Ochrona danych osobowych a bezpieczeństwo państwa – wnioski po seminarium UODO i ZUS

7 października w Centrali ZUS w Warszawie odbyło się seminarium „Ochrona danych jako element odporności społeczeństwa i państwa”. Podczas spotkania Urząd Ochrony Danych Osobowych i Zakład Ubezpieczeń Społecznych we współpracy ze Społecznym Zespołem Ekspertów przy PUODO zaprezentowali trendy oraz kierunki obowiązujące w zakresie ochrony danych osobowych jako elementu odporności społeczeństwa i państwa.

Zagadnienia poruszone w czasie wydarzenia dotyczyły nowych rodzajów ataków cybernetycznych, wpływu działań wojennych na liczbę naruszeń ochrony danych czy nowych metod ataków phishingowych i socjotechnicznych w kontekście agresji Rosji na Ukrainę oraz konfliktu na Bliskim Wschodzie.

Nie bez powodu konferencja ta miała miejsce w październiku – Europejskim Miesiącu Cyberbezpieczeństwa. To kampania organizowana przez ENISA, Agencję Unii Europejskiej ds. Cyberbezpieczeństwa z inicjatywy Komisji Europejskiej. Jej celem jest popularyzacja wiedzy, zwiększanie świadomości i wymiana dobrych praktyk w obszarze cyberbezpieczeństwa wśród użytkowników Internetu, profesjonalistów czy osób zajmujących się edukacją dzieci i młodzieży. W tegorocznej edycji szczególną uwagę poświęcono problematyce inżynierii społecznej – różnym metodom socjotechniki, które cyberprzestępcy wykorzystują do manipulacji w oszustwach internetowych nakierowanych na użytkowników sieci.

Seminarium było okazją do dyskusji na temat nowych trendów w działaniach hakerów wykorzystujących luki w zabezpieczeniach systemów przetwarzających dane osobowe. Uczestnicy omówili wyzwania dla ochrony prywatności, jakie niosą ze sobą nowe technologie, takie jak sztuczna inteligencja, uczenie maszynowe i przetwarzanie danych biometrycznych. Dyskutowali nad wykorzystywaniem wycieków danych osobowych do dezinformacji lub ingerencji w procesy demokratyczne.

Edukacja to podstawa

W czasie wydarzenia paneliści podkreślili, że ochrona danych osobowych musi być integralną częścią myślenia o bezpieczeństwie państwa. Najsłabszym ogniwem w tym łańcuszku jest zawsze człowiek. Dlatego ważne jest budowanie świadomości zagrożeń, którym możemy przeciwdziałać poprzez takie czynności jak częste zmiany hasła, sprawdzanie kiedy ktoś ostatni raz logował się na nasze konto, ostrożność w korzystaniu ze sprzętu służbowego do celów prywatnych lub prywatnego do celów służbowych. Edukacja najmłodszych, szkolenia dla pracowników, uświadamianie osób starszych, wprowadzenie zasad cyberhigieny – to baza, dzięki której zapewnimy bezpieczne użytkowanie urządzeń elektronicznych oraz nowoczesnych technologii. Eksperci omówili również znaczenie edukacji w zakresie cyberbezpieczeństwa wśród pracowników administracji publicznej oraz sektora prywatnego.

Cenna współpraca

Dużą część spotkania poświęcono na przemyślenia dotyczące działań, jakie powinny podjąć organy publiczne w celu zwalczania cyberprzestępczości naruszającej prywatność obywateli. Rozmówcy zastanawiali się, w jaki sposób UODO i CSIRT mogą zacieśnić współpracę w zakresie wymiany informacji o zagrożeniach i naruszeniach ochrony danych oraz jakie konkretne środki techniczne i organizacyjne powinni wdrożyć administratorzy, aby zwiększyć odporność na ataki cybernetyczne.

Cyberbezpieczeństwo to działanie zespołowe, wymagająca nie tylko współpracy lokalnych instytucji np. wojska czy policji z – przykładowo – bigtechami, ale również kooperacji z instytucjami Unii Europejskiej i państwami członkowskimi. Nie bez znaczenia są tu regulacje prawne, takie jak dyrektywa NIS2, których prawidłowe wdrożenie ma niebagatelny wpływ na poziom cyberbezpieczeństwa.  

Jeśli chodzi o współpracę, ważną funkcję pełnią w niej IOD-owie jako strażnicy ochrony danych. Są jednak pewne zagadnienia związane z ich pracą, które wymagają dookreślenia. W odniesieniu do IOD-ów zwrócono uwagę na kwestię braku doprecyzowania przez ustawodawcę kryteriów oceny inspektorów: jak sprawdzać ich wiarygodność, gdy są zatrudnieni u kilku i więcej administratorów? Podkreślono potrzebę wystawiania zaświadczenia o niekaralności IOD-a, jakie funkcjonowało w poprzednim stanie prawnym. Zaznaczono również, że uściślenia definicji wymagają stanowiska typu „zastępca IOD-a” czy „osoba zastępująca IOD-a”.

