Tag: poufność

Opublikowane w

ZNAKI WODNE W TEKSTACH GENEROWANYCH PRZEZ AI

Wspierasz się AI w codziennej pracy urzędnika? Uważaj!

Wszystko, co wprowadzasz do przestrzeni publicznej a powstało przy użyciu AI, zawiera ukryte znaki wodne. Są to niewidoczne znaki Unicode, takie jak Narrow No-Break Space, Zero Width Space, Zero Width Non-Joiner, Zero Width Joiner, umieszczane w treściach w celu oznaczenia ich pochodzenia. Dzięki nim specjalistyczne narzędzia mogą wykryć, czy dany tekst został wygenerowany przez maszynę.\

 

water mark

Źródło: Copilot

AI czasem wstawia ukryte tagi tam, gdzie normalnie powinny znajdować się spacje czy znaki interpunkcyjne. Choć na pierwszy rzut oka tekst wygląda zwyczajnie, „niewidzialna ręka” zdradza jego pochodzenie. Jeśli chcesz, aby Twoje treści wyglądały jak napisane przez człowieka, musisz pozbyć się tych ukrytych elementów.



Wiele osób – uczniów, studentów, marketerów czy twórców treści – zależy na tym, aby sztuczna inteligencja nie była łatwa do rozpoznania. Usuwanie niewidocznych znaków pomaga obejść systemy wykrywające AI, co może być przydatne w publikacjach, pracach domowych czy materiałach reklamowych.

Jednak uwaga – robisz to na własne ryzyko. Zanim zaczniesz usuwać te znaki, sprawdź, czy jest to zgodne z zasadami organizacji, w której chcesz użyć tekstu. Nie chciałbyś przecież mieć później kłopotów, gdy ktoś to wykryje.

Możesz skorzystać z narzędzi online albo usunąć tagi ręcznie, edytując tekst. Wystarczy użyć edytora, który pozwala na wyświetlanie niewidocznych znaków, a następnie usunąć je pojedynczo, zwracając uwagę na miejsca, gdzie powinny znajdować się zwykłe spacje i znaki interpunkcyjne. To czasochłonne, ale pozwala zrozumieć mechanizm działania znaków wodnych.

Czy każdy tekst musi być wolny od takich śladów? Czasami warto pozostawić informację, że powstał przy pomocy AI. Zastanów się nad kwestią etyki i przejrzystości: czy rzeczywiście chcesz ukrywać fakt, że korzystałeś ze sztucznej inteligencji? W szkołach czy dokumentach czasem wymagane jest uczciwe przyznanie, skąd pochodzi tekst.

Technologia nieustannie się rozwija. Zarówno metody znakowania treści przez AI, jak i narzędzia do ich usuwania są ciągle ulepszane. Warto śledzić nowości, aby być na bieżąco.

Na koniec zastanów się nad konsekwencjami ukrywania źródła treści. Najważniejsza jest rzetelność i wiarygodność Twojej pracy. Autentyczność naprawdę się liczy – choć czasem łatwiej jest coś „przefiltrować”, prawda?

Źródła:

https://nano.komputronik.pl/n/znak-wodny-w-chatgpt-jak-go-usunac/



AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

SKUTECZNE METODY KONTROLI RODZICIELSKIEJ W INTERNECIE

Temat skutecznej kontroli rodzicielskiej w sieci staje się coraz ważniejszy, zwłaszcza teraz, gdy cyfrowy świat wkracza w każdy zakamarek życia. Dzieciaki mają przecież niemal nieograniczony dostęp do smartfonów, tabletów czy komputerów. Jasne, internet to skarbnica wiedzy i rozrywki, ale też miejsce, gdzie łatwo natknąć się na rzeczy, które niekoniecznie są dla nich odpowiednie. I tu właśnie zaczyna się problem dla rodziców — jak zadbać o bezpieczeństwo swoich pociech. Autorzy raportu Nastolatki 3.0 z 2021 roku zwracają uwagę, że rodzice często nie zdają sobie sprawy, ile faktycznie czasu ich dzieci spędzają online, a dodatkowo często brakuje kontroli, zwłaszcza w nocy, kiedy niby powinien być spokój.

