Blog
2024 CWE Top 25 – Najbardziej niebezpieczne podatności w oprogramowaniu
W listopadzie 2024 roku organizacja MITRE opublikowała najnowszą edycję listy 2024 CWE Top 25 Most Dangerous Software Weaknesses. Lista ta stanowi jedno z najważniejszych narzędzi w arsenale specjalistów ds. bezpieczeństwa, wskazując najbardziej krytyczne podatności,...
Wytyczne ENISA do wdrażania NIS 2
Projekt wytycznych ENISA – jak wdrażać NIS 2 i o jakie praktyki się oprzeć? W październiku 2024 roku Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) opublikowała szczegółowe wytyczne dotyczące wdrażania Rozporządzenia Wykonawczego Komisji (UE) 2024/2690. Dokument...
Atak, który może obejść weryfikację wieloetapową
W miarę jak organizacje coraz częściej przyjmują uwierzytelnianie wieloskładnikowe (MFA) w celu zwiększenia bezpieczeństwa, ewoluują też metody stosowane do ominięcia zabezpieczeń. Jedną z takich technik są ataki phishingowe, które w niektórych przypadkach mogą...
Bezpieczne uwierzytelnienie z YubiKey
YubiKey to zaawansowane urządzenie do wieloskładnikowego uwierzytelniania (MFA), które znacząco podnosi poziom bezpieczeństwa kont użytkowników. Urządzenie to ma formę fizycznego klucza sprzętowego, który można podłączyć do portu USB lub wykorzystać technologię NFC...
Prawo do bycia zapomnianym oraz dostępu do danych a kara dla platformy sprzedażowej Vinted
Jak poinformował Urząd Ochrony Danych Osobowych w obwieszczeniu zamieszczonym na swojej stronie internetowej, 2 lipca 2024 r. litewski organ ochrony danych nałożył administracyjną karę pieniężną w wysokości ponad 2,3 mln euro na spółkę Vinted UAB, operatora platformy...
Komunikat chmurowy KNF – wyzwania, regulacje i perspektywy rozwoju
Rozwój technologii cyfrowych i rosnąca rola usług chmurowych stawiają przed instytucjami finansowymi nowe wyzwania, ale i otwierają szerokie możliwości. Komisja Nadzoru Finansowego (KNF), odpowiedzialna za regulacje w sektorze bankowym, ubezpieczeniowym i kapitałowym,...
Zatrudniamy! Czy chcesz nauczyć się analizy bezpieczeństwa i audytowania bezpieczeństwa informacji? Chciałbyś nauczyć się tworzenia zasad bezpieczeństwa w różnorodnych środowiskach, od rządowych agencji po korporacje międzynarodowe?
Czy chcesz nauczyć się analizy bezpieczeństwa i audytowania bezpieczeństwa informacji? Chciałbyś nauczyć się tworzenia zasad bezpieczeństwa w różnorodnych środowiskach, od rządowych agencji po korporacje międzynarodowe? Oferujemy: Plan podnoszenia kwalifikacji i...
System monitorowania wyrobów tytoniowych „Track and Trace”
System monitorowania wyrobów tytoniowych "Track and Trace" (T&T) na terenie Unii Europejskiej został wprowadzony w celu walki z nielegalnym handlem tytoniem, który stanowi poważne zagrożenie zarówno dla zdrowia publicznego, jak i dla gospodarek państw...
Wyciek danych osobowych klientów portalu pandabuy.com
Urząd Ochrony Danych osobowych poinformował w komunikacie zamieszczonym na swojej stronie www, że 31 marca 2024 r. w Internecie udostępniono dane 1,3 mln klientów platformy sprzedażowej pandabuy.com. (PandaBuy to platforma zakupów online, która umożliwia użytkownikom...
Threat Intelligence
Samo poleganie na podstawowych mechanizmach bezpieczeństwa i monitorowanie dzienników zdarzeń nie jest już rozwiązaniem wystarczającym, aby mówić że mamy wdrożoną skuteczną strategię cyberbezpieczeństwa. Zewnętrzne dane dotyczące zagrożeń cybernetycznych powinny...
E-mail jako słabe ogniwo cyberbezpieczeństwa
W dzisiejszym cyfrowym świecie e-mail jest jednym z najpopularniejszych środków komunikacji. Jednakże, pomimo swojej powszechności, e-mail jest jednym z najbardziej narażonych na ataki wektorów cyberbezpieczeństwa. Zrozumienie zagrożeń związanych z e-mailem jest...
Narzędzia w skutecznym zarządzaniu cyberbezpieczeństwem
Zarządzanie cyberbezpieczeństwem staje się kluczowym wyzwaniem dla każdej organizacji. Wykład prowadzony przez naszego eksperta Artura Cieślika na Forum Kierowników IT w Administracji skupiał się na przedstawieniu nowoczesnych narzędzi i metod efektywnego zapewnienia...
