Miesięcznik informatyków i menedżerów IT sektora publicznego

Maciej Gawroński

Od szyfrowania danych nie ma odwrotu

Świat nigdy dotąd nie opierał się na przetwarzaniu danych tak bardzo jak dziś. Dostęp do informacji jest powszechny i ma globalny zasięg. W obliczu wzrostu liczby i skali cyberataków konieczne jest podniesienie poziomu zabezpieczeń w systemach informatycznych.

Rys. B. Brosz

Przestępcy posiadają coraz większą wiedzę informatyczną i socjologiczną. Dzięki globalnej sieci, możliwości anonimowej komunikacji, łatwemu dostępowi do potężnej mocy obliczeniowej oraz automatyzacji coraz łatwiej im atakować organizacje z dowolnego zakątka świata. Podszywając się pod renomowane instytucje (ministerstwa) i przedsiębiorstwa (zakłady ubezpieczeń, przedsiębiorstwa energetyczne), przesyłają klientom elektroniczną korespondencję w celu zainfekowania osobistych komputerów. Drastycznie wzrasta też liczba incydentów bezpieczeństwa. Jak wskazano w opracowaniu „W obronie cyfrowych granic, czyli 5 rad, aby realnie wzmocnić ochronę firm przed CYBER ryzykiem” (www.pwc.pl/pl/pdf/raport-pwc-gsiss-cyberzagrozenia-2016.pdf), na jedną firmę w Polsce przypadało średnio aż 126 cyberataków w 2016 r., co stanowiło wzrost o 46%. Z kolei CERT Polska podaje, że w 2015 r. zarejestrował 200 mln zgłoszeń zagrożeń dotyczących polskiej przestrzeni adresowej („Krajobraz bezpieczeństwa polskiego internetu 2015. Raport roczny z działalności CERT Polska” (www.cert.pl/PDF/Raport_CP_2015.pdf).

Patrząc na statystyki, narzuca się pytanie: czy w erze Snowdena, w czasach debaty wokół rzekomego zaangażowania Rosji w wybory w USA, a jednocześnie w trakcie reformy ochrony danych osobowych w Unii Europejskiej przeciętny podmiot publiczny bardziej jest narażony na to, że padnie ofiarą przestępstwa w świecie wirtualnym czy w świecie realnym?

Zabezpieczenie odpowiednie do zagrożeń

Podstawowe zasady ochrony informacji zawierają przepisy o ochronie danych osobowych, a w tym:

1) jeszcze obowiązującą ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2016 r., poz. 922; uodo), która wdrażała europejską dyrektywę o ochronie danych osobowych (dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu danych (DzUrz L 281 z 21.11.1995 r.; europejska dyrektywa o ochronie danych));
2) rozporządzenie wykonawcze do uodo (rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024; rozporządzenie wykonawcze do uodo) oraz
3) rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (DzUrz L 119 z 04.05.2016 r.; rodo), które wraz z innymi aktami unijnymi oraz planowaną ustawą o ochronie danych osobowych istotnie zmieni zasady gry.

Zgodnie z art. 36 uodo administrator danych ma obowiązek zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem uodo oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W skrócie: administrator danych powinien zabezpieczyć dane w sposób odpowiedni do zagrożeń związanych z możliwością naruszenia bezpieczeństwa tych konkretnych danych. Przy czym ustawodawca nie reguluje szczegółów dotyczących zabezpieczenia danych. Jest to podejście słuszne, ponieważ uodo uchwalono jeszcze w 1997 r., a od tego czasu nastąpiła (i wciąż postępuje) potężna transformacja cyfrowa. Musimy więc pamiętać, że pojęcie odpowiedniego zabezpieczenia danych inne obowiązki nakładało w 1997 r., a zupełnie inne w 2017 r.

Ustawodawca stawia przed administratorami danych wysokie wymagania co do dbałości o interesy osób, których dane podlegają przetwarzaniu. Zgodnie z art. 26 ust. 1 uodo administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Trzeba przyjąć, że ta szczególna staranność administratorów odnosi się też do zabezpieczenia danych. Jest to niezwykle istotne, ponieważ w przypadku jakichkolwiek naruszeń, np. wycieku danych, miernik staranności będzie podstawą do stwierdzenia, czy i w jakim zakresie przetwarzający ponosi odpowiedzialność.

Do zagadnień bezpieczeństwa danych w większym stopniu jednak odnosi się rozporządzenie wykonawcze do uodo, które opiera się na standardach bezpieczeństwa informacji, a nawet niektóre z tych standardów przekształca w prawne obowiązki. Rozporządzenie wykonawcze do uodo w dużej mierze koncentruje się też na obowiązkach organizacyjnych spoczywających na administratorach danych osobowych. Nie budzą one znaczących kontrowersji interpretacyjnych.

Zabezpieczenie danych dzisiaj

W obliczu istotnego wzrostu zagrożeń w systemach informatycznych trzeba wrócić do pytania o to, co obecnie oznacza ustawowy wymóg odpowiedniego zabezpieczenia danych osobowych. Za niecały rok zaczniemy stosować przepisy rodo i do tego czasu musimy też uchwalić nowe krajowe akty prawne dotyczące ochrony danych osobowych.

[...]

Autor jest radcą prawnym, jednym z czterech ekspertów prawa Technologii Mediów i Telekomunikacji rekomendowanych przez Ranking Kancelarii Prawniczych 2017 dziennika „Rzeczpospolita”, ekspertem Komisji Europejskiej ds. Kontraktów Cloud Computingowych, konsultantem Grupy Roboczej Art. 29 ds. eksportu danych osobowych. Od dwudziestu lat doradza przy prawnych aspektach informatyki i technologii, w tym przy krajowych i międzynarodowych kwestiach ochrony danych osobowych. Jest partnerem zarządzającym kancelarii Gawronski & Partners.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej