RODO a ryzyko cybernetyczne

Bez kategorii

Jeśli jesteś przedsiębiorcą, który wykorzystuje systemy informatyczne w prowadzonej przez siebie działalności, musisz mieć świadomość ryzyka z tym związanego. W dobie internetu

i wszechogarniającej cyfryzacji jesteśmy narażeni na ataki cyberprzestępców, którzy za pomocą różnych metod, ciągle udoskonalanych, są w stanie dokonać kradzieży wszelkiego rodzaju danych lub innej niepożądanej ingerencji w system. Wystarczy tylko, że korzystamy z systemu komputerowego, telefonu komórkowego czy innych mobilnych urządzeń.

Żaden przedsiębiorca nie może czuć się na chwilę obecną zabezpieczony przed tego rodzaju działaniami. Na ataki cyberprzestępców są narażone zarówno małe, średnie jak i duże przedsiębiorstwa. Nie ma też znaczenia fakt czym zajmuje się dany podmiot. Nawet jeśli wydaje nam się, iż prowadzimy mało atrakcyjne dla cyberprzestępców przedsiębiorstwo musimy zdawać sobie sprawę, iż dane przetwarzane przez naszą firmę mogą dać przestępcom cybernetycznym dostęp do danych większych, bardziej atrakcyjnych dla nich podmiotów. Cyberprzestępcy mogą również próbować uzyskać korzyści w inny sposób np. doprowadzając do wstrzymania zautomatyzowanej linii produkcyjnej z żądaniem okupu za umożliwienie jej wznowienia.

Dodatkowe znaczenie ma tu fakt, iż od 25 maja 2018 roku na terenie naszego kraju zacznie być stosowane RODO – czyli unijne rozporządzenie o ochronie danych osobowych,
o którym była już mowa w jednym z wcześniejszych artykułów zamieszczonym na blogu. W kontekście ataków cybernetycznych należy mieć na uwadze, iż RODO nakłada na każdego przedsiębiorcę obowiązek szacowania ryzyka związanego z przetwarzaniem danych osobowych. Każdy przedsiębiorca, którego dane zostaną zaatakowane przez hakerów, będzie miał również obowiązek dokonania zgłoszenia tego faktu do Prezesa Urzędu Ochrony Danych Osobowych (który przejmie kompetencje obecnego GIODO) oraz liczyć się z finansowymi konsekwencjami wycieku danych osobowych.

Sytuacje ataków hakerskich na przedsiębiorstwa są coraz częstsze, również na terenie Polski. Generują one rzeczywiste, finansowe straty. W skrajnych wypadkach zdarzają się nawet sytuacje wstrzymania pracy przedsiębiorstwa wskutek ataku hakerskiego z zewnątrz.

RODO może również przyczynić się do wzrostu zainteresowania ubezpieczeniami przed tego typu działaniami hakerskimi. Ubezpieczyciele już dziś prześcigają się w tworzeniu ofert  ubezpieczeń CyberRisk, skierowanych do podmiotów prowadzących działalność gospodarczą.

Działania mające na celu ochronę podmiotów prywatnych przed atakami cybernetycznymi w Polsce podejmowane były przede wszystkim w sektorze podmiotów finansowych – znaczenie ma tutaj zwłaszcza Rekomendacja D wydana przez Komisję Nadzoru Finansowego, która zawiera zbiór zasad zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Adresatem Rekomendacji są banki, jednakże w praktyce uznaje się, że (przynajmniej w części) zawarte
w niej zasady mogą być wykorzystywane również przez inne organizacje funkcjonujące
w oparciu o środowisko informatyczne. Zasady te odnoszą się do różnorakich kwestii związanych z jego funkcjonowaniem, tj. zarządzania danymi, czy infrastrukturą informatyczną, jak również kontrolą dostępu lub audytu.