BiznesRODO – jak spełnić wymagania? > redakcja Opublikowane 9 listopada 20170 0 100 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Robert Kamiński: Jakie wymagania dot. zabezpieczenia danych (czyich np.) zostaną wprowadzone w związku z RODO?Krzysztof Surgowt : Projekt nowej ustawy o ochronie danych osobowych ma spolonizować rozporządzenie unijne RODO, czyli wprowadzić regulacje dotyczące ochrony danych osobowych – powiedział jakiś czas temu doradca ministra , dr Maciej Kawecki. Jednak teraz głośno mówi się o likwidacji Ministerstwa Cyfryzacji , a zastrzeżenia do tego projektu były i są bardzo poważne, bo wiele proponowanych zapisów jest bardzo ogólnych lub wręcz „spycha” odpowiedzialność za jej prawidłowe wykonanie na czas przyszły. Tak jest na przykład z technologicznymi rekomendacjami czy wytycznymi w obszarze cyberbezpieczeństwa , co pozostawia się nowemu, planowanemu w projekcie Urzędowi Ochrony Danych Osobowych ( dzisiaj GIODO ) . Chodzi również o zwolnienie z kar – z tytułu braku właściwej ochrony naszych danych – podmiotów państwowych ( sic! ). Podsumowując krótko : ten projekt robi wrażenie napisanego na kolanie tylko przez prawników , a to w przypadku tak poważnej sprawy nie powinno mieć miejsca . W tej chwili toczą się konsultacje społeczne w tej sprawie….Robert Kamiński: Czy to oznacza, że dopiero po powstaniu UODO będzie mowa o konkretnych narzędziach informatycznych, które powinny być w Polsce stosowane ? Dlaczego akurat UODO ma być tym podmiotem który wskazuje właściwe technologie?Krzysztof Surgowt : Rekomendowanie rozwiązań IT przez przyszłe UODO jest w proponowanym projekcie tej nowej ustawy i jest to – moim skromnym zdaniem – bardzo słabe rozwiązanie. Chodzi przecież o adekwatne kompetencje ludzi z dzisiejszego GIODO ( którzy pewnie zasilą szeregi UODO ) , dotyczące wyboru i oceny odpowiednich narzędzi z obszaru cyberbezpieczernstwa, a w szczególności w zakresie szyfrowania danych, co jest rekomendowane w rozporządzeniu unijnym RODO.Proszę tez o wybaczenie , ale uchylę się od odpowiedzi na druga cześć Pana pytania , aczkolwiek mam na ten temat bardzo jasny pogląd , niekoniecznie zbieżny z odpowiednim fragmentem proponowanej ustawy zaproponowanej przez Ministerstwo Cyfryzacji…Robert Kamiński: Jakich firm dotyczą nowe wymagania, kryteria doboru (czy dotyczy to również samozatrudnionych)?Krzysztof Surgowt : Ustawa o ochronie danych osobowych ma dotyczyć wszystkich instytucji i podmiotów prawnych oraz administracji, z wyjątkiem osób fizycznych.Robert Kamiński: Z czego wynika obowiązek szyfrowania i jakie dodatkowe zabezpieczenia sieciowe zastosować?Krzysztof Surgowt : Z dużym zdziwieniem należy stwierdzić , ze o ile w unijnym RODO szyfrowanie jest wskazane jako jeden z podstawowych komponentow bezpieczeństwa danych , to polskiej wersji ustawy nie na ten temat ani słowa. To zadziwiające , ze osoby piszące propozycje tej ustawy ignorują oryginalny tekst rozporządzenia UE , wyrzucając do kosza szyfrowanie danych, co jest najprostszą , najtańszą i bardzo skuteczna metodą zabezpieczania danych osobowych , o czym mowa w rzeczonym rozporządzeniu RODO , które będzie obowiązywało wszystkie kraje należące do Unii.Jeśli chodzi o standardowo zabezpieczenia , to jest wiele innych narzędzi które podnoszą nasze bezpieczeństwo, ale go nie gwarantują do końca. Szyfrowanie danych jest metoda najskuteczniejszą , pod warunkiem ze używa się odpowiedniej platformy szyfrującej dane. Ważne jest aby platformy szyfrujące były lokalne – w naszym przypadku polskie – bo to gwarantuje pełną kontrole tzw. kodów źródłowych i uniemożliwia autorom systemu podglądanie tego co się dzieje bez naszej wiedzy ani zgody.Robert Kamiński: : A kto tak może robić i podglądać nasze dane ?Krzysztof Surgowt : Wszyscy producenci systemów/aplikacji IT, nad którymi Polska nie ma pełnej kontroli . Może pół biedy , jeśli robią to nasi amerykańscy , brytyjscy czy niemieccy sojusznicy , ale sa kraje , które do grona