Cyberzagrożenia z perspektywy administratora danych osobowych

aktualności

Współczesna rzeczywistość cyfrowa niesie za sobą ogromne możliwości – przyspieszenie komunikacji, automatyzację procesów, efektywniejsze zarządzanie informacją. Jednak wraz z tymi korzyściami rośnie także skala i złożoność zagrożeń, zwłaszcza tych związanych z cyberprzestrzenią.

W centrum odpowiedzialności za bezpieczeństwo informacji znajduje się administrator – podmiot, który podejmuje decyzje o przetwarzaniu danych osobowych. Na gruncie przepisów o ochronie danych osobowych spoczywa na nim obowiązek zapewnienia adekwatnego poziomu bezpieczeństwa przetwarzanych danych przed utratą ich poufności, dostępności i integralności. Powoduje to, iż administrator musi przyjąć podejście proaktywne, ponieważ w świetle rosnącej liczby zdarzeń skutkujących naruszeniem danych osobowych, świadomość cyberzagrożeń oraz adekwatne wdrożenie środków bezpieczeństwa staje się nie tylko kwestią zgodności, ale również zaufania klientów i reputacji organizacji.

Administratorem, zgodnie z art. 4 pkt 7 Ogólnego Rozporządzenia o Ochronie Danych (dalej RODO), jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Na administratorze, spoczywa szereg obowiązków, w tym zapewnienie bezpieczeństwa przetwarzanych danych. Zgodnie z art. 24 RODO, administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewnią odpowiedni poziom bezpieczeństwa (poufność, dostępność i integralność) odpowiadający ryzyku jakie niesie przetwarzanie tych danych osobowych (art. 32 ust. 1 RODO).

W praktyce oznacza to, iż administrator danych osobowych powinien przyjąć podejście oparte na analizie ryzyka przy każdym przetwarzaniu danych osobowych. Takie podejście musi być uwzględniane zarówno na etapie projektowania nowych procesów przetwarzania (zgodnie z art. 25 ust. 1 RODO – zasada „privacy by design”), jak i w ramach bieżących operacji przetwarzania, gdzie konieczne jest zapewnienie odpowiedniego poziomu bezpieczeństwa (art. 32 ust. 1 RODO).

Podejście oparte na analizie ryzyka (ang. risk-based approach) jest jednym z kluczowych elementów wynikających z RODO. Nakłada ono na administratora obowiązek dostosowania działań w zakresie ochrony danych osobowych do charakteru, zakresu, kontekstu i celów przetwarzania, a także do prawdopodobieństwa wystąpienia i wagi potencjalnych naruszeń praw lub wolności osób fizycznych. Oznacza to, iż administrator nie powinien wdrażać zabezpieczeń w sposób szablonowy, ale w oparciu o rzeczywiste występujące u niego ryzyka związane z konkretnym przetwarzaniem danych osobowych.

W praktyce wymaga to w pierwszej kolejności zidentyfikowania zagrożeń (w tym cyberzagrożeń) mogących wystąpić w konkretnym procesie przetwarzania danych, wskazania ich źródeł (np. wewnętrzne, zewnętrzne, celowe, niecelowe, wynikające z błędów ludzkich) oraz podatności, które umożliwiają urealnienie się zagrożenia. Następnie administrator powinien ocenić ryzyko ich wystąpienia (prawdopodobieństwo) oraz wpływ na podmiot danych (skutki ich wystąpienia z perspektywy osoby fizycznej, której dane osobowe dotyczą). Na podstawie dokonanej oceny dobrane powinny zostać odpowiednie środki ochrony, które pozwolą ograniczyć ryzyko do poziomu akceptowalnego (minimalizacja). Mogą to być zarówno środki techniczne (jak szyfrowanie, pseudonimizacja, systemy zapobiegania włamaniom), jak i organizacyjne (np. polityki bezpieczeństwa, szkolenia, procedury reagowania na incydenty).

