Cyberbezpieczeństwo

Z Encyklopedia Zarządzania
Wersja do druku nie jest już wspierana i może powodować błędy w wyświetlaniu. Zaktualizuj swoje zakładki i zamiast funkcji strony do druku użyj domyślnej funkcji drukowania w swojej przeglądarce.

Cyberbezpieczeństwo - (z ang. cybersecurity) stanowi zespół zagadnień związanych z zapewnianiem ochrony w obszarze cyberprzestrzeni. Z pojęciem cyberbezpieczeństwa związana jest między innymi ochrona przestrzeni przetwarzania informacji oraz zachodzących interakcji w sieciach teleinformatycznych.

TL;DR

Cyberbezpieczeństwo to ochrona danych i informacji w cyberprzestrzeni. Wymaga korzystania z aktualnych programów zabezpieczających, unikania witryn narażonych na ataki, ochrony danych osobowych i informacji niejawnych. Istnieje wiele rodzajów cyberataków, takich jak malware, phishing, ransomware itp. Firmy muszą inwestować w cyberbezpieczeństwo, a przestępstwa w cyberprzestrzeni są karane przez kodeks karny. Obowiązuje także ustawa dotycząca krajowego systemu cyberbezpieczeństwa.

Jak zrozumieć pojęcie cyberbezpieczeństwa?

Dla zrozumienia terminu cyberbezpieczeństwa niezbędne jest zdefiniowanie cyberprzestrzeni (z ang. cyberspace, cybernetics space), która to cyberprzestrzeń rozumiana jest jako "przestrzeń przetwarzania i wymiany informacji tworzona przez systemy teleinformatyczne, określone w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565, z późn. zm.) wraz z powiązaniami pomiędzy nimi oraz relacjami z użytkownikami"[1]. Zakres pojęciowy cyberbezpieczeństwa obejmuje więc zagadnienia związane z bezpieczeństwem cyberprzestrzeni, czyli zachodzących na jej obszarze procesów przetwarzania informacji i interakcji w sieciach teleinformatycznych.

Cyberbezpieczeństwo w wymiarze cyberprzestrzeni

Jest to proces polegający na korzystaniu przez pracowników z jak najbardziej aktualnych programów zabezpieczających dane przed zagrożeniami internetowymi. Cyberbezpieczeństwo w tym aspekcie opiera się również na niewchodzeniu na takie witryny internetowe, które są szczególnie narażone na ataki cyberprzestępców, a także na unikaniu podawania w Internecie do wiadomości publicznej szczegółowych danych firmy[2]

Cyberbezpieczeństwo w ujęciu danych osobowych

W tym wymiarze cyberbezpieczeństwa chodzi o uświadamianie pracownikom istotności podstawowych danych osobowych w bieżącej działalności przedsiębiorstwa[3] Do tej pory dane osobowe zatrudnionych w firmie winne były być gromadzone w bazie zgłoszonej do Generalnego Inspektora Ochrony Danych Osobowych (GOIDO), ale na mocy Rozporządzenia O Ochronie Danych Osobowych, dn. 25 maja 2018 roku zniesiony został obowiązek zgłaszania do rejestracji zbiorów danych osobowych.

Cyberbezpieczeństwo informacji niejawnych

Cyberbezpieczeństwo informacji niejawnych oznacza, że w firmie powinien istnieć regulamin, na podstawie którego pracownicy mogą czerpać wiedzę na temat rodzajów i sytuacji w jakich mogą udostępniać dane dotyczące firmy[4]