Minister Zdrowia ukarany za ujawnienie danych o stanie zdrowia
Sprawa ukarania Ministra Zdrowia za naruszenie ochrony danych osobowych związane z ujawnieniem danych szczególnych kategorii dotyczących stanu zdrowia jednego z lekarzy z pewnością jest Państwu znana, gdyż była bezprecedensowa, nie mająca miejsca w dotychczasowej...
Threat intelligence w Wazuh
Każda organizacja wykorzystująca systemy informatyczne musi mierzyć się z cybernetycznymi zagrożeniami bezpieczeństwa informacji. Podjęcie kroków w celu wyeliminowania ryzyk naruszenia bezpieczeństwa informacji może mieć kluczowe znaczenie dla funkcjonowania...
Skutki cyberataków na spółki giełdowe
Wraz z rozwojem technologii i coraz większym ich wykorzystaniem w firmach powstały nowe zagrożenia ze strony cyberprzestępców. Powody, dla których hakerzy atakują firmy są różne, zaczynając od aktywistów chcących pokazać złe praktyki dużych koncernów, po zwykłych...
PCI DSS 4.0 Nowe wymogi i podejście
Nowoczesne organizacje dążą coraz bardziej do digitalizacji, co wiąże się z koniecznością zabezpieczania przetwarzanych danych. Jedną z metod zabezpieczania jest implementacja standardów stworzonych przez specjalistów. PCI DSS 4.0 (Payment Card Industry Data Security...
Dyrektywa o sygnalistach – brak implementacji vs bezpośrednie stosowanie.
Dokładnie 17 grudnia 2023 r. minęło dwa lata od kiedy w polskim porządku prawnym powinna funkcjonować ustawa implementująca zapisy Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia...
CIS Controls – kontrolki cyberbezpieczeństwa cz. 1
CIS jest organizacją, której celem jest zwiększenie gotowości i reakcji na cyberbezpieczeństwo podmiotów sektora publicznego i prywatnego. Pozwala chronić organizacje w zmieniającym się krajobrazie cyberzagrożeń. Zapewnia szereg narzędzi, najlepszych praktyk,...
VDA ISA ver. 6.0 – Nowa wersja standardu TISAX
Aby chronić tajemnice handlowe, dane dotyczące prototypów, informacje o klientach i inne poufne dane w branży motoryzacyjnej, większość producentów pojazdów (OEM) wymaga certyfikatu TISAX od swoich partnerów i dostawców. Dzięki temu dane pozostają bezpieczne na etapie...
Co nas czeka w cyberbezpieczeństwie w 2024 roku
Cyberbezpieczeństwo to stale rozwijająca się dziedzina i niezwykle ważne jest, aby być na bieżąco śledzić najnowsze trendy i za nimi podążać. Podczas Światowego Forum Ekonomicznego przedstawiono raport, w którym zwrócono uwagę na główne wyzwania dla...
Sztuczna inteligencja w służbie cyberprzestępców
Rozwój technologii nie tylko przyczynił się do coraz bardziej innowacyjnych ataków., ale również do stworzenia narzędzi, które chociaż miały służyć użytkownikom na co dzień, jednak stały się narzędziami w rękach przestępców. Każdy z nas słyszał już o ChatGPT,...
Wzrost zagrożeń cyberbezpieczeństwa
W erze cyfrowej, w której nasza społeczność coraz bardziej polega na technologii, zagrożenia związane z cyberbezpieczeństwem stają się coraz bardziej powszechnie i złożone. Wraz z rozwojem nowych technologii i zabezpieczeń, pojawiają się też nowe sposoby ataków i...
Wyłudzanie informacji – co to i jak się chronić
Co to? Phishing to zwodnicza technika pozyskiwania poufnych danych, w której Cyberkryminaliści podszywają się pod zaufane podmioty, aby oszukać niczego niepodejrzewające osoby do ujawniania poufnych informacji. To jest najczęstszy rodzaj inżynierii społecznej,...
NIST SP 800-161 Cybersecurity Supply Chain Risk Management (SCRM) Practices for Systems and Organizations
NIST SP 800-161 Cybersecurity Supply Chain Risk Management (SCRM) Practices for Systems and Organizations służy jako istotny zasób dla organizacji chcących ustanowić skuteczne praktyki zarządzania ryzykiem cyberbezpieczeństwa w łańcuchu dostaw. NIST SP 800-161 zawiera...
TISAX – proces uzyskania etykiety
TISAX – proces uzyskania etykiety Trusted Information Security Assessment Exchange (TISAX) jest administrowany przez stowarzyszenie ENX w imieniu Niemieckiego Stowarzyszenia Przemysłu Motoryzacyjnego (Verband der Automobilindustrie, VDA). VDA opracował ocenę...
