RODO i cyberbezpieczeństwo – praktyka ochrony danych

Wiele organizacji nadal postrzega RODO przede wszystkim przez pryzmat wymogów prawnych i zgodności z przepisami, jednak z czasem stało się ono jednym z najważniejszych standardów w obszarze cyberbezpieczeństwa. Obecnie wpływa ono na sposób, w jaki firmy chronią dane osobowe, zarządzają cyberzagrożeniami i budują odporność operacyjną w całym środowisku technologicznym.

Współczesne organizacje muszą mierzyć się z coraz bardziej zaawansowanymi cyberzagrożeniami, takimi jak ransomware, phishing, kradzież danych uwierzytelniających, zagrożenia wewnętrzne czy ataki na łańcuch dostaw. W związku z coraz intensywniejszymi działaniami organów nadzorczych w takich sektorach jak finanse, ochrona zdrowia, handel detaliczny, produkcja i energetyka, firmy znajdują się pod rosnącą presją, aby wykazać skuteczność działań w zakresie cyberbezpieczeństwa i ochrony danych.

RODO wymaga od organizacji wdrożenia odpowiednich środków technicznych i organizacyjnych służących ochronie danych osobowych. W praktyce obejmuje to takie środki jak szyfrowanie, kontrola dostępu, monitorowanie, wzmacnianie odporności systemów, testowanie, bezpieczne przechowywanie danych, planowanie reagowania na incydenty oraz ciągła ocena ryzyka. Nie są one już postrzegane jako opcjonalne dobre praktyki IT – są oczekiwanym standardem wynikającym z przepisów.

W tym artykule omówiono najważniejsze wymogi RODO dotyczące bezpieczeństwa:

• Co RODO oznacza dla zespołów odpowiedzialnych za cyberbezpieczeństwo
• Jak artykuł 32 wpływa na codzienne działania w obszarze bezpieczeństwa
• Jak firmy mogą zwiększyć swoją cyberodporność i ograniczyć ryzyko regulacyjne

Co to jest RODO i jaki jest jego zakres?

RODO (ogólne rozporządzenie o ochronie danych) określa unijne ramy prawne ochrony danych osobowych. Ma zastosowanie do każdej organizacji przetwarzającej dane osobowe osób znajdujących się na terenie UE lub Wielkiej Brytanii, niezależnie od miejsca jej siedziby. Przepisy RODO zostały również włączone do prawa brytyjskiego jako UK GDPR.

Dane osobowe obejmują znacznie więcej niż tylko imiona i nazwiska oraz adresy e-mail. Zgodnie z artykułem 4 RODO za dane osobowe można uznać m.in. adresy IP, identyfikatory urządzeń, dokumentację kadrową pracowników, informacje finansowe, dane dotyczące zdrowia, dane lokalizacyjne, informacje o aktywności w internecie oraz dane biometryczne, jeśli można je powiązać z możliwą do zidentyfikowania osobą.

Niektóre kategorie danych są uznawane za szczególnie wrażliwe i wymagają podwyższonego poziomu ochrony (artykuł 9). Należą do nich informacje dotyczące zdrowia, dane biometryczne wykorzystywane do identyfikacji, poglądy polityczne i przekonania religijne oraz inne rodzaje wrażliwych danych osobowych. RODO reguluje sposób gromadzenia, przechowywania, wykorzystywania, udostępniania i usuwania danych osobowych. Przyznaje również osobom fizycznym określone prawa dotyczące ich danych, w tym prawo dostępu do danych, ich sprostowania i usunięcia (często określane jako „prawo do bycia zapomnianym”), a także inne uprawnienia, takie jak prawo do przenoszenia danych oraz prawo do ograniczenia przetwarzania.

Dla zespołów IT i specjalistów ds. cyberbezpieczeństwa RODO ma szczególne znaczenie, ponieważ bezpośrednio łączy ochronę danych z bezpieczeństwem operacyjnym. Organizacje muszą być w stanie wykazać, że dane osobowe są chronione przed:

• nieuprawnionym dostępem
• przypadkowym ujawnieniem
• kradzieżą
• uszkodzeniem
• zniszczeniem
• utratą dostępności

Sprawiło to, że cyberbezpieczeństwo przestało być wyłącznie zagadnieniem technicznym i stało się ryzykiem biznesowym na poziomie zarządu, na co wpływa m.in. możliwość nałożenia wysokich kar regulacyjnych oraz ryzyko utraty reputacji.

