Nieustanny postęp cyfryzacji ma istotny wpływ na bezpieczeństwo informacji przetwarzanych w cyberprzestrzeni. Cyfryzacja oznacza nie tylko rozwój technologiczny, ale wiąże się nieodłącznie również z różnego rodzaju zagrożeniami dotykającymi podmioty publiczne i komercyjne w Polsce. Otwiera furtki dla hakerów, którzy skutecznie wykorzystują słabe punkty systemów infrastruktury IT w wielu podmiotach. W 2020 r. 64% organizacji odnotowało przynajmniej jeden cyberincydent.[1] Jak skutecznie przeciwdziałać pojawiającym się zagrożeniom? Czy można wprowadzić środki zaradcze?
Spis treści:
Nadzór specjalistów IT
Istotną kwestią wpływu na cyberbezpieczeństwo jest niedobór kadry specjalistów w tym obszarze, brak ich kwalifikacji czy niewystarczające inwestycje w podniesienie bezpieczeństwa infrastruktury IT. Jak wynika z raportu „Barometr cyberbezpieczeństwa” chociaż 58 procent ankietowanych przedsiębiorstw przyznało, że pandemia spowodowała wzrost ryzyka cyberataków, to jedynie 23 procent z nich zwiększyło budżet na zapewnienie bezpieczeństwa w tym obszarze.[2]
Opisane czynniki mają duży wpływ na zagrożenie cyberbezpieczeństwa we wszystkich podmiotach, w których przetwarza się informacje. Bezpieczeństwo informatyczne dla ponad połowy podmiotów w Polsce nie jest najważniejsze.[3] Nie zatrudnia się ekspertów od bezpieczeństwa IT. Często zdarzają się sytuacje, w których informatycy, będący administratorami systemów informatycznych, nie posiadają fachowej wiedzy dotyczącej wdrażania odpowiednich poziomów bezpieczeństwa. Brak właściwego nadzoru i zastosowania narzędzi uniemożliwiających przeciwdziałanie naruszeniom w obszarze cyberbezpieczeństwa, wpływa na podatność systemu IT na wszelkiego rodzaju zagrożenia. Zauważalne jest, że pracownicy nie są szkoleni, a ich świadomość dotycząca zagrożeń w cyberprzestrzeni jest znikoma.
Rola inspektora ochrony danych
Często zapomina się także o nadzorze ze strony inspektorów ochrony danych w obszarach przetwarzania danych osobowych w infrastrukturze informatycznej. Zadania inspektora ochrony danych zostały umocowane w rozporządzeniu Parlamentu Europejskiego i Rady UE[4]. To właśnie inspektor, odgrywa istotną rolę w zapewnieniu bezpieczeństwa w systemach IT. Do tego stanowiska przypisana jest odpowiedzialność za szacowanie ryzyka związanego z operacjami przetwarzania z uwzględnieniem charakteru, zakresu i celów. Niestety często role inspektorów ochrony danych są pomijane i trywializowane.
Zgłaszanie naruszeń
Wiele podmiotów w Polsce nie zgłasza naruszeń związanych z atakiem hakerskim, wyciekiem danych, ich utratą czy kradzieżą. Brak zgłoszeń wynika z obawy, przed pociągnięciem do odpowiedzialności wynikającej z przepisu RODO, a także innych przepisów obowiązujących w Polsce (przykład: ustawa o krajowym systemie cyberbezpieczeństwa). Podmioty zgłaszające obawiają się także nałożenia wysokich kar finansowych, roszczeń odszkodowawczych, także utraty dobrego imienia firmy.
Brak inwestowania w narzędzia IT
W obecnych czasach bezpieczeństwo IT należy uznać za niezwykle istotne, ponieważ w podmiotach publicznych i komercyjnych, są przetwarzane niespotykane ilości informacji, w tym danych osobowych. Jednak inwestycje w narzędzia zapobiegające utracie informacji są niewystarczające. Mimo postępu technologicznego, wiele podmiotów nie zmienia wykorzystywanego sprzętu IT. Często nie jest on doposażany w najnowsze rozwiązania programowe czy narzędziowe.
Przykładem jest wyposażanie pracowników w najtańsze, niezabezpieczone przenośne dyski do przechowywania czy przenoszenia informacji, w tym danych osobowych. W sytuacji ich utracenia (zagubienia lub kradzieży) dostęp do tych danych nie jest w żaden sposób utrudniony. Utrata posiadanych danych nie tylko może doprowadzić do naruszenia dobrego wizerunku firmy, ale także do nałożenia wysokich kar finansowych czy wdrożenia trybu odszkodowawczego. Od kilku lat odnotowuje się wiele przypadków utracenia przenośnych nośników. Jednym z ostatnich przykładów w Polsce jest incydent dotyczący zagubienia nieszyfrowanej przenośnej pamięci zewnętrznej typu pendrive przez kuratora sądowego. Urząd Ochrony Danych Osobowych nie miał wątpliwości, że brak wdrożonych odpowiednich środków technicznych i organizacyjnych, zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci zewnętrznych, zapewniających bezpieczeństwo zapisanych tam danych osobowych, doprowadził do utraty tych danych. Warto zatem inwestować w szyfrowane pamięci, które nie tylko są doskonałym narzędziem pracy, ale także zamkniętym sejfem przechowywującym dane niedostępne dla osób nieuprawnionych. W przypadku zabezpieczenia takich nośników nie ma możliwości kradzieży tych informacji czy udostępnienia ich osobom postronnym i nieuprawnionym.
Autor: Tomasz Surdyk, ekspert w tematyce cyberbezpieczeństwa i doradca firmy Kingston Technology
[1] https://home.kpmg/pl/pl/home/insights/2021/04/raport-barometr-cyberbezpieczenstwa-2020-covid-19-przyspiesza-cyfryzacje-firm.html
[2] https://assets.kpmg/content/dam/kpmg/pl/pdf/2021/04/pl-Wprowadzenie-do-raportu-Barometr-Cyberbezpieczenstwa-2021.pdf
[3] https://polskieradio24.pl/42/273/Artykul/2867502,Cyberbezpieczenstwo-w-biznesie-Raport-ponad-polowa-duzych-firm-nie-umie-sie-bronic-przed-atakami
[4] Art. 39 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego RODO.
