Reklama
Dołącz do liderów przyszłości i zdobądź przewagę! Sprawdź najnowszą ofertę subskrypcji
Transformacja organizacyjna
Magazyn (Nr 4, kwiecień 2020)

Inspektor Ochrony Danych w centrum cyberataku

1 kwietnia 2020 7 min czytania
Inspektor Ochrony Danych w centrum cyberataku

Partnerem materiału jest Umano.

Zapowiada się miły, piątkowy wieczór, pracownik odpowiedzialny za prowadzenie instagramowego konta firmy otrzymuje nagle wiadomość. W treści maila widnieje ostrzeżenie – Facebook (właściciel Instagrama) zablokuje konto w ciągu 24 godzin z uwagi na naruszenie praw autorskich. Ale jest jeszcze szansa na „ratunek”, ponieważ w wiadomości załączono również link, za pomocą którego można się skontaktować z centrum pomocy Facebooka.

„Przecież za chwilę mam umieścić informację o corocznym konkursie!” – przypomina sobie wystraszony adresat. Klika więc w zamieszczony link i podaje dane do logowania (rzekomo wymagane w celu potwierdzenia autentyczności zapytania). Chwilę później zalogowanie się do firmowego konta nie jest już w ogóle możliwe, a na zdjęciu profilowym nie widnieje już firmowy logotyp, a obrazek wrzucony przez złodzieja…

Złapani na cyfrową wędkę

Trzy najczęściej występujące typy incydentów w polskim internecie to phishing, dystrybucja złośliwego oprogramowania i spam. Jak wynika z ostatniego raportu rocznego CERT Polska*, phishing stanowił ok. 44 proc. wszystkich incydentów. W 2018 roku CERT otrzymał łącznie aż 77 536 zgłoszeń z nim związanych.

Utrata danych uwierzytelniających najczęściej oznacza również naruszenie bezpieczeństwa w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO). Każdy taki incydent należy ocenić pod kątem ewentualnego ryzyka naruszenia praw i wolności osób, których dane dotyczą.

Dane mogą zostać na przykład sprzedane firmom marketingowym, narażając ofiary na potop niechcianych wiadomości typu spam. Mogą też zostać wykorzystane do kradzieży tożsamości, a przez to np. do wyłudzenia.

Inspektor ochrony danych – na ratunek

Właściwa ocena incydentu pod kątem naruszenia RODO wymaga odpowiedniej wiedzy i umiejętności. Czy incydent należy zgłosić do Urzędu Ochrony Danych Osobowych (UODO)? Czy należy poinformować o zdarzeniu klientów firmy? Jakie kryteria należy zastosować, by ocenić poziom ryzyka dla naszych klientów?

Odpowiedzi na te pytania powinien znać inspektor ochrony danych (IOD). To fachowy doradca, który wspiera firmę w zapewnianiu zgodności wszystkich procesów przetwarzania danych z RODO oraz z innymi przepisami o ochronie danych. W niektórych przypadkach wyznaczenie IOD jest obowiązkowe – muszą go posiadać m.in. podmioty publiczne. Niemniej jednak wszystkie firmy powinny rozważyć zapewnienie wsparcia swoich procesów przez IOD. To także element budowania pozytywnego przekazu do klientów: „Twoje dane osobowe są u nas bezpieczne”.

Jak przygotować firmę na IOD?

Aby inspektor ochrony danych mógł wykonywać swoje zadania właściwie i rzeczywiście wspierać firmę w codziennym zapewnianiu zgodności działań z RODO i radzeniu sobie w przypadku wystąpienia cyberataków, firma powinna zadbać, by:

  • właściwie zakomunikować wszystkim pracownikom, że w zespole znajduje się osoba odpowiedzialna za ochronę danych – tak aby zatrudniony, który padł ofiarą phishingu, wiedział, że należy o tym incydencie poinformować IOD;

  • zapewnić szybką ścieżkę kontaktu z IOD. Na ocenę zdarzenia i ewentualne poinformowanie UODO firma ma jedynie 72 godziny. Każde opóźnienie w komunikacji może narazić firmę na złamanie przepisów RODO w tym zakresie;

  • włączać IOD we wszystkie procesy związane z przetwarzaniem danych – tak by miał wiedzę potrzebną do skutecznego doradzania firmie;

  • odpowiednio umieścić IOD w strukturze firmy. RODO wymaga, by IOD podległy był bezpośrednio najwyższemu kierownictwu i miał z nim szybki kontakt. Dzięki temu jego zdanie i opinie będą skutecznie przekładać się na ochronę danych i właściwą reakcję w sytuacjach kryzysowych.

Zegar tyka nieubłaganie…

Czego szef powinien wymagać od inspektora ochrony danych w trakcie wspomnianych 72 godzin od stwierdzenia incydentu? Przede wszystkim koordynowania skutecznej i szybkiej analizy zdarzenia.

Dobrze przygotowany do pełnienia swojej funkcji IOD powinien znać wytyczne Urzędu Ochrony Danych Osobowych, Europejskiej Rady Ochrony Danych oraz Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA), gdzie dostępne są praktyczne wskazówki dotyczące tego, jakie kryteria należy brać pod uwagę, szacując ryzyko związane z incydentem.
Tak krótki czas reakcji na cyberincydent oznacza również konieczność stworzenia szybkiej ścieżki kontaktu inspektora ochrony danych z działem IT firmy. Właściwa ocena naruszenia nie będzie możliwa bez fachowej wiedzy specjalistów od bezpieczeństwa teleinformatycznego.

Profilaktyka zawsze lepsza niż leczenie

Czy mogliśmy ustrzec się przed tym incydentem? To pytanie pada niemal zawsze, kiedy firma stanie się ofiarą cyberataku. I rzeczywiście inspektor ochrony danych powinien również w tym przypadku odegrać swoją rolę – pomagać zapobiegać, a nie tylko leczyć.

Standardem na rynku jest obecnie uwzględnianie tematyki phishingowej w programie szkoleń, za które odpowiada inspektor ochrony danych. Nie wystarczy jednak jednokrotna realizacja takiego szkolenia. Budowanie świadomości dbania przez pracowników o dane osobowe to proces ciągły. Jest to tym ważniejsze, że według statystyk zdecydowana większość naruszeń w firmie ma swój początek właśnie w nieintencjonalnym błędzie zatrudnionego.

Reakcja po incydencie powinna również wiązać się z koniecznością dokonania przeglądu stosowanych zabezpieczeń i wdrożenia niezbędnych środków technicznych mających na celu wyeliminowanie podobnych zdarzeń w przyszłości. Wśród nich wskazuje się przede wszystkim na konieczność stosowania weryfikacji dwuetapowej dla logowania w aplikacjach i portalach społecznościowych.

Krajobraz po bitwie

Zarząd, inspektor ochrony danych, dział IT – czy jeszcze ktoś uczestniczy w tej wielkiej grze o cyberbezpieczeństwo? Tak – są to osoby odpowiedzialne za firmowy PR. Wystąpienie incydentu ochrony danych często wiąże się z określonymi stratami wizerunkowymi firmy – głównie w branżach, które przetwarzają dane szczególnie istotne dla klientów, takich jak finanse czy sektor medyczny.

Budowanie odpowiednich komunikatów to zadanie trudne. Muszą one z jednej strony budować zaufanie do firmy, ale również zapewnić klientom odpowiednie wsparcie w zakresie minimalizacji skutków takiego incydentu dla nich samych.

Jak czytamy na stronach UODO, phishing jest kradzieżą tożsamości i o ile sprawca dokonuje tej kradzieży z zamiarem wyrządzenia szkody, to w Polsce jest ona przestępstwem. Dlatego też w każdym przypadku zidentyfikowania takiego ataku na firmę dobrą praktyką jest informowanie o zdarzeniu policji oraz CERT Polska.

Accountability

To nieprzetłumaczalne angielskie słowo oznacza w RODO rozliczalność. W praktyce oznacza, że wszelkie działania związane z przetwarzaniem danych powinny być odpowiednio dokumentowane. Pracownik zgłasza incydent do inspektora ochrony danych na formularzu wdrożonym wcześniej firmie, a IOD współdziała z kierownictwem oraz osobami odpowiedzialnymi zgodnie z przyjętą wcześniej procedurą. Wszystko po to, by na żądanie organu nadzorczego prezes firmy mógł wykazać i udowodnić, że zrobiono wszystko, aby zapewnić zgodność podejmowanych działań z RODO. Tym samym zmniejszyć lub całkowicie wyeliminować groźbę otrzymania kary pieniężnej. A kary za naruszenie RODO sięgają nawet 20 mln euro, ale to już całkiem inna opowieść…

Autorem tekstu jest Paweł Makowski, wiceprezes JAMANO – firmy doradczej zapewniającej obsługę prawną i wsparcie biznesowe (w tym z zakresu ochrony danych osobowych).

  • CERT Polska (Computer Emergency Response Team) to działający od 1996 r. zespół reagowania na incydenty związane z bezpieczeństwem w sieci. Podlega państwowemu NASK, a jego zadaniem jest m.in. rejestrowanie zdarzeń zagrażających użytkownikom internetu oraz reagowanie w uzasadnionych przypadkach.

Tematy

Może Cię zainteresować

Od Big Data do Smart Data – jak firmy podejmują lepsze decyzje dzięki danym predykcyjnym

Obecnie przedsiębiorstwa dysponują ogromnymi zbiorami danych (Big Data), dlatego coraz ważniejsze staje się umiejętne ich przetwarzanie i wykorzystywanie do podejmowania decyzji.
Dane predykcyjne, które są wynikiem zaawansowanej analityki i działania sztucznej inteligencji (AI), stają się kluczowym elementem w zarządzaniu firmami. Przejście od Big Data do Smart Data pozwala organizacjom na lepszą segmentację, prognozowanie i podejmowanie bardziej trafnych decyzji, co stanowi fundament w dynamicznie zmieniającym się otoczeniu rynkowym.

Przywództwo w erze AI: nowy wymiar bezpieczeństwa psychologicznego

Wprowadzenie

Sztuczna inteligencja rewolucjonizuje sposób, w jaki pracujemy, stawiając przed liderami wyzwanie łączenia innowacyjnych rozwiązań technologicznych z autentyczną troską o ludzi. W erze cyfrowej bezpieczeństwo psychologiczne staje się fundamentem skutecznego działania organizacji – umożliwia ono pracownikom uczenie się, eksperymentowanie i podejmowanie inicjatywy bez obaw o negatywne konsekwencje. W niniejszym artykule analizujemy wpływ AI na kulturę organizacyjną i styl przywództwa. Obalamy mity dotyczące bezpieczeństwa psychologicznego oraz wskazujemy konkretne działania, jakie liderzy mogą podjąć, by budować zaufanie w dynamicznie zmieniającym się środowisku pracy. Konkluzja jest jednoznaczna: przywództwo oparte na zaufaniu pozwala organizacjom w pełni wykorzystać potencjał AI i wzmacniać zaangażowanie zespołów.

Jak przewidywać ryzyko, zanim się zmaterializuje?
Światowe kryzysy z ostatnich dwóch dekad nauczyły nas, że ryzyko rzadko pozostaje ograniczone do jednego sektora czy rynku. W rzeczywistości rozprzestrzenia się ono jak fala – przez łańcuchy dostaw, modele biznesowe i decyzje konsumenckie. Dla menedżerów oznacza to jedno: aby trafnie przewidywać ryzyko, muszą patrzeć dalej i szerzej niż tylko na bezpośrednie zagrożenia. Zarządzanie ryzykiem […]
Strategia w świecie niepewności: jak stałość może być kotwicą wyborów

W czasach dynamicznych zmian, zakłóceń geopolitycznych i rewolucji technologicznych liderzy organizacji stoją przed trudnym zadaniem: jak projektować strategie, które nie tylko odpowiadają na bieżące wyzwania, ale także zachowują aktualność w obliczu nieprzewidywalnej przyszłości. Zamiast opierać się wyłącznie na prognozach i analizie trendów, warto zadać fundamentalne pytanie: co się nie zmienia?

Multimedia
Czego firmę może nauczyć dobrze zgrana orkiestra

Obejrzyj koncert, który pokazuje, że doskonałym przykładem do naśladowania dla firmy i jej menedżerów może być zgrana orkiestra, w której muzycy potrafią tak harmonijnie współpracować, jakby tworzyli jeden organizm. Dzięki temu w sposób powtarzalny osiągają stawiane przed nimi cele, jakimi są perfekcyjne wykonania, nagradzane aplauzem ze strony publiczności. Postępując w podobny sposób, działające na niestabilnych rynkach firmy mogą osiągnąć poziom sprawności organizacyjnej, która pozwoli zarówno na nadążanie za zmieniającymi się oczekiwaniami klientów, jak i na efektywne gospodarowanie zasobami.