 

dziecko przed komputerem

Źródło: Copilot

Kontrola rodzicielska to narzędzie, które pomaga filtrować to, co młody użytkownik widzi i robi w sieci. W wielu systemach operacyjnych można już znaleźć wbudowane funkcje ochrony, a na rynku roi się od różnych specjalnych aplikacji stworzonych właśnie do tego celu. Na przykład, mOchrona — projekt prowadzony przez NASK PIB — pozwala rodzicom w dość prosty sposób ustawić limity czasu korzystania z internetu czy też blokować dostęp do wybranych stron i aplikacji. Takie rozwiązania są naprawdę pomocne, choć oczywiście nie zastąpią zdrowego rozsądku i rozmowy z dzieckiem, ale o tym każdy chyba wie, prawda?

Funkcje oferowane przez aplikację mOchrona od NASK PIB:

  • Konto rodzica – pozwala na wybór kategorii stron internetowych i aplikacji, do których dziecko nie powinno mieć dostępu.

  • Domyślnie zablokowane kategorie witryn zawierających przemoc oraz treści powszechnie uznawane za nieodpowiednie dla dzieci (można to zmienić).

  • Możliwość wysłania przez dziecko prośby o dostęp do zablokowanych treści.

  • Raportowanie czasu spędzonego przez dziecko, np. w mediach społecznościowych.

  • Przycisk S.O.S. – dziecko może zaalarmować opiekuna o treści, która budzi jego niepokój.

Skuteczna kontrola rodzicielska opiera się na połączeniu rozwiązań technicznych i szczerej rozmowy. Rodzice powinni edukować dzieci o zagrożeniach płynących z Internetu oraz pokazywać im, jak bezpiecznie korzystać z sieci. Narzędzia kontrolne wspierają budowanie świadomości cyfrowej i pomagają ustalić jasne reguły. Wdrożenie zabezpieczeń nie zastępuje dialogu z dzieckiem – wspólne ustalanie zasad sprzyja budowaniu zaufania i umożliwia szybką reakcję w razie wykrycia niepokojących sygnałów.

Nowoczesne programy kontroli rodzicielskiej pozwalają na bieżąco monitorować aktywność online. Rodzic może sprawdzić, które strony odwiedza dziecko oraz ile czasu spędza przy urządzeniach. Systemy te oferują możliwość blokowania treści dotyczących przemocy, pornografii oraz innych nieodpowiednich materiałów. Łatwa konfiguracja oprogramowania sprawia, że zabezpieczenia można szybko wdrożyć na wszystkich urządzeniach używanych przez dziecko. Regularna aktualizacja ustawień oraz systematyczny monitoring to klucz do skutecznej ochrony młodych użytkowników sieci.

Źródła:

https://www.gov.pl/web/cyfryzacja/kontrola-rodzicielska-online–chron-swoje-dzieci

Kontrola rodzicielska: Programy do blokady i ochrony rodzicielskiej

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

Nastoletni mózg w mediach społecznościowych: Jak lajki kształtują decyzje i emocje młodych ludzi

Nastoletni mózg to struktura niezwykle wrażliwa na bodźce cyfrowe. Media społecznościowe wnikają w codzienne życie młodych ludzi. Lajki pełnią tu kluczową rolę. Każdy pozytywny sygnał wysyłany w sieci wywołuje silne emocje. Badania naukowe pokazują, że mózg nastolatka reaguje na nie tak, jak na bliskie relacje czy nagrody. Funkcjonalny rezonans magnetyczny jednoznacznie obrazuje, jak aktywny staje się układ nagrody przy odbiorze lajków.