Wyrok WSA dot. zagubienia świadectwa pracy i podtrzymana kara UODO
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA), jaki zapadł 26 kwietnia 2023 r. w sprawie o sygn. akt: II SA/Wa 1272/22 jasno wskazuje, że naruszenia ochrony danych osobowych, jeżeli już mają miejsce, należy każdorazowo dokładnie przeanalizować oraz...
Alternatywy dla YubiKey
YubiKey to popularny rodzaj urządzenia do uwierzytelniania dwuskładnikowego (2FA) i ogólnie do zwiększania bezpieczeństwa dostępu do różnych usług online. Yubikey jest jednym z najpopularniejszych rozwiązań tego typu na rynku, istnieją jednak inne podobne rozwiązania...
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa
6 czerwca 2023 rząd przyjął projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Jakie zmiany przewiduje nowy projekt? Pośród różnych propozycji jedne z najważniejszych to zapisy dotyczące uruchomienia bezpiecznej sieci telekomunikacyjnej...
Nowe porozumienie KE – USA w sprawie transferu danych osobowych
Po okresie intensywnych prac nad uregulowaniem kwestii transferu danych osobowych pomiędzy krajami Unii Europejskiej a Stanami Zjednoczonymi Ameryki Północnej, 10 lipca 2023 r. Komisja Europejska (Komisja, KE) przyjęła nową decyzje stwierdzającą odpowiedni stopień...
Stosowanie wieloskładnikowego uwierzytelniania cz. 2
Stosowanie wieloskładnikowego uwierzytelniania (MFA) jest ważnym środkiem bezpieczeństwa, który pomaga chronić konta i dane przed nieuprawnionym dostępem. Niemniej jednak, niektóre techniki mogą zostać wykorzystane do przełamania MFA. Oto niektóre z nich i sposoby,...
Metody testowania
Testowanie bezpieczeństwa zasobów dzielimy na etapy jak zbieranie informacji o testowanych celach, a następnie skanowanie i rozpoznanie tożsamości celu (zasobu) oraz stosowanej ochrony. Kolejnym krokiem jest skanowanie w celu wykrycia możliwych do wykorzystania...
Narzędzia kontroli dostępu do sieci cz. 2
Funkcje NAC Systemy kontroli dostępu do sieci mogą różnić się w zależności od rodzaju wdrożenia i wykorzystanych lub dostępnych funkcji. NAC w podstawowej funkcjonalności, najczęściej bez zainstalowanego agenta na końcówce, pozwala na kontrolę dostępu opartą o adresy...
Korzyści stosowania 2FA i MFA
2FA (Two-Factor Authentication) i MFA (Multi-Factor Authentication) to dwie metody uwierzytelniania, które poza standardowym hasłem stanowią dodatkowe zabezpieczenie dostępu do konta użytkownika w systemie, aplikacji czy serwisie www poprzez potwierdzenie tożsamości...
Rekordowa kara za nieprzestrzeganie RODO nałożona na firmę Meta
Cały świat dowiedział się na dniach, że firma Meta będąca właścicielem m.in. Facebooka, Instagrama, komunikatora WhatsApp, a właściwie jej spółka córka Meta Platforms Ireland Limited (Meta IE) została ukarana astronomiczną karą finansową w wysokości 1,2 mld EUR....
Wazuh cz. 3 – wykrywanie luk w zabezpieczeniach
Korzystając z National Vulnerability Database, Wazuh może wykrywać luki w systemach operacyjnych i aplikacjach zainstalowanych na monitorowanych przez agentów Wazuh systemach. Moduł monitorowania podatności działa wykorzystując integrację z zewnętrznymi źródłami luk w...
ChatGPT a cyberbezpieczeństwo
ChatGPT to zaawansowany generatywny chatbot oparty na sztucznej inteligencji, który w przeciągu zaledwie czterech dni od jego uruchomienia i udostępnienia przyciągnął milion użytkowników. Na czym polega jego fenomen? Otóż w największym skrócie - jest to program...
Zmiany w Kodeksie pracy – kontrola trzeźwości, a ochrona danych osobowych
Kontynuując temat z poprzedniego wpisu, chciałbym zwrócić Państwa uwagę na jeszcze jeden aspekt związany ze zmianami Kodeksu pracy, a mianowicie na kontrolę trzeźwości pracowników. Przepisy dotyczące kontroli trzeźwości, weszły w życie 14 dni po ich ogłoszeniu i...