Coraz więcej ataków

Według danych NASK liczba incydentów ochrony danych osobowych drastycznie rośnie. W 2020 roku odnotowano 10 tysięcy, dwa lata później – 38 tysięcy, podczas gdy do września 2024 roku zarejestrowano ich już 80 tysięcy.

Eksperci przestrzegli przed phishingiem – jednym z najpopularniejszych typów ataków opartych o wiadomości e-mail lub SMS. Cyberprzestępcy podszywając się m.in. pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych czy znajomych ofiary, starają się wyłudzić dane do logowania np. do kont bankowych, kont społecznościowych, czy systemów biznesowych.

Oszuści nastawieni są coraz częściej na monetyzację danych – przejmują kontrolę nad danymi firmy, by ją szantażować. Jeśli ta nie przystanie na warunki złodziei, swoje żądania kierują do klientów firmy.

Celem internetowych przestępców może być również skompromitowanie instytucji publicznych.

Obserwujemy też działalność zorganizowanych grup przestępczych, które zakładają fikcyjne sklepy na popularnych serwisach internetowych i wykorzystują je do dokonywania oszustw na szeroką skalę.

Potrzeba regulacji

Dyskusja skoncentrowała się na wyzwaniach związanych z wdrażaniem nowych regulacji dotyczących ochrony danych, a także praktycznych aspektach zarządzania bezpieczeństwem informacji w instytucjach publicznych.

Polska przygotowuje się do wejścia w życie dyrektywy NIS2 (Network and Information Systems Directive 2). To bardzo ważny dokument prawno-regulacyjny ustanawiający ogólne standardy w zakresie cyberbezpieczeństwa jednostek krytycznych dla funkcjonowania społeczeństwa UE. NIS2 określa nowe zasady bezpieczeństwa dla operatorów usług kluczowych zarówno w sektorze publicznym, jak i prywatnym, działających w takich obszarach jak energetyka, bankowość czy opieka zdrowotna.

Omówiono znaczenie Systemu S46 – projektu Naukowej i Akademickiej Sieci Komputerowej Państwowego Instytutu Badawczego, który przyczyni się do podniesienia poziomu cyberbezpieczeństwa i skuteczniejszego zwalczania cyberzagrożeń. Pod pojęciem systemu S46 rozumie się system teleinformatyczny wymieniony w art. 46 ust. 1 Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wspierający działania podmiotów wymienionych w tej Ustawie.

Rola UODO

Konrad Komornicki, Zastępca Prezesa UODO w kontekście zagadnień związanych z cyberbezpieczeństwem oraz obowiązkiem zgłaszania naruszeń ochrony danych, w tym przypadków kradzieży danych osobowych podkreślił, że UODO pracuje obecnie nad wdrożeniem systemu „jednego okienka”, który ma na celu uproszczenie procedury zgłaszania naruszeń ochrony danych. Jak wyjaśnił, system ten miałby wprowadzić jeden dogodny, skoordynowany punkt kontaktowy dla wszystkich zgłoszeń naruszeń, co znacząco ułatwiłoby przedsiębiorstwom i instytucjom publicznym przekazywanie informacji o incydentach do odpowiednich organów. Pojedynczy Punkt Kontaktowy (PPK) to kluczowy element Krajowego Systemu Cyberbezpieczeństwa, odpowiedzialny za zapewnienie sprawnej współpracy i wymiany informacji z instytucjami Unii Europejskiej oraz z innymi państwami członkowskimi. Jego rolą jest reprezentowanie Polski w unijnym ekosystemie cyberbezpieczeństwa oraz koordynacja transgranicznego reagowania na incydenty.

Mowa była również o sytuacji, w której firma ma obiekcje przed zgłoszeniem naruszenia do UODO, bo chce uniknąć kary z powodu niedostatecznych zabezpieczeń, jakie stosowała.

Kolejne kroki

Z perspektywy UODO dalsze działania powinny koncentrować się na kilku kluczowych aspektach:

• udoskonalania regulacji prawnych i procedur ochrony danych w odpowiedzi na dynamiczne zmiany technologiczne i zagrożenia w cyberprzestrzeni;

• zacieśnienia współpracy z organami ścigania oraz międzynarodowymi partnerami, aby skuteczniej reagować na globalne zagrożenia związane z naruszeniami danych;

• wsparcia rozwoju programów edukacyjnych dotyczących ochrony danych wśród obywateli i pracowników instytucji publicznych, co ma kluczowe znaczenie w kontekście wzmacniania ogólnej odporności państwa na cyberzagrożenia.

Wśród uczestników seminarium znaleźli się eksperci z UODO, SZE przy PUODO, ZUS, Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni (gen. dyw. Karol Molenda), Centralnego Biura Zwalczania Cyberprzestępczości, Prokuratury Krajowej, Ministerstwa Obrony Narodowej, Komendy Głównej Policji, Techom Sp. z o.o, Stowarzyszenia Inspektorów Ochrony Danych Osobowych, SABI, UKSW, NASK.