Z punktu widzenia administratora, stosowanie podejścia opartego na ryzyku jest nie tylko obowiązkiem wynikającym z RODO, ale także praktycznym narzędziem wspierającym efektywne zarządzanie bezpieczeństwem informacji w organizacji. Przyjęcie tego podejścia pozwala na lepsze wykorzystanie zasobów organizacyjnych, ukierunkowanie działań, w tym ograniczonych zasobów, tam, gdzie ryzyko jest największe, a także na wykazanie przed organem nadzorczym, iż przetwarzanie danych osobowych odbywa się zgodnie z zasadą rozliczalności.

W efekcie podejście to sprzyja nie tylko zgodności z przepisami, ale także budowaniu zaufania i odporności organizacji na zagrożenia w dynamicznie zmieniającym się środowisku cyfrowym.

Cyberzagrożeniami nazywamy wszelkie potencjalne okoliczności, zdarzenia lub działania, które mogą wyrządzić szkodę, spowodować zakłócenia lub w inny sposób niekorzystnie wpłynąć na sieć i systemy informatyczne, użytkowników takich systemów oraz innych osób i które mogą prowadzić do naruszenia poufności, integralności lub dostępności danych. Mogą to być zarówno celowe działania zewnętrznych lub wewnętrznych sprawców (np. ataki hakerskie, phishing, złośliwe oprogramowanie), jak i przypadkowe zdarzenia wynikające z błędów ludzkich, awarii technicznych czy braku odpowiednich zabezpieczeń.

Z kolei podatności to słabości w systemie technicznym lub organizacyjnym, które mogą zostać wykorzystane przez zidentyfikowane zagrożenie do osiągnięcia negatywnego skutku, czyli naruszenia bezpieczeństwa danych. W zależności od rodzaju zagrożenia, podatnościami mogą być kwestie technologiczne (np. luki zabezpieczeń, wadliwe aktualizacje) lub działania pracowników/użytkowników – takie jak błędne zaadresowanie wiadomości czy też ulegnięcie atakowi socjotechnicznemu (np. phishingowi). Podatność sama w sobie nie stanowi jeszcze naruszenia, ale znacząco zwiększa ryzyko jego wystąpienia (prawdopodobieństwo), gdy zostanie wykorzystana.

Zidentyfikowanie zagrożeń i podatności oraz określenie prawdopodobieństwa wystąpienia zagrożenia, pozwala na wdrożenie odpowiednich środków bezpieczeństwa, które będą adekwatne do poziomu zidentyfikowanego ryzyka związanego z przetwarzaniem. Zgodnie z art. 32 RODO, administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiadający zidentyfikowanemu ryzyku.

Środki techniczne obejmują rozwiązania informatyczne oraz fizyczne mające na celu zabezpieczenie systemów informatycznych i danych w nich przetwarzanych. Do podstawowych z nich należą, m.in.: kontrola dostępu, uwierzytelnianie wieloskładnikowe (MFA), szyfrowanie danych, stosowanie zapór sieciowych (firewall), systemów antywirusowych, systemów wykrywania i zapobiegania włamaniom (IDS/IPS), regularne tworzenie kopii zapasowych (backup), a także aktualizacja i łatki bezpieczeństwa systemów operacyjnych i aplikacji.

Środki organizacyjne odnoszą się natomiast do zasad, procedur i działań zarządczych, które zapewniają odpowiedni poziom ochrony danych w codziennej praktyce organizacji. Obejmują one m.in. opracowanie i wdrożenie polityki bezpieczeństwa, nadawanie uprawnień zgodnie z zasadą minimalizacji dostępu, wdrożenie procedur zgłaszania i obsługi incydentów, przeprowadzanie szkoleń z zakresu ochrony danych osobowych i cyberbezpieczeństwa, a także regularne przeglądy i testy skuteczności stosowanych środków.

