Strona główna / Biznes / RODO - jak spełnić wymagania?
czwartek 09 listopad 2017 | Robert Kamiński
RODO - jak spełnić wymagania?
Jak przedsiębiorcy powinni przygotować swoje dane do nowych regulacji prawnych wyjaśnia Krzysztof Surgowt z zarządu firmy CryptoMind.

Robert Kamiński: Jakie wymagania dot. zabezpieczenia danych (czyich np.) zostaną wprowadzone w związku z RODO?
Krzysztof Surgowt : Projekt nowej ustawy o ochronie danych osobowych  ma spolonizować rozporządzenie unijne RODO, czyli wprowadzić regulacje dotyczące  ochrony danych osobowych – powiedział jakiś czas temu  doradca ministra , dr Maciej Kawecki. Jednak teraz głośno mówi się o likwidacji Ministerstwa Cyfryzacji , a zastrzeżenia do tego projektu były i są  bardzo poważne, bo wiele proponowanych zapisów jest bardzo ogólnych lub wręcz „spycha” odpowiedzialność za jej prawidłowe wykonanie na czas przyszły. Tak jest na przykład z technologicznymi rekomendacjami czy wytycznymi w obszarze cyberbezpieczeństwa , co pozostawia się nowemu, planowanemu w projekcie  Urzędowi  Ochrony Danych Osobowych  ( dzisiaj GIODO ) . Chodzi również o zwolnienie z kar – z tytułu braku właściwej ochrony naszych danych -  podmiotów państwowych ( sic! ). Podsumowując  krótko :  ten projekt robi wrażenie napisanego na kolanie tylko  przez prawników  , a to w przypadku tak poważnej sprawy nie powinno mieć miejsca . W tej chwili toczą  się konsultacje społeczne w tej sprawie….

Robert Kamiński: Czy to oznacza, że dopiero po powstaniu UODO będzie mowa o konkretnych narzędziach informatycznych, które powinny być w Polsce stosowane ? Dlaczego akurat UODO ma być tym podmiotem który wskazuje właściwe technologie?
Krzysztof Surgowt : Rekomendowanie rozwiązań IT przez przyszłe UODO  jest w proponowanym projekcie tej nowej ustawy  i jest to – moim skromnym zdaniem -  bardzo  słabe rozwiązanie. Chodzi przecież  o adekwatne  kompetencje  ludzi z dzisiejszego GIODO ( którzy pewnie zasilą szeregi UODO )  , dotyczące wyboru i oceny odpowiednich narzędzi z obszaru cyberbezpieczernstwa, a w szczególności  w zakresie szyfrowania danych, co jest rekomendowane w rozporządzeniu unijnym RODO.

Proszę tez  o wybaczenie , ale uchylę się od odpowiedzi na druga cześć Pana pytania , aczkolwiek mam na ten temat bardzo jasny pogląd , niekoniecznie zbieżny z odpowiednim  fragmentem proponowanej ustawy zaproponowanej przez Ministerstwo Cyfryzacji…


Robert Kamiński: Jakich firm dotyczą nowe wymagania, kryteria doboru (czy dotyczy to również samozatrudnionych)?
Krzysztof Surgowt : Ustawa o ochronie danych osobowych ma dotyczyć wszystkich instytucji i podmiotów prawnych oraz administracji,  z wyjątkiem osób fizycznych.

Robert Kamiński: Z czego wynika obowiązek szyfrowania i jakie dodatkowe zabezpieczenia sieciowe zastosować?
Krzysztof Surgowt : Z dużym  zdziwieniem należy stwierdzić , ze o ile w unijnym RODO szyfrowanie jest wskazane jako jeden z podstawowych komponentow bezpieczeństwa danych , to polskiej wersji ustawy nie na ten temat ani słowa. To zadziwiające , ze osoby piszące propozycje tej ustawy ignorują oryginalny tekst rozporządzenia UE , wyrzucając do kosza  szyfrowanie danych, co jest najprostszą , najtańszą i bardzo skuteczna  metodą zabezpieczania danych osobowych , o czym mowa w rzeczonym rozporządzeniu RODO , które będzie obowiązywało wszystkie kraje należące do Unii.

Jeśli chodzi o standardowo  zabezpieczenia , to jest wiele innych narzędzi które podnoszą nasze bezpieczeństwo, ale go nie gwarantują do końca.  Szyfrowanie danych  jest metoda najskuteczniejszą , pod warunkiem ze używa się odpowiedniej platformy szyfrującej dane. Ważne jest aby platformy szyfrujące były lokalne – w naszym przypadku polskie – bo to gwarantuje pełną kontrole tzw. kodów źródłowych i uniemożliwia autorom systemu podglądanie tego co się dzieje bez naszej wiedzy ani zgody.


Robert Kamiński: : A kto tak może robić i podglądać nasze dane ?

