Ma Pan ponad 15-letnie doświadczenie w tworzeniu branży IT. RODO obowiązuje w Polsce już prawie rok. Czy nasze dane są bezpieczne?

Niewątpliwie zwiększyła się świadomość społeczeństwa w zakresie ochrony danych osobowych. Sektor gospodarczy również podjął działania w celu wdrożenia RODO i zabezpieczenia przetwarzanych danych osobowych. Proszę jednak pamiętać, że zaawansowane systemy IT, instrukcje postępowania, sposób tworzenia haseł, szyfrowanie danych dają poczucie bezpieczeństwa, ale nie dają gwarancji bezpieczeństwa. Bez odpowiedniej świadomości człowieka technologia i proces nie mają sensu. 80% przypadków utraty danych spowodowane jest przez czynnik ludzki. System bezpieczeństwa jest tak silny, jak jego najsłabsze ogniwo, czyli CZŁOWIEK.

Czyli najczęstszą przyczyną incydentów i naruszeń ochrony danych osobowych jest…

Zdecydowanie czynnik ludzki: brak wiedzy, niedbalstwo, a także brak praktycznego zastosowania procedur. 

Czy firmy wiedzą, czym jest podejście oparte na ryzyku w RODO?

Uważam, że nie. Firmy po wdrożeniu RODO żyją w świadomości, że temat ochrony danych jest zakończony i nie muszą do niego wracać, a to nieprawda. Podejście oparte na ryzyku jest procesem ciągłym, który powinniśmy cyklicznie sprawdzać, również przy każdym nowy projekcie.

Czy Pana zdaniem procedury bezpieczeństwa w tak ważnych sektorach jak bankowość, telekomunikacja czy ochrona zdrowia są wystarczające?

Na pewno uzupełniają przepisy RODO i są bardziej szczegółowe. Na pewno rozwój nowoczesnych technologii i rosnące cyberzagrożenia wymuszają konieczność stosowania coraz bardziej zaawansowanych zabezpieczeń.

No właśnie – banki coraz częściej odchodzą od autoryzacji transakcji przez kod SMS, zastępując go kodem BLIK, ważnym jedynie 2 minuty. Jakie inne ciekawe rozwiązania zabezpieczenia danych osobowych Pan zna?

Z kodem BLIK nie jest tak różowo. Ostatnio były masowe włamania na konta użytkowników Facebooka. Złodzieje po uzyskaniu dostępu do konta osoby trzeciej pisali masowo wiadomości na Messengerze do znajomych ofiary:

Złodziej: „Cześć, masz może blika? Serio, ważna sprawa.”

Znajomy na FB ofiary: „Tak.”

Złodziej: „Mega mi głupio pytać, ale jestem pod ścianą i robię ważne zamówienie i jedyna płatność natychmiastowa to blik, dasz radę pomóc? Oddam jutro.”

Znajomy na FB ofiary: „Tak.”

Złodziej: „To podaj kod blik”…

I w ten sposób złodzieje otrzymują natychmiastowo pieniądze. Proszę zawsze się upewniać z niezależnego źródła, czy osoba, która do nas pisze, jest tym, za kogo się podaje.

Niewątpliwie podwójne uwierzytelnienie jest istotne. Popularnym rodzajem uwierzytelniania wielopoziomowego jest weryfikacja dwuetapowa (nazywana także 2FA): wpisanie poprawnego identyfikatora użytkownika i hasła uwierzytelniającego, a następnie podanie kodu, do którego dostęp posiada tylko właściciel konta. Przykładem oprogramowania zapewniającego uwierzytelnianie dwuetapowe jest Google Authenticator/Apple/SMS. 

A czy hotspot na lotnisku może być niebezpieczny?

Hotspot jest bardzo niebezpieczny, gdyż zazwyczaj oferuje sieć WiFi niezabezpieczoną kluczem szyfrowania, a dodatkowo bardzo popularną techniką wśród hakerów jest uruchamianie tzw. fake access point. Co to oznacza? Użytkownik myśli, że łączy się z siecią udostępnioną przez lotnisko, a tak naprawdę łączy się z routerem hakera o takiej samej nazwie, który ma silniejszy sygnał. W takim przypadku każdy ruch sieciowy jest kontrolowany przez hakera, może przechwycić nasze hasła, może przełamać zabezpieczenia do naszego telefonu lub laptopa. W przypadku takich sytuacji ZAWSZE stosujmy oprogramowanie (firewall) na laptopa, które zabezpiecza nas przed takimi atakami. Tu znów człowiek jest najsłabszym ogniwem. Zalecam korzystanie z pewnych źródeł połączenia WiFi. Na lotnisku można z niego korzystać, ale warto mieć zainstalowany np. firewall i antywirus oraz nie wykonywać ryzykownych operacji.

Firma M3M proponuje klientom wiele unikatowych rozwiązań w dziedzinie danych osobowych - proszę o nich opowiedzieć. 

Nasza specjalność to cyberbezpieczeństwo, bezpieczeństwo informacji i danych osobowych. W ramach współpracy z klientem oferujemy usługę Inspektora Ochrony Danych Osobowych, szkolimy pracowników, przeprowadzamy audyty zgodności z RODO. Dodatkowo za pomocą specjalnej usługi Data Protection Scanner (DPS) skanujemy wybrane repozytoria danych (komputery, zasoby sieciowe) w celu identyfikacji plików, które zawierają dane osobowe. Wszystko to w celu zapewnienia idealnego przestrzegania przepisów RODO. Dzięki temu nasi klienci mogą mieć pewność bezpieczeństwa w tym zakresie.

BIO

PAWEŁ MARKIEWICZ – absolwent Polsko-Japońskiej Wyższej Szkoły Technik Komputerowych, Wojskowej Akademii Technicznej oraz Polskiej Akademii Nauk. Założyciel firmy M3M. Praktykuje w branży IT od 2002 roku, zajmując się bezpieczeństwem informacji i danych osobowych, zarządzaniem ryzykiem, optymalizacją procesów biznesowych, a także wdrożeniami systemów IT.

Materiał Promocyjny