Reklama
Subskrypcja
Subskrypcja
Dołącz do liderów przyszłości i zdobądź przewagę! Sprawdź najnowszą ofertę subskrypcji
Sprawdzam
Transformacja organizacyjna
Magazyn (Nr 4, kwiecień 2020)

Inspektor Ochrony Danych w centrum cyberataku

1 kwietnia 2020 7 min czytania
Odsłuchaj
Pobierz PDF
Inspektor Ochrony Danych w centrum cyberataku

Partnerem materiału jest Umano.

Zapowiada się miły, piątkowy wieczór, pracownik odpowiedzialny za prowadzenie instagramowego konta firmy otrzymuje nagle wiadomość. W treści maila widnieje ostrzeżenie – Facebook (właściciel Instagrama) zablokuje konto w ciągu 24 godzin z uwagi na naruszenie praw autorskich. Ale jest jeszcze szansa na „ratunek”, ponieważ w wiadomości załączono również link, za pomocą którego można się skontaktować z centrum pomocy Facebooka.

„Przecież za chwilę mam umieścić informację o corocznym konkursie!” – przypomina sobie wystraszony adresat. Klika więc w zamieszczony link i podaje dane do logowania (rzekomo wymagane w celu potwierdzenia autentyczności zapytania). Chwilę później zalogowanie się do firmowego konta nie jest już w ogóle możliwe, a na zdjęciu profilowym nie widnieje już firmowy logotyp, a obrazek wrzucony przez złodzieja…

Złapani na cyfrową wędkę

Trzy najczęściej występujące typy incydentów w polskim internecie to phishing, dystrybucja złośliwego oprogramowania i spam. Jak wynika z ostatniego raportu rocznego CERT Polska*, phishing stanowił ok. 44 proc. wszystkich incydentów. W 2018 roku CERT otrzymał łącznie aż 77 536 zgłoszeń z nim związanych.

Utrata danych uwierzytelniających najczęściej oznacza również naruszenie bezpieczeństwa w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO). Każdy taki incydent należy ocenić pod kątem ewentualnego ryzyka naruszenia praw i wolności osób, których dane dotyczą.

Dane mogą zostać na przykład sprzedane firmom marketingowym, narażając ofiary na potop niechcianych wiadomości typu spam. Mogą też zostać wykorzystane do kradzieży tożsamości, a przez to np. do wyłudzenia.

Inspektor ochrony danych – na ratunek

Właściwa ocena incydentu pod kątem naruszenia RODO wymaga odpowiedniej wiedzy i umiejętności. Czy incydent należy zgłosić do Urzędu Ochrony Danych Osobowych (UODO)? Czy należy poinformować o zdarzeniu klientów firmy? Jakie kryteria należy zastosować, by ocenić poziom ryzyka dla naszych klientów?

Odpowiedzi na te pytania powinien znać inspektor ochrony danych (IOD). To fachowy doradca, który wspiera firmę w zapewnianiu zgodności wszystkich procesów przetwarzania danych z RODO oraz z innymi przepisami o ochronie danych. W niektórych przypadkach wyznaczenie IOD jest obowiązkowe – muszą go posiadać m.in. podmioty publiczne. Niemniej jednak wszystkie firmy powinny rozważyć zapewnienie wsparcia swoich procesów przez IOD. To także element budowania pozytywnego przekazu do klientów: „Twoje dane osobowe są u nas bezpieczne”.

Jak przygotować firmę na IOD?

Aby inspektor ochrony danych mógł wykonywać swoje zadania właściwie i rzeczywiście wspierać firmę w codziennym zapewnianiu zgodności działań z RODO i radzeniu sobie w przypadku wystąpienia cyberataków, firma powinna zadbać, by:

  • właściwie zakomunikować wszystkim pracownikom, że w zespole znajduje się osoba odpowiedzialna za ochronę danych – tak aby zatrudniony, który padł ofiarą phishingu, wiedział, że należy o tym incydencie poinformować IOD;

  • zapewnić szybką ścieżkę kontaktu z IOD. Na ocenę zdarzenia i ewentualne poinformowanie UODO firma ma jedynie 72 godziny. Każde opóźnienie w komunikacji może narazić firmę na złamanie przepisów RODO w tym zakresie;

  • włączać IOD we wszystkie procesy związane z przetwarzaniem danych – tak by miał wiedzę potrzebną do skutecznego doradzania firmie;

  • odpowiednio umieścić IOD w strukturze firmy. RODO wymaga, by IOD podległy był bezpośrednio najwyższemu kierownictwu i miał z nim szybki kontakt. Dzięki temu jego zdanie i opinie będą skutecznie przekładać się na ochronę danych i właściwą reakcję w sytuacjach kryzysowych.

