Ochrona Danych WG » Zabezpieczenia informatyczne

Zabezpieczenia informatyczne danych osobowych

Bezpieczne przetwarzanie danych w systemach informatycznych wymaga stosowania odpowiednich środków technicznych, organizacyjnych i proceduralnych. Ich celem jest zapewnienie poufności, integralności, dostępności oraz odporności systemów i usług przetwarzania danych. Zgodnie z art. 32 RODO administrator oraz podmiot przetwarzający powinni wdrażać zabezpieczenia adekwatne do ryzyka, charakteru danych, zakresu przetwarzania, dostępnej wiedzy technicznej oraz możliwych skutków naruszenia praw i wolności osób, których dane dotyczą. Do przykładowych środków wskazywanych w RODO należą m.in. szyfrowanie, pseudonimizacja, zdolność do przywracania dostępności danych po incydencie oraz regularne testowanie i ocenianie skuteczności zabezpieczeń.

Zabezpieczenia powinny obejmować zarówno działania po stronie użytkownika systemu, jak i obowiązki podmiotu odpowiedzialnego za przetwarzanie danych. Bezpieczeństwo informacji nie może opierać się wyłącznie na rozwiązaniach technicznych, takich jak hasła, zapory sieciowe czy oprogramowanie antywirusowe. Równie ważne są procedury, świadomość użytkowników, nadawanie uprawnień, kontrola dostępu, dokumentowanie działań oraz regularny przegląd stosowanych środków ochrony. PUODO wskazuje, że środki techniczne i organizacyjne powinny być wdrażane, przeglądane i aktualizowane tak, aby przetwarzanie odbywało się zgodnie z przepisami i aby administrator mógł to wykazać.

Zabezpieczenia po stronie użytkownika

Użytkownik systemu powinien korzystać z danych i narzędzi informatycznych wyłącznie w zakresie wynikającym z powierzonych mu obowiązków oraz nadanych uprawnień. Każdy użytkownik powinien posiadać indywidualny identyfikator, nieudostępniany innym osobom, a dostęp do systemu powinien być chroniony silnym hasłem oraz, tam gdzie to możliwe, uwierzytelnianiem wieloskładnikowym. Dobre praktyki cyberhigieny zalecane przez ENISA obejmują m.in. stosowanie silnych i unikalnych haseł, korzystanie z menedżera haseł, włączanie uwierzytelniania dwuskładnikowego oraz regularne aktualizowanie oprogramowania.

Użytkownik powinien zachować szczególną ostrożność podczas korzystania z poczty elektronicznej, linków, załączników oraz nośników zewnętrznych. Nie powinien otwierać podejrzanych wiadomości, instalować nieautoryzowanego oprogramowania ani przekazywać danych osobowych osobom nieuprawnionym. Podejrzane wiadomości, próby oszustwa lub incydenty powinny być niezwłocznie zgłaszane zgodnie z wewnętrzną procedurą organizacji; NASK/CERT Polska podkreśla znaczenie zgłaszania podejrzanych stron, wiadomości i prób oszustwa jako elementu poprawy bezpieczeństwa w sieci.

Użytkownik powinien również dbać o bezpieczeństwo stanowiska pracy. Oznacza to blokowanie ekranu przy odejściu od komputera, przechowywanie dokumentów w sposób uniemożliwiający dostęp osobom nieuprawnionym, niewynoszenie danych poza organizację bez zgody oraz korzystanie wyłącznie z zatwierdzonych systemów i kanałów komunikacji. Dane osobowe nie powinny być zapisywane lokalnie, przesyłane prywatną pocztą ani przechowywane w nieautoryzowanych usługach chmurowych.

Zabezpieczenia po stronie podmiotu przetwarzającego dane

Podmiot przetwarzający dane powinien zapewnić, aby systemy informatyczne były projektowane, wdrażane i utrzymywane zgodnie z zasadą rozliczalności, minimalizacji danych, privacy by design oraz privacy by default. Oznacza to, że system powinien przetwarzać tylko te dane, które są niezbędne do realizacji określonego celu, a dostęp do nich powinien być domyślnie ograniczony wyłącznie do osób upoważnionych. RODO wymaga, aby zastosowane środki bezpieczeństwa odpowiadały poziomowi ryzyka i obejmowały zarówno rozwiązania techniczne, jak i organizacyjne.