Należy pamiętać, iż w RODO nie znajdziemy zestawu środków bezpieczeństwa, który byłby uniwersalny dla każdej organizacji. Każdy przypadek wymaga indywidualnego podejścia i dostosowania zabezpieczeń do konkretnego kontekstu działalności lub procesu przetwarzania danych osobowych.

Dokumentowanie wdrożonych środków bezpieczeństwa w organizacji wynika z zasady rozliczalności określonej w art. 5 ust. 2 RODO. Administrator powinien być w stanie wykazać przed organem nadzorczym, iż zastosowane środki są adekwatne, a poziom ochrony dostosowany do zidentyfikowanego ryzyka. W sytuacji braku możliwości wykazania przed organem nadzorczym wdrożenia adekwatnych środków technicznych i organizacyjnych, administrator naraża się na zarzut naruszenia zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO. Może to skutkować uznaniem, iż nie dopełnił on obowiązków wynikających z art. 24 i 32 RODO, a w konsekwencji – nałożeniem przez organ nadzorczy środków naprawczych lub administracyjnej kary pieniężnej.

Nie można zapominać, iż zastosowane środki powinny być regularnie aktualizowane i doskonalone, ponieważ środowisko zagrożeń – zwłaszcza w zakresie cyberbezpieczeństwa – ulega dynamicznym zmianom. Testowanie może przyjmować różne formy – od testów penetracyjnych i symulowanych ataków, przez audyty systemów bezpieczeństwa, aż po wewnętrzne kontrole zgodności z politykami i procedurami organizacyjnymi. Ich celem jest nie tylko wykrycie słabości zabezpieczeń, ale również sprawdzenie, czy stosowane środki rzeczywiście działają zgodnie z założeniami oraz czy pozostają adekwatne do aktualnego poziomu ryzyka.

Regularna weryfikacja i testowanie środków ochrony to nie tylko element dobrej praktyki, ale także sposób na spełnienie zasady rozliczalności (art. 5 ust. 2 RODO) oraz realizację obowiązków określonych w art. 32 ust. 1 lit. d RODO, który wyraźnie wskazuje, iż środki zapewniające bezpieczeństwo danych osobowych powinny obejmować ocenę skuteczności ich zastosowania.

Mierzenie skuteczności może opierać się na zestawie wskaźników (np. liczbie incydentów, czasie reakcji, skuteczności wykrywania zagrożeń, liczbie pracowników przeszkolonych w zakresie ochrony danych), które pozwalają ocenić, czy administrator faktycznie realizuje przyjęte cele w zakresie ochrony danych osobowych.

Budowanie odporności organizacji na cyberzagrożenia to proces długofalowy, który wymaga świadomego i systemowego podejścia do zarządzania bezpieczeństwem w tym cyberbezpieczeństwem. W kontekście ochrony danych osobowych oznacza to nie tylko wdrożenie technicznych środków zabezpieczających, ale przede wszystkim rozwój kultury bezpieczeństwa oraz ciągłe doskonalenie procedur, świadomości pracowników i gotowości na wystąpienie incydentów.

Podstawą budowania odporności jest podejście oparte na ryzyku – organizacja powinna identyfikować potencjalne zagrożenia i podatności, zanim doprowadzą one do naruszenia ochrony danych osobowych. Na tej podstawie należy planować działania zapobiegawcze oraz wdrażać rozwiązania techniczne i organizacyjne, które umożliwią szybkie wykrycie i ograniczenie skutków ewentualnych incydentów.

W zakresie możliwych do zastosowania środków technicznych lub fizycznych umożliwiających zmniejszenie ryzyka wystąpienia cyberzagrożenia, należą np.:

• sprawdzony program antywirusowy;
• firewall;
• blokady portów USB lub ograniczenie dostępu dla nieautoryzowanych urządzeń;
• bieżące aktualizacje kluczowych systemów i programów wykorzystywanych do przetwarzania danych osobowych;
• stosowanie wieloskładnikowego uwierzytelniania w ramach dostępu do systemów służbowych (jeżeli zapewniają one taką możliwość);
• regularne tworzenie i testowanie kopii zapasowych;
• przechowywanie danych osobowych (np. kopii bezpieczeństwa) w zaszyfrowanej formie;
• filtrowanie przychodzących wiadomości pod kątem SPAM-u i podejrzanych treści.