naszych przyjaciół trudno zaliczyc . Spektakularnym – aczkolwiek niejedynym – przykładem jest zataczająca coraz szersze kręgi afera – wykryta w lipcu prze amerykańskie służby – z rosyjskim programem antywirusowym Kasperski Lab , z którego chyba nadal ( sic ! ) korzystają tak spektakularne polskie instytucje jak MON czy MSZ , co ociera się o cybernetyczną paranoję . Na pocieszenie można powiedzieć ze podobnie działo się w USA , tylko czy to jest naprawdę usprawiedliwienie dla nas ? Robert Kamiński: Z czego , Pana zdaniem, wynika usunięcie szyfrowania z propozycji dla parlamentu ?Krzysztof Surgowt : Chciałbym mieć nadzieje , ze tylko niedopatrzenie i pospiech w tworzeniu tego projektu…Robert Kamiński: Jak to szyfrowanie (jego prawidłowość/skuteczność) ma być weryfikowane?Krzysztof Surgowt: Najlepszym , ale ciagle mało popularnym sposobem w Polsce jest wykonywanie tzw. pentestow .Polega to na tym , ze specjalistyczne firmy mobilizują swoich „dobrych”, bardzo profesjonalnych hakerów i przypuszczają frontalny atak na testowana firmę . Wtedy najczęściej okazuje się , ze jest mnóstwo dziur w systemach cyberbezpieczenstwa . sytuacji. Problem polega na tym ze polskie firmy i instytucje bardzo rzadko z tego korzystają …Robert Kamiński: Dlaczego ?Krzysztof Surgowt : Chodzi o pozorne oszczędności , ale tez o mentalność wielu osób odpowiedzialnych za bezpieczeństwo w systemach IT. Wielokrotnie spotykałem się w rozmowach z topowymi menadżerami IT z kategorycznym stwierdzeniem , ze ich system IT jest świetnie zabezpieczony . Czesto nie było to prawdą , ponieważ używano niepolskich narzędzi , nad którymi nie ma kontroli. Robert Kamiński: Które z tych zabezpieczeń są najbardziej skuteczne i legalne ?Krzysztof Surgowt : Najbardziej skuteczne narzędzia do zabezpieczenia danych to te które są skuteczne , na co musi istnieć potwierdzenie przynajmniej w postaci stosownych certyfikatów. W Polsce ciągle jeszcze nie ma uporządkowanego systemu certyfikacji produktów informatycznych i kryptograficznych , wiec ciągle istnieje wśród firm i instytucji duża niepewność , które polskie narzędzia cybersecurity są właściwe. Arogancja i brak wiedzy niektórych menadżerów IT – przyzwyczajonych tylko do narzędzi które są im znane od lat – sprawy zapewnienia rzeczywistego bezpieczeństwa nie ułatwia …Robert Kamiński: Gdzie magazynować dane (u siebie? ) Np. samorządy mają obowiązek stworzenia tzw. tajnej kancelarii; w chmurze – jakiej? Np. szpitale nie mogą przechowywać danych w chmurze znajdującej się poza Polską?Krzysztof Surgowt: Jeśli mowa o tajnych kancelariach , to wszystko zależy od tego o jakich firmach czy instytucjach mówimy i jaki jest wymagany poziom zabezpieczeń . Na pewno nie dotyczy to samorządów . Dziś jest klarowna i widoczna tendencja przenoszenia coraz większej ilości operacji i danych do chmury. Nasi klienci używający naszej platformy szyfrującej UseCrypt , często korzystają również z chmury IBM , z którym współpracujemy od ponad roku. Dotyczy również szpitali.Robert Kamiński: O co jeszcze zadbać (podstawowe wskazówki)?Krzysztof Surgowt : O realistyczne planowanie. Na tym etapie rekomendowałbym podejście serio do tematu RODO , bo czasu jest niewiele , a kary są wysokie..Robert Kamiński :Jakie są kary i jak będą egzekwowane?Krzysztof Surgowt : Nie będę się na ten temat długo rozwodził bo na ten temat można znaleźć setki informacji w sieci .Najwyższa możliwa kara finansowa to 20 milionow euro , a wiec żarty się skończyły, ale – jak się okazuje – nie dla wszystkich . Z polskiej wersji ustawy dotyczącej RODO wycofano znienacka kary dla sfery administracyjnej i publicznej , a pozostawiono kary dla całej sfery prywatnej ! Czy to aby zgodne z konstytucją ? Czy to aby nie lekceważenie obowiązku ochrony naszych danych przez państwo polskie. Jako polski obywatel mam nadzieje , ze ta kuriozalna propozycja polegnie w Sejmie. W przeciwnym wypadku polskie RODO już na starcie będzie fikcja , a chyba nie o to chodzi ?