Organizacja powinna w szczególności zapewnić:

Kontrolę dostępu do systemów i danych. Dostęp do danych powinien być nadawany zgodnie z zasadą minimalnych uprawnień, czyli tylko w takim zakresie, jaki jest konieczny do wykonywania obowiązków służbowych. Uprawnienia powinny być nadawane, zmieniane i odbierane na podstawie formalnej procedury, a ich aktualność powinna być regularnie weryfikowana.
Uwierzytelnianie i zarządzanie tożsamością. Systemy powinny umożliwiać identyfikację użytkowników, wymuszać stosowanie odpowiednio silnych haseł, blokować konta po wielu nieudanych próbach logowania oraz umożliwiać stosowanie uwierzytelniania wieloskładnikowego, zwłaszcza w przypadku dostępu zdalnego lub dostępu do danych wrażliwych.
Rejestrowanie i monitorowanie operacji. System powinien umożliwiać rejestrowanie istotnych zdarzeń, takich jak logowania, próby nieuprawnionego dostępu, modyfikacje danych, eksporty, usunięcia oraz działania administracyjne. Logi powinny być chronione przed modyfikacją i analizowane w celu wykrywania incydentów.
Szyfrowanie i ochrona transmisji danych. Dane powinny być zabezpieczone zarówno podczas przesyłania, jak i przechowywania. W praktyce oznacza to stosowanie szyfrowanych połączeń, zabezpieczonych kopii zapasowych, szyfrowania urządzeń przenośnych oraz ochrony danych przekazywanych poza organizację.
Kopie zapasowe i odtwarzanie danych. Podmiot powinien wykonywać regularne kopie zapasowe oraz okresowo testować możliwość ich odtworzenia. Jest to szczególnie istotne w kontekście zapewnienia dostępności danych i szybkiego przywrócenia działania systemów po awarii, błędzie technicznym, ataku ransomware lub innym incydencie. RODO wprost wskazuje na potrzebę zdolności do szybkiego przywrócenia dostępności danych po incydencie.
Aktualizacje i zarządzanie podatnościami. Systemy operacyjne, aplikacje, bazy danych, oprogramowanie zabezpieczające i urządzenia sieciowe powinny być regularnie aktualizowane. Organizacja powinna posiadać proces identyfikowania podatności, oceny ryzyka oraz wdrażania poprawek bezpieczeństwa. Regularne aktualizacje są jedną z podstawowych zasad cyberhigieny rekomendowanych przez ENISA.
Ochronę przed złośliwym oprogramowaniem i atakami sieciowymi. Należy stosować rozwiązania antywirusowe, systemy ochrony poczty elektronicznej, zapory sieciowe, segmentację sieci, filtrowanie ruchu oraz mechanizmy wykrywania nietypowych działań. Zabezpieczenia te powinny być regularnie aktualizowane i dostosowywane do aktualnych zagrożeń.
Procedury reagowania na incydenty. Organizacja powinna posiadać procedurę zgłaszania, obsługi i dokumentowania incydentów bezpieczeństwa. Pracownicy powinni wiedzieć, komu i w jaki sposób zgłaszać naruszenia, podejrzane wiadomości, utratę sprzętu, błędną wysyłkę danych lub nieuprawniony dostęp. W przypadku naruszenia ochrony danych osobowych należy ocenić ryzyko dla osób, których dane dotyczą, a w określonych przypadkach zgłosić naruszenie do Prezesa UODO oraz zawiadomić osoby, których dane dotyczą.
Szkolenia i budowanie świadomości użytkowników. Bezpieczeństwo systemów zależy nie tylko od technologii, ale również od zachowania użytkowników. Dlatego osoby korzystające z systemów powinny być regularnie szkolone z zasad ochrony danych osobowych, cyberbezpieczeństwa, bezpiecznej pracy zdalnej, rozpoznawania phishingu oraz reagowania na incydenty. ENISA wskazuje, że działania edukacyjne i budowanie świadomości są ważnym elementem wzmacniania kultury cyberbezpieczeństwa.
Dokumentację, audyty i okresową ocenę zabezpieczeń. Podmiot powinien dokumentować przyjęte zasady bezpieczeństwa, upoważnienia, polityki dostępu, rejestry czynności, procedury kopii zapasowych, wyniki testów oraz działania naprawcze. RODO wymaga regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, a PUODO wskazuje na potrzebę ich przeglądania i aktualizowania.

Podsumowanie

Zgodne z RODO i standardami informatycznymi przetwarzanie danych w systemach wymaga podejścia opartego na analizie ryzyka. Oznacza to, że zabezpieczenia powinny być dobrane do rodzaju danych, skali przetwarzania, możliwych zagrożeń oraz skutków ewentualnego naruszenia. Po stronie użytkownika kluczowe znaczenie mają odpowiedzialne korzystanie z systemów, ochrona haseł, ostrożność wobec podejrzanych wiadomości oraz zgłaszanie incydentów. Po stronie organizacji najważniejsze są: właściwe zarządzanie dostępem, zabezpieczenie infrastruktury, szyfrowanie, kopie zapasowe, monitoring, procedury reagowania, szkolenia oraz regularna ocena skuteczności przyjętych zabezpieczeń.

W praktyce bezpieczeństwo danych powinno być traktowane jako proces ciągły, a nie jednorazowe wdrożenie narzędzi informatycznych. Tylko połączenie technologii, procedur i świadomych działań użytkowników pozwala zapewnić zgodność z przepisami, ograniczyć ryzyko naruszeń oraz chronić prawa osób, których dane są przetwarzane