Dzień Ochrony Danych Osobowych (Data Privacy Day) został ustanowiony dla upamiętnienia rocznicy otwarcia do podpisu najstarszego aktu prawnego o zasięgu międzynarodowym, kompleksowo regulującego zagadnienia związane z ochroną danych osobowych - Konwencji 108 Rady Europy z 28 stycznia 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. Dzień ten jest organizowany przez Międzynarodową Unię Ochrony Danych (IDPC), która zachęca do uświadomienia sobie zagrożeń związanych z ochroną danych osobowych i promuje dobre praktyki w tym zakresie, promuje również edukację i uświadamianie ludziom, jak chronić swoje dane osobowe w internecie. Polska włączyła się w organizację Dnia Ochrony Danych Osobowych w roku 2007 r.

W dzisiejszych czasach coraz więcej danych jest przechowywanych i przetwarzanych w sieci, dlatego tak ważna jest znajomość swoich praw i zabezpieczeń dotyczących danych osobowych. Według UODO wycieku poufnych informacji obawia się co trzeci Polak. Jednocześnie tylko 46% wie co należy zrobić, gdy to nastąpi.To my jesteśmy odpowiedzialni za ochronę swoich danych osobowych. Przykładowo RODO chroni nasze dane, ale nie zadziała, jeżeli sami je wcześniej beztrosko ujawnimy. Z drugiej strony mamy firmy czy publiczne organizacje przetwarzające ogromne zbiory danych osobowych, np. PESEL, medyczne. Sam numer PESEL jest jawny, ale w połączeniu z numerem dowodu osobistego (który jawny nie jest) i adresem może być dla nas niebezpieczny, jeśli „hula” po internecie. Takie informacje umożliwiają przestępcom nie tylko włamanie na konto bankowe, ale też określenie osobowości, stylu życia, stanu zdrowia czy zainteresowań danej osoby, które mogą posłużyć do ukierunkowanych ataków i zostać sprzedane w Darknecie.

Zobacz również:

• Polski UODO rozpatruje skargę dotyczącą działania bota ChatGPT

Rozproszenie danych, czyli sposób tworzenia, przechowywania i udostępniania ogromnych ilości wrażliwych danych w przedsiębiorstwach, jest bardzo realne i zwiększa ryzyko ataku i powierzchnię zagrożenia wykładniczo. Dlatego, kiedy słyszymy o wycieku danych nie wpadajmy w panikę – liczba wycieków danych, niestety, nie zmniejsza się, ale sprawdźmy, jakich danych dotyczy. I w ten obszar wkroczyła automatyzacja oparta na uczeniu maszynowym i sztucznej inteligencji. Oczywiście, maszyna będzie tak mądra jak programujący ją człowiek. Jak to ujęła Ilona Simpson, CIO EMEA z Netskope „Ochrona danych osobowych polega na zrozumieniu, jakie dane są najważniejsze i dlaczego. Klasyfikacja tradycyjnie uważana była za kluczowy element tego procesu, ale dla wielu organizacji wydaje się nie do pokonania. Jednak nowoczesne możliwości sztucznej inteligencji/uczenia maszynowego pozwalają na automatyczną kategoryzację szerokiego spektrum danych bez potrzeby klasyfikacji. Ta kategoryzacja, jako część dobrej strategii bezpieczeństwa, pozwala organizacjom na projektowanie optymalnych strategii ochrony najwrażliwszych danych bez większych trudności”.

Organizacje napędzane danymi (data driven) stosują praktyki ograniczające rozproszenie danych, stale monitorując ich przepływ. To także kwestia bezpieczeństwa i zarządzania ryzyka. Załóżmy, że organizacja trzyma dane w środowiskach chmurowych i on premise. Nie tyle miejsce jest ważne (dzisiaj chmura często oznacza lepsze, najnowocześniejsze zabezpieczenia), ale wiedza i uprawnienia administratorów.

Gorzej sprawa wygląda w przypadku zabezpieczania danych prywatnych. O ile firmy zabezpieczają sprzęt IT przez uniemożliwianie instalowania na nim przypadkowych aplikacji, to ile osób beztrosko używa służbowego sprzętu - komputerów i smartfonów do celów prywatnych, i korzysta z prywatnych, darmowych skrzynek poczty elektronicznej w celach służbowych? Afera z Poufną Rozmową pokazuje, że brak edukacji w tym zakresie sięga najwyższych kręgów.

Przy logowaniu używajmy weryfikacji dwuetapowej. A jeżeli nie mamy pamięci do haseł, to można skorzystać z menadżera haseł czy klucza bezpieczeństwa. Warto też zajrzeć do ustawień w naszych kontach Google czy YT.

3 najważniejsze zasady bezpieczeństwa danych w sieci

Andrzej Niziołek, dyrektor regionalny na Europę Wschodnią w firmie Veeam radzi:

1. Czujność. Bądź sceptyczny i nie spiesz się.

Podstawową zasadą w sieci jest zachowanie czujności. Przestępcy często wykorzystują nieuważność użytkowników i nawyk niedbałego scrollowania treści. Prowokują ich szybką, emocjonalną reakcję zanim zdążą się zastanowić, co robią. Warto więc przemyśleć sprawę przed kliknięciem w link, załącznik czy przycisk „kup teraz” w podejrzanym sklepie internetowym. Jeśli oferta wydaje się zbyt dobra, aby mogła być prawdziwa, to prawdopodobnie tak jest. Dlatego nie należy podawać swoich danych nieznanym firmom czy podmiotom np. w zamian za wyjątkowo atrakcyjne rabaty na dodatki do gier, które w innych sklepach kosztują znacznie więcej. Istnieje duże ryzyko, że po zakończeniu transakcji nie otrzymamy zakupionego towaru, za to oszuści zdobędą dane karty kredytowej.

2. Zachowaj prywatne informacje dla siebie.

Warto głębiej zastanowić się, nad treściami udostępnianymi w sieci. Nawet najlepsze ustawienia prywatności nie są niezawodne, a z sieci nic nie znika na zawsze. Lepiej nie dzielić się nazwiskiem panieńskim matki czy zdjęciami dokumentów, ponieważ mogą zostać wykorzystane przez przypadkową osobę np. do włamania na konto bankowe. Dotyczy to również aplikacji – wiele z nich śledzi lokalizację, a nawet prosi o możliwość umieszczania postów na koncie użytkownika w mediach społecznościowych. Warto zawsze sprawdzać ustawienia prywatności danych i podawać tylko niezbędne minimum informacji.

3. Jeśli urządzenie jest inteligentne, powinno być chronione.

Wszystkie urządzenia smart, od termostatów po ekspresy do kawy, mają dostęp do internetu. Sterowanie nimi przez aplikację jest wygodne, ale kryje się za tym ryzyko przechwycenia przez przestępców danych przesyłanych wewnątrz sieci. Dlatego ważne jest korzystanie z antywirusów, a także aktualizowanie oprogramowania i aplikacji. Należy też zmienić domyślne hasła ustawiane fabrycznie przez producentów urządzeń. Do każdego konta powinny być przypisane unikatowe silne hasła, a uwierzytelnienie wieloskładnikowe wdrożone wszędzie tam, gdzie jest taka możliwość.