Wolters Kluwer Sklep Online

Jesteś już użytkownikiem programów LEX?

Zadania inspektora ochrony danych osobowych w dobie sytuacji kryzysowych

20 kwietnia 2022

Kiedy ostatni raz dokonałeś przeglądu zabezpieczeń systemowych? Czy regularnie aktualizujesz hasła? Kiedy przeprowadziłeś szkolenie dla pracowników o bezpieczeństwie w sieci? To tylko parę pytań, które powinni w ostatnim czasie zadawać sobie inspektorzy ochrony danych. Jakie zadania ma IOD w dobie sytuacji kryzysowych? Tego dowiesz się z LEX Ochrona Danych Osobowych.

Wraz ze wzrostem zagrożenia atakami cybernetycznymi, podnoszony jest alert CRP (Cyber Risk Profiling). Alert może być wprowadzony na terenie całego kraju lub poszczególnych jego obszarach, a nawet dla określonych obiektów jednostek organizacyjnych administracji publicznej, prokuratury, sądów bądź innych obiektów infrastruktury administracji publicznej czy infrastruktury krytycznej. Podwyższony alert CRP to sygnał dla tych podmiotów, aby szczególnie zadbały o cyberbezpieczeństwo i wdrożyły dodatkowe mechanizmy ochronne dla sieci teleinformatycznych. W tych procesach powinien także uczestniczyć IOD.

Co może, a czego nie może IOD?

Od inspektora ochrony danych oczekuje się eksperckiej wiedzy, która umożliwi identyfikację ryzyka związanego z naruszeniem ochrony danych osobowych. Zatem podczas doradzania administratorom czy też podmiotom przetwarzającym (a także szeregowym pracownikom) szczególnie istotne jest, aby poszerzyć swoje zalecenia o aspekty związane z cyberbezpieczeństwem. Sylwia Czub-Kiełczewska, ekspertka ds. ochrony danych osobowych, wskazuje, że warto regularnie ostrzegać przez zagrożeniami (np. w formie maili do pracowników) i w ten sposób budować u nich świadomość występujących aktualnych zagrożeń cybernetycznych. Poza tym istotne jest zalecanie właściwych i bezpiecznych technicznych oraz organizacyjnych środków ochrony danych, a także organizowanie szkoleń dot. bezpieczeństwa w sieci. Całość tych działań powinna być z góry zaplanowana i dostosowana do konkretnego podmiotu i zakresu danych osobowych, jakie dany podmiot przetwarza. Podczas planowania i  realizacji zaleceń pomocna może okazać się lista zadań do wykonania.

Zadania inspektora ochrony danych osobowych w dobie sytuacji kryzysowych

Rolą IOD-a nie jest rozpoznawanie zainfekowanych sprzętów służbowych pracowników, te kompetencje posiada dział IT. Cennym wsparciem merytorycznym dla IOD-ów, jak i dla pracowników IT mogą okazać się poradniki Rządowego Zespołu Reagowania na Incydenty Komputerowe (CERT), które znajdziesz w LEX ODO.

Komunikuj, reaguj i wspieraj

Wielu cyberatakom można w porę zapobiec. Skuteczna komunikacja między inspektorem ochrony danych a użytkownikami zmniejsza ryzyko wystąpienia tego typu zjawisk. Jak to możliwe? Dzięki uświadamianiu o możliwych niebezpieczeństwach stajemy się uważniejsi, a zatem i bardziej odporni na możliwe ataki. Komunikacja może mieć różne formy, np. szkoleń online, malingów czy komunikatów w intranecie.

Aby komunikacja w organizacji była skuteczna, przekazywane zalecenia i wskazówki muszą spełniać poniższe cechy:

  • sformułowane prostym językiem;
  • zwięzłe - im komunikat będzie dłuższy, tym mniejsze szanse, że użytkownik zapozna się z nim w całości;
  • regularne, ale z umiarem - im częstsze komunikaty, tym mniejsze szanse, że użytkownik przeczyta każdy z nich;
  • zawierające życiowe przykłady;
  • wskazujące na źródło informacji.

Zobacz, jak wygląda przykładowy komunikat przygotowany przez naszą ekspertkę:

"W związku z aktualną sytuacją na wschodzie, przypominam, że zagrożenia są realne, zatem:

  1. restartuj codziennie telefon, dezaktywuje to większość znanych wirusów;
  2. nie otwieraj plików, nie klikaj w dziwne linki - możesz stracić wszystkie dane;
  3. ataki są nastawione na wywołanie paniki, zatem nie daj się przestraszyć!"

Najniebezpieczniejsze są socjotechniki

Socjotechniki, takie jak phishing czy spoofing, są obecnie jednymi z najczęściej stosowanych form cyberataków, dlatego warto znać je od podszewki. Na pierwszy rzut oka są bardzo podobne, bo w każdym przypadku nadawca informacji udaje zaufaną dla odbiorcy osobę. Niemniej jednak spoofing jest bardziej zaawansowany, a jego wykrycie jest możliwe dopiero wtedy, kiedy osoba objęta atakiem uzyska informację od osoby trzeciej, że ktoś się pod nią podszywa. Haker podszywa się pod określoną osobę i rozpowszechnia wiadomości, które wyglądają identycznie jak te wysyłane przez użytkownika. Szybkie rozpoznanie po podejrzanym adresie mailowym czy też błędnej treści wiadomości, jak ma to miejsce w przypadku phishingu, nie jest możliwe. Operatorzy skrzynek pocztowy radzą sobie z takimi atakami i na bieżąco wprowadzają nowe zabezpieczenia. Gorzej radzą sobie operatorzy telekomunikacyjni, czego efektem są szczególnie popularne w ostatnim czasie podejrzane połączenia od osób z naszych list kontaktowych. Jak temu zaradzić? Codziennie restartujmy telefony! Pozwala to na łatwe pozbycie się złośliwego oprogramowania.

Więcej porad znajdziesz w nagraniu ze szkolenia, które możesz obejrzeć w LEX Ochrona Danych Osobowych.

Zadania inspektora ochrony danych osobowych w dobie sytuacji kryzysowych – fot. 1
Redakcja Publikacji Elektronicznych

Nie korzystasz jeszcze z programów LEX?
Znajdź rozwiązanie dla siebie.

Zamów prezentacje produktów LEX, dzięki której poznasz pełne możliwości serwisu oraz uzyskasz informacje o pakietach spełniających Twoje potrzeby.

Zamów prezentację