Projekt Strategii Cyberbezpieczeństwa. Pominięto ważny obszar

Trwają prace nad projektem Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029. Jej finalna treść będzie miała znaczenie dla wielu obszarów funkcjonowania państwa, dlatego tak ważne, aby odpowiadała na wyzwania nie tylko obecne wyzwania, ale również te w najbliższej perspektywie. 

Warto promować dobre praktyki

Bieżącym zapisom projektu przyjrzał się Prezes Urzędu Ochrony Danych Osobowych. Mirosław Wróblewski pozytywnie ocenia wolę przedstawienia dokumentu i chęć m.in. zwiększenia poziomu ochrony informacji w kluczowych sektorach: publicznym, militarnym i prywatnym. Docenia również duży nacisk na promowanie wiedzy i dobrych praktyk. 

Trzeba zmienić przepisy

Jednak znalazło się również wiele punktów, które – jego zdaniem– wymagają poprawy. Prezes UODO zwraca uwagę np. na kwestie prawne. 

„Rozwiązania mające zapewnić cyberbezpieczeństwo mogą być wprowadzane jedynie w oparciu o wyraźną podstawę prawną. Trzeba więc zmienić przepisy i to tak by były dostosowane do szybko zmieniających się rozwiązań technologicznych” – wskazuje Mirosław Wróblewski, kierując pismo do Krzysztofa Gawkowskiego, wicepremiera i ministra cyfryzacji. 

Szef Urzędu uważa, że należy przeanalizować obowiązujące przepisy, które dotyczą „wadliwych z punktu widzenia ochrony danych” rozwiązań. Tu jako przykład podaje rejestry publiczne, gdzie ogólnodostępne są dane osobowe, w tym numery PESEL (np. księgi wieczyste). 

Numerem PESEL można zidentyfikować konkretną osobę. Dlatego możliwość jego nieuprawnionego użycia powinna zostać uznana za cyberzagrożenie dla praw i wolności obywateli
Uwagi prezesa UODO Mirosława Wróblewskiego do projektu Strategii Cyberbezpieczeńswa Rzeczypospolitej Polskiej na lata 2025-2029

Nowoczesne technologie mogą generować ryzyko

Co ważne, w uwagach podkreślono znaczenie analizy ryzyka dla przetwarzanych danych, którą powinien dokonać pracodawca przed zmianą przepisów. Należy pamiętać, że wykorzystanie nowoczesnych technologii może generować ryzyko dotyczące potencjalnego naruszenia praw lub wolności osób. 

„Przeprowadzenie testu prywatności powinno następować już na etapie tworzenia przepisów prawa, przed przyjęciem założeń do konkretnych projektów informatycznych. Prawodawca przy tworzeniu przepisów kierować powinien się podejściem opartym na ryzyku” – uzasadnia Prezes UODO. 

Strategia cyberbezpieczeństwa. Brakuje istotnych rzeczy

Mirosław Wróblewski wyraża zaniepokojenie, że w projekcie Strategii nie uwzględniono ważnego obszaru. Mowa o przetwarzaniu danych biometrycznych. Dodatkowo, coraz więcej rozwiązań bazuje na technologii sztucznej inteligencji, dlatego należy – w jego ocenie – wziąć pod uwagę także ryzyka wynikające właśnie z użycia AI. 

Prawodawca powinien przyjąć rozwiązania zapobiegjące kradzieży tożsamości, technologiami śledzącymi czy podszywaniem się pod osoby przy użyciu narzędzi sztucznej inteligencji
Uwagi prezesa UODO Mirosława Wróblewskiego do projektu Strategii Cyberbezpieczeńswa Rzeczypospolitej Polskiej na lata 2025-2029

Co więcej, w piśmie do ministra cyfryzacji stwierdzono, że w projekcie Strategii brakuje wyjaśnienia jej dokładnego zakresu. Prezes UODO zwraca uwagę, że nie wiadomo do końca, czy treść ogranicza się tylko do wykonania postanowień NIS2 i ustawy o Krajowym Systemie Cyberbezpieczeństwa, czy ma znacznie szerszy zasięg. 

Szczegółowe uwagi Mirosława Wróblewskiego znajdują się pod linkiem: Pismo Prezesa UODO do ministra cyfryzacji.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].