Podstawy
cyfrowej ochrony danych osobowych

Co to są dane osobowe?

Zgodnie z rozporządzeniem RODO, dane osobowe to wszelkie informacje, pozwalające zidentyfikować  osobę fizyczną. Za osobę fizyczną uważa się osobę, której tożsamość można ustalić na podstawie numeru identyfikacyjnego (np. PESEL) lub innych, unikalnych informacji i czynników, określających jej cechy:

• fizyczne,
• fizjologiczne,
• umysłowe,
• ekonomiczne
• kulturowe,
• społeczne.

Dane osobowe to nie tylko imię, nazwisko, data urodzenia, czy określenie płci. To również informacje o posiadanych nieruchomościach czy pojazdach. Krótko mówiąc, to nie tylko klasyczne dane identyfikacyjne. W tym zbiorze mieszczą się także pojedyncze informacje, jak PESEL i NIP, które pozwalają odnieść się do konkretnej osoby. Ale w większości przypadków pojedyncza informacja nie będzie uważana za daną osobową, ponieważ jest zbyt ogólna albo zaszyfrowana. Dopiero zestawienie jej z dodatkowymi pozwoli na identyfikację konkretnej osoby. Informacje, które dla Ciebie zebraliśmy to definicje prawne. Nie wynika z nich bezpośrednio, które konkretnie należy traktować jako dane osobowe. Nie istnieje niestety określony zakres informacji uważanych za dane osobowe. Dlatego w wielu sytuacjach trzeba dokonać indywidualnej oceny, czy dana informacja to cecha osobowa, czy nie. W praktyce wszystkie dane o człowieku powinny jednak być chronione.

Co to znaczy przetwarzać dane osobowe?

Przetwarzanie danych osobowych to wszystkie czynności, które się na nich przeprowadza. A więc przetwarzanie danych osobowych to ich:

• gromadzenie,
• przechowywanie,
• opracowywanie,
• edycja (wprowadzanie zmian),
• udostępnianie,
• usuwanie.

Obecnie praktycznie każda instytucja czy firma przetwarza dane osobowe. Dlatego wszyscy powinni być wyczuleni na ryzyko ich wycieku. Szczególną rolę odgrywa dziś cyfrowa ochrona danych osobowych. 

WAŻNE!

Zgodnie z prawem, każda instytucja przetwarzająca dane osobowe musi przedstawiać konkretny i uzasadniony gospodarczo cel ich przetwarzania.

Czym jest ochrona danych osobowych?

Ochrona danych osobowych to inaczej ochrona informacji dotyczących osób fizycznych, którymi dysponuje Twoja firma lub instytucja. Oczywiście mowa tutaj zarówno o pojedynczych danych, jak i ich zbiorach. Podmiot, który przetwarza dane osobowe ma obowiązek ich ochrony, co wynika z przepisów – każda osoba ma prawo do ochrony swoich danych.  Aby objąć ochroną dane osobowe, które przetwarzasz, musisz zabezpieczyć te informacje we właściwy sposób. Zatem ochrona danych osobowych to ich zabezpieczenie przed:

• utratą,
• wyciekiem na zewnątrz,
• dostępem osób nieupoważnionych.

Dlaczego tak jest? Każda firma lub jednostka samorządu terytorialnego działa inaczej, ma różną strukturę i potrzeby, które wynikają z wielu czynników. Opracowanie ścisłych wytycznych byłoby trudne i w praktyce nie miałoby sensu. Jeśli chcesz dobrać odpowiedni sposób ochrony danych w sieci IT Twojej firmy lub instytucji, skorzystaj z wiedzy i doświadczenia specjalistów. Więcej na ten temat przeczytasz niżej, w tym artykule.

Jakie są zagrożenia wycieku danych osobowych z sieci IT?

Z pewnością zdajesz sobie sprawę, że ryzyko wycieku danych osobowych z sieci IT istnieje zawsze. Również w Twojej firmie lub instytucji. Wyciek może być nie tylko skutkiem działania cyberprzestępców. Dane osobowe mogą trafić w niepowołane ręce w wyniku całego szeregu zdarzeń. Reasumując, zagrożenia możemy podzielić na zewnętrzne i wewnętrzne. Niżej szczegółowo je opisujemy.