Krzysztof Surgowt : Wszyscy producenci systemów/aplikacji  IT, nad  którymi Polska nie ma pełnej kontroli . Może pół biedy , jeśli robią to nasi  amerykańscy , brytyjscy czy niemieccy sojusznicy , ale sa kraje , które do grona naszych przyjaciół trudno zaliczyc . Spektakularnym – aczkolwiek niejedynym -  przykładem jest zataczająca coraz szersze kręgi afera  - wykryta w lipcu prze amerykańskie służby -  z rosyjskim programem antywirusowym Kasperski Lab  , z którego chyba nadal ( sic ! )  korzystają tak spektakularne polskie instytucje jak MON czy MSZ , co ociera się o cybernetyczną paranoję  . Na pocieszenie można powiedzieć ze podobnie działo się w USA , tylko czy to jest naprawdę usprawiedliwienie dla nas ? 

Robert Kamiński: Z czego , Pana zdaniem, wynika usunięcie szyfrowania z propozycji dla parlamentu ?
Krzysztof Surgowt : Chciałbym mieć nadzieje , ze tylko niedopatrzenie i pospiech w tworzeniu tego projektu…

Robert Kamiński Jak to szyfrowanie (jego prawidłowość/skuteczność) ma być weryfikowane?
Krzysztof Surgowt: Najlepszym , ale ciagle  mało popularnym sposobem w Polsce  jest wykonywanie tzw. pentestow .Polega to na tym , ze  specjalistyczne firmy mobilizują swoich „dobrych”, bardzo profesjonalnych  hakerów i przypuszczają frontalny atak na testowana firmę . Wtedy najczęściej okazuje się , ze jest mnóstwo dziur w systemach cyberbezpieczenstwa . sytuacji. Problem polega na tym ze polskie firmy i instytucje bardzo rzadko z tego korzystają …

Robert Kamiński: Dlaczego ?
Krzysztof Surgowt : Chodzi o pozorne oszczędności , ale tez o mentalność wielu osób odpowiedzialnych za bezpieczeństwo w systemach IT. Wielokrotnie spotykałem się w rozmowach z topowymi menadżerami IT  z kategorycznym stwierdzeniem , ze ich system IT jest świetnie zabezpieczony . Czesto nie było  to prawdą , ponieważ używano niepolskich narzędzi , nad którymi nie ma kontroli. 

Robert Kamiński: Które z tych zabezpieczeń są najbardziej skuteczne i legalne ?
Krzysztof Surgowt : Najbardziej skuteczne  narzędzia do zabezpieczenia danych to te które są skuteczne , na co musi istnieć potwierdzenie przynajmniej w postaci stosownych certyfikatów. W Polsce ciągle jeszcze nie ma uporządkowanego systemu certyfikacji produktów informatycznych i kryptograficznych , wiec ciągle istnieje wśród firm i instytucji  duża niepewność , które polskie narzędzia cybersecurity są właściwe. Arogancja i brak wiedzy niektórych menadżerów IT - przyzwyczajonych tylko do narzędzi które są im znane od lat  - sprawy zapewnienia rzeczywistego bezpieczeństwa nie ułatwia …


Robert Kamiński:  
Gdzie magazynować dane (u siebie? ) Np. samorządy mają obowiązek stworzenia tzw. tajnej kancelarii; w chmurze - jakiej? Np. szpitale nie mogą przechowywać danych  w chmurze znajdującej się poza Polską?

Krzysztof Surgowt: Jeśli mowa o tajnych kancelariach , to wszystko zależy od tego o jakich firmach czy instytucjach mówimy i jaki jest wymagany poziom zabezpieczeń . Na pewno nie dotyczy to samorządów .  Dziś jest klarowna i widoczna tendencja przenoszenia coraz większej ilości operacji i danych do chmury. Nasi klienci używający naszej platformy szyfrującej  UseCrypt , często korzystają również z chmury IBM , z którym współpracujemy od ponad roku.  Dotyczy również  szpitali.


Robert Kamiński: O co jeszcze zadbać (podstawowe wskazówki)?
Krzysztof Surgowt : 

O realistyczne planowanie. Na tym etapie rekomendowałbym podejście serio do tematu RODO , bo czasu jest niewiele , a kary są wysokie..

Robert Kamiński :Jakie są kary i jak będą egzekwowane?
Krzysztof Surgowt : Nie będę się na ten temat długo rozwodził  bo na ten temat można znaleźć setki informacji w sieci .Najwyższa możliwa kara finansowa to 20 milionow euro , a wiec żarty się skończyły, ale – jak się okazuje – nie dla wszystkich . Z polskiej wersji ustawy dotyczącej RODO wycofano znienacka  kary dla sfery administracyjnej i publicznej , a pozostawiono kary dla całej sfery prywatnej ! Czy to aby zgodne z konstytucją ? Czy to aby nie lekceważenie obowiązku ochrony naszych  danych przez państwo polskie.  Jako polski obywatel mam nadzieje , ze ta kuriozalna propozycja  polegnie w Sejmie. W przeciwnym wypadku polskie RODO już na starcie będzie fikcja , a chyba nie o to chodzi ?  

Podobne artykuły
Komentarze
comments powered by Disqus
zobacz więcej
Video
więcej
Video"
więcej
Facebook
więcej