RODO a inne unijne regulacje dotyczące cyberbezpieczeństwa

RODO nie zastępuje sektorowych regulacji dotyczących cyberbezpieczeństwa, lecz funkcjonuje obok nich jako element szerszych ram regulacyjnych. Inne regulacje, takie jak dyrektywa NIS2 oraz rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), koncentrują się na różnych aspektach cyberzagrożeń, w tym na ochronie usług o krytycznym znaczeniu oraz zapewnianiu odporności operacyjnej w określonych sektorach.

Regulacje te działają na różnych poziomach – RODO koncentruje się na ochronie danych osobowych, podczas gdy pozostałe przepisy dotyczą odporności systemów, bezpieczeństwa infrastruktury oraz ryzyk właściwych dla poszczególnych sektorów. Dla wielu organizacji oznacza to konieczność powiązania ochrony danych z szerszymi wymogami dotyczącymi cyberbezpieczeństwa i zgodności z przepisami, zamiast traktowania zgodności z przepisami jako odrębnego zagadnienia.

Artykuł 32 RODO – wyjaśnienie zasad bezpieczeństwa przetwarzania danych

Artykuł 32 stanowi podstawowy wymóg RODO w zakresie cyberbezpieczeństwa. Nakłada on na organizacje obowiązek wdrożenia „odpowiednich środków technicznych i organizacyjnych” w celu zapewnienia poziomu bezpieczeństwa adekwatnego do ryzyka.

Artykuł 32 wprowadza podejście do bezpieczeństwa oparte na analizie ryzyka. Zamiast narzucać organizacjom określony zestaw zabezpieczeń, wymaga oceny wrażliwości przetwarzanych danych, skali działalności oraz potencjalnego wpływu naruszenia na osoby, których dane dotyczą. Na tej podstawie organizacja powinna projektować i utrzymywać środki bezpieczeństwa adekwatne do zidentyfikowanych ryzyk.

Oznacza to, że RODO nie przewiduje jednego, uniwersalnego zestawu wymogów zapewniających zgodność z przepisami. Od globalnego podmiotu świadczącego usługi opieki zdrowotnej, który przetwarza wrażliwe dane pacjentów, oczekuje się stosowania bardziej zaawansowanych zabezpieczeń niż od niewielkiej organizacji przetwarzającej podstawowe dane kontaktowe. Wynika to zarówno z charakteru przetwarzanych danych, jak i potencjalnych konsekwencji naruszenia.

Co oznaczają „odpowiednie środki techniczne i organizacyjne”?

W praktyce „odpowiednie” środki obejmują połączenie zabezpieczeń technicznych i procesów organizacyjnych. Należą do nich m.in. szyfrowanie, uwierzytelnianie wieloskładnikowe, zarządzanie dostępem, tworzenie kopii zapasowych i odzyskiwanie danych, zarządzanie podatnościami, monitorowanie bezpieczeństwa, reagowanie na incydenty, planowanie działań zwiększających odporność operacyjną oraz szkolenia zwiększające świadomość pracowników. Środki te powinny być dostosowane do indywidualnego profilu ryzyka organizacji.

Odzwierciedla to szerszą zmianę podejścia przyjętego w RODO – od jednorazowego spełnienia wymogów zgodności z przepisami do ciągłej odpowiedzialności za ochronę danych. Organizacje muszą być w stanie wykazać nie tylko, że wdrożyły odpowiednie środki bezpieczeństwa, lecz także że są one stale utrzymywane i doskonalone. Kluczowe znaczenie ma jednak nie tylko samo wdrożenie zabezpieczeń, ale także możliwość wykazania, że są one skuteczne, adekwatne do poziomu ryzyka i konsekwentnie stosowane.