 

nastolatek w telefonie

Źródło: https://copilot.microsoft.com

W eksperymencie przeprowadzonym przez naukowców z UCLA mierzono aktywność mózgu nastolatków podczas przeglądania zdjęć w stylu Instagrama. Uczestnicy widzieli zdjęcia z umieszczoną przy nich liczbą lajków. Wyniki pokazały, że im więcej polubień, tym silniejsza reakcja mózgu. Zaskakujące było to, że reakcje przy własnych zdjęciach były równie silne jak przy bardzo pozytywnych wydarzeniach w życiu. Takie odkrycia wskazują, że lajki wpływają na decyzje i emocje młodych ludzi, kształtując ich postrzeganie własnej wartości.

Lajki stają się znakiem akceptacji. Młodzi użytkownicy zaczynają postrzegać swoją tożsamość przez pryzmat popularności w sieci. Każdy brak lajków może odbić się negatywnie na samoocenie. W efekcie nastolatkowie coraz częściej szukają w mediach potwierdzenia swojej wartości. Tego rodzaju mechanizmy mogą prowadzić do uzależnienia od mediów społecznościowych i wzmacniać presję społeczną.

Ważne jest, aby rodzice, nauczyciele i opiekunowie rozmawiali z młodzieżą o skutkach takiego podejścia. Warto wyjaśniać, że liczba lajków nie definiuje osoby. Dobrą praktyką jest ustalanie zasad korzystania z mediów. Przykładowo, można wprowadzić ograniczenia czasowe czy wspólnie ustalać zasady publikacji. Takie działania pomagają wypracować zdrowe nawyki i chronić emocjonalny dobrostan młodych ludzi.

Kolejnym aspektem jest edukacja cyfrowa. Młodzież musi uczyć się krytycznego oceniania treści publikowanych w sieci. Znalezienie równowagi między światem online a realnym staje się kluczem do ochrony zdrowia psychicznego. Wsparcie dorosłych umożliwia lepsze radzenie sobie z presją i stresem wywołanym przez negatywny feedback. Przykładami mogą być wspólne warsztaty lub szkolenia dotyczące cyfrowej higieny, które uczą odpowiedzialnego korzystania z technologii.

Media społecznościowe kształtują nie tylko emocje, ale i decyzje. Młodzi ludzie angażują się w działania, które ich zdaniem będą miały szansę zdobyć więcej lajków. Taka logika często prowadzi do nieprzemyślanych wyborów. Dlatego tak istotna jest rozmowa o wartościach i autentyczności. Warto podkreślić, że wiarygodność i umiejętność krytycznego spojrzenia na informacje mają większe znaczenie niż chwilowa popularność.



Źródła użyte w tekście:

https://nask.pl/magazyn/nastoletni-mozg-w-mediach-spolecznosciowych

https://highlab.pl/lajki-nastroje-mlodych-osob/

https://issuu.com/zcdn/docs/refleksje_4_2021/s/12731943

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

Czy wiemy, co to jest dezinformacja?

Dezinformacja to celowe i konsekwentnie prowadzone działania, które mają wprowadzić w błąd, wywołać określony efekt, na przykład zmienić postrzeganie rzeczywistości, skłonić do podjęcia jakiejś decyzji lub zaniechania działania. Dezinformacja jest często mylona z fake newsami, ale w przeciwieństwie do nich nie jest przypadkowym działaniem, lecz zaplanowaną i konsekwentnie prowadzoną operacją informacyjną. Często chodzi o emocje, o podważenie zaufania. W świecie Internetu ta plaga rozprzestrzenia się jak pożar w lesie, zwłaszcza w mediach społecznościowych.

 

 

Obraz WOKANDAPIX z Pixabay



Dlaczego to takie istotne dla samorządowców?

Dezinformacja niszczy zaufanie mieszkańców, wprowadza chaos w wybory i może wywołać niepokoje społeczne. Wyobraźmy sobie fałszywe doniesienia o migracji, pandemii czy wojnie. Samorządowcy to strażnicy kontaktu z obywatelami i muszą być gotowi na te wyzwania!

