25 maja 2018 roku zaczęło obowiązywać RODO, czyli Rozporządzenie o Ochronie Danych Osobowych. Przy okazji drugiej rocznicy wprowadzenia tej unijnej regulacji, warto się przyjrzeć temu, jakie wyzwania stoją przed różnymi podmiotami. Rynek pracy dynamicznie zmieniał się już od jakiegoś czasu, a obecnie wiele podmiotów przeszło na pracę zdalną w trybie bardzo szybkim i niespodziewanym. Z tego względu przystosowanie przedsiębiorstwa do wymogów zewnętrznych to sprawa kompleksowa i wymagająca elastyczności. Sytuację analizuje Tomasz Surdyk, ekspert w tematyce cyberbezpieczeństwa i doradca firmy Kingston Technology.
Edukacja, edukacja i jeszcze raz…edukacja
U podstaw bezpieczeństwa w wielu sytuacjach nie leżą rozwiązania czy produkty, a edukacja. Często mimo szkoleń, wiedza na temat RODO czy cyberbezpieczeństwa nie jest wystarczająca. Wynika to z tego, że ogólne zasady i przepisy nie są przez pracodawców przełożone na konkretne sytuacje i procesy, które mają miejsce w firmie. Celem powinno być tworzenie kultury, a nie tylko odhaczenie obowiązku przeprowadzenia szkolenia, które polega na zaznaczeniu pól wyboru. Większość naruszeń w obszarze IT to w końcu wynik błędów człowieka. Brak świadomości, procedur oraz brak dostosowania infrastruktury IT do obowiązujących przepisów prawa może doprowadzić do częstych naruszeń, utraty danych, destabilizacji systemu, nie tylko poprzez naruszenie przepisów UKSC, ale także RODO. Zgodność z rozporządzeniem jest możliwa nie poprzez jednorazowe działanie, tylko ciągłą dbałość o bezpieczeństwo danych. Co ważne, dotyczy ona działań każdego pracownika.
Większa świadomość po obu stronach
Warto zwrócić uwagę na fakt, że wprowadzenie RODO zwiększyło również świadomość konsumentów w zakresie ich praw do danych. Wiedzą oni, że w przypadku utraty danych przez firmy, niezależnie od przyczyny, mają prawo do odszkodowania. Perspektywę konsumencką można wykorzystywać w szkoleniach, żeby uświadomić pracownikom, że za danymi zawsze stoi konkretna osoba. Chodzi tu o zwizualizowanie wyobrażenia, co by się stało, gdyby to ich dane wypłynęły lub ktoś nimi nieodpowiednio zarządzał. Taki przykład ułatwia tworzenie połączenia myślowego, że w ochronie danych chodzi głównie o prywatność i że w gruncie rzeczy, dotyczy to każdego z nas. W kontekście większej świadomości, RODO zmieniło biznes na lepsze, zwracając uwagę na prywatność informacji i bezpieczeństwo sieci zarówno wśród kadry dyrektorskiej, jak i klientów.
Odpowiednie narzędzia
Wciąż obserwujemy, że różne podmioty często pomijają odpowiednie wyposażenie swojego personelu, a ma to ogromne znaczenie zwłaszcza w obliczu pracy zdalnej. Narzędzia uniemożliwiające utratę informacji mogłyby przyczynić się do zmniejszenia ryzyka. Tymczasem, dla przykładu, pracownicy często otrzymują (jeśli w ogóle) najtańsze, niezabezpieczone nośniki USB. W sytuacji ich zagubienia bądź kradzieży dostęp do znajdujących się tam danych jest łatwy i bezpośredni. Od początku obowiązywania przepisów RODO były już przypadki utraty popularnych pendrive’ów i udostępnienia znajdujących się tam informacji. Zapomina się o inwestowaniu w szyfrowane pamięci, które nie tylko są doskonałym narzędziem pracy, ale także sejfem przechowywującym dane. W przypadku zabezpieczenia nośnika USB kluczem AES 256, praktycznie nie ma możliwości kradzieży danych znajdujących się na nośniku.
Idea cyberbezpieczeństwa
W Polsce od sierpnia 2018 roku obowiązuje ustawa o krajowym systemie cyberbezpieczeństwa (UKSC). Wskazany przepis od momentu obowiązywania nie wzbudzał entuzjazmu wśród osób zarządzających podmiotami publicznymi oraz przedsiębiorstwami. Ustawa została określona „młodszą siostrą RODO”, ponieważ nakłada wiele obowiązków na operatorów usług kluczowych, dostawców usług cyfrowych, podmiotów publicznych, organów właściwych CSiRT poziomu krajowego czy podmiotów świadczących usługi z zakresu cyberbezpieczeństwa. Lista podmiotów objętych tymi przepisami jest dużo szersza, niż mogłoby się wydawać i zawiera zarówno przedsiębiorstwa z wybranych sektorów, jak i podmioty publiczne.
Głównymi zadaniami wdrażających UKSC jest powołanie osoby odpowiedzialnej za bezpieczeństwo obszaru IT, zespołu wdrażającego system bezpieczeństwa IT, dostosowanie podmiotu do wymogów ustawy, przeprowadzenie procesu analizy ryzyka czy też wdrożenie procesu zarządzania incydentami bezpieczeństwa. Oczywiście należy dodatkowo przeprowadzić działania edukacyjne oraz wdrożyć wymaganą dokumentację bezpieczeństwa, opisującą zastosowanie środków organizacyjnych i technicznych.
Rezultat
Czy wskazane podmioty dostosowały się do obowiązujących przepisów i należycie wdrożyły procedury bezpieczeństwa? Trudno wystawić tutaj pozytywne oceny – brak właściwego nadzoru i zastosowania narzędzi uniemożliwiających przeciwdziałanie naruszeniom w obszarze cyberbezpieczeństwa wpływa na podatność systemu IT na wszelkiego rodzaju zagrożenia. Pracownicy nie są szkoleni i uświadamiani. Zagrożenia są bagatelizowane, coraz częściej dochodzi do incydentów doprowadzających do naruszenia obowiązujących przepisów i utraty posiadanych danych.
Bezpieczeństwo obszaru IT dla większości podmiotów w Polsce nie jest najważniejsze. Nie inwestuje się w ekspertów z obszaru IT. Często zdarzają się sytuacje, w których informatycy, będący administratorami systemów informatycznych, nie posiadają fachowej wiedzy dotyczącej wdrażania odpowiednich procedur bezpieczeństwa i zapewnienia wszelkiej pomocy – posiadają głównie wiedzę serwisową. W całej Europie zatrudnionych jest ponad 500 000 inspektorów ochrony danych – i to sześć razy więcej niż przewidywano w 2017 roku. A jednak znaczenie ich roli jest często pomijane i trywializowane.
Wiele podmiotów w Polsce nie zgłasza naruszeń związanych z wyciekiem danych, atakiem hakerskim czy utratą lub kradzieżą danych. Brak zgłoszeń wynika z obawy, że na te podmioty zostaną nałożone wysokie kary finansowe wskazane w przepisach RODO. Dodatkowo zarządzający podmiotami obawiają się roszczeń odszkodowawczych.