Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała raport dotyczący zagrożeń w 2017 r. Podkreślono w nim, że mimo rekordowych inwestycji w zakresie ochrony rozwiązań IT nie zmniejszyło się ryzyko utraty danych w wyniku cyberataków ani szybkość rozprzestrzeniania się zagrożeń. Najczęściej odnotowywane, zaraz za szkodliwym oprogramowaniem, były ataki wymierzone w aplikacje internetowe (webowe) i portale WWW. Nie jest to dobra informacja, szczególnie w kontekście motywów z preambuły 59 i 63 Rozporządzenia o ochronie danych osobowych (RODO). Wprowadzają one obowiązek zapewnienia dostępu do danych, ich sprostowania, żądania usunięcia oraz sprzeciwu drogą elektroniczną, szczególnie gdy informacje są przetwarzane w systemach zintegrowanych, dostępnych przez Internet.

Według zapisów RODO (motyw 74 i 83 z preambuły oraz art. 5 i 24) całkowita odpowiedzialność za przetwarzanie danych spoczywa na administratorze. Dotyczy ona wielu elementów, poczynając od określenia i oceny czynników ryzyka, przez reagowanie na nie, po monitorowanie całego środowiska, w którym przetwarzane są dane i raportowanie umożliwiające ocenę skuteczności środków bezpieczeństwa. Nie jest to łatwe, zwłaszcza gdy czynnikami wskazanymi przez ENISA, wpływającymi na niepokojące trendy na rynku bezpieczeństwa, są brak wiedzy właścicieli firm oraz umiejętności i możliwości ich pracowników w walce z zagrożeniami.

 

Firewall dla aplikacji

Małe i średnie firmy nadal nie są przyzwyczajone do ciągłego monitorowania i ochrony portali, stron, internetowych sklepów oraz e-usług. Zakładają, że zakupione przez nie rozwiązania zostały opracowane starannie, a ich regularna aktualizacja jest wystarczająca dla zapewnienia bezpieczeństwa i dostępności.

Problem ten dotyczy także szpitali, które w ostatnich latach przeszły dużą ewolucję pod względem technicznym i wciąż się rozwijają. Rejestry dla pacjentów coraz częściej udostępnia się elektronicznie, dzięki czemu mogą oni umówić się na wizytę, sprawdzić wyniki badań, a nawet załączyć do historii choroby wyniki z innych placówek. Coraz częściej używane są rozwiązania telemedyczne monitorujące stan zdrowia oraz przesyłające wyniki wykonywanych samodzielnie przez pacjenta badań do centrów medycznych, gdzie dokonywana jest ich analiza. Przetwarzanie szczególnych kategorii danych osobowych (danych wrażliwych) wymaga od administratora zastosowania przemyślanych narzędzi, minimalizujących ryzyko wycieku lub kradzieży informacji oraz zapewniających monitorowanie dostępu do nich, w tym bezpieczne (np. wieloskładnikowe) uwierzytelnianie i należyte raportowanie.

Artur Madejski

Product Manager Fortinet, Veracomp

Po ponad 20 latach obowiązywania w Polsce ustawy o ochronie danych osobowych nadchodzą zmiany ujednolicające przepisy w tym zakresie w całej Unii. Nie bez przyczyny nowe rozporządzenie wyraźnie skupia się na IT. Liczba systemów i aplikacji internetowych, nieporównywalna z ich liczbą w momencie wejścia w życie wspomnianej ustawy, tworzy zupełnie inną rzeczywistość, w której kwestie bezpieczeństwa są kluczowe. Najbardziej wrażliwe dane przetwarza się w placówkach ochrony zdrowia, ale z niemałymi problemami spotykają się też uczelnie. Korzystają one z wielu portali (studenta, e-biblioteki, wymiany plików) i aplikacji internetowych, które często zawierają dane osobowe. O tym, że stosowane przez polskie uczelnie zabezpieczenia są niewystarczające, świadczą liczne udokumentowane przypadki wycieku niezabezpieczonych dokumentów z danymi osobowymi zarówno uczniów, jak i kadry dydaktycznej.