Polskie Forum Call Center > Artykuły > Komentarze ekspertów > Krzysztof Kiewicz z ODO 24 podsumowuje rok 2017

Krzysztof Kiewicz z ODO 24 podsumowuje rok 2017

Opublikowane przez: Polskie Forum Call Center
Kategoria: Komentarze ekspertów

Rok 2017 możemy uznać jako przełomowy w zakresie przygotowań do wdrożenia europejskiego rozporządzenia o ochronie danych osobowych (RODO). Ustawodawca przedstawił projekt regulacji krajowych odnoszących się do planowanych zmian, a firmy informatyczne rozpoczęły przygotowania mające na celu dostosowanie swoich rozwiązań do nowych wymogów. Niestety, nie obeszło się również bez wpadek.

RODO  jako główny punkt zainteresowania

W nowym projekcie założenia, które przyświecały prawodawcy to przede wszystkim chęć podwyższenia poziomu prywatności obywateli, w tym przyznanie im nowych, nieznanych dzisiaj i skutecznych mechanizmów ochrony przed naruszeniami, przy jednoczesnym poszanowaniu interesów przedsiębiorców. Krajowe przepisy udzielą kompetencji Prezesowi Urzędu Ochrony Danych Osobowych (następcy GIODO) do opracowywania i udostępniania na swojej stronie internetowej dobrych praktyk przetwarzania danych, zawierających rekomendowane środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania informacji.

Należy również zauważyć, iż GIODO rozpoczęło cykl szkoleń przygotowujących zarówno administratorów danych jak i obecnych ABI do wywiązywania się z przepisów RODO.

W mijającym roku wiele firm i organizacji intensywnie przygotowywało się i wdrażało rozwiązania, które pozwolą im spełnić wymogi ustawodawcy. Pomocne okazały się przedsiębiorstwa specjalizujące się w ochronie danych osobowych, mające w swojej ofercie kompleksowe rozwiązania w tym zakresie. Poczynając od audytów, po analizy ryzyka, doskonalenie procesów i środowiska IT, a na opracowywaniu dokumentacji i prowadzeniu szkoleń kończąc.

Branża IT nie „zaspała”

Naturalną rzeczą jest, iż rewolucja w przepisach regulujących kwestie ochrony danych osobowych wymusi również zmiany w eksploatowanych już systemach teleinformatycznych. Jednym z podstawowych problemów było i będzie, zapewnienie systemom IT funkcjonalności przedstawionej w art. 17 ust. 1 RODO, tj. prawa do bycia zapomnianym. W tym przypadku konieczne jest przeszukanie wszystkich zasobów teleinformatycznych, co będzie nie lada wyzwaniem, gdyż dane mogą być nie tylko w bazach, ale również w plikach tekstowych zlokalizowanych na komputerach użytkowników, plikach ze skanami dokumentów itp.
Poważnie do tego problemu podszedł m.in. IBM oferując rozwiązania typu SIEM, takie jak:

  • IBM Security Guardium. Zbiór narządzi, które rozwiązuje problemy jakie wiążą się z dostosowaniem obszaru IT do postanowień RODO. Umożliwia m.in. przeszukiwanie zasobów informatycznych w celi zidentyfikowania danych, a następnie wspiera ich klasyfikowanie. Umożliwia również stałe monitorowanie pod kątem zgodności dostępu do danych.
  • IBM QRadar. Ułatwia konsolidowanie logów z eksploatowanych w organizacji systemów.

Również firma Hewlett Packard posiada w swojej ofercie oprogramowanie wspierające obszar IT w zakresie dostosowania do RODO. Jest to platforma zabezpieczająca HPE SecureData umożliwiająca m.in. zaawansowane mechanizmy szyfrowania czy też pseudononimizacji, jak również zabezpieczenia danych w chmurach publicznych. Ciekawym rozwiązaniem jest też oprogramowanie GREENmod oferowane przez firmę TUKAN IT. Narzędzie to wspomaga klasyfikowanie dokumentów oraz określanie stopnia ich poufności tuż przed zapisaniem ich na komputerze.

