Kilka porad od Eksperta ds. bezpieczeństwa informacji, danych osobowych i cyberbezpieczeństwa.
Dzięki ponad 24-letniemu doświadczeniu w dziedzinie bezpieczeństwa IT w instytucjach rządowych, Tomasz Surdyk jest wiodącym ekspertem, jeśli chodzi o bezpieczeństwo informacji, danych osobowych oraz cyberbezpieczeństwo. W przeszłości kontrolował systemy i sieci teleinformatyczne wykorzystywane do przetwarzania informacji niejawnych i dane osobowe w administracji rządowej. Posiada poświadczenie bezpieczeństwa w NATO i UE.
Od kilku lat jest właścicielem firmy specjalizującej się we wdrażaniu bezpiecznych rozwiązań, które pozwalają zwiększyć bezpieczeństwo informacji biznesowych i danych osobowych. W ramach swojej działalności przeprowadza również audyty w różnych instytucjach z sektora publicznego i prywatnego w krajach UE. Ponadto jest doświadczonym doradcą w zakresie ochrony danych osobowych, bezpieczeństwa informacji, kradzieży tożsamości, cyberbezpieczeństwa oraz tajemnicy bankowej. Był jednym z pierwszych ekspertów, którzy wdrażali rozwiązania służące do ochrony danych osobowych w polskiej policji.
Jak postępowała cyfryzacja i ochrona bezpieczeństwa
Ciągły postęp cyfryzacji ma istotny wpływ na bezpieczeństwo informacji przetwarzanych w cyfrowym świecie. Cyfryzacja to nie tylko rozwój technologiczny – wiąże się ona także z różnego rodzaju zagrożeniami dotykającymi podmioty publiczne i komercyjne. Cyfryzacja otwiera bramy dla hakerów, którzy skutecznie wykorzystują słabe punkty systemów infrastruktury IT do swoich nikczemnych celów, powodując trwałe szkody o charakterze materialnym i wizerunkowym. W 2020 r. 64% organizacji doświadczyło co najmniej jednego incydentu w obszarze cyberbezpieczeństwa. Jak skutecznie przeciwdziałać pojawiającym się zagrożeniom? Jakie środki zaradcze można zastosować?
Znaczenie umiejętności w dziedzinie cyberbezpieczeństwa
Istotną kwestią mającą wpływ na cyberbezpieczeństwo jest brak specjalistów w tej dziedzinie. Mówiąc dokładniej, w branży brakuje kwalifikacji i niezbędnych inwestycji w obszarze bezpieczeństwa infrastruktury IT. Według raportu „Barometr bezpieczeństwa cybernetycznego” 58% ankietowanych firm przyznało, że pandemia zwiększyła ryzyko cyberataków. Jednak tylko 23% z nich zwiększyło swoje budżety, aby zapewnić bezpieczeństwo w tym obszarze.*
Czynniki te mają istotny wpływ na zagrożenie naruszeniami cyberbezpieczeństwa i wynikające z niego ryzyko dla organizacji. Mimo ciągłych doniesień o naruszeniach bezpieczeństwa danych i cyberzagrożeniach, bezpieczeństwo IT wydaje się nie być wystarczająco ważne dla blisko 60% firm. Nic więc dziwnego, że większość firm nie korzysta w pełnym zakresie z pomocy ekspertów ds. bezpieczeństwa IT. Często zdarzają się sytuacje, w których zespoły IT nie mają odpowiedniej wiedzy, aby wdrożyć odpowiednie strategie bezpieczeństwa. Brak fachowego nadzoru i wykorzystania niezbędnych narzędzi do zapobiegania atakom otwiera drzwi do słabych punktów w bardziej rozległych systemach informatycznych. Widać, że pracownicy nie przechodzą odpowiednich szkoleń w zakresie najlepszych metod zapewnienia bezpieczeństwa cybernetycznego, przez co ich świadomość zagrożeń w cyberprzestrzeni jest znikoma.
Kluczowe role w dziedzinie ochrony danych
Innym obszarem infrastruktury IT, o którym często się zapomina, jest nadzór inspektorów ochrony danych w obszarze przetwarzania danych osobowych. Zadania inspektorów ochrony danych zostały zdefiniowane w rozporządzeniach Parlamentu Europejskiego i Rady UE. Odgrywają oni ważną rolę w zapewnianiu bezpieczeństwa systemów informatycznych, ponieważ są odpowiedzialni za ocenę ryzyka związanego z operacjami przetwarzania danych. Muszą także brać pod uwagę ich charakter, zakres i cel.
Zgłaszanie naruszeń
Wiele podmiotów nie zgłasza żadnych naruszeń związanych z atakami hakerskimi i wyciekiem, utratą lub kradzieżą danych. Brak zgłoszeń wynika z obawy przed pociągnięciem do odpowiedzialności na podstawie takich przepisów, jak RODO (Ogólne rozporządzenie o ochronie danych). Zgłaszające podmioty obawiają się również wysokich kar finansowych i roszczeń odszkodowawczych oraz odpowiedzialności za utratę reputacji firmy.
Brak inwestycji w odpowiednie narzędzia IT
Biorąc pod uwagę obecne zwiększone ryzyko, bezpieczeństwo informatyczne powinno być traktowane priorytetowo ze względu na bezprecedensową ilość przetwarzanych i przechowywanych danych. Jednak obecny poziom inwestycji w narzędzia zapobiegające utracie danych jest niewystarczający. Mimo postępu technologicznego w dziedzinie ochrony danych wiele organizacji nie dostosowało się do obecnych możliwości i nie wykorzystuje najnowszych rozwiązań.
Zbyt częstą praktyką jest wyposażanie pracowników w nieszyfrowane urządzenia pamięci USB do przechowywania i przenoszenia poufnych danych, co zwykle wiąże się z ryzykiem podyktowanym oszczędnością. W przypadku utraty lub kradzieży danych dostęp do nich nie jest w żaden sposób zabezpieczony. Może to prowadzić nie tylko do naruszenia danych firmy, ale także wpłynąć na jej reputację i skutkować wysokimi karami finansowymi oraz postępowaniami sądowymi.