zasad i przepisów ochrony danych osobowych, generalnie zanim rozpocznie przetwarzanie danych. Należy też organizować sukcesywne szkolenia uzupełniające, przypominające, aktualizujące, zwłaszcza w przypadku zachodzenia istotnych zmian w przepisach prawa. Szkolenia mogą mieć różną formę. Mogą być to szkolenia zewnętrzne, wewnętrzne, z wykorzystaniem zewnętrznych, wykwalifikowanych specjalistów, czy prowadzone przez IOD. Szkolenia e-learningowe, czy instruktaże stanowiskowe. Dla rozliczalności powinny być one w jakiś sposób udokumentowane, np. lista obecności, zaświadczenia, „certyfikaty”. Przede wszystkim jednak powinny zapewnić merytoryczną, praktyczną wiedzę i umiejętności, uświadomić realne zagrożenia oraz środki ochrony. Bardzo dobrym narzędziem do realizacji takiego zadania, do wstępnego przeszkolenia z praktycznych aspektów ochrony danych osobowych wynikających z RODO, jest kurs „RODO w kilka chwil” z podstaw RODO, które powinien znać każdy, kto ma do czynienia z przetwarzaniem danych osobowych. Kurs „RODO w kilka chwil” szybko, czytelnie, konkretnie wyjaśnia podstawowe zagadnienia RODO, czyniąc z uczestnika kursu niejako czytelnika, a raczej postać komiksu. Przyswojone informacje na długo zapadają w pamięć. Certyfikat uczestnictwa dokumentuje przejście kursu. Końcowy test weryfikuje zdobytą wiedzę.

Wdrożenie odpowiednich procedur i budowanie świadomości wśród pracowników skutecznie zredukuje część incydentów związanych z cyberbezpieczeństwem. Należy oczywiście pamiętać, że opisywany obszar to nie tylko ludzie i procedury, ale i technologia. Patrząc na obecne zabezpieczenia używane w większości przedsiębiorstw możemy stwierdzić, że nie są one gotowe na możliwe w tym zakresie ataki. Do najczęściej używanych zabezpieczeń zaliczają się rozwiązania klasy web application firewall oraz systemy detekcji włamań IPS/IDS. Oba rozwiązania są tradycyjnymi metodami ochrony danych, ale przy obecnych możliwościach hackerów niestety niezbyt skuteczne. Innymi bardziej zaawansowanymi technologiami są na przykład zapory sieciowe nowej generacji, systemy DLP ( zapobiegające wyciekowi informacji), MDM (zarządzanie bezpieczeństwem urządzeń mobilnych) czy Anty Malware (Pozwalający skanować i usuwać szkodliwe oprogramowania). Co więcej każda z firm powinna mieć w swojej strukturze jednostkę odpowiedzialną za obszar bezpieczeństwa informacji. Niestety jak wynika z raportu przeprowadzonego przez KPMG zaledwie 2% z ankietowanych firm potwierdziło posiadanie takiej jednostki. Wykrywanie błędów w swoim systemie jest kluczowym czynnikiem w podniesieniu swojego bezpieczeństwa. Najlepszym do tego rozwiązaniem jest przeprowadzanie testów penetracyjnych. Pozwolą  one ujawnić błędy, dzięki czemu wiadomo jakie zmiany powinny zostać zaimplementowane. Mogą być to źle zaprojektowane procesy, rotacje pracowników czy luki w systemie. Dodatkowo przy ewentualnym wycieku danych klientów będziemy posiadali argument, że zrobiło się wszystko by do tego nie doprowadzić.  

Szkoląc i uświadamiając pracowników powinniśmy wypracować skuteczną politykę postępowania w przypadku naruszenia czy nawet podejrzenia naruszenia ochrony danych. Użytkownicy systemów służących do przetwarzania danych osobowych muszą widzieć z czym i do kogo się zgłosić, jeżeli zauważą, stwierdzą czy nawet podejrzewają incydent mogący doprowadzić do naruszenia ochrony danych osobowych, co oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Typowe sytuacje, na które użytkownicy powinni zwracać szczególną uwagę i jeśli trzeba zgłaszać, zwłaszcza inspektorowi ochrony danych, to: ślady na drzwiach, oknach i szafach wskazują na próbę włamania, zniszczenie dokumentacji zawierającej dane osobowe bez użycia niszczarki, fizyczna obecność w budynku lub pomieszczeniach osób zachowujących się podejrzanie, otwarte drzwi do pomieszczeń, szaf, w których przechowywane są dane osobowe, ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe, wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz firmy bez upoważnienia inspektora ochrony danych, udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej i ustnej, telefoniczne próby wyłudzenia danych osobowych, kradzież komputerów lub CD, twardych dysków, pendrive z danymi osobowymi, e-maile zachęcające do ujawnienia identyfikatora i/lub hasła, pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów, przechowywanie haseł do systemów w pobliżu komputera.

Świadomość różnych zagrożeń dla bezpieczeństwa danych osobowych oraz sposobów i zachowań przeciwdziałania nim buduje i podnosi kurs „RODO w kilka chwil” (www.wkilkachwil.pl )

Leave a comment