Zabezpieczenia organizacyjne i techniczne wdrażane są w celu skutecznej obsługi niepożądanych zdarzeń, które mogą mieć wpływ na dane osobowe, urządzenia, infrastrukturę. Ponadto unikamy w ten sposób wydatków na kary, odszkodowania lub nowe zabezpieczenia. Warto więc bliżej przyjrzeć się kryteriom klasyfikowania zdarzenia jako incydentu w rozumieniu uksc oraz naruszenia ochrony danych osobowych w rozumieniu rodo.

„Rekordowa kwota”, „3 000 000 zł za wyciek danych”, „Gigantyczna kara” to tylko niektóre z fragmentów tytułów prasowych po wydaniu przez Prezesa Urzędu Ochrony Danych Osobowych decyzji nakładającej administracyjną karę pieniężną na Morele.net. Do opinii publicznej przedostał się komunikat, że przyczynami wymierzenia kary były wyciek i utrata poufności danych oraz niewystarczające zabezpieczenia organizacyjne i techniczne.

Droga na skróty to częsta przypadłość działów IT. Z jej przejawami można się spotkać w sferze programistycznej, a także odpowiedzialnej za bezpieczeństwo systemów informatycznych czy za zapewnianie ciągłości działania systemów. Powstały dług technologiczny naraża organizacje na ryzyko utraty danych lub dostępów, a zwłaszcza poniesienia nagłych i czasem znaczących wydatków finansowych.

Krajowy system cyberbezpieczeństwa ma na celu zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów i obejmuje między innymi operatorów usług kluczowych oraz dostawców usług cyfrowych.

Sztuczna inteligencja może służyć do… Nie, nie będziemy tu pisać o rozwoju IT i zmianie świata na lepsze. AI, jak każda technologia, może też generować zagrożenia. Wszystko zależy od intencji. Tworzenie niewykrywalnych wirusów, aktywowanych po rozpoznaniu twarzy ofiary, niszczenie reputacji firm lub osób, wywieranie wpływu na politykę i opinie użytkowników czy przejmowanie kontroli nad urządzeniami IoT to tylko kilka z zastosowań.

Uznanie za operatora usługi kluczowej nakłada na podmiot obowiązki określone w rozdziale 3 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560), zwanej w dalszej części ustawą. Jednym z nich jest posiadanie ustrukturyzowanych, wyspecjalizowanych zasobów osobowych zapewniających realizację zadań ustawowych.

Popularność technologii blockchain nieustannie rośnie, dzięki czemu słyszymy o kolejnych coraz bardziej pomysłowych zastosowaniach. Jednak w praktyce nie jest ona dla każdego – żeby efektywnie wykorzystać potencjał blockchaina, trzeba poznać słabe i mocne strony tej technologii.

Sprowadzenie zagadnień cyberbezpieczeństwa wyłącznie do zabezpieczeń technicznych i informatycznych to zdecydowanie za mało. Ubiegłoroczne regulacje w postaci ustawy o krajowym systemie cyberbezpieczeństwa oraz rozporządzenia Ministra Cyfryzacji dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa wskazują na dużą rolę czynnika ludzkiego w krajowym systemie cyberbezpieczeństwa.

Zdarza się, że samo miejsce w strukturze organizacyjnej (tzw. wysokie stanowisko) przemawia za wprowadzaniem wyjątków od zasad związanych z odpowiedzialnością, licencjami i procedurami. W takim przypadku rola działu IT sprowadza się do zarządzania różnicą między rozwiązaniami standardowymi a tymi, które powstały w wyniku wprowadzenia zmian. Różnica najczęściej polega na zaimplementowaniu i aktualizowaniu odmiennych (czasem niebezpiecznych) rozwiązań.

Zarządzanie incydentami informatycznymi w ujęciu prawnym powinno być oceniane przez pryzmat co najmniej trzech regulacji prawnych – wytycznych rozporządzenia rodo, regulacji o krajowym systemie cyberbezpieczeństwa oraz przepisów kodeksu postępowania karnego.