Jak skutecznie współpracować z osobą, która za tobą nie przepada

Czy zdarzyło ci się kiedyś z niechęcią myśleć o spotkaniu z kolegą z pracy, którego zachowanie sprawia, że każda rozmowa przypomina stąpanie po cienkim lodzie? Gdy ktoś w miejscu pracy wydaje się żywić wobec ciebie niechęć, napięcie może być wyczuwalne i wpływać nie tylko na twoją produktywność, ale także na morale całego zespołu.

Zamiast pozwalać, by uraza kształtowała wasze relacje, istnieją sposoby, by przekształcić tę trudną sytuację w okazję do rozwoju zawodowego. Skuteczne radzenie sobie z takim wyzwaniem wymaga wglądu, taktu i gotowości do analizy nie tylko własnego zachowania, lecz także przyczyn leżących u podstaw konfliktu.

Załamanie ruchu kontenerowego pomiędzy USA a Chinami ma wpływ również na Polskę. Ruch kontenerowy pomiędzy Chinami i USA się załamuje. Co to oznacza dla polskich przedsiębiorców?

Logistyka bywa traktowana przez przedsiębiorstwa po macoszemu. Tymczasem jest to sektor o wysokiej wrażliwości na niepewność gospodarczą. W obliczu potencjalnego kryzysu gospodarczego wiele się mówi o zapaści handlu pomiędzy dwoma największymi gospodarkami świata: USA i Chinami. Te konflikty są niczym klin wbity w globalny łańcuch dostaw. W tym dotąd spójnym ekosystemie osłabienie dowolnego ogniwa może nieść ze sobą poważne konsekwencje dla każdego podmiotu gospodarczego. Pierwszym wskaźnikiem, który je ukazuje jeszcze przed pojawieniem się oficjalnych statystyk handlowych, jest ruch kontenerowy pomiędzy Chinami a USA we frachcie morskim. Według obecnych odczytów zmalał on aż o jedną trzecią w porównaniu z zeszłym rokiem.

Wprowadzenie przez Donalda Trumpa dodatkowych ceł na wiele krajów na początku kwietnia 2025 r. spowodowało brutalne turbulencje w większości światowych gospodarek. Chociaż ostatecznie sytuacja nieco się załagodziła, jej echa nie ucichły. Tąpniecie na światowych giełdach zaprezentowało, jak silne zależności panują między krajami. Często nawet jeśli dany produkt jest wytwarzany w danym kraju, jego elementy składowe lub surowce wymagają importu. Prym w tej dziedzinie wiodą Chiny, które są największym eksporterem świata oraz drugim największym eksporterem do USA. W 2024 r. chińskie produkty o łącznej wartości 439 mld dolarów stanowiły aż 14% ogółu amerykańskiego importu. Zaognienie sporu handlowego USA z Chinami, podczas którego wzajemne cła wzrosły do poziomu aż 145% wartości produktów, odmieniły te realia na bardzo długi czas, biorąc pod uwagę wysoką bezwładność, której podlega branża logistyczna.

Kiedy technologia zawodzi – frustracja lidera wobec porażki cyfrowej transformacji Kiedy technologia nie zwiększa sprzedaży – 5 powodów porażek transformacji cyfrowej

Cyfrowe narzędzia mają ogromny potencjał, ale ich skuteczność zależy od kontekstu, w jakim są wdrażane. Zamiast realnego wzrostu, który te narzędzia miały zapewnić, firmy często mierzą się z chaosem operacyjnym, rosnącymi kosztami i brakiem spójności działań. Problem nie leży w samej technologii, lecz w braku strategii, nieczytelnych celach oraz zbyt słabym powiązaniu innowacji z potrzebami klienta i organizacji.
Choć inwestycje w technologię rosną z roku na rok, wiele organizacji nie odnotowuje oczekiwanych efektów. Zamiast usprawnienia procesów i poprawy wyników sprzedaży pojawia się frustracja, nadmiar narzędzi i spadek efektywności zespołów. Transformacja cyfrowa bywa wdrażana fragmentarycznie, bez jasno określonych celów i spójnej architektury danych. Zamiast służyć rozwojowi, staje się źródłem wewnętrznego chaosu.