Zegar tyka nieubłaganie…

Czego szef powinien wymagać od inspektora ochrony danych w trakcie wspomnianych 72 godzin od stwierdzenia incydentu? Przede wszystkim koordynowania skutecznej i szybkiej analizy zdarzenia.

Dobrze przygotowany do pełnienia swojej funkcji IOD powinien znać wytyczne Urzędu Ochrony Danych Osobowych, Europejskiej Rady Ochrony Danych oraz Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA), gdzie dostępne są praktyczne wskazówki dotyczące tego, jakie kryteria należy brać pod uwagę, szacując ryzyko związane z incydentem.
Tak krótki czas reakcji na cyberincydent oznacza również konieczność stworzenia szybkiej ścieżki kontaktu inspektora ochrony danych z działem IT firmy. Właściwa ocena naruszenia nie będzie możliwa bez fachowej wiedzy specjalistów od bezpieczeństwa teleinformatycznego.

Profilaktyka zawsze lepsza niż leczenie

Czy mogliśmy ustrzec się przed tym incydentem? To pytanie pada niemal zawsze, kiedy firma stanie się ofiarą cyberataku. I rzeczywiście inspektor ochrony danych powinien również w tym przypadku odegrać swoją rolę – pomagać zapobiegać, a nie tylko leczyć.

Standardem na rynku jest obecnie uwzględnianie tematyki phishingowej w programie szkoleń, za które odpowiada inspektor ochrony danych. Nie wystarczy jednak jednokrotna realizacja takiego szkolenia. Budowanie świadomości dbania przez pracowników o dane osobowe to proces ciągły. Jest to tym ważniejsze, że według statystyk zdecydowana większość naruszeń w firmie ma swój początek właśnie w nieintencjonalnym błędzie zatrudnionego.

Reakcja po incydencie powinna również wiązać się z koniecznością dokonania przeglądu stosowanych zabezpieczeń i wdrożenia niezbędnych środków technicznych mających na celu wyeliminowanie podobnych zdarzeń w przyszłości. Wśród nich wskazuje się przede wszystkim na konieczność stosowania weryfikacji dwuetapowej dla logowania w aplikacjach i portalach społecznościowych.

Krajobraz po bitwie

Zarząd, inspektor ochrony danych, dział IT – czy jeszcze ktoś uczestniczy w tej wielkiej grze o cyberbezpieczeństwo? Tak – są to osoby odpowiedzialne za firmowy PR. Wystąpienie incydentu ochrony danych często wiąże się z określonymi stratami wizerunkowymi firmy – głównie w branżach, które przetwarzają dane szczególnie istotne dla klientów, takich jak finanse czy sektor medyczny.

Budowanie odpowiednich komunikatów to zadanie trudne. Muszą one z jednej strony budować zaufanie do firmy, ale również zapewnić klientom odpowiednie wsparcie w zakresie minimalizacji skutków takiego incydentu dla nich samych.

Jak czytamy na stronach UODO, phishing jest kradzieżą tożsamości i o ile sprawca dokonuje tej kradzieży z zamiarem wyrządzenia szkody, to w Polsce jest ona przestępstwem. Dlatego też w każdym przypadku zidentyfikowania takiego ataku na firmę dobrą praktyką jest informowanie o zdarzeniu policji oraz CERT Polska.