Rodzaje cyberataków

  • Malware, czyli złośliwe oprogramowanie, które bez zgody i wiedzy użytkownika wykonuje na komputerze działania na korzyść osoby trzeciej,
  • Man in the Middle jest rodzajem ataku polegającym na uczestniczeniu osoby trzeciej np. w transakcji pomiędzy sklepem internetowym a klientem. Celem takich ataków jest przechwycenie informacji lub środków pieniężnych (np. uzyskanie danych niezbędnych do logowania w systemie bankowości elektronicznej),
  • Cross site scripting polegający na umieszczeniu na stronie internetowej specjalnego kodu, którego kliknięcie przez użytkownika powoduje przekierowanie na inną stronę internetową (np. na witrynę konkurencji),
  • Phishing jest to atak polegający na dokonywaniu prób przejęcia haseł służących użytkownikowi do logowania na np. portalach społecznościowych, do których dostęp umożliwia atakującym uzyskanie danych osobowych użytkownika,
  • DDoS, czyli atak, którego celem jest zablokowanie możliwości logowania użytkownika na stronę internetową poprzez jednoczesne logowanie na tę samą stronę się wielu użytkowników. Wywoływany w ten sposób sztuczny ruch wzmacnia zainteresowanie użytkowników np. produktem dostępnym w sklepie internetowym,
  • SQL Injection jest atakiem polegającym na wykorzystywaniu przez przestępców luk występujących w zabezpieczeniach np. aplikacji i pozwalającym na uzyskanie przez osoby nieuprawione danych osobowych,
  • Ransomware to rodzaj ataku, którego celem jest przejęcie i zaszyfrowanie danych użytkownika po to aby w następnym kroku udostępnić te same dane użytkownikowi pod warunkiem wniesienia przez niego "okupu",
  • Malvertising pozwala przestępcom na dotarcie do użytkowników przeglądających zaufane strony internetowe poprzez nośniki jakimi są udostępniane na stronach internetowych reklamy, a następnie na instalowanie bez wiedzy i zgody użytkownika złośliwego oprogramowania na urządzeniach użytkownika[5]

Nakłady finansowe firmy na cyberbezpieczeństwo

Cechy cyberprzestrzeni takie jak jej globalny zasięg, uniwersalność i taniość w dostępnie powodują, że jest ona coraz bardziej wrażliwa i podatna na wszelkiego rodzaju zagrożenia związane z cyberprzestępczością. Cyberbezpieczeństwo stanowi zatem duże wyzwanie dla przedsiębiorstw, które dążąc do uzyskania upragnionego bezpieczeństwa zmuszeni są do podejmowania odpowiednich działań i ponoszenia na te cele nakładów finansowych[6]

Cyberprzestępczość a kodeks karny

Przestępstwa przeciwko ochronie informacji zostały ujęte w XXXIII rozdziale kodeksu karnego. Przepisami sankcjonującymi naruszenia w cyberprzestrzeni są m. in.:

  • Art. 267, w którym określona została penalizacja "hackingu" polegającego na włamywaniu się do systemów komputerowych po uprzednim pokonaniu zabezpieczeń,
  • Art. 268 i art. 268 a sankcjonują naruszenia porządku w cyberprzestrzeni, które polegają na usuwaniu, modyfikacji i uszkadzaniu plików.

Ponadto Rozporządzeni o Ochronie Danych Osobowych przewiduje kary dla firm, które nie wprowadzają działań koniecznych do uzyskania bezpieczeństwa danych wewnętrznych. Akt prawny przewiduje dotkliwe kary za incydenty związane z wyciekiem danych osobowych w firmie[7]

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa

Przedmiotem ustawy, która weszła w życie z dniem 28 sierpnia 2018 roku jest organizacja krajowego systemu cyberbezpieczeństwa i określenie zadań oraz obowiązków podmiotów wchodzących w jego skład. Ustawa reguluje również kwestie sprawowania nadzoru i kontroli przestrzegania jej przepisów oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Treść ustawy określa zarówno podmioty będące uczestnikami krajowego systemy cyberbezpieczeństwa jak i ich obowiązki.


Cyberbezpieczeństwoartykuły polecane
Polityka prywatnościOchrona danych osobowychInsiderBezpieczeństwo informacjiAnonimizacja danychPodpis kwalifikowanyDane osobowe pracownikaBiały wywiadAutentykacja

Przypisy

  1. Polityka Ochrony Cyberprzestrzeni RP
  2. K. Nakielski
  3. K. Nakielski
  4. K. Nakielski
  5. T. Bałut, K. Budek
  6. T. Bałut, K. Budek
  7. T. Dębowski

Bibliografia


Autor: Karina Wróbel