Cyber Security

Komputery i systemy informatyczne stanowią narzędzia ułatwiające i usprawniające pracę oraz wspomagające zarządzanie przedsiębiorstwem. Są tak powszechne, że wspierają one prawie wszystkie możliwe procesy biznesowe. Peter F.

Drucker w książce Menedżer skuteczny określa to zjawisko mianem „ostrej komputerozy” – dzisiaj w systemach informatycznych gromadzi się prawie wszystkie firmowe informacje, w większości są to dane osobowe. Komisja Europejska w swoich materiałach podkreśla, że1:

W Europie ok. 250 mln osób korzysta z internetu każdego dnia. Podajemy i udostępniamy coraz więcej naszych danych w zasadzie podczas każdej życiowej aktywności – czy to płacąc przelewem lub Blikiem, w sklepie tradycyjnym lub internetowym, udzielając się w mediach społecznościowych czy też rozliczając zeznania podatkowe. W tak szybko zmieniającym się cyfrowym świecie dane są czymś, co należy chronić, dlatego ochrona danych osobowych w Europie jest podstawowym prawem każdego obywatela.

 

Dlatego systemy i sieci komputerowe mają szczególne znaczenie z perspektywy RODO.

 

Przetwarzając dane osobowe z użyciem komputera (przed wprowadzeniem RODO), należało spełniać wymagania opisane w jednym z aktów wykonawczych do ustawy o ochronie danych osobowych2, w którym zdefiniowane były wymagania techniczne stawiane „urządzeniom i systemom informatycznym”. Polska była prawdopodobnie jedynym krajem w Europie, który przygotował tego rodzaju szczegółowe wymagania. Przykładowo, jednym z nich była konieczność zmiany stosowania skomplikowanych haseł o długości co najmniej 8 znaków i zmienianych co 30 dni. Kiedy zapisy RODO zaczną być stosowane, wymagania z tego aktu wykonawczego3 przestaną obowiązywać, ale to nie znaczy, że IT nie musi się zmienić i dostosować do nszych wymogów. Wręcz przeciwnie, po stronie systemów informatycznych – z racji tego, że wspierają w zasadzie wszystkie procesy biznesowe – będzie prawdopodobnie najwięcej pracy do wykonania. Niektórzy specjaliści z branży wpadają z tego powodu w panikę, gdyż nowe przepisy nie stawiają żadnych konkretnych wymagań wobec systemów informatycznych.

Skoro najwięcej informacji jest w systemach komputerowych, to w świetle rozporządzenia i nowej ustawy o ochronie danych osobowych zabezpieczenie tych systemów będzie szczególnie ważne.
 

Istotnym czynnikiem wpływającym na rolę bezpieczeństwa systemów informatycznych jest to, że staliśmy się już społeczeństwem informacyjnym, w którym rywalizuje się ze sobą za pomocą informacji. Stąd dane osobowe warto chronić nie tylko dlatego, żeby uniknąć bardzo wysokich kar, ale także aby utrzymać odpowiednią pozycję konkurencyjną organizacji.
 

W Europie idea społeczeństwa informacyjnego została potraktowana bardzo poważnie, a nowe przepisy o ochronie danych stanowią jeden z elementów jego budowania. Świadczy o tym przykładowo prawo do przenoszenia danych (możliwość żądania przeniesienia danych osobowych do innej organizacji opisane w art. 20 RODO), które wydaje się być głównie prawem prokonsumenckim, mającym zapobiegać nadmiernemu związaniu się z przedsiębiorcą oraz zwiększającym konkurencyjność przedsiębiorców, co raczej w luźny sposób wiąże się z ochroną danych osobowych i prywatności. Podkreśla się to także w dokumentach opublikowanych dnia 24 stycznia 2018 r.4 przez Komisję Europejską.

Nikogo chyba nie trzeba przekonywać, jak ważne jest cyberbezpieczeństwo (ang. cybersecurity). Technologia jest wszechobecna – cokolwiek robimy i gdziekolwiek jesteśmy. W ostatnich latach dramatycznie wzrosła skala przetwarzania i ilość wymienianych danych, pojawiają się też nowe trendy – jakiś czas temu była to wirtualizacja, dzisiaj są to chmury obliczeniowe. Coraz częściej spotyka się tzw. internet rzeczy (ang. internet of things – IoT), tj. przedmioty, głównie codziennego użytku, podłączone do sieci komputerowych. Bywają to inteligentne lodówki, samochody, odkurzacze, szczoteczki do zębów, kamery w ogrodzie, elektroniczne nianie i zabawki dla dzieci, a nawet sztućce5.

Nowe przepisy o ochronie danych osobowych miały za zadanie sprostać szybko zmieniającym się technologicznym wyzwaniom, i z tego właśnie powodu RODO jest technologicznie neutralne, nie definiuje konkretnych rozwiązań i zabezpieczeń, a raczej nakazuje je dobierać do zagrożeń, bo te przecież z biegiem czasu będą się zmieniać wraz ze zmianami technologii. Technologia też zmienia się w bardzo szybkim tempie. Jeszcze nie tak dawno chmury obliczeniowe były pewną egzotyką w świecie IT, dzisiaj większość organizacji z nich korzysta. Przykłady można mnożyć w nieskończoność.
 

Zabezpieczenia informacji w formie cyfrowej są priorytetem dla każdego biznesu, niezależnie od jego skali, bo bezpowrotna utrata danych czy ich „wyciek” najczęściej oznacza bankructwo lub przynajmniej poważne kłopoty.
 

Bezpieczeństwo komputerowe pewnie dlatego jest sporym wyzwaniem, ponieważ nie zdążyliśmy się jeszcze wszyscy wychować w kulturze bezpieczeństwa informacji. Dodatkowym tego powodem są specyficzne cechy informacji, które będą uwidaczniać się i stwarzać problemy podczas stosowania zabezpieczeń, szczególnie o charakterze informatycznym. Oto niektóre z nich:

  • kopia informacji niczym nie różni się od oryginału i ma tę samą wartość,
  • informacja nie zużywa się przy powielaniu i przenoszeniu, można ją kopiować i odczytywać dowolną ilość razy,
  • użycie informacji nie powoduje jej zniszczenia,
  • informacja ważna dla jednych podmiotów może okazać się bezużyteczna dla innych,
  • wartość informacji zależy od momentu jej użycia,
  • informacja może być przekazywana za pomocą różnych sygnałów,
  • informacja nie jest rzeczą (to jest szczególnie ważne z punktu widzenia prawa)6.

 

Warto o tych cechach informacji pamiętać, a zwłaszcza o tym, że kopia niczym nie różni się od oryginału. Kevin Mitnick, postać bardzo znana w świecie bezpieczeństwa, w swojej książce napisał: Kiedy kradniemy pieniądze lub przedmioty, ktoś zauważa ich zniknięcie. Kiedy kradniemy informację, w większości przypadków nikt tego nie dostrzega, ponieważ informacja pozostaje dalej w posiadaniu właściciela7.