Dane w polskich firmach i podmiotach publicznych nie są należycie chronione, co wynika z małej świadomości zagrożeń z tym związanych. Pracownicy nie są szkoleni, uświadamiani zwłaszcza w obszarze cyberzagrożeń. Ludzie je bagatelizują, tymczasem coraz częściej dochodzi do incydentów z nimi związanych. Na przykład badania wskazują, że często giną pendrive’y z zapisanymi danymi – wskazuje ekspert cyberbezpieczeństwa, Tomasz Surdyk.
„W naszym kraju musimy sobie zadać pytanie, czy systemy IT są należycie zabezpieczone i jaka jest świadomość w tym zakresie osób przetwarzających dane osobowe. RODO narzuca konieczność wyznaczenia inspektora ochrony danych, zwłaszcza w podmiotach publicznych, ale pozostaje pytanie jaki jest jej poziom wiedzy i doświadczenia, zwłaszcza w obszarze bezpieczeństwa IT. Czy inspektor ochrony danych posiada wiedzę specjalistyczną, dzięki której kontroluje pracę informatyków w obszarze bezpieczeństwa? Dlaczego? Ponieważ w Polsce wymieniona funkcja często jest wykonywana przez osobę, która tej wiedzy nie posiada, a jej rola ogranicza się do wprowadzenia procedur, bez zrozumienia tego, jakie zabezpieczenia należy faktycznie wprowadzić w systemach IT” – mówił Surdyk podczas konferencji nt. cyberbezpieczeństwa firmy Kingston Technology.
Zwracał uwagę na to, że problem ten dotyczy w szczególności podmiotów publicznych, w których brakuje środków na szkolenia, inwestycje i właściwy nadzór.
„Inspektor danych osobowych w podmiocie publicznym nie został prawidłowo przygotowany do pełnienia tej roli. Nie zostało tu wyodrębnione stanowisko, jest to jedynie pełniona funkcja, przypisywana rożnym osobom w firmie, nie raz informatykom czy pracownikom innych działów. Inspektor ma współpracować z administratorem IT. Często zdarzają się sytuacje, że informatycy, pełniący funkcję administratora systemów informatycznych, nie posiadają wiedzy z obszaru wdrażania odpowiednich poziomów bezpieczeństwa i zapewnienia fachowej pomocy. Zdarza się, że obsługując różne podmioty, posiadają głównie wiedzę serwisową!” – zwraca uwagę ekspert.
Podkreślił, że firmom często brakuje zdefiniowanych poziomów bezpieczeństwa.
„Ponadto wiele obszarów IT nie jest zabezpieczonych, a w obliczu rosnącej liczby narzędzi inwigilacji dane są coraz bardziej narażone na atak i wypływ z firmy. Jak i gdzie? Dosłownie zawsze i wszędzie… Na Mundialu w Rosji wifi były naszpikowane instrumentami zbierania danych. Korzystanie z tego wifi na firmowych urządzeniach narażało w tym momencie cały podmiot. Niezabezpieczone dane giną. Musimy to sobie uświadomić. Co ciekawe, badania pokazują, że wyciekają najczęściej przez ludzką nieuwagę, zapominalstwo. Utrata nieszyfrowanego pendrive’a jest równoznaczna z utratą danych. Zwykłe urządzenia tego typu z reguły nie mają żadnego poziomu zabezpieczenia. Co zrobić? Warto w obliczu takiej sytuacji rozważyć szyfrowane nośniki, a administrator IT powinien podnieść świadomość pracowników, jak również nie tylko przygotować, ale także wdrożyć procedury i weryfikować, czy są one należycie stosowane” – stwierdza Surdyk.
Zaznacza, że w Polsce jest Krajowy System Cyberbezpieczeństwa, o którym niewiele się mówi. Dotyczy on m.in. tego, jak zachować się w sytuacji incydentu, komu zgłosić tę sytuację i jaką procedurę postępowania przyjąć. Obowiązki dotyczącą operatorów kluczowych, ale także innych podmiotów publicznych.
„Nawet 90% podmiotów może o tym nie wiedzieć. A już w ogóle szkoły, czy niektóre urzędy gdzie jest mnóstwo danych zwykłych, ale też wrażliwych. Osobą, która nadzoruje w szkole bezpieczeństwo jest np. nauczyciel informatyki. Z kolei w wielu firmach ludzie nie wiedzą nawet, że trzeba zgłaszać incydenty cyberbezpieczeństwa, nie ma nawet wskazań, jaką sytuację traktować jako incydent. Mamy w tym względzie wiele do nadrobienia” – podsumował Sudryk