Accountability

To nieprzetłumaczalne angielskie słowo oznacza w RODO rozliczalność. W praktyce oznacza, że wszelkie działania związane z przetwarzaniem danych powinny być odpowiednio dokumentowane. Pracownik zgłasza incydent do inspektora ochrony danych na formularzu wdrożonym wcześniej firmie, a IOD współdziała z kierownictwem oraz osobami odpowiedzialnymi zgodnie z przyjętą wcześniej procedurą. Wszystko po to, by na żądanie organu nadzorczego prezes firmy mógł wykazać i udowodnić, że zrobiono wszystko, aby zapewnić zgodność podejmowanych działań z RODO. Tym samym zmniejszyć lub całkowicie wyeliminować groźbę otrzymania kary pieniężnej. A kary za naruszenie RODO sięgają nawet 20 mln euro, ale to już całkiem inna opowieść…

Autorem tekstu jest Paweł Makowski, wiceprezes JAMANO – firmy doradczej zapewniającej obsługę prawną i wsparcie biznesowe (w tym z zakresu ochrony danych osobowych).

  • CERT Polska (Computer Emergency Response Team) to działający od 1996 r. zespół reagowania na incydenty związane z bezpieczeństwem w sieci. Podlega państwowemu NASK, a jego zadaniem jest m.in. rejestrowanie zdarzeń zagrażających użytkownikom internetu oraz reagowanie w uzasadnionych przypadkach.

Tematy
Transformacja organizacyjna Cyberbezpieczeństwo Struktura organizacyjna SZTUCZNA INTELIGENCJA Zarządzanie i przywództwo IT Zarządzanie kryzysowe
Spis treści
  1. Złapani na cyfrową wędkę
  2. Inspektor ochrony danych – na ratunek
  3. Jak przygotować firmę na IOD?
  4. Zegar tyka nieubłaganie…
  5. Profilaktyka zawsze lepsza niż leczenie
  6. Krajobraz po bitwie
  7. Accountability

Może Cię zainteresować

przywództwo w czasach niepewności
PRZYWÓDZTWO
Czego potrzebują pracownicy od liderów w czasach niepewności?

W obliczu rosnącej niepewności geopolitycznej, gospodarczej i technologicznej, oczekiwania wobec liderów ulegają zasadniczej zmianie. Jak pokazują badania Gallupa, McKinsey & Company oraz MIT Sloan Management Review, tradycyjne modele przywództwa oparte na hierarchii, kontroli i przewidywalności coraz częściej zawodzą.

Witold B. Jankowski 19 maja 2025
GEOPOLITYKA
Centrum Dowodzenia Cłami: odpowiedź na geopolityczne wstrząsy

W odpowiedzi na rosnącą niepewność geopolityczną i agresywną politykę celną, Boston Consulting Group proponuje firmom stworzenie centrów dowodzenia cłami – wyspecjalizowanych jednostek analizujących zmiany regulacyjne i wspierających szybkie decyzje strategiczne. Artykuł pokazuje, jak takie centrum może pomóc chronić marże, przekształcić kryzys w szansę i wzmocnić odporność firmy w globalnym handlu.

Paweł Kubisiak 19 maja 2025
GEOPOLITYKA
Chief Geopolitics Officer: odpowiedź na zmienność świata

W coraz mniej przewidywalnej rzeczywistości 2025 roku funkcja Chief Geopolitics Officer nie jest chwilową modą, lecz strategiczną odpowiedzią na rosnącą złożoność otoczenia biznesowego. Geopolityka przestała być czynnikiem zewnętrznym, natomiast stała się integralnym elementem zarządzania ryzykiem, planowania rozwoju i budowania przewagi konkurencyjnej. Organizacje, które już teraz integrują kompetencje geopolityczne z procesami decyzyjnymi na poziomie zarządu, zyskują realną odporność na wstrząsy systemowe, szybszy dostęp do informacji oraz zdolność przewidywania i adaptacji.

Gabriela Targońska 16 maja 2025
Europejski Kongres Finansowy 2025
GEOPOLITYKA
Europejski Kongres Finansowy 2025 pod znakiem geopolityki, bezpieczeństwa i transformacji

W ostatnich latach mapa ryzyk geopolitycznych i gospodarczych uległa gwałtownej zmianie. Agresywna polityka Rosji, napięcia na linii USA–Chiny oraz zmagania liberalnych demokracji z ruchami populistycznymi redefiniują globalny porządek. Europa staje przed fundamentalnymi pytaniami o bezpieczeństwo, integrację i odporność instytucjonalną. To właśnie o tych kluczowych zagadnieniach będzie się toczyć dyskusja podczas Europejskiego Kongresu Finansowego, który odbędzie się 2–4 czerwca w Sopocie.