Od organizacji oczekuje się przeprowadzania ocen ryzyka, dokumentowania podejmowanych decyzji oraz regularnego przeglądu stosowanych zabezpieczeń, aby zapewnić ich skuteczność wobec stale zmieniających się zagrożeń. Wymogi w zakresie cyberbezpieczeństwa nie są stałe, a zabezpieczenia uznawane za wystarczające jeszcze kilka lat temu mogą już nie spełniać obecnych oczekiwań organów nadzorczych. Coraz większy nacisk kładą one bowiem na ciągłe doskonalenie i rozliczalność, a nie na jednorazowe spełnienie wymogów zgodności z przepisami.

Poufność, integralność i dostępność

Obowiązki związane z bezpieczeństwem wynikające z RODO opierają się na trzech podstawowych zasadach: poufności, integralności i dostępności. To one określają, w jaki sposób dane osobowe powinny być chronione w praktyce.

Poufność oznacza, że dane osobowe są dostępne wyłącznie dla uprawnionych osób. Organizacje realizują tę zasadę zazwyczaj za pomocą takich środków jak uwierzytelnianie wieloskładnikowe, kontrola dostępu oparta na rolach, szyfrowanie oraz segmentacja sieci. Środki te powinny być wdrażane zgodnie z zasadą najmniejszych uprawnień oraz dobrymi praktykami bezpiecznej konfiguracji systemów.

Integralność koncentruje się na ochronie danych przed nieuprawnioną modyfikacją lub uszkodzeniem. W praktyce obejmuje to m.in. rejestrowanie zdarzeń na potrzeby audytu, procesy zarządzania zmianą, monitorowanie integralności plików oraz zabezpieczenia zapobiegające przypadkowej modyfikacji danych.

Dostępność oznacza możliwość korzystania z danych i systemów wtedy, gdy są potrzebne. Wymaga to niezawodnej infrastruktury, strategii tworzenia kopii zapasowych, planowania odtwarzania po awarii oraz skutecznych procedur przywracania działania po awarii.

Spośród tych trzech zasad często niedoceniana jest dostępność. Zgodnie z RODO ataki ransomware, które uniemożliwiają organizacji dostęp do danych osobowych, mogą zostać uznane za podlegające zgłoszeniu naruszenia ochrony danych osobowych, nawet jeśli nie doszło do kradzieży danych. Wynika to z faktu, że sama utrata dostępności danych może stanowić naruszenie w rozumieniu artykułu 4 pkt 12.

Szyfrowanie, pseudonimizacja i ochrona danych

Szyfrowanie zostało wyraźnie wskazane w artykule 32 jako jeden z najskuteczniejszych sposobów ograniczania ryzyka nieuprawnionego dostępu. Dane przesyłane przez sieci powinny być chronione za pomocą nowoczesnych protokołów szyfrowania. Z kolei dane przechowywane na komputerach, laptopach, nośnikach wymiennych, serwerach, kopiach zapasowych i w środowiskach chmurowych również powinny być szyfrowane przy użyciu sprawdzonych rozwiązań, takich jak urządzenia wykorzystujące szyfrowanie sprzętowe, aby zapewnić skuteczną ochronę.

Ma to szczególne znaczenie w przypadku pracowników zdalnych i mobilnych, ponieważ utrata lub kradzież urządzenia nadal stanowi częstą przyczynę ujawnienia danych. W miarę jak organizacje coraz częściej korzystają ze środowisk hybrydowych i chmurowych, zgodność z RODO wymaga również zabezpieczenia zdalnych urządzeń końcowych, platform do współpracy, środowisk pamięci masowej w chmurze oraz aplikacji SaaS dostarczanych przez podmioty zewnętrzne. Istotną rolę odgrywa także stosowanie szyfrowania sprzętowego, które pomaga ograniczać ryzyko związane z przetwarzaniem danych poza bezpiecznymi sieciami korporacyjnymi.

Nośniki danych wykorzystujące szyfrowanie sprzętowe mogą zapewnić dodatkową ochronę wrażliwych danych używanych poza infrastrukturą organizacji. Ma to szczególne znaczenie w przypadku pracowników zdalnych, zespołów terenowych oraz organizacji przetwarzających dane podlegające regulacjom w środowiskach rozproszonych, gdzie bezpieczeństwo fizyczne urządzeń nadal stanowi istotny czynnik ryzyka.