Zauważmy, jak emocje grają pierwsze skrzypce! Dezinformacja chwyta nas za serce, wykorzystując nasze uczucia, by zmanipulować następnie myśli. Jak często dajemy się wciągnąć w tą grę? Każdorazowe przekazywanie niesprawdzonych wiadomości powoduje szerzenie fałszywych wiadomości. Klikanie laików czy komentowanie sprawia, że taka informacja jest lepiej oceniania przez algorytmy w przeglądarkach i wyżej pozycjonowana.

Jak odróżnić fałsz od prawdy?

Sprawdzaj źródło, czy to naprawdę wiarygodne i rzetelne miejsce informacji? Szukaj oficjalnych adresów (.gov.pl, .eu) i zweryfikowanych kont w mediach społecznościowych. Jeśli informacja wydaje się podejrzana, sprawdź ją w co najmniej trzech niezależnych źródłach. Korzystaj z baz danych urzędów centralnych lub serwisów fact-checkingowych (np. Ośrodek Analizy Dezinformacji).



Praktyczne wskazówki.

Organizuj szkolenia i warsztaty dla pracowników i mieszkańców. Przeprowadzaj kampanie informacyjne dla mieszkańców, aby umieli dostrzegać fałszywe informacje. Kto nie da się nabrać? Naucz zespoły, jak korzystać z narzędzi typu „Fact-checking” czy Kodeksu Dobrych Praktyk NASK. Pracownicy opierający się na faktach unikają błędów, np. w planowaniu budżetu lub reagowaniu na kryzysy.

Stwórz przejrzyste zasady, jak radzić sobie z fałszywkami w publicznym obiegu. Samorządy, które szybko dementują fake newsy, budują zaufanie mieszkańców. Gdy pojawi się dezinformacja, działaj szybko, stwórz protokół/procedurę reakcji. Zbierz zespół ds. komunikacji, przeanalizuj skalę problemu i opublikuj sprostowanie na oficjalnych kanałach (strona, social media).

Dezinformacja może prowadzić do realnych zagrożeń, np. paniki podczas klęsk żywiołowych. Dostęp do rzetelnych informacji umożliwia skuteczniejsze zarządzanie.​ Regularnie dziel się z mieszkańcami wieściami o działaniach samorządu. Niezwłocznie koryguj fałszywe informacje i buduj zaufanie! Połącz siły z innymi jednostkami samorządowymi. Wymieniaj doświadczenia i dziel się dobrymi praktykami! Razem możemy więcej!

Zgłaszaj kłamstwa! Użyj dostępnych narzędzi, aby wykryć dezinformację. Wypełnij formularz kontaktowy, na przykład w NASK. Twoja reakcja ma znaczenie!



Źródła:

  1. https://nask.pl/magazyn/oblicza-dezinformacji-osrodek-analizy-dezinformacji

  2. https://cyberprofilaktyka.pl/blog/dezinformacja—czym-jest-i-jak-ja-zweryfikowac_i23.html

  3. https://www.gov.pl/web/baza-wiedzy/dezinformacja-pomoze-kodeks-dobrych-praktyk

  4. https://nflo.pl/baza-wiedzy/jakie-przepisy-o-cyberbezpieczenstwie-obowiazuja-samorzady/

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

CZY TO KOLEJNY WYCIEK DANYCH? CZY FAKENEWS?

W ostatnich dniach pojawiły się doniesienia o rzekomym wycieku danych klientów Empiku. Na jednym z forów cyberprzestępczych zaoferowano na sprzedaż bazę danych zawierającą informacje o 24 milionach użytkowników. Próbka tej bazy zawierała takie dane jak imię, nazwisko, adres e-mail, numer telefonu oraz informacje o zamówieniach1.

 

 

Obraz Gordon Johnson z Pixabay



Empik natychmiast zareagował na te doniesienia, rozpoczynając wewnętrzne dochodzenie we współpracy z zespołem CERT. W oficjalnym komunikacie firma poinformowała, że nie doszło do wycieku danych z ich systemów, a oferowana baza jest fałszywa. Według Empiku, dane w tej bazie zostały sfabrykowane na podstawie wcześniejszych wycieków z innych firm oraz publicznie dostępnych informacji2.

