BLOGS

Ekspert ds. cyberbezpieczeństwa. Prezes CryptoMind SA, polskiej firmy zajmującej się kryptografią i szyfrowaniem danych. Jeden z pionierów cyfryzacji w Polsce, twórca rynku satelitarnego PAY-TV, były prezes firmy Astra. Wcześniej wydawca programów edukacyjnych w TVP, w tym popularnego Rambitu.

 

STORIES BY AUTHOR
  • No other articles added

Krzysztof Surgowt

Kto ma 20 milionów euro?

2017-09-07

Jeśli dyrektywa RODO, dotycząca ochrony danych osobowych, faktycznie będzie wykonywana, to już za kilka miesięcy możemy spodziewać się finansowego kataklizmu w polskich firmach i samorządach.

Wielu rodzimych przedsiębiorców wciąż nie ma bladego pojęcia o RODO (Rozporządzenie ogólne o ochronie danych osobowych), więc w zamian mają szansę wystąpić w charakterze ujeżdżanego byka na amerykańskim RODeO (zbieżność nazw nie musi być przypadkowa).  

Mówiąc bardziej serio: jeśli polskie firmy, instytucje i samorządy nadal nie będą wiedziały, co to znaczy RODO i co z tym zrobić, to od 25 maja 2018 r. będą miały spory kłopot. Kary finansowe za brak właściwej ochrony danych osobowych, a tym jest właśnie RODO, są horrendalne, a poszukujący dochodów fiskus na pewno nie odpuści… Dość powiedzieć, że teoretycznie maksymalna kara może wynosić nawet 20 mln euro!

Czym dokładnie jest RODO?

RODO to Rozporządzenie (czyli dyrektywa) Parlamentu Europejskiego i Rady UE z dnia 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz.Urz.UE L 119 z 4.5.2016 r., zwane dalej: „RODO”)

Jest to pierwsza od 21 lat tak radykalna reforma dotycząca ochrony danych osobowych w Unii, która dotyczy wszystkich firm (małych, średnich i dużych), instytucji, samorządów i administracji – słowem wszelkich podmiotów, które mają do czynienia z danymi osobowymi, których należy restrykcyjnie chronić.

Hakerzy robią swoje

RODO wymusza ochronę naszych danych osobowych znajdujących się w rękach firm czy instytucji, w czym zawiera się również – a może przede wszystkim - ochrona osób fizycznych przed atakami hakerów wykradających dane osobowe w celu atakowania materialnych zasobów osób fizycznych lub ich dóbr osobistych.

Na dzisiaj powszechne jest instalowanie złośliwego oprogramowania szyfrującego, czyli robaków typu ransomeware, w celu wymuszania okupu od firm, ale również przysłowiowych Kowalskich. Spektakularnym przykładem takich działań jest następca internetowego robaka WannaCry zwany w Polsce (niesłusznie) Petya, ponieważ chodzi o ransomeware zwane NotPetya, a mówiąc bardziej po słowiańsku NiePietia:)

Skuteczna szczepionka na RODO 

Słabe lub bardzo słabe zabezpieczenia polskich systemów IT, w których stosowane są głównie firewalle, programy antywirusowe czy hasła dostępowe wysyłane SMS-em oraz szyfrowanie danych wrażliwych w starych, kilkunastoletnich już formatach, może drogo kosztować zarówno firmy jak i nas, obywateli. Microsoft szacuje, że koszty działalności hakerów w roku 2016 to prawie pół biliona dolarów. W tym roku będzie znacznie gorzej, ponieważ hakerzy coraz częściej atakują kraje nie tylko najbogatsze, ale również takie jak Polska. Skutecznych ataków hakerskich jest na dzisiaj na świecie ponad 30 tys. dziennie i ta liczba systematycznie rośnie. Dobrym przykładem jest tu np. szyfrowanie transmisji e-maili w SSL, co dla profesjonalnego hakera stanowi fraszkę. Jedyna skuteczna metoda są dedykowane platformy szyfrujące typu end-to-end, i uwaga ta dotyczy nie tylko RODO.

Na skuteczną ochronę danych osobowych przez wszelkie podmioty, ale również osoby fizyczne, składa się kilka podstawowych elementów:

1. Zielona świadomość problemu bezpieczeństwa u osób, których to zagadnienie dotyczy. Warto podkreślić, iż firmy czy instytucje są najczęściej przekonane, że ich systemy IT są doskonale zabezpieczone. Jest jednak inaczej. Żeby wiedzieć jak jest naprawdę należy wykonać tzw. testy penetracyjne, które wykażą wszelkie podatności na ataki hakerskie. Tego nie zrobi najdoskonalszy team IT, bo cyberbezpieczeństwo to zupełnie inna dziedzina wiedzy.  To nie jest w Polsce zbyt popularne, zaś profesjonalne firmy, które to robią są nieliczne i kosztowne, ale poważna firma czy instytucja akurat na tym oszczędzać nie powinna.

2. Stare przyzwyczajenia - ludzie z IT często sadzą, że wystarczy sięgnąć po narzędzia firmowane przez wielkie międzynarodowe koncernów, ale to tak nie działa. Bezpieczeństwo danych uzyskiwane za pomocą standardowych narzędzi, w tym również bezpłatnych, jest na ogol wycinkowe i dla profesjonalnych włamywaczy nie stanowi większego wyzwania. Dobór odpowiednich narzędzi z obszaru zabezpieczeń IT, w szczególności takich jak np. szyfrowanie danych na dedykowanych platformach kryptograficznych typu end-to-end, jest krytycznie ważne.

3. Czynnik ludzki, to najsłabszy na ogół cybersecurity. Właściwe procedury i kontrola ludzi ciągle zawodzi – dowodem największe i najbardziej spektakularne afery w NSA i CIA, skąd wyniesiono supertajne narzędzia informatyczne, m.in. do walki z hakerami i monitorowania podejrzanych systemów IT na całym świecie. Jak to się stało!? Bardzo prosto: ktoś z pracowników skopiował software na fizyczny nośnik i wyniósł go na zewnątrz. W tym kontekście wspominki o haśle do komputera ex-premiera polskiego rządu, przyklejonym przez jego „specjalistów” z Kancelarii na tenże komputer, to naprawdę mały pikuś.

Na koniec warto jeszcze zwrócić uwagę na fakt, iż żadne szanujące się państwo należące do hemisfery zachodniej nie polega na obcych systemach zabezpieczających we wrażliwych obszarach IT. Amerykanie stosują software amerykański, Francuzi – francuski, Niemcy – niemiecki, Rosjanie – rosyjski, Chińczycy – chiński itd.

Czy podobnie jest w Polsce? To nadal bardzo dobre pytanie, na które aktualna odpowiedź brzmi: NIE. Niestety.

twitterfacebookwykopKontakt e-mail
SEE PREVIOUS NOTES
NEWSLETTER

By providing your e-mail address, you agree to receive information from WEI.

OUR BLOGGERS