EKF to jedno z najważniejszych spotkań finansowych w Europie Środkowo-Wschodniej

EKF ma miejsce w Sopocie. W ciągu trzech dni odbędzie się szereg nieskrępowanych debat, podczas których poruszane będą kluczowe tematy wynikające z sytuacji geopolitycznej i narastającej niepewności co do relacji gospodarczych, handlowych i finansowych na świecie, ale także tematyka stabilności europejskiego i polskiego systemu finansowego. Ich owocem będą rekomendacje dotyczące zmian systemowych w polityce gospodarczej, służące bezpiecznemu i zrównoważonemu rozwojowi.

MateriaŁ Sponsorowany, Europejski Kongres Finansowy 16 maja 2025
SZTUCZNA INTELIGENCJA
Jak narzędzia GenAI mogą, a jak nie mogą pomóc w prezentacji

Narzędzia GenAI mogą pomóc nam zaoszczędzić czas podczas zbierania materiałów i pisania prezentacji. Jednak liderzy powinni unikać wykorzystywania GenAI zbyt wcześnie w kreatywnym procesie tworzenia prezentacji. Przekaz trafia do odbiorców wtedy, gdy nawiążą z nim więź, a ta więź wynika z trzech bardzo ludzkich umiejętności: naszej zdolności do projektowania strategicznego przekazu, naszej kreatywnej oceny oraz naszej empatii.

Nancy Duarte 16 maja 2025
Jak koncepcje lean management i just-in-time sprawdzają się w czasach niepewności?
STRATEGIA
Jak lean management i just-in-time sprawdzają się w czasach niepewności?

Nazbyt często reakcją biznesu na niepewne czasy jest nicnierobienie, czyli „czekanie i obserwowanie”. Niestety takie podejście oznacza, że ​​biznes nie jest przygotowany na nadchodzące zmiany. Zdecydowanie lepszym rozwiązaniem jest wykonanie proaktywnych kroków, zmierzających do uzbrojenia firmy w elastyczność, pozwalającą na szybkie reagowania na nieprzewidywalne zdarzenia. Oto, czego uczy nas podejście lean management.

Niepewność to według wielu ekspertów najgorsze, co może spotkać biznes. Nie można bowiem przyjąć za pewnik żadnego z dostępnych rozwiązań. Niektórzy decydują się nie wprowadzać żadnych działań, czekając na jakikolwiek sygnał o stabilizacji. Inni gromadzą zapasy, a jeszcze inni wybierają wręcz odwrotne rozwiązanie – reagowania na bieżąco na poszczególne sygnały. Do zalecanych rozwiązań zalicza się w tej sytuacji koncepcja „szczupłego zarządzania”, która swoimi korzeniami sięga do Japonii lat 80. Chociaż wiele z jej założeń może okazać się trafne, warto pamiętać, że czasy się zmieniły, a warunki gospodarcze podlegają ciągłej ewolucji. W związku z tym nawet do strategii opartej na elastyczności warto podejść z odrobiną dystansu i dostosować ją do wszystkich zmiennych. Jak właściwie zaimplementować lean management, ze szczególnym uwzględnieniem just-in-time, w realiach niepewności gospodarczej, żeby na tym skorzystać z jednoczesną redukcją ryzyka?

Magdalena Desperak-Kołek 15 maja 2025
PRZYWÓDZTWO
Lider przyszłości? Ten, który potrafi współpracować

Współczesne życie zawodowe wymaga nie tylko doskonałości indywidualnej, ale także rozwijania umiejętności współpracy. Mistrzostwo i współdziałanie to dwa filary produktywności i sensu pracy. Autorka pokazuje, że współpraca bywa trudna — krucha, podatna na obojętność i konflikty — ale też niezwykle wartościowa. Poprzez badania, osobiste doświadczenia i refleksje wskazuje, jak relacje, sieci kontaktów oraz świadome budowanie otwartości wpływają na rozwój zawodowy. Kluczowe jest pielęgnowanie postawy opartej na zaufaniu, hojności i ciekawości oraz umiejętność zadania pytania, które zapala iskrę porozumienia i wspólnego działania.

