cyberzagro┼╝enia

Cyberzagro┼╝enia, czyli jak chroni─ç firm─Ö przed wyciekiem danych?

dr Katarzyna Schmidt ÔÇô Kwieci┼äska, Uniwersytet SWPS

Stale ro┼Ťnie liczba niebezpiecze┼ästw w cyberprzestrzeni. Rozw├│j nowych technologii generuje powstawanie luk w systemie ochrony danych w przedsi─Öbiorstwach.

Dynamika tych proces├│w uniemo┼╝liwia stworzenie jednolitego katalogu adekwatnych zabezpiecze┼ä. Obowi─ůzuj─ůce przepisy nie przystaj─ů do obecnego stanu nowych technologii. Przedsi─Öbiorcy musz─ů mierzy─ç si─Ö z zagro┼╝eniami wynikaj─ůcymi z korzystania z sieci publicznych, przechowywaniem danych w chmurze, instalowaniem oprogramowania w telefonach i tabletach, korzystaniem z urz─ůdze┼ä przeno┼Ťnych. Brak podstawowych procedur
i mechanizm├│w w wielu firmach prowadzi do powtarzaj─ůcych si─Ö incydent├│w zwi─ůzanych z wyciekiem danych.

Czy masz ochotę spłacać cudzy kredyt? Zapewne nie. Jak się zabezpieczyć, gdy zgubimy dowód osobisty lub mamy podejrzenie, że nasze dane wpadły w niepowołane ręce?

Prawo(1) nak┼éada na przedsi─Öbiorc├│w przetwarzaj─ůcych dane osobowe szereg obowi─ůzk├│w zwi─ůzanych z ich ochron─ů. Administrator Danych Osobowych ma swobod─Ö wyboru ┼Ťrodk├│w ochrony ale jest zobowi─ůzany wybra─ç takie, kt├│re zapewni─ů poziom bezpiecze┼ästwa odpowiedni do zagro┼╝e┼ä oraz charakteru danych obj─Ötych ochron─ů, przy uwzgl─Ödnieniu stanu wiedzy w tej dziedzinie oraz koszt├│w realizacji. W ustawie brakuje jednak skonkretyzowanego katalogu czynno┼Ťci, kt├│re administrator powinien zrealizowa─ç, aby w pe┼éni zabezpieczy─ç dane w formie elektronicznej. (2) Na poziomie prawodawstwa europejskiego r├│wnie┼╝ nie odnajdujemy skonkretyzowanego, zamkni─Ötego katalogu zabezpiecze┼ä, kt├│rych wprowadzenie by┼éoby jednoznaczne ze spe┼énieniem cho─çby minimalnego standardu ochrony danych w przestrzeni informatycznej. (3)

Jakie skutki niesie za sob─ů pomy┼éka w cenie na aukcji internetowej? Jak radzi─ç sobie z b┼é─Ödami na aukcji? Jak mo┼╝na uwolni─ç si─Ö od skutk├│w umowy zawartej pod wp┼éywem b┼é─Ödu? Przeczytaj WI─śCEJ.

Zestawienie ze sob─ů wymog├│w ustawodawcy z zabezpieczeniami stosowanymi w wielu polskich przedsi─Öbiorstwach prowadzi do konkluzji, ┼╝e wykorzystywane metody s─ů nieodpowiednie oraz niewystarczaj─ůce. Jednym z powod├│w takiego stanu rzeczy jest wyst─Öpowanie w ustawie jednolitego miernika dla wszystkich administrator├│w bez r├│┼╝nicowania ze wzgl─Ödu na wielko┼Ť─ç przedsi─Öbiorstwa oraz form─Ö prawn─ů prowadzenia dzia┼éalno┼Ťci. Mo┼╝e to prowadzi─ç do wniosku, ┼╝e jednakowe ┼Ťrodki zabezpieczenia powinien wprowadzi─ç zar├│wno mikroprzedsi─Öbiorca dzia┼éaj─ůcy w formie jednoosobowej jak i du┼╝a sp├│┼éka akcyjna. Pomimo, ┼╝e dysponuj─ů oni r├│┼╝nymi mo┼╝liwo┼Ťciami organizacyjnymi oraz bud┼╝etem na wdra┼╝anie rozwi─ůza┼ä informatycznych, zobligowani s─ů do zapewnienia w r├│wnym stopniu bezpiecze┼ästwa danych w przestrzeni informatycznej.

