Bezpieczeństwo krytycznych danych

Przeczytaj także: Symantec: ochrona danych w sektorze MŚP w 2013

Źródła zagrożeń

Przestępstwa komputerowe są konsekwencją etapu, w którym komputery przestały być tajną domeną zamówień rządowych i weszły do powszechnego użytku instytucji gospodarczych. Akty przestępcze związane z funkcjonowaniem elektronicznego przetwarzania danych, bo tak z poziomu prawa należy je rozumieć, obejmują wszystkie działania ingerujące bezpośrednio w przetwarzaną informację, nośnik na jakim jest utrwalona oraz jej cyrkulację w komputerze. Zagrożenie dotyka także całej architektury technologicznej, w tym sprzętu oraz prawa do programu komputerowego. Źródła uszkodzeń stają się coraz uciążliwsze, bardziej inwazyjne i wyrafinowane. Od hakingu komputerowego zaczynając, przez sabotaż, cracking sieciowy, oprogramowania, a na wirusach kończąc. Przy tak dużej intensyfikacji ryzyka naruszeń objęcie ochroną przetwarzanych danych i systematyczna edukacja, to zaledwie minimalny nakład, jaki firma powinna ponieść w stosunku do obciążeń karnych i finansowych, wynikających między innymi z niezastosowania się do ustawy o ochronie danych osobowych. Ma to jednak znaczenie nie tylko z uwagi na skalę konsekwencji prawnych. Wszystkie dane, procesy na nich wykonywane, systemy i sieci to kapitał firmy, określający jej markę w otoczeniu, budujący wiarygodność i efekty biznesowe. Dlatego utrzymanie poufności i integralności informacji, którymi firma dysponuje jest kluczowym warunkiem zysku, konkurencyjności i zachowania spójności prawnej. Nasuwa się więc pytanie - na zignorowanie którego z tych czynników przedsiębiorstwo może sobie pozwolić? Gdyby świadomość zagrożenia była większa i decydenci firm zdawali sobie sprawę z udziału w grupie ryzyka – odpowiedź na to pytanie dla wszystkich byłaby retoryczna. Dane wymagające zabezpieczenia obejmują nie tylko te dotyczące firmy, ale także wszystkich jednostek będących w relacji gospodarczej z przedsiębiorstwem oraz pracowników i kontrahentów. Istotne są tu zwłaszcza informacje, które są nośnikiem tajemnicy handlowej bądź stanowiących dane osobowe. Zabezpieczanie tych ostatnich, które są w posiadaniu firm, to już nie tylko interes instytucji publicznych, ale wszystkich podmiotów z sektora prywatnego, począwszy od dużych korporacji przez spółki prawa handlowego, a kończąc na osobach fizycznych prowadzących jednoosobową działalność gospodarczą czy mikrofirmę.

Informacje podlegające ochronie

Zgodnie z definicją zawartą w art. 6 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych za dane osobowe uważa się „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Według zapisu Ustawy tożsamość takiej osoby może być określona bezpośrednio bądź pośrednio „przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.” Każda więc informacja kwalifikowana jako dana osobowa musi realizować jeden warunek – dotyczyć osoby fizycznej. W tym rozumieniu wszystkie dane klientów, z którymi firmy prowadzą kontakt czy wystawiają faktury, należy traktować jako bazę danych podlegających ochronie. Zakres definicji ustawowej uprawomocnia bardzo szeroką interpretację, według której dane osobowe to nie tylko imię, nazwisko czy PESEL. Zgodnie z decyzjami GIODO oraz orzeczeniami sądów administracyjnych, to także numery telefonów i adresy e-mail. - Stosownie do zmiany obowiązującej od 1 stycznia 2012 roku, która do przepisów ustawy o ochronie danych osobowych włącza przedsiębiorców i wszystkie informacje identyfikujące ich w obrocie gospodarczym, prawo zobowiązuje do ich ochrony – tłumaczy Lapierre. Ustawa nakłada na firmę obowiązek zabezpieczenia zbioru przed dostępem osób nieuprawnionych, przetwarzaniem z naruszeniem ustawy, utratą danych, ich uszkodzeniem czy zniszczeniem.