Choć 14 stycznia 2020 roku Microsoft przestał udostępniać aktualizację zabezpieczeń dla Windows 7, to z danych firmy Gemius za styczeń 2020 r. wynika, że z tego systemu wciąż korzysta blisko 30 proc. PC, z Windows 8 – blisko 7 proc, a Windows XP - 2,3 proc. Michał Jaworski, członek zarządu Microsoft Polska, zauważa zaś, że system może zidentyfikować tylko te, które w jakiś sposób podłączone są do internetu. W efekcie komputerów z nieaktualizowanym oprogramowaniem może być więcej. Co więcej z raportu NIK pt. Bezpieczeństwo elektroniczne informacji o obywatelach" z 2018 roku wynika, że w ponad połowie  skontrolowanych samorządów wykorzystywano systemy operacyjne, dla których producent zakończył udzielanie wsparcia technicznego, a więc nie były publikowane nowe aktualizacje bezpieczeństwa tych systemów. Komputery te stanowiły od 4 do 43 proc. ogółu komputerów w poszczególnych jednostkach. Wówczas NIK podkreślał, że jest to zagrożenie dla bezpieczeństwa. Teraz UODO ostrzega, że może to zostać uznane za naruszenie RODO. Wiele osób nie zdaje sobie sprawy z konieczności regularnego aktualizowania systemu operacyjnego i zainstalowanego na nim oprogramowania, choć aktualizacje pomagają zapewnić bezpieczeństwo  - przypomina Urząd Ochrony Danych Osobowych. 

Czytaj w LEX: Podejście oparte na ryzyku jako podstawa kształtowania obowiązków administratorów i podmiotów przetwarzających >

RODO wymusza dbanie o bezpieczeństwo systemów

Zgodnie z art. 32 RODO administrator i podmiot przetwarzający musi wdrożyć odpowiednie środki organizacyjne i techniczne, aby zapewnić odpowiedni stopień bezpieczeństwa danych. Wśród wymienionych przykładowo środków znalazła się zdolność do zapewnienia poufności, integralności i odporności systemów i usług przetwarzania. - Do bezpieczeństwa informatycznego należy podchodzić wielopłaszczyznowo - mówi Tomasz Soczyński, dyrektor Departamentu Informatyki w Urzędzie Ochrony Danych Osobowych. - Przestępcy wprowadzają do systemów często złośliwe oprogramowania, które po zaszyfrowaniu danych blokują do nich dostęp. Trzeba zwrócić szczególną uwagę na trzy istotne elementy, które składają się na budowanie i utrzymanie wysokiego poziomu bezpieczeństwa – są to procesy, technologia i przede wszystkim ludzie, którzy są odpowiedzialni za ochronę systemów - dodaje.

Czytaj w LEX: Pseudonimizacja i szyfrowanie danych osobowych ze wskazaniem dobrych praktyk >

Te zasady dotyczą nie tylko administratorów, jakimi są duże firmy, korporacje czy urzędy. Zasady te powinny stosować również osoby fizyczne, które w związku ze swoją działalnością, czasem także pozazawodową, przetwarzają dane innych osób, które powinni chronić. O ile w wielu przedsiębiorstwach, każda aktualizacja oprogramowania wykonywana jest przez dział IT, który dba o bezpieczeństwo informatyczne o tyle sami musimy zadbać o aktualizacje na naszym prywatnym sprzęcie. Z podobnymi problemami mogą się też borykać małe, jedno czy kilkuosobowe firmy.  Tymczasem użytkownicy regularnie aktualizowanych programów są mniej podatni na próby oszustwa. - Jednym z kroków zapewnienia bezpieczeństwa jest aktualizacja nie tylko systemów, ale też programów antywirusowych czy przeglądarek - mówi Maciej Gawroński, radca prawny, partner w kancelarii Gawroński & Partners.

Czytaj w LEX: RODO w działach IT >

Aktualizacja a cyberbezpieczeństwo

Michał Jaworski zauważa, że komunikat UODO podkreśla też znaczenie cyberbezpieczeństwa.  - Z jednej strony jest wymaganie formalne - zapis o konieczności utrzymywania aktualnego oprogramowania jest zarówno w ustawie o krajowym systemie cyberbezpieczeństwa, jak i w Krajowych Ramach Interoperacyjności. Z drugiej strony, to powinna być praktyka dnia codziennego w każdej firmie, a sam proces dobrze zaplanowany - ocenia. Dlaczego? Jak pisze UODO, nasze dane mogą trafić w ręce cyberprzestępców poprzez luki w przeglądarkach internetowych, programach pocztowych czy biurowych. I choć niewiele aktualizacji polega na usprawnieniu działania pewnych funkcji, to są wśród nich takie, które dotyczą kwestii bezpieczeństwa. Praca na aktualnym systemie operacyjnym jest o tyle istotna, że niektóre z poprawek nie dotyczą wyłącznie kwestii bezpieczeństwa tego oprogramowania, ale również „załatania” luk wykrytych w konstrukcji podzespołów komputerowych. Istnieją rozwiązania, które z uwagi na błędy np. w procesorach naszych komputerów, pozwalają przejąć kontrolę nad całą maszyną. Wówczas pozostaje jedynie zmiana procesora na inny (co czasem wymaga wymiany większej liczby podzespołów) lub zainstalowania aktualizacji jeżeli jest dostępna. Niestety stare systemy operacyjne, które nie są już wspierane przez swoich producentów, są narażone na takie ataki.

Cyberbezpieczeństwo

Cezary Banasiński, Marcin Rojszczak

Sprawdź  

Dlatego, z punktu widzenia bezpieczeństwa danych osobowych, tak ważne jest korzystanie z aktualnego oprogramowania, zarówno komercyjnego, jak i tego, które można używać na licencji open source. W przeciwnym razie można się narazić na kary za naruszenie RODO.

- Aktualizowanie oprogramowania systemowego i użytkowego jest jednym z podstawowych sposobów zabezpieczeń przed atakami złośliwego oprogramowania - mówi Maciej Gawroński. - Jest to więc podstawowy środek ochrony danych. Używanie oprogramowania nieaktualizowanego lub czasem wręcz niewspieranego już przez producenta znacząco podwyższa ryzyko utraty ciągłości działania, utraty danych jak i przechwycenia danych przez przestępców. W dobie ataków ransomware każdy może paść ofiarą własnej nieostrożności. Gdy w 2016 roku malware WannaCry zaatakowało 300 tys maszyn, szybko dostępne stały się aktualizacje obronne. Ci, którzy ich nie zainstalowali, padli ofiarą innego niszczycielskiego oprogramowania – NotPetya. Dlatego jest oczywiste, że Urząd Ochrony Danych Osobowych może nałożyć surową karę za lekceważące podejście do aktualizacji oprogramowania - tłumaczy mec. Gawroński. 

Z kolei Michał Jaworski podpowiada, że by sprawdzić, jak wygląda cykl życia produktów w Microsoft wystarczy zajrzeć tutaj.