Dodatkowe analizy przeprowadzone przez serwis Zaufana Trzecia Strona potwierdziły, że próbka danych wyglądała wiarygodnie, ale dokładne badanie wykazało, że pochodzi ona z wcześniejszych wycieków z innych firm3.

W świetle tych informacji, obecnie nie ma dowodów na to, że doszło do rzeczywistego wycieku danych klientów Empiku. Niemniej jednak, zawsze warto zachować czujność. Zaleca się regularną zmianę haseł, unikanie używania tych samych haseł w różnych serwisach oraz włączenie dwuskładnikowego uwierzytelniania tam, gdzie to możliwe. Pamiętajmy również, aby być ostrożnym wobec podejrzanych wiadomości e-mail czy SMS-ów, które mogą być próbą wyłudzenia danych.​



Źródła:

  1. https://www.money.pl/gospodarka/falszywy-wyciek-klientow-empiku-firma-wyjasnia-7138188023003840a.html?utm_source=chatgpt.com

  2. https://sekurak.pl/wyciek-danych-klientow-empik-nie-ma-sie-czego-obawiac-mamy-oficjalne-stanowisko-firmy/

  3. https://zaufanatrzeciastrona.pl/post/mamy-dowod-na-to-ze-dane-rzekomo-wykradzione-z-empiku-zostaly-sprytnie-sfalszowane/



AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

POWAŻNY ATAK HAKERSKI NA SZPITAL

W sobotę, 8 marca 2025 roku, Szpital MSWiA w Krakowie padł ofiarą poważnego ataku hakerskiego. Cyberprzestępcy sparaliżowali systemy informatyczne placówki, co zmusiło personel do przejścia na tryb pracy analogowej. W wyniku tego incydentu szpital musiał wstrzymać przyjęcia nowych pacjentów, a karetki kierowano do innych placówek.

taśma ,,cyber-crime"

Obraz Gerd Altmann z Pixabay

Minister cyfryzacji Krzysztof Gawkowski poinformował, że atak dotknął systemów wykorzystywanych zarówno przez lekarzy, jak i administrację szpitala. Natychmiast podjęto działania mające na celu neutralizację zagrożenia oraz identyfikację sprawców. Wdrożono procedury awaryjne, aby zapewnić ciągłość opieki nad pacjentami.

Wojewoda małopolski Krzysztof Klęczar zapewnił, że życie pacjentów ani przez chwilę nie było zagrożone. Dzięki szybkiej akcji informacyjnej między kierownictwem szpitala a dyspozytornią medyczną, pacjentów skierowano do okolicznych szpitali.

Atak miał charakter ransomware, co oznacza, że hakerzy zaszyfrowali dane szpitala, prawdopodobnie w celu wymuszenia okupu. Współczesne gangi ransomware często stosują strategię podwójnego okupu: najpierw żądają pieniędzy za odszyfrowanie danych, a następnie grożą ujawnieniem wykradzionych informacji, jeśli nie otrzymają kolejnej zapłaty.

Dane medyczne są jednymi z najbardziej wrażliwych informacji. Ich ujawnienie może narazić pacjentów na dodatkowy stres i potencjalne problemy. Dlatego tak ważne jest, aby placówki medyczne regularnie tworzyły kopie zapasowe swoich systemów oraz stosowały zaawansowane zabezpieczenia.

Czy Twoja instytucja jest odpowiednio zabezpieczona przed tego typu zagrożeniami? Czy regularnie tworzysz kopie zapasowe i przechowujesz je w bezpiecznym miejscu? Pamiętaj, że cyberprzestępcy nie mają skrupułów i mogą zaatakować w najmniej oczekiwanym momencie.