Akcje edukacyjne

W mijającym roku powstało również dużo działań, które na celu miały uświadamiać o nadchodzących zmianach. Jedną z nich była kampania „Potencjalnie nieBezpieczni” stworzona z inicjatywy Fundacji Wiedza To Bezpieczeństwo. Akcja skierowana była z jednej strony do „przeciętnego Kowalskiego”, a z drugiej do przedsiębiorców. Podczas pierwszej części działania koncentrowały się na zainteresowaniu społeczeństwa zagrożeniami związanymi z naszym, często lekkomyślnym, zachowaniem np. zostawianiem dokumentów w zastaw za wypożyczony sprzęt, korzystaniem z niezaufanych sieci Wi-Fi czy używaniem prostego hasła do zabezpieczania urządzeń komputerowych, w szczególności tych mobilnych.
Natomiast druga część kampanii miała na celu zwrócić uwagę właścicieli firm , kadry zarządzającej oraz pracowników wszystkich branż i sektorów na zagrożenia, które czyhają na poufne dane. Kampania uświadamiała jak ważna jest odpowiednia ochrona posiadanych i przetwarzanych danych.
Patronat honorowy nad działaniami objęło Ministerstwo Cyfryzacji. Akcję wspierają także m.in: Microsoft, DHL Express, eRecruiter, LH.pl, Loando.pl, ODO 24, Tukan IT.

Wycieki danych…

Szerokim echem w mediach odbił się wyciek danych osobowych i medycznych setek pacjentów oraz informacji finansowych należących do dziesiątek szpitali, obsługiwanych przez podmiot zewnętrzny. W efekcie możliwe było poznanie m.in. historii chorób pacjentów, czy też kondycji finansowej poszczególnych placówek medycznych. W efekcie kontrola przeprowadzona przez GIODO wykazała liczne nieprawidłowości m.in. w rozwiązaniach i procedurach.

Kolejny duży wyciek – tyczący się aż 50 tys. osób – miał miejsce w firmie InPost. Oprócz danych osobowych pracowników, ujawniono również opisy zabezpieczeń fizycznych obiektów należących do firmy, a także konfiguracje umożliwiające zarządzanie paczkomatami.

W 2017 roku w Stanach Zjednoczonych doszło do największego w historii ujawnienia danych. Zdarzenie to dotyczyło około 200 milionów osób. Na jaw wyszły  m.in. adresy, dane kart kredytowych oraz numery ubezpieczenia społecznego.

Podsumowując rok 2017 należy uznać go za kluczowy w kontekście przygotowań do wdrożenia wymagań RODO. Zrewolucjonizowane podejście do zabezpieczania danych osobowych zostało dostrzeżone nie tylko przez administratorów danych, ale również branżę IT dostarczającą narzędzia i usługi w tym zakresie. Nie bez znaczenia pozostaje również fakt głośnych spraw związanych z wyciekami danych,  jak również podjętymi z nimi interwencjami GIODO, gdzie w każdej tego typu sytuacji podejmowana jest żywa dyskusja nt. bezpieczeństwa informacji oraz ryzyka jakie czyhają na każdego z nas.

Krzysztof Kiewicz

Specjalista ds. bezpieczeństwa informacji. Doświadczony informatyk specjalizujący się w obszarze elektronicznych systemów zabezpieczenia technicznego. Posiada wieloletnie doświadczenie zarówno w sektorze przedsiębiorstw państwowych jak i międzynarodowych korporacji, w których odpowiadał m.in. za nadzór nad ochroną informacji prawnie chronionych (informacji niejawnych, danych osobowych, tajemnicy przedsiębiorstwa), wykonując obowiązki administratora bezpieczeństwa informacji oraz inspektora bezpieczeństwa teleinformatycznego. Kierownik dużych projektów informatycznych realizowanych w branży transportowej, nieruchomości oraz medycznej. Audytor wewnętrzny ISO/IEC 27001.

Polskie Forum Call Center

About Polskie Forum Call Center

Polskie Forum Call Center jest akceleratorem rozwoju branży Contact Center.Dostarczamy wiedzę, promujemy najlepsze praktyki, budujemy platformę porozumienia rynkowego, motywujemy do współdziałania.

Prowadzimy kluczowe dla rynku projekty rozwojowe. Organizujemy dialog pomiędzy firmami, wspieramy komunikację branży z instytucjami administracji rządowej oraz organizacji pozarządowych w Polsce i na Świecie.

Visit My Website
View All Posts

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.