Pędzący pociąg rewolucji sztucznej inteligencji. Adopcja AI w Polsce

Adopcja AI w Polsce nabiera rekordowego tempa, co potwierdza raport „Unlocking Poland’s AI Potential 2025” wykonany na zlecenie AWS. Analizujemy przyspieszony rozwój sztucznej inteligencji w kraju, identyfikując kluczowy potencjał wzrostu, ale także wyzwania (kompetencje, regulacje) i niezbędne strategie na przyszłość.

Polska stoi u progu nowej ery gospodarczej, w której sztuczna inteligencja (AI) przestaje być technologiczną ciekawostką, a staje się kluczowym motorem wzrostu i konkurencyjności. Premierowe dane z raportu „Unlocking Poland’s AI Potential 2025″ malują obraz kraju, który choć startuje z nieco niższego pułapu adopcji AI (34% firm vs. 42% średniej europejskiej), nadrabia dystans w tempie niespotykanym na kontynencie. Ten dynamiczny rozwój stwarza wyjątkową szansę, ale jednocześnie rodzi pytania o strategiczne podejście do zarządzania tą transformacją.

Polska w cieniu wojny handlowej

Nowy globalny kontekst geopolityczny i gospodarczy

Eskalacja wojny handlowej między USA a Chinami na początku 2025 r. wstrząsnęła fundamentami globalnej wymiany handlowej. Waszyngton nałożył zaporowe cła na setki chińskich produktów (a nawet objął dodatkowymi taryfami wybrane towary z Unii Europejskiej), na co Pekin odpowiedział odwetowymi cłami oraz ograniczeniem eksportu strategicznych surowców. W efekcie światowy handel wyhamowuje – według analiz Allianz Trade globalny wzrost PKB może spaść do zaledwie 1,9% w skali roku, najniższego poziomu od czasów kryzysu 2008​, a wolumen handlu towarowego wpadnie w recesję (-0,5%). Europa również odczuwa wstrząsy: spada eksport, rośnie niepewność, a prognozy wzrostu dla strefy euro na 2025 zredukowano do zaledwie 0,8%​. Europejski Bank Centralny ostrzega, że szoki celne mogą bardziej zaszkodzić wzrostowi gospodarczemu niż podbić inflację – co oznacza, że kontynuacja wojny celnej niesie ryzyko stagnacji zamiast ożywienia.

Polska, jako średniej wielkości otwarta gospodarka silnie powiązana z UE, odczuwa skutki tego konfliktu głównie pośrednio. Nasz bezpośredni eksport do Chin stanowi wciąż marginalny ułamek (ok. 3,6 mld euro w 2024 r., głównie żywność, miedź, drewno czy części motoryzacyjne​), podczas gdy import z Chin osiągnął niemal 50 mld euro i obejmuje wszystko od elektroniki i AGD po maszyny przemysłowe. Taka asymetria oznacza, że polskie firmy bardziej narażone są na pośrednie skutki – osłabienie popytu na kluczowych rynkach eksportowych i zaburzenia łańcuchów dostaw – niż na bezpośrednią utratę rynku chińskiego. Jeśli gospodarka Europy Zachodniej spowolni, automatycznie ucierpi polski eksport komponentów dla niemieckiego przemysłu. Według szacunków Polskiego Instytutu Ekonomicznego, pełnoskalowa wojna celna USA–UE mogłaby obniżyć dynamikę polskiego PKB o ok. 0,4 punktu procentowego​ – spowalniając wzrost, choć niekoniecznie wywołując recesję. To istotna strata, biorąc pod uwagę że nasza gospodarka rozwija się obecnie w tempie kilku procent rocznie. Czy polski biznes może zatem pozwolić sobie na luksus ignorowania konfliktu dwóch światowych supermocarstw?

Patrząc strategicznie na tę sytuację, analizujemy kluczowe ryzyka i szanse wynikające z wojny handlowej USA–Chiny dla trzech sektorów o znaczeniu krytycznym: przemysłu, branży ICT oraz przemysłu obronnego.

Materiał dostępny tylko dla subskrybentów

Jeszcze nie masz subskrypcji? Dołącz do grona subskrybentów i korzystaj bez ograniczeń!

Subskrybuj

Newsletter

Otrzymuj najważniejsze artykuły biznesowe — zapisz się do newslettera!