Warto również włączyć blokady niebezpiecznych stron internetowych na stanowiskach roboczych (np. w oparciu o ogólnodostępne rejestry witryn zdefiniowanych jako niebezpieczne lub podejrzane), blokady stron logowania do zasobów prywatnych pracowników (skrzynek pocztowych, bankowości elektronicznej, mediów społecznościowych, rozwiązań chmurowych).

Należy również pomyśleć o monitorowaniu ruchu sieciowego. Dobrym rozwiązaniem będzie wdrożenie systemów IDS i IPS pozwalających na wykrywanie zagrożeń, a także – w zależności od konfiguracji – ich automatyczne powstrzymywanie.

Kluczowym elementem cyberbezpieczeństwa jest świadomy i przeszkolony personel. choćby najlepiej zabezpieczone środowisko może stać się podatnym na atak w wyniku błędu użytkownika lub działania socjotechnicznego. Dlatego ważne jest, aby regularnie szkolić pracowników w zakresie cyberzagrożeń, ochrony danych osobowych oraz rozpoznawania potencjalnie niebezpiecznych sytuacji, takich jak próby phishingu. W 2023 roku CERT Polska – według opublikowanego raportu – otrzymał blisko 100 000 zgłoszeń phishingu i to jedynie w formie podszywania się pod znane marki za pośrednictwem poczty e-mail i stron WWW, a więc z pominięciem phishingu telefonicznego, SMS-owego i ataków spersonalizowanych pod konkretną osobę (Raport roczny z działalności CERT POLSKA 2023, s. 86, https://cert.pl/uploads/docs/Raport_CP_2023.pdf, dostęp 24.03.2025 r.). Chcąc zabezpieczyć się również od tej strony, należy zadbać o odpowiednie dostosowanie wewnętrznych regulacji dotyczących chociażby wykonywania pracy i użytkowania zasobów administratora – takich jak urządzenia służbowe i systemy.

Odpowiednio wykwalifikowany i świadomy pracownik będzie bowiem potrafił rozpoznać znamiona ataku cybernetycznego na organizację, a także pomoże uchronić go to przed popełnieniem błędów – takich jak wejście na fałszywą lub niebezpieczną stronę internetową, udostępnienie danych nieuprawnionej osobie (np. mailowo), błędne zweryfikowanie tożsamości osoby wnioskującej np. o dostęp do danych, naruszenie zasad bezpieczeństwa.

Zostanie ofiarą cyberataku potrafi nieść za sobą wiele negatywnych skutków dla podmiotów danych, a tym samym – dla organizacji będącej administratorem ich danych. Dlatego tak ważne jest uwzględnienie tego rodzaju cyberzagrożeń w analizie ryzyka, w tym ocenienie prawdopodobieństwa ich wystąpienia oraz potencjalnych negatywnych skutków z perspektywy podmiotu danych, którego dane osobowe są przedmiotem przetwarzania. W następstwie dokonanej oceny konieczne jest dobranie odpowiednich środków technicznych i organizacyjnych, które pozwolą zminimalizować ryzyko zmaterializowania się zdefiniowanego zagrożenia dla naruszenia trzech kluczowych atrybutów bezpieczeństwa informacji: poufności, integralności i dostępności. W celu przeprowadzenia prawidłowej i rzetelnej analizy ryzyka administrator powinien rozważyć skonsultowanie się w zakresie oceny wpływu ryzyka na ww. atrybuty oraz dobranie środków zapobiegawczych ze specjalistami zarówno w dziedzinie ochrony danych osobowych, jak i bezpieczeństwa IT.

Autorzy:
Bartosz Bęś
Damian Stachyra

NAJNOWSZE WPISY:

TAGI