Jednak samo szyfrowanie nie wystarczy. Zgodność z RODO wymaga wielowarstwowych zabezpieczeń. Organizacje potrzebują również skutecznych mechanizmów zarządzania dostępem, monitorowania, reagowania na incydenty, szkoleń dla pracowników oraz procesów regularnego testowania, które pozwalają utrzymać skuteczność stosowanych zabezpieczeń w obliczu zmieniających się zagrożeń.

Pseudonimizacja to kolejna ważna technika. Polega ona na zastąpieniu, usunięciu lub przekształceniu informacji umożliwiających identyfikację, tak aby bez dodatkowych danych nie można było powiązać danych osobowych z określoną osobą. Dodatkowe informacje są przechowywane oddzielnie i chronione za pomocą odpowiednich środków technicznych i organizacyjnych.

Testowanie, monitorowanie i regularna weryfikacja

Artykuł 32 wymaga od organizacji regularnego testowania i oceny stosowanych środków bezpieczeństwa w celu weryfikacji sposobu gromadzenia, zabezpieczania i przechowywania danych. W praktyce obejmuje to skanowanie podatności, testy penetracyjne, ciągłe monitorowanie, audyty bezpieczeństwa, ćwiczenia z reagowania na incydenty oraz testowanie przywracania kopii zapasowych. Wszystkie te działania mają na celu sprawdzenie, czy stosowane zabezpieczenia pozostają skuteczne w dłuższej perspektywie.

Ma to istotne znaczenie, ponieważ organizacje nie są w stanie zgłaszać ani ograniczać skutków incydentów, jeśli nie potrafią ich wykrywać. Skuteczne monitorowanie i wgląd w środowisko IT mają kluczowe znaczenie dla wczesnego wykrywania podejrzanej aktywności, ograniczania zakłóceń operacyjnych oraz realizacji obowiązków sprawozdawczych, zwłaszcza gdy wymagane jest szybkie zgłaszanie naruszeń.

Wiele organizacji dostosowuje obecnie swoje programy zapewnienia zgodności z RODO do uznanych standardów, takich jak ISO/IEC 27001, ISO/IEC 27701, NIST Cybersecurity Framework czy Cyber Essentials. Standardy te pomagają organizacjom budować uporządkowane i powtarzalne procesy zarządzania bezpieczeństwem, jednak wymagają dostosowania do indywidualnego profilu ryzyka organizacji w kontekście RODO.

Jak RODO wpływa na strategie cyberbezpieczeństwa

RODO w fundamentalny sposób zmieniło podejście organizacji do cyberbezpieczeństwa, a jedną z najważniejszych zmian jest zasada rozliczalności. Organizacje muszą obecnie być w stanie wykazać zgodność z przepisami, a nie jedynie deklarować, że ich przestrzegają. Obejmuje to oceny ryzyka, dokumentację bezpieczeństwa, rejestry czynności przetwarzania, procedury reagowania na incydenty oraz procesy nadzoru nad dostawcami, poparte jasnymi dowodami pokazującymi, w jaki sposób organizacja podejmuje i weryfikuje decyzje dotyczące bezpieczeństwa.

RODO podkreśla również znaczenie podejścia do bezpieczeństwa opartego na analizie ryzyka. Inwestycje w bezpieczeństwo powinny odzwierciedlać poziom narażenia organizacji na zagrożenia oraz jej podatności, a także uwzględniać poziom wrażliwości przetwarzanych danych, tak aby stosowane zabezpieczenia były adekwatne do zidentyfikowanych ryzyk.

Równie ważne stało się zarządzanie ryzykiem związanym z podmiotami zewnętrznymi. Jeżeli dostawca lub usługodawca przetwarza dane osobowe w imieniu organizacji, to ona nadal odpowiada za zapewnienie odpowiednich zabezpieczeń. W rezultacie weryfikacja dostawców oraz nadzór nad realizacją wymogów umownych stały się istotnymi elementami wielu programów zapewnienia zgodności z RODO. Obejmuje to także bieżące monitorowanie poziomu bezpieczeństwa i jakości działań podmiotów przetwarzających dane.