Zagrożenia zewnętrze

Chodzi oczywiście o wszystkie zdarzenia z otoczenia Twojej firmy lub instytucji, które mogą spowodować wyciek danych. Czynniki stwarzające zagrożenie zewnętrzne to:

• celowe działanie cyberprzestępców,
• luki w zabezpieczeniach sieci IT, które mogą prowadzić do przypadkowego wycieku lub „zachęcić” hakerów do działania.

W pierwszej kolejności omówimy krótko celowe działania hakerów. Ich motywacje mogą być różne, np.:

• wymuszenie okupu od Twojej firmy lub instytucji,
• wymuszenie okupu lub szantaż osób, których dane haker przechwycił z Twojej sieci,
• kradzież tożsamości,
• cyberataki na tle politycznym.

Dla osiągnięcia swoich celów cyberprzestępcy korzystają z różnych form ataku. Wśród nich wymienimy tylko najważniejsze:

RANSOMWARE
To atak z użyciem oprogramowania, które umożliwiające cyberprzestępcy zaszyfrowanie dostępu do zaatakowanego systemu, aplikacji, urządzenia, bazy danych itp. W ten sposób haker wymusza okup w zamian za odblokowanie dostępu do danych. Czasem, aby przeprowadzić taki atak, haker korzysta z phishingu.

PHISHING
W języku angielskim brzmi tak samo jak fishing, czyli łowienie. To zazwyczaj masowy atak polegający na rozsyłaniu wiadomości zawierających link do złośliwego oprogramowania. Ich treść zachęca do interakcji, kliknięcia w niebezpieczny link. W ten sposób przestępcy m.in. wyłudzają dane osobowe, logowania czy instalują na Twoim urządzeniu złośliwe oprogramowania. Przypomnij sobie, czy do Ciebie też nie trafiła kiedyś wiadomość o rzekomym spadku po biznesmenie lub pieniądzach od nigeryjskiego księcia?

SPEAR-PHISHING
To szczególnie groźna odmiana phishingu. Działa podobnie jak klasyczny phishing, jednak celem jest konkretna osoba lub instytucja. Atak opiera się na wykorzystaniu informacji, np. osobistych – przestępcy podszywają się pod przełożonego lub znajomego. Hakerzy mogą też używać połączeń telefonicznych dla zwiększenia swojej wiarygodności.

DoS i DDoS
Ataki polegające na tworzeniu dużego ruch w kierunku ofiary. Najczęściej chodzi o aplikacje lub serwery, ale także strony internetowe. Hakerzy atakują z wielu urządzeń i miejsc na raz, co skutkuje spowolnieniem lub nawet „padnięciem” systemu, ponieważ nie może obsłużyć tak dużego ruchu.

---

Zagrożenia wewnętrzne

1. Bagatelizowanie ryzyka

Jeden z powszechnie popełnianych błędów to przekonanie, że ryzyko cyberataku lub wycieku danych „nas” nie dotyczy. Weź pod uwagę różnorodność sytuacji, w jakich może dojść do ataku lub niezawinionego ujawnienia wrażliwych danych.

2. Przekonanie o niskiej atrakcyjności instytucji małych miast, gmin oraz firm z sektora MSP dla hakerów.

Kolejne zagrożenie wewnętrzne w większym stopniu dotyczy firm z sektora MSP oraz mniejszych JST. Wewnątrz tych organizacji również panuje, wspomniana przez nas wcześniej, uśpiona czujność na ryzyko wycieku danych – zarówno na skutek cyberataku jak i nieumyślnego ujawnienia informacji. Mali i średni przedsiębiorcy często uważają, że ze względu na wielkość swojego biznesu, nie stanowią atrakcyjnego celu dla hakerów. 
To prawda, że duże przedsiębiorstwa i aglomeracje są bardziej narażone na cyberataki i wycieki danych, ale również dane osobowe, przechowywane w mniejszych organizacjach, mogą zainteresować cyberprzestępców. Mieszkańcami niewielkich miejscowości w pobliżu dużych miast często bywają prezesi dużych firm lub osoby prowadzące wielomilionowe inwestycje.