Narzędzia kontroli dostępu do sieci cz. 1
Czy czujemy się bezpieczni w swoich sieciach? Odpowiedź na to pytanie nie jest jednoznaczna. Jednak w wielu przypadkach możemy usłyszeć, że czujemy się „w miarę” bezpieczni. Wraz ze wzrostem świadomości zagrożeń, szczególnie tych propagowanych przez Internet, to...
Mobilne cyberbezpieczeństwo – Norma ISO/SAE 21434
Przemysł motoryzacyjny w coraz większym stopniu opiera się na oprogramowaniu, siłą rzeczy więc cyberbezpieczeństwo stało się jednym z podstawowych elementów zapewnienia bezpieczeństwa pojazdów, a nie odrębną, dobrą praktyką. Coraz większa ilość kodu, dzięki któremu...
Hasła w chmurze
Jeszcze niedawno (parę lat temu) odbywały się dyskusje i seminaria dotyczące możliwości przetwarzania danych w cloudzie. Wiele instytucji oraz firm miało wątpliwości związane z bezpieczeństwem tego typu usług. Niejedna organizacja broniła się przed transferem swoich...
Zmiany w Kodeksie pracy – praca zdalna, a ochrona danych osobowych
Wszystko wskazuje na to, że w 2023 roku wejdą w życie zmiany w Kodeksie pracy dotyczące pracy zdalnej. Prace nad zmianą ustawy zakończyły się, a wskazane w ich toku, na ostatniej prostej, poprawki Senatu zostały odrzucone przez Sejm 13 stycznia 2023 r. Poniżej...
Porozumienie KE – USA w sprawie transferu danych osobowych
Trwają intensywne prace nad uregulowaniem kwestii transferu danych osobowych pomiędzy krajami Unii Europejskiej a Stanami Zjednoczonymi Ameryki Północnej. Zgodnie z informacjami zamieszczonymi 13 grudnia 2022 r. na stronie Komisji Europejskiej (KE) rozpoczął się...
Passwordless – uwierzytelnianie bez hasła
Uwierzytelnianie bez hasła to metoda uwierzytelniania, która pozwala użytkownikowi uzyskać dostęp do aplikacji lub systemu informatycznego bez podawania hasła lub odpowiadania na pytania zabezpieczające. Zamiast tego użytkownik dostarcza inny dowód swojej tożsamości,...
Monitorowanie sieci i systemów – Wazuh cz. 2
Poprzedni wpis rozpoczyna serię dotyczącą monitorowania bezpieczeństwa systemów przy użyciu oprogramowania Wazuh. Wiemy już do czego służy i co to jest Wazuh, jak jest zbudowany i w jaki sposób najszybciej może zostać uruchomiony. Zatem mamy już uruchomiony system i...
Narzędzia monitorujące aktywność użytkownika cz. 2
Kombajny do monitorowania Aplikacje służące do monitorowania składają się zazwyczaj z kilku modułów, pozwalających na zarządzanie stacjami roboczymi oraz pomagających wymuszać przestrzeganie polityki bezpieczeństwa informacji. Oprócz samych funkcji pozwalających na...
Jak przygotować się na ransomware?
Czym jest ransomware? Ransomware to rodzaj złośliwego oprogramowania, które uniemożliwia użytkownikom dostęp do ich systemu lub plików osobistych i żąda zapłaty okupu w celu odzyskania tegoż dostępu. Podczas gdy niektórzy ludzie mogą myśleć, że „wirus zablokował mój...
Monitorowanie sieci i systemów – Wazuh cz.1
Na rynku dostępnych jest wiele narzędzi do monitoringu sieci w celu wykrycia elementów ryzyka oraz zapobieganiu awariom. W dużym uproszczeniu zadaniem systemów monitorowania jest między innymi znalezienie słabych punktów, wykrycie podatności w systemach, powiadomienie...
Powierzenie przetwarzania danych osobowych – potrzeba udokumentowania oraz weryfikacji podmiotu przetwarzającego.
W dzisiejszym wpisie chciałbym zwrócić Państwa uwagę na kwestię powierzenia przetwarzania danych osobowych. Jak istotną czynnością jest powierzenie może świadczyć to, że Urząd Ochrony Danych Osobowych (UODO) zwrócił ostatnio na to uwagę informując o nałożeniu kary...
Narzędzia monitorujące aktywność użytkownika cz. 1
Kontrola stacji roboczych nie jest wymysłem administratorów. Kierownictwo i działy bezpieczeństwa potrzebują informacji o tym, czy użytkownicy korzystają ze sprzętu i oprogramowania we właściwy sposób. Analiza narzędzi i ich funkcji Monitorowanie użytkownika oraz...