Lynda Gratton 15 maja 2025
ZARZĄDZANIE
Intuicja w biznesie: Jak świadomie wykorzystywać nieświadome procesy decyzyjne

W dynamicznym środowisku współczesnego biznesu liderzy muszą szybko i skutecznie reagować na rosnącą złożoność oraz niepewność otoczenia. Choć przez dziesięciolecia dominowały podejścia oparte przede wszystkim na racjonalnej analizie danych, najnowsze badania psychologiczne wyraźnie wskazują na coraz większą rolę intuicji – zwłaszcza w sytuacjach wymagających podejmowania złożonych decyzji. Okazuje się, że myślenie intuicyjne, czyli procesy zachodzące poza świadomą percepcją decydenta, może być kluczem do lepszych wyników w sytuacjach, w których świadoma analiza osiąga swoje naturalne ograniczenia.

Niniejszy artykuł przedstawia koncepcję tzw. „deliberacji bez uwagi” (deliberation without attention), opisaną pierwotnie przez Maartena Bosa i jego współpracowników. Wyjaśnia, w jaki sposób menedżerowie mogą świadomie integrować intuicję z analitycznymi metodami decyzyjnymi, by poprawić skuteczność i trafność swoich wyborów.

Jan Tarnas 14 maja 2025
PRZYWÓDZTWO
Niewygodna prawda o modnych stylach zarządzania

Setki teorii, modne style i głośne hasła, a jednak wciąż zadajemy to samo pytanie: co naprawdę sprawia, że lider jest skuteczny? Najnowsze badania pokazują, że odpowiedź jest prostsza (i mniej wygodna), niż się wydaje.  Transformacyjny, autentyczny, służebny, sytuacyjny – słownik współczesnego lidera puchnie od kolejnych „rewolucyjnych” stylów przywództwa. Co kilka lat pojawia się nowy trend, okrzyknięty brakującym elementem układanki skutecznego zarządzania ludźmi.

Paulina Chmiel-Antoniuk 14 maja 2025
Dolar po raz pierwszy od wielu lat może stracić swój status "bezpiecznej przystani" dla inwestorów
GEOPOLITYKA
Czy dolar przestaje być „bezpieczną przystanią”? Czarny scenariusz dla waluty światowego hegemona

Dolar przez dekady dawał inwestorom to, czego najbardziej potrzebowali w czasach kryzysu: stabilność. Dziś ta pewność znika. Agresywna polityka celna USA, utrata zaufania do amerykańskich instytucji i rosnące znaczenie alternatywnych walut sprawiają, że świat finansów wchodzi w erę większej zmienności i nieprzewidywalności. Dla firm – również w Polsce – oznacza to konieczność przemyślenia strategii walutowej, dywersyfikacji ekspozycji i aktywnego zarządzania ryzykiem. Dolar jeszcze nie upadł, ale jego hegemonia już została podważona.

Zmiana nastrojów – konsekwencje wojny handlowej

Na początku kwietnia Stany Zjednoczone ogłosiły szerokie cła importowe, obejmujące niemal wszystkie grupy towarowe. Choć większość tych restrykcji została już wycofana lub zawieszona, a między USA i Chinami podpisano tymczasowe porozumienie handlowe, to wydarzenia te zachwiały wizerunkiem USA jako ostoi stabilności. Tym razem, zamiast klasycznego wzrostu wartości dolara w reakcji na globalną niepewność, indeks dolara spadł od początku roku o 6,4%.

Dla wielu inwestorów to sygnał, że coś się zmieniło. Kiedyś dolar wzmacniał się niezależnie od źródła kryzysu – nawet jeśli to właśnie Stany Zjednoczone były jego epicentrum. Dziś ta zasada przestaje działać.

Magdalena Desperak-Kołek 14 maja 2025
Materiał dostępny tylko dla subskrybentów

Jeszcze nie masz subskrypcji? Dołącz do grona subskrybentów i korzystaj bez ograniczeń!

Subskrybuj

Newsletter

Otrzymuj najważniejsze artykuły biznesowe — zapisz się do newslettera!