Źródła:

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

O CO CHODZI W DYREKTYWIE NIS2 I JEJ ZNACZENIU DLA CYBERBEZPIECZEŃSTWA

Flaga UE

Do 17.10.2024 do krajowego porządku prawnego powinna zostać wdrożona dyrektywa NIS2 (Network and Information System Directive), czyli Druga Dyrektywa o Bezpieczeństwie Sieci i Systemów Informacyjnych. Jest to kontynuacja pierwszej dyrektywy NIS, która została wprowadzona w 2016 roku, a dyrektywa NIS2 została zaproponowana w celu dostosowania przepisów do zmieniających się zagrożeń i wyzwań w obszarze cyberbezpieczeństwa.

HARMONOGRAM

2016

2018

2020

2022

2025

NIS1

UKSC1

Projekt NIS2

NIS2

Projekt UKSC2

 

Powody ustanowienia NIS2

Po przeprowadzeniu audytu NIS 1 w krajach członkowskich uznano że :

  • Występują znaczne różnice w poszczególnych krajach w postępach z walką z cyberprzestępczością.

W kontekście działania na jednolitym rynku cyfrowym Unii Europejskiej, istnieje potrzeba harmonizacji przepisów dotyczących cyberbezpieczeństwa w celu zapewnienia spójności i skuteczności działań na poziomie europejskim. Główne cele dyrektywy NIS2 obejmują dostosowanie przepisów do zmieniających się zagrożeń i wyzwań w obszarze cyberbezpieczeństwa, poprawę współpracy i koordynacji między państwami członkowskimi oraz zwiększenie poziomu bezpieczeństwa sieci i systemów informatycznych.

  • Nastąpił lawinowy wzrost usług ICT.

Infrastruktura krytyczna, taka jak sieci energetyczne, systemy bankowe, transport publiczny czy opieka zdrowotna, staje się coraz bardziej narażona na cyberatak. Incydenty cybernetyczne mogą prowadzić do zakłóceń w funkcjonowaniu tych kluczowych usług, co ma poważne konsekwencje dla społeczeństwa i gospodarki.

  • Wraz z rozwojem następuje wzrost złożoności usług ICT.

W ciągu ostatnich kilku lat obserwujemy dynamiczny rozwój technologii cyfrowych, które stały się nieodłączną częścią naszego codziennego życia. Wraz z rozwojem Internetu, chmury obliczeniowej, sztucznej inteligencji i Internetu Rzeczy (IoT), nasze społeczeństwo jest coraz bardziej zależne od infrastruktury cyfrowej.

  • Po epidemii nastąpiło znaczące odmiejscowienie pracy.
  • Występuje masowe wdrożenie usług chmurowych.
  • Obserwuje się skokowy wzrost cyberzagrożeń.

Wraz z rozwojem technologicznym, zwiększa się także liczba cyberataków, zarówno pod względem ilości, jak i złożoności. Ataki cybernetyczne mogą być prowadzone przez różne podmioty, w tym przestępców internetowych, hakerów państwowych oraz aktywistów politycznych, co stanowi poważne zagrożenie dla bezpieczeństwa państw i społeczeństw.

 W konsekwencji konieczność reakcji na zmieniające się zagrożenia.

Istniejące przepisy dotyczące bezpieczeństwa sieci i systemów informatycznych często nie nadążają za dynamicznym rozwojem technologicznym i ewoluującymi zagrożeniami.

Konieczne stało się więc wprowadzenie nowych regulacji, które umożliwią skuteczną reakcję na zmieniające się zagrożenia oraz wzmocnią ochronę infrastruktury krytycznej.

Korzyści z wdrożenia NIS2

Wdrażanie dyrektywy NIS2 przez objęte podmioty zwiększy poziom cyberbezpieczeństwa dużej ilości danych oraz infrastruktury kluczowych usług publicznych. Skutecznie ograniczy ryzyko incydentów cyberbezpieczeństwa. Zwiększy odporność i zdolność do odbudowy infrastruktury po ataku. Zyskają obywatele. Wzrośnie zaufanie do podmiotów w UE.

Opublikowane w

PORADNIK, JