„Polskie firmy są narażone na ataki cybernetyczne zupełnie tak, jak firmy z innych krajów” - druga część rozmowy z Michałem Nosowskim, specjalistą do spraw RODO.
Zapraszamy na kolejną część wywiadu, który przeprowadziliśmy z Michałem Nosowskim – radcą prawnym i współzałożycielem kancelarii ByteLaw. Pan Michał Nosowski specjalizuje się w stosowaniu przepisów RODO, tworzeniu i weryfikacji umów oraz zapewnianiu, aby prowadzenie biznesu w Internecie było zgodne z prawem. Dodatkowo prowadzi blog o ochronie danych osobowych i nowych technologiach www.wsroddanych.pl oraz jest autorem książki pt. „Prawne aspekty cyberbezpieczeństwa”, a także artykułów w czasopismach Biuletyn Euro Info, Linux Magazine oraz Ochrona Danych Osobowych.
Z tej części wywiadu dowiedzą się Państwo m.in. o stanowisku sądów na temat działań UODO, przewidywanej aktywności UODO w najbliższej przyszłości, kto może stać za atakami hakerskimi i czy polskie firmy mogą być atrakcyjnym celem dla cyberprzestępców.
Zapraszamy do lektury.
Mentor: Czy sądy przyznają rację w sprawach podejmowanych przez UODO?
Michał Nosowski: Rozstrzygnięcia sądów w sprawach dotyczących ochrony danych są zróżnicowane. Widać to m.in. w zakresie podejścia do pewnych podstawowych kwestii, takich jak np. sposób rozumienia pojęcia „dane osobowe”. Przykładowo, stanowisko Prezesa UODO dotyczące numerów rejestracyjnych pojazdów jest takie, że stanowią one dane osobowe. Sądy administracyjne zasadniczo stoją jednak na innym stanowisku i uznają, że numer rejestracyjny pojazdu nie jest daną osobową.
Z drugiej strony np. najwyższa kara finansowa za naruszenie przepisów RODO, która została nałożona w Polsce, została zaaprobowana przez Wojewódzki Sąd Administracyjny. Trzeba tu pamiętać, że sądy administracyjne badają decyzje pod kątem zgodności z prawem – innymi słowy, kwestie np. oceny poziomu zabezpieczeń informatycznych są badane w ograniczonym zakresie.
Spodziewa się Pan większej aktywności UODO w najbliższej przyszłości?
Wydaje mi się, że Prezes UODO nadal będzie dość regularnie wydawał decyzje dotyczące kar finansowych i nieprawidłowości, i w tym zakresie nie będzie większych zmian. Oceniam jednak, że wraz ze zmniejszaniem się ograniczeń związanych z pandemią COVID-19, możemy liczyć na zwiększoną aktywność Urzędu w ramach bieżących, planowych kontroli przetwarzania danych w organizacjach. Tym samym, może się zdarzyć tak, że urzędnicy pojawią się na kontroli nie w związku z jakimś naruszeniem, ale po prostu w ramach rutynowych działań kontrolnych.
Nie ukrywam, że osobiście liczę również na opublikowanie przez UODO rezultatów prac dotyczących kodeksów postępowania, czyli zasad przetwarzania danych, które mogą być przyjmowane dobrowolnie przez przedsiębiorców zrzeszonych np. w ramach jakichś stowarzyszeń branżowych. Tego rodzaju dokumenty mogą być istotną wskazówką również dla innych organizacji, które chcą działać zgodnie z przepisami RODO.
Praktycznie każdego dnia jesteśmy zasypywani informacjami o różnego rodzaju zdarzeniach w przestrzeni cybernetycznej. Nie tak dawno mieliśmy kilka głośnych przypadków ataków hakerskich, m.in. na największego w USA operatora rurociągów paliwowych Colonial Pipeline, co doprowadziło do paraliżu na stacjach benzynowych. W mediach pojawiła się informacja o zapłaceniu przez firmę hakerom okupu w zamian za odszyfrowanie danych. Kto może stać za tego typu zdarzeniami?
Za tego rodzaju zdarzeniami mogą stać zorganizowane grupy cyberprzestępców, tak przynajmniej wynika z doniesień medialnych. Czasem ataki (i tak było w przypadku Colonial Pipeline) są przeprowadzane przez znane z nazwy grupy przestępców. Ustalenie kto w rzeczywistości jest członkiem takiej grupy zdarza się jednak nieczęsto.
Niektóre z tych grup działają z pobudek czysto gospodarczych, a inne mogą mieć do zrealizowania odmienne cele, np. wywołać zamieszanie lub zrealizować określone założenia polityczne. Cyberprzestępcom czasem zależy na innych skutkach niż tylko otrzymanie okupu – przykładowo, ransomware zwany notPetya, który kilka lat temu pojawił się na Ukrainie i rozprzestrzenił się także na inne kraje świata, nie umożliwiał odzyskania danych nawet po wpłaceniu okupu.
Zdarza się, że grupy przestępców, atakujących różne systemy, są łączone z krajami takimi jak Rosja, Chiny czy też Korea Północna. Niekiedy wskazuje się na powiązania takich grup z rządami lub służbami poszczególnych państw, co wskazywałoby na to, że ataki mogą mieć podłoże polityczne. Niemniej jednak udowodnienie takiej współpracy jest ekstremalnie trudne, co sprawia, że opieramy się tu głównie na poszlakach i hipotezach.
Czy polskie firmy mają się czego obawiać?
Polskie firmy są narażone na ataki cybernetyczne zupełnie tak, jak firmy z innych krajów. Nie wydaje mi się, abyśmy mieli jakiekolwiek podstawy, aby uznawać, że jesteśmy jakimś mniej istotnym celem dla cyberprzestępców albo że posiadamy, w ogólnym ujęciu, wyższy poziom zabezpieczeń. Innymi słowy, musimy być świadomi, że polskie firmy są potencjalnie zagrożone atakami cybernetycznymi. Co więcej, w ciągu ostatnich kilku lat wystąpiło co najmniej kilka zdarzeń, w związku z którymi zostały pokrzywdzone polskie firmy. Mogły być to działania indywidualnych cyberprzestępców (np. atak na morele.net, w związku z którym została nałożona kara finansowa przez RODO), jak również szersze ataki przeprowadzane przez zorganizowane grupy, których skutki mają charakter ponadnarodowy – przykładowo, we wspomnianym przeze mnie ataku notPetya ucierpiało również kilka polskich przedsiębiorstw.
Wprowadzenie RODO było przełomowym momentem dla postrzegania ochrony danych osobowych. Czy na horyzoncie (zarówno krajowym, jak i europejskim) widać inne zmiany w tym przedmiocie?
Z całą pewnością tak i zmian tych jest całkiem sporo. Oprócz RODO, w 2018 r. w Polsce weszły w życie przepisy ustawy o krajowym systemie cyberbezpieczeństwa, nakładające szereg dodatkowych obowiązków związanych z bezpieczeństwem informatycznym w przedsiębiorstwach, które mają kluczowe znaczenie z punktu widzenia funkcjonowania państwa oraz usług internetowych. Przepisy te mają zostać znowelizowane i wzbogacone o kilka dodatkowych mechanizmów, mających zwiększyć poziom bezpieczeństwa IT na poziomie krajowym. Dodatkowo, w UE przyjęto tzw. cybersecurity act, który ma na celu wdrożenie mechanizmów związanych z certyfikacją niektórych produktów, programów lub usług IT, tak aby były uznawane za spełniające odpowiednie standardy bezpieczeństwa.
Na horyzoncie jest również uchwalenie tzw. aktu o usługach cyfrowych, czyli unijnego rozporządzenia, które kompleksowo ma uregulować działalność platform internetowych, portali społecznościowych itp. Przepisy te będą miały duże znaczenie z punktu widzenia korzystania z Internetu przez obywateli UE, a tym samym mogą również wpłynąć np. na bezpieczeństwo informatyczne czy też przetwarzanie danych osobowych.
blisko Ciebie
Oddziały
i przedstawicielstwa
Bukareszt
Oddział Mentor S.A.Ciprian Porumbescu 4 demisol
010651 sector 1 Bucharest tel: +40 775 137 582
email: claudiu.ionescu@mentorbroker.ro
Bydgoszcz
Przedstawicielstwo Mentor S.A.Powstańców Wielkopolskich 10
85-090 Bydgoszcz tel: +48 52 321 48 03
tel2: 606 25 67 67
fax: +48 56 669 33 04
email: bydgoszcz@mentor.pl
Częstochowa
Oddział Mentor S.A.Jagiellońska 1
42-216 Częstochowa tel: +48 601 251 049
email: czestochowa@mentor.pl
Gdańsk
Oddział Mentor S.A.Aleja Grunwaldzka 163
80-266 Gdańsk tel: +48 887 043 188
email: gdansk@mentor.pl
Kalisz
Oddział Mentor S.A.Al. Wolności 10/11
62-800 Kalisz tel: +48 62 751 19 21
tel2: +48 887 042 876
email: kalisz@mentor.pl
Katowice
Oddział Mentor S.A.Porcelanowa 19 (budynek A)
40-246 Katowice tel: +48 32 730 22 19
tel2: +48 32 661 04 94
email: katowice@mentor.pl
Kraków
Oddział Mentor S.A.Gertrudy 23/2
31-048 Kraków tel: +48 12 661 90 30
tel2: +48 12 626 16 47
email: krakow@mentor.pl
Łódź
Oddział Mentor S.A.Wólczańska 128/134
90-527 Łódź tel: +48 42 231 56 01
tel2: +48 725 258 810
email: lodz@mentor.pl
Lublin
Przedstawicielstwo Mentor S.A.Pana Balcera 6 lok. 105
20-631 Lublin tel: +48 81 533 39 32
email: lublin@mentor.pl
Poznań
Oddział Mentor S.A.Ratajczaka 32/18
61-816 Poznań tel: +48 61 842 71 84
tel2: +48 61 843 20 06
email: poznan@mentor.pl
Rzeszów
Oddział Mentor S.A.Kwiatkowskiego 2B/17L
35-311 Rzeszów tel: +48 17 283 94 20
tel2: +48 17 283 94 21
fax: +48 17 283 94 22
email: rzeszow@mentor.pl
Szczecin
Oddział Mentor S.A.Marii Konopnickiej 18/1
71-150 Szczecin tel: +48 91 489 13 41
tel2: +48 91 432 42 07
email: szczecin@mentor.pl
Ukraina
Spółka powiązana Mentor S.A.Gorśkoji 5a
79018 Lwów, Ukraina tel: +38 050 370 14 83
tel2: +48 609 690 111
fax: +38 032 237 47 17
email: ukraina@mentor.pl
Warszawa I
Oddział Mentor S.A.Bukowińska 10 lok. 98
02-703 Warszawa tel: +48 22 654 12 50
tel2: +48 22 654 12 51
email: warszawa@mentor.pl
Warszawa II
Oddział Mentor S.A.Cybernetyki 13a
02-677 Warszawa tel: +48 22 506 58 70
email: warszawa2@mentor.pl
Ludwiki 4 lok A
01-226 Warszawa tel: +48 22 627 37 65
tel2: +48 22 627 37 66
email: jkuziemska@kuziemscy.pl
Wrocław
Oddział Mentor S.A.Krzycka 15a/9
53-019 Wrocław tel: +48 609 611 352
tel2: +48 71 343 12 21
fax: +48 71 342 43 61
email: wroclaw@mentor.pl
Zielona Góra
Oddział Mentor S.A.Pl. Pocztowy 11A, lok. 2
63-305 Zielona Góra tel: +48 887 042 875
email: zielona.gora@mentor.pl
Centrala
Toruń
Mentor S.A.Szosa Chełmińska 177-181
87-100 Toruń tel: +48 56 669 33 00
fax: +48 56 669 33 04
email: mentor@mentor.pl
spotkajmy się
Biuro Handlowe
Jeśli uznacie Państwo, że warto poświęcić 60 minut na rozmowę z brokerem ubezpieczeniowym na temat realizacji kompleksowego programu ubezpieczeniowego w Państwa firmie, prosimy o kontakt telefoniczny lub email.
Dawid Dzagdsuren
Specjalista ds. sprzedaży
tel. +48 56 669 32 86kom. +48 601 619 239
e-mail: dawid.dzagdsuren@mentor.pl
Emil Kaszlewicz
Specjalista ds. Sprzedaży
tel. +48 56 669 32 34kom. +48 601 450 070
e-mail: emil.kaszlewicz@mentor.pl
Jakub Sarnowski
Specjalista ds. Sprzedaży
tel. +48 56 669 32 33kom. +48 603 610 594
e-mail: jakub.sarnowski@mentor.pl