Luki w bezpieczeństwie cz. 2
POPULARNE APLIKACJE Wykrycie luki w zabezpieczeniach aplikacji webowej pozwala na próby jej wykorzystania często bez konieczności uzyskiwania dodatkowego uwierzytelnienia. Aplikacja pracująca w strefie DMZ bez ochrony WAF czy IPS jest obecnie podobna do kaczki na polu...
Rozwiązanie umowy z pracownikiem a dane w M365
Rozwiązanie umowy z pracownikiem a dane w M365 Co powinniśmy zrobić, aby zabezpieczyć dane i chronić dostęp, gdy pracownik opuszcza organizację? Kluczową kwestią jest zaplanowanie przechowywania firmowych danych w taki sposób, aby były one odpowiednio utrzymywane i...
Dane osobowe w procesie rekrutacji w świetle wyroku WSA sygn. akt II SA/Wa 542/22
Zgodnie z opublikowanym jeszcze w październiku 2018 r. poradniku: „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” Urząd Ochrony Danych Osobowych (UODO) wyraźnie stwierdzał, że w zakresie okresu przechowywania danych kandydatów do pracy należy...
Pełnomocnik ds. Cyberbezpieczeństwa – rola, zakres obowiązków i odpowiedzialność
Cyberbezpieczeństwo to ochrona sieci, systemów i usług IT przed zagrożeniami. Są to np. złośliwe ataki hakerów, spamerów, cyberprzestępców. W dzisiejszym świecie istnienie każdej organizacji jest o wiele bardziej niż kiedykolwiek wcześniej zależne od technologii....
Shadow IT – Szara strefa działania użytkowników
W głowach wielu użytkowników rodzi się w końcu pomysł pominięcia IT. Szczególnie dotyczy to skomplikowanych procedur bezpieczeństwa, długotrwałych procesów akceptacji nowych narzędzi i niekończących się kolejek w helpdesku. Nie pytać IT i spróbować szybko stworzyć lub...
Vulnerability Management – Zarządzanie podatnościami systemu informatycznego
Zarządzanie podatnościami to ciągły proces identyfikowania, oceniania i raportowania podatności, które narażają systemy informatyczne Twojej organizacji na cyberataki. Proces ten jest istotną częścią zapewnienia bezpieczeństwa informacji i jest wskazany w normie...
Kopiowanie dowodów osobistych
Urząd Ochrony Danych Osobowych (Urząd, UODO) nieustannie stoi na gruncie ograniczania możliwości kopiowania dowodów osobistych przez różnego rodzaju instytucje finansowe. Dementuje tym samym pojawiające się od czasu do czasu w różnych przekazach prasowych wątpliwości...
Internet rzeczy (IoT)
Internet rzeczy lub IoT to system powiązanych ze sobą urządzeń komputerowych, maszyn mechanicznych i cyfrowych, przedmiotów, zwierząt lub ludzi, które są wyposażone w unikalne identyfikatory i możliwość przesyłania danych przez sieć bez konieczności interakcji...
Nowa norma ISO/IEC 27002:2022
Zadania Pełnomocnika ds. SZBI i Pełnomocnika ds. Cyberbezpieczeństwa Funkcjonujący system bezpieczeństwa działa całkiem sprawnie, jeżeli jest pod nadzorem osoby lub zespołu osób dedykowanych do nadzorowania i monitorowania bezpieczeństwa informacji, w tym...
Data Act – nowe zasady wykorzystania danych osobowych w UE
23 lutego 2022 r. Komisja Europejska opublikowała propozycję nowych przepisów dotyczących wykorzystywania danych osobowych generowanych w UE we wszystkich sektorach jej gospodarki. Proponowana treść aktu w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego...
Bezpieczeństwo usług chmurowych
Bezpieczeństwo usług chmurowych Wiele firm decyduje się w ostatnim czasie na migracje swoich systemów do usług chmurowych, niewątpliwie jest to szansa nie tylko rozwoju ale i utrzymania ciągłości dostępu do danych w sytuacji pracy zdalnej czy hybrydowej. Korzyści...
Kara za rozpoznawanie twarzy bez nadzoru
Kolejna kara w wysokości 20 milionów euro została nałożona na amerykańską firmę Clearview AI. Tym razem grecki urząd ochrony danych osobowych skorzystał ze swoich kompetencji nadzorczych i uznał przetwarzanie danych osobowych za pomocą wyszukiwarki biometrycznej za...
Apostazja, czyli RODO w Kościele katolickim w świetle wyroku NSA o sygn. akt III OSK 2273/21
Kwestia przetwarzania danych osobowych przez związki wyznaniowe nie była jeszcze przedmiotem rozważań w ramach niniejszego bloga. Sprawa, o której chcę wspomnieć wydaje się nad wyraz ciekawa, dlatego postanowiłem poświęcić jej niniejszy wpis. Stosunkowo niedawno, bo...