3. Niski poziom wiedzy o zagrożeniach w zespole pracowników.

Pracownicy często nie zdają sobie sprawy, że to właśnie oni – a nie infrastruktura IT w organizacji – mogą zostać zaatakowani przez cyberprzestępców. Z kolei hakerzy doskonale zdają sobie sprawę, że to ludzie są najsłabszym ogniwem każdej sieci IT i wykorzystują ten fakt. Wiele form cyberataków opiera się o social engineering, czyli socjotechniki wykorzystujące niski poziom wiedzy na temat zagrożeń i słabe strony ludzkiej psychiki.

4. Obarczanie wyłącznie działów IT odpowiedzialnością za cyberbezpieczeństwo w organizacji.

Wiele osób zakłada, że odpowiedzialność za bezpieczeństwo cybernetyczne spoczywa wyłącznie na dziale IT firmy lub instytucji i to on powinien zarządzać wszelkimi procedurami oraz kontrolować ich stosowanie. To nieprawda. Wiedzę na temat procedur i tego, jak reagować w przypadku zagrożenia, powinni mieć wszyscy pracownicy twojej firmy lub instytucji. Dziś każdy pracuje w dziale IT – patrz punkt wyżej.

Jak zadbać o cyfrową ochronę danych osobowych?

Aby zadbać o wysoki poziom ochrony danych osobowych w Twojej organizacji, nie wystarczy zakup dobrego oprogramowania. Co w takim razie warto zrobić? Specjaliści zalecają:

• regularnie kontroluj stan bezpieczeństwa infrastruktury IT (przeprowadzaj audyty),
• organizuj cyklicznie szkolenia pracowników na temat bezpieczeństwa IT.

Audyt bezpieczeństwa IT w organizacji

Kontrola infrastruktury IT w Twojej firmie powinna składać się z kilku różnych etapów. Spójrz jakich:

• zebranie informacji o zabezpieczeniach stosowanych w Twojej firmie,
• przeprowadzenie badań i testów zabezpieczeń,
• analiza wyników i opracowanie raportu z audytu,
• przedstawienie propozycji zmian w zabezpieczeniach,
• wdrożenie zaleceń pokontrolnych.

Warto podkreślić, ze skuteczny audyt bezpieczeństwa powinien składać się z:

• Testów penetracyjnych, czyli symulowanego ataku hakerskiego, który wykaże wszystkie luki w systemie bezpieczeństwa i pozwoli to naprawić.
• Testów aplikacji webowych – czyli kontroli bezpieczeństwa aplikacji webowych, z których korzysta Twoja organizacja.

Szkolenia pracowników w zakresie bezpieczeństwa IT

Aby szkolenia pracowników przyniosły rezultat, powinny odbywać się one cyklicznie. Dzięki temu masz pewność, że dobre praktyki staną się nawykiem w Twoim zespole. 
Najlepiej działa forma warsztatów. Odbywają się one w następujący sposób:

1. Zewnętrzni specjaliści badają poziom wiedzy i sposób reakcji uczestników.
2. Następny krok to przekazywanie wiedzy o właściwych reakcjach na cyberataki.
3. Po części teoretycznej specjaliści sprawdzają wzrost umiejętności uczestników po szkoleniu.
4. Ostatni krok to ocena skuteczności szkolenia.

PAMIĘTAJ!

Zmianom wciąż ulega stopień skomplikowania cyberataków, których wykrycie może być coraz trudniejsze. Niestety pandemia i sytuacja globalna przyspieszyła rozwój działalności cyberprzestępców.

---

Wiesz już więcej o podstawach cyberbezpieczeństwa danych osobowych. Zastanawiasz się nad wdrożeniem tych rozwiązań w swojej organizacji?