Phishing, RODO i kadry IT – realne wyzwania dla cyberbezpieczeństwa

Najpoważniejszym zagrożeniem dla bezpieczeństwa danych pozostaje phishing, czyli próby wyłudzenia informacji przez podszywanie się pod zaufane podmioty - cyberprzestępcy. Skutki udanego ataku mogą być dramatyczne – od przejęcia danych osobowych, przez ich kradzież, aż po konieczność zgłoszenia naruszenia do organu nadzorczego. W kontekście RODO, każda luka w zabezpieczeniach technicznych lub organizacyjnych może skutkować nie tylko odpowiedzialnością prawną, ale też utratą zaufania klientów i kontrahentów.

Z raportu „Barometr Cyberbezpieczeństwa 2024” wynika również, że największym problemem w budowaniu skutecznego systemu cyberbezpieczeństwa są braki kadrowe. Ponad połowa respondentów wskazuje, że trudności z pozyskaniem i utrzymaniem wykwalifikowanych specjalistów stanowią główną barierę w rozwijaniu kompetencji w tym obszarze. Właściwe przygotowanie zespołu – zarówno technicznego, jak i odpowiedzialnego za zgodność z przepisami – staje się więc priorytetem dla organizacji wszystkich sektorów.

W ciągu ostatnich pięciu lat największymi barierami w zakresie ochrony przed cyberatakami pozostawały problemy kadrowe oraz ograniczenia budżetowe. Obecnie za najpoważniejsze wyzwanie w budowaniu skutecznych zabezpieczeń firmy uznają trudności związane z pozyskaniem i utrzymaniem wykwalifikowanych specjalistów – ten problem wskazało ponad 50% respondentów. Kwestia niewystarczających środków finansowych, choć nadal istotna, została sklasyfikowana dopiero na drugim miejscu. Na podobnym poziomie ważności respondenci wskazali również inne przeszkody: brak jasno określonych wskaźników efektywności oraz niewystarczające zaangażowanie ze strony biznesu i najwyższego kierownictwa.

Dla 85% firm działających w Polsce RODO pozostaje kluczowym punktem odniesienia w zakresie ochrony danych osobowych i cyberbezpieczeństwa. Coraz więcej podmiotów – aż 82% – deklaruje również wdrażanie lub stosowanie branżowych kodeksów postępowania, które stanowią praktyczne narzędzie dostosowania zasad ochrony danych do specyfiki danej branży. Administratorzy danych i IOD powinni traktować te dokumenty jako pomoc w organizowaniu bezpiecznego przetwarzania informacji oraz ograniczaniu ryzyk prawnych.

Wnioski płynące z raportu jasno pokazują, że działania z zakresu cyberbezpieczeństwa nie mogą być jednorazowe. Organizacje powinny regularnie przeprowadzać audyty zgodności z RODO, analizować nowe zagrożenia oraz aktualizować swoje procedury i polityki ochrony danych. Niezwykle istotne jest także prowadzenie szkoleń podnoszących świadomość pracowników – bo nawet najlepsze zabezpieczenia techniczne nie wystarczą, jeśli najsłabszym ogniwem pozostanie człowiek.

Zarówno w sektorze prywatnym, jak i publicznym, ochrona danych osobowych powinna być traktowana jako proces ciągły. Dynamicznie zmieniające się zagrożenia oraz ewolucja wymagań prawnych wymagają od administratorów danych i IOD nieustannego doskonalenia polityk bezpieczeństwa informacji i bezpieczeństwa systemów. Cyberbezpieczeństwo w 2024 roku to nie tylko technologia – to przede wszystkim odpowiedzialność, świadomość i dobra organizacja.

Przy okazji omawiania zagrożeń cyberatakami należy wspomnieć również o ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC). Obowiązuje ona od 28 sierpnia 2018 r., implementuje do polskiego porządku prawnego dyrektywę NIS (2016/1148/UE) i stanowi fundament krajowej strategii ochrony przed zagrożeniami w cyberprzestrzeni. 

Kluczowe założenia ustawy KSC to:

1. Cel i zakres regulacji
Ustawa o Krajowym Systemie Cyberbezpieczeństwa ma na celu zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informacyjnych w Polsce. Określa organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w jego skład, w tym operatorów usług kluczowych i dostawców usług cyfrowych. 

2. Obowiązki operatorów usług kluczowych i dostawców usług cyfrowych
Podmioty te są zobowiązane do:

• wdrożenia odpowiednich i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykiem związanym z bezpieczeństwem sieci i systemów informacyjnych;

• zgłaszania poważnych incydentów do właściwych organów;

• współpracy z krajowymi zespołami reagowania na incydenty bezpieczeństwa komputerowego (CSIRT).

3. Rola CSIRT i Pojedynczego Punktu Kontaktowego (PPK)
Ustawa ustanawia trzy zespoły CSIRT na poziomie krajowym: CSIRT MON, CSIRT NASK i CSIRT GOV, odpowiedzialne za obsługę incydentów w różnych sektorach. Ponadto, funkcję PPK pełni CSIRT NASK, który koordynuje współpracę międzynarodową oraz wymianę informacji o incydentach z instytucjami Unii Europejskiej i innymi państwami członkowskimi. 

4. Nadzór i sankcji
Organy właściwe do spraw cyberbezpieczeństwa mają prawo do przeprowadzania kontroli, żądania informacji i dokumentów, wydawania zaleceń oraz nakładania kar administracyjnych za nieprzestrzeganie przepisów ustawy. Kary mogą sięgać do 200 000 zł. 

5. Znaczenie dla ADO i IOD

Administratorzy danych osobowych (ADO) i inspektorzy ochrony danych (IOD) powinni uwzględniać przepisy ustawy KSC w ramach zarządzania bezpieczeństwem informacji. Obowiązki wynikające z KSC, takie jak zarządzanie ryzykiem, zgłaszanie incydentów czy współpraca z CSIRT, są komplementarne do wymogów RODO i mają na celu zapewnienie integralności, poufności i dostępności danych osobowych.