TISAX® – standard bezpieczeństwa informacji w branży automotive
Aby zapewnić bezpieczne przetwarzanie i wymianę informacji między podmiotami branży automotive, Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego (VDA) opracowało w 2017 r. standard TISAX®, czyli Trusted Information Security Assessment Exchange. Jest to standard...
Zmieniająca się struktura zagrożeń cyberbezpieczeństwa w ostatnich dwóch latach
W ciągu ostatnich dwóch lat jesteśmy świadkami pojawiania się nowych i wzrostu istotności zagrożeń bezpieczeństwa, które przed pandemią COVID-19 nie były stawiane wśród najważniejszych.. Od momentu, kiedy w 2020 roku wybuchła pandemia procent osób pracujących w pełni...
Luki w bezpieczeństwie cz. 1
Ilość zgłoszonych podatności do bazy CVE w czasie pisania artykułu wynosiła w przybliżeniu 200 000. Oczywiście dotyczy to różnego typu sprzętu i oprogramowania. Z roku na rok jest ich więcej, niestety również będących tzw. podatnościami typu zero-day. Szybkość...
Zabezpiecz dane korzystając z szyfrowania
Bardzo często uważamy, że pliki w naszym komputerze są bezpieczne. Oczywiście wiele osób ma świadomość, że sprzęt może się zepsuć więc wykonuje kopię zapasową np.: na zewnętrzny dysk i zasadniczo uznaje, że dane są bezpieczne. Niewiele osób bierze pod uwagę sytuację...
Inspektor ochrony danych – przestrzeganie przepisów – weryfikacja UODO
Urząd Ochrony Danych Osobowych (UODO) ostatnimi czasy poinformował, że stworzył listę pytań skierowaną do administratorów oraz podmiotów przetwarzających dane osobowe, za pomocą której to będzie dokonywał weryfikacji przestrzegania przepisów dotyczących inspektorów...
Anonimizacja i pseudonimizacja danych osobowych
Jednym z istotniejszych aspektów, na które mocno zwraca się uwagę w kontekście przepisów zawartych w RODO jest zasada Privacy by Design and Default. W jej myśl wszelkie działania podejmowane przez organizację, które wiążą się z przetwarzaniem danych osobowych, muszą...
Uzasadniony interes administratora
Uzasadniony interes administratora, czyli przetwarzanie danych osobowych na zapas w świetle wyroku WSA o sygn. akt II SA/Wa 474/21 Przeglądając ostatnio sprawy, w których Prezes Urzędu Ochrony Danych Osobowych (dalej UODO) jest aktywną stroną, a które trafiły na...
Szyfrowanie kwantowe
Kryptografia kwantowa to technologia, która stosuje zasady mechaniki kwantowej do szyfrowania danych i zabezpieczania ich transmisji tak, by uniemożliwić osobom postronnym dostęp do danych – nawet jeśli posiadałby własne zasoby o podobnych możliwościach. Szersze...
Konsekwencje decyzji organów nadzorczych w sprawie Google Anaytics
Początek roku 2022 obfituje w kolejne decyzje organów nadzorczych poszczególnych państw członkowskich Unii Europejskiej (UE) w sprawie korzystania z narzędzia Google Analytics. Niektóre wytyczne wskazują już obecnie na zakaz używania tej usługi na terenie UE. Poniżej...
Piaskownica jako dodatkowa warstwa bezpieczeństwa aplikacji
Sandbox czyli tzw. piaskownica pozwala na bezpieczne uruchamianie wszelkiego rodzaju nieznanych aplikacji, podejrzanych plików wykonywalnych czy dokumentów pochodzących z niezaufanych źródeł. Z technologii sandbox możemy również skorzystać, aby uruchomić aplikacje,...
Udostępnianie danych przez urząd – informacja publiczna
Każdego dnia urzędy w całym kraju zmagają się w zakresie swojego funkcjonalnego działania z kwestiami udostępniania danych. Jedną z głównych przesłanek służącą do dzielenia się informacjami przez jednostki publiczne z interesantami są przepisy dotyczące dostępu do...
Testy penetracyjne – kiedy są potrzebne, co można testować, czy wypełniają wymagania prawne
Testy penetracyjne, zwane również pentestami lub czasami etycznym hakowaniem, to symulowany atak przeprowadzany na system komputerowy w celu oceny jego bezpieczeństwa. Mogą one obejmować próbę naruszenia dowolnej liczby systemów i aplikacji (np. interfejsów...
Bezpieczeństwo kont administracyjnych
Obecnie poziom, na który weszły metody ataku ukierunkowane na kradzież haseł nie daje pewności, że stosowanie nawet zgodnych z dobrymi praktykami zasad tworzenia haseł zapewni właściwą i niezawodną ochronę naszych kont, a tym samym danych. Im większe uprawnienia...