Administrator danych osobowych nie uzyska zatem od ustawodawcy oparcia w postaci skonkretyzowanych wytycznych wskazuj─ůcych konieczne do wdro┼╝enia sposoby zabezpieczenia danych elektronicznych. Przy doborze adekwatnych metod musi wi─Öc polega─ç na swojej wiedzy oraz posiada─ç odpowiednie rozeznanie w istniej─ůcych rozwi─ůzaniach informatycznych.

Dylematy te staj─ů si─Ö szczeg├│lnie wa┼╝ne w kontek┼Ťcie planowanego za dwa lata (4) rozporz─ůdzenia Parlamentu Europejskiego i Rady, kt├│re na┼éo┼╝y na administratora obowi─ůzek uwzgl─Ödnienia najnowszych osi─ůgni─Ö─ç technicznych oraz koszt├│w wdro┼╝enia rozwi─ůza┼ä w zakresie ochrony danych osobowych zar├│wno w momencie ustalania ┼Ťrodk├│w niezb─Ödnych do przetwarzania, jak i podczas przetwarzania przy wdro┼╝eniu odpowiednich ┼Ťrodk├│w i procedur technicznych i organizacyjnych, w taki spos├│b by przetwarzanie gwarantowa┼éo ochron─Ö praw podmiotu danych. Takie sformu┼éowanie akcentuje konieczno┼Ť─ç dynamicznego doskonalenia si─Ö administratora danych osobowych w obszarze nowych technologii. Jest zobowi─ůzany do znajomo┼Ťci i monitorowania nowych zagro┼╝e┼ä i rozwi─ůza┼ä im zapobiegaj─ůcym. Przywo┼éane rozporz─ůdzenie akcentuje ci─ůg┼éo┼Ť─ç dzia┼éa┼ä administratora w obszarze ochrony danych.

Niew─ůtpliwie kwestia ochrony danych osobowych w zwi─ůzku z wej┼Ťciem w ┼╝ycie unijnego rozporz─ůdzenia stanie si─Ö istotnym wyzwaniem dla polskich przedsi─Öbiorc├│w. Istotn─ů konsekwencj─ů unijnej reformy jest tak┼╝e zaostrzenie kar dla przedsi─Öbiorc├│w, kt├│rzy b─Öd─ů gromadzi─ç i udost─Öpnia─ç dane w spos├│b sprzeczny z przepisami. Oczekiwanie wzgl─Ödem administratora danych osobowych
w zakresie znajomo┼Ťci najnowszych technologii sk┼éoni wiele firm do powo┼éania Administratora Bezpiecze┼ästwa Informacji. Takie rozwi─ůzanie pozwoli delegowa─ç obowi─ůzki zwi─ůzane z ochron─ů danych na osob─Ö, kt├│ra posiada stosown─ů wiedz─Ö w tym zakresie. Umo┼╝liwi tak┼╝e sta┼ée podnoszenie kwalifikacji ABI w zakresie nowych technologii, zgodnie z wymogami rozporz─ůdzenia.

dr Katarzyna Schmidt ÔÇô Kwieci┼äska, radca prawny, Uniwersytet SWPS Wroc┼éaw

***

(1) Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2015 r. poz 2135 z p├│┼║n. zm.)

(2) Pewne standardy wprowadza za┼é─ůcznik do rozporz─ůdzenia Ministra Spraw Wewn─Ötrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunk├│w technicznych i organizacyjnych jakim powinny odpowiada─ç urz─ůdzenia i systemy informatyczne s┼éu┼╝─ůce do przetwarzania danych (Dz. U. z 2004 r. Nr 100, poz. 1024). Wymienione w za┼é─ůczniku poziomy bezpiecze┼ästwa: podstawowy, podwy┼╝szony i wysoki wydaj─ů si─Ö niewystarczaj─ůce. W─ůtpliwo┼Ťci co do adekwatnych sposob├│w zabezpiecze┼ä w ┼╝aden spos├│b nie rozstrzyga dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 pa┼║dziernika 1995 r. w sprawie ochrony os├│b fizycznych w zakresie przetwarzania danych osobowych i swobodnego przep┼éywu tych danych.

(3) Art. 17 ust. 1 dyrektywy obliguje ADO do wprowadzenia odpowiednich ┼Ťrodk├│w technicznych i organizacyjnych w celu ochrony danych.

(4) Zast─ůpienia dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 pa┼║dziernika 1995 r. w sprawie ochrony os├│b fizycznych w zakresie przetwarzania danych osobowych i swobodnego przep┼éywu tych danych rozporz─ůdzeniem w sprawie ochrony os├│b fizycznych w zwi─ůzku z przetwarzaniem danych osobowych i swobodnym przep┼éywem takich danych (og├│lne rozporz─ůdzenie o ochronie danych) (Art. 23 ust. 1)