Standardowe klauzule umowne
W ostatnim wpisie poruszyłem kwestię przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych w oparciu o decyzję Komisji Europejskiej (Komisja, KE) stwierdzającej odpowiedni stopień ochrony. W niniejszym artykule chciałbym poruszyć równie...
Czy Narodowe Standardy Cyberbezpieczeństwa zastąpią Krajowe Ramy Interoperacyjności?
W październiku 2019 r. w życie weszła uchwała Rady Ministrów w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024. Jednym z punktów wymienionych w załączniku do tego dokumentu jest „Opracowanie i wdrożenie Narodowych Standardów...
Korzyści z wykonania audytu IT
Nowe obowiązki i wymagania dla twórców oprogramowania wynikające z projektu rozporządzenia o sztucznej inteligencji
Pod koniec kwietnia 2021 Komisja Europejska opublikowała projekt Rozporządzenia Parlamentu Europejskiego i Rady UE określającego wymagania prawne dla systemów sztucznej inteligencji stosowanych w Unii Europejskiej (ang. Proposal for a Regulation of the European...
Ochrona danych biometrycznych dzieci w świetle wyroku WSA w Warszawie (sygn. akt II SA/Wa 809/20)
Dane biometryczne stanowią coraz większą pokusę dla administratorów danych, którzy chcąc uprościć pewne procesy w swoich organizacjach zaczynają sięgać po rozwiązania organizacyjne i techniczne oparte na przetwarzaniu tychże danych. Przykładem coraz częstszego...
Przekazywanie danych osobowych na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony
Jedną z możliwości jaką dają nam przepisy RODO w zakresie przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych jest oparcie tego procesu o decyzję Komisji Europejskiej (Komisja, KE) stwierdzającej odpowiedni stopień ochrony. Zgodnie z...
Zapewnienie prywatności użytkowników WhatsApp
Na początku roku 2021 platforma WhatsApp poinformowała swoich użytkowników o aktualizacji warunków użytkowania i polityki prywatności, koncentrując się głównie na opcjach biznesowych aplikacji. Zmiany wywołały jednak poważny sprzeciw użytkowników, ponieważ nieumyślnie...
Usługi cloudowe – rodzaje, normy branżowe i przepisy prawa
Usługi chmurowe są coraz powszechniej wykorzystywanym narzędziem przez przedsiębiorstwa i użytkowników prywatnych na całym świecie. Te obecnie oferowane to m.in. całe platformy czy aplikacje, infrastruktura oraz oprogramowanie hostowane przez zewnętrznych dostawców i...
Bezpieczeństwo sieci przemysłowych – cz. 1
Utrzymanie zabezpieczeń sieci w firmie na odpowiednim poziomie wcale nie jest łatwe. Jeszcze trudniejsze bywa zbudowanie i utrzymanie bezpiecznej infrastruktury sieciowej w systemach sterujących produkcją – wymaga to często podejścia nieszablonowego, dobrego pomysłu i...
Uświadamianie pracowników w czasach pandemii
Pandemia jest wyzwaniem dla wszystkich, bardzo częstą reakcją jest obniżanie kosztów. Pomimo, iż utrzymanie kosztów na niższym poziomie stało się niezwykle ważne jednym z obszarów istotnym z punktu widzenia funkcjonowania działalności, w którym nie należy ciąć...
Szyfrowanie w systemach IT – polityka kryptografii
Szyfrowanie w systemach IT – polityka kryptografii Kiedy szyfrować Adekwatnie do wyników przeprowadzonego szacowania ryzyka, a więc w przypadku, gdy poziom ryzyka wskazuje na taką potrzebę, wdrażamy pseudonimizację i szyfrowanie danych osobowych. Zabezpieczenia...
Czy chcesz nauczyć się analizy bezpieczeństwa i audytowania bezpieczeństwa informacji? Chciałbyś nauczyć się tworzenia zasad bezpieczeństwa w różnorodnych środowiskach, od rządowych agencji po korporacje międzynarodowe?
Czy chcesz nauczyć się analizy bezpieczeństwa i audytowania bezpieczeństwa informacji? Chciałbyś nauczyć się tworzenia zasad bezpieczeństwa w różnorodnych środowiskach, od rządowych agencji po korporacje międzynarodowe? Oferujemy: Plan podnoszenia kwalifikacji i...
Zbieranie informacji o szczepieniu w świetle przepisów RODO
Informacje o zaszczepieniu są danymi dotyczącymi zdrowia i stanowią szczególną kategorię danych osobowych, o której mowa w art. 9 ust. 1 RODO. Przetwarzanie takich danych wymaga większej ochrony oraz spełnienia przynajmniej jednej z przesłanek określonych w art. 9...
Kontrola Urzędu Ochrony Danych Osobowych (UODO)
Silne kompetencje nadzorcze jakie uzyskał Prezes Urzędu Ochrony Danych Osobowych (Prezes Urzędu) odnośnie monitorowania i egzekwowania RODO z pewnością mogą skłaniać każdego administratora oraz podmiot przetwarzający do poświęcenia odrobiny swojego czasu na związane z...
Cyberbezpieczeństwo w Polsce, Europie i na świecie
W styczniu 2021 r. opublikowana została 16 edycja Global Risk Report opracowanego przez Światowe Forum Ekonomiczne, w którym wskazane zostały najważniejsze zagrożenia dla światowej gospodarki, z którymi borykamy się obecnie lub będziemy w najbliższej przyszłości. O...
Audyt bezpieczeństwa informacji zgodnie z KRI i normą ISO 27001
Zarówno jednostki publiczne, jak i te działające w sektorze prywatnym wdrażają różne metody skutecznej ochrony przed zagrożeniami dla cennych i w większości prawnie chronionych danych. Zarządzanie bezpieczeństwem informacji powinno być zintegrowane z innymi procesami...
Inwigilacja czy monitorowanie?
Funkcje oprogramowania pozwalają na bardzo szeroki zakres monitorowania tego, co się dzieje na komputerze użytkownika. I to nie zawsze w zakresie, który jest niezbędny do osiągniecia celu monitorowania. Co jest zatem celem monitorowania? Pytając kierownictwo oraz...
Media społecznościowe a dane osobowe
Kwestia bezpieczeństwa przetwarzania danych osobowych przez media społecznościowe co rusz elektryzuje opinię publiczną na całym świecie. W ostatnim czasie mieliśmy kolejną odsłonę, chyba niekończącego się serialu związanego z różnego rodzaju wyciekami danych...
Czy praca zdalna stanowi zagrożenie dla bezpieczeństwa danych firmowych i jak zapobiegać zagrożeniom związanym z dostępem zdalnym do zasobów firmowych?
Rok 2020 zapoczątkował lub bardzo zintensyfikował zmiany w formie pracy, nieustannie rośnie liczba pracowników zdalnych i można zakładać, że zasady pracy, które już teraz wielu pracodawców musiało wdrożyć nie powrócą do stanu sprzed pandemii, a przynajmniej nie będzie...
Naruszenie ochrony danych osobowych – obowiązki ADO oraz przykłady
Przez dotychczasowy okres obowiązywania nowych przepisów unijnych dotyczących ochrony danych osobowych odnotowane zostało przez organy nadzorcze poszczególnych państw Europejskiego Obszaru Gospodarczego już kilka bardziej spektakularnych naruszeń ochrony danych...
Projektowanie i wdrażanie systemów IT w oparciu o podejście Zero Trust
Zero Trust to model bezpieczeństwa, którego podstawowym założeniem jest brak zaufania do wszystkich elementów w obrębie naszej sieci wewnętrznej, jak i poza nią. Odrzuca on dotychczasową ideę traktowania naszej sieci wewnętrznej jako tej „zaufanej”, a wszystko poza...
VLOG – odc. 3 Audyt IT RODO – praktyczne wskazówki dotyczące podmiotów zewnętrznych
Udostępnianie danych osobowych w świetle wyroku II SA/Wa 989/20. Ślepy pozew.
Wojewódzki Sąd Administracyjny w Warszawie 18 grudnia 2020 r. wydał wyrok w sprawie ze skargi spółki z o. o. na decyzję Prezesa Urzędu Ochrony Danych Osobowych, w sentencji którego oddalił rzeczoną skargę. Powiecie Państwo nic nowego, rzecz wydawałoby się normalna,...
Bezpieczeństwo aplikacji webowych
Sieć Internet jest doskonałym i niedrogim kanałem wymiany informacji pomiędzy firmą a klientem pod warunkiem, że istnieje sposób na przechwytywanie i przechowywanie wszystkich niezbędnych danych oraz zwracanie użytkownikom oczekiwanych wyników. Dzięki aplikacjom...
Testowanie podatności systemów informatycznych
Bardzo często administratorzy systemów rozumieją i znają ryzyka związane z cybernetycznymi zagrożeniami dla aplikacji, którymi zarządzają. Większość opiera badanie luk w zabezpieczeniach aplikacji i systemów na zautomatyzowanych narzędziach, które wyszukują słabości i...
Czy chcesz zadbać o bezpieczeństwo Twojej firmy?
Skontaktuj się z nami wypełniając poniższy formularz:
ul. Krakowska 29
50-424 Wrocław
NIP: 8992844827
REGON: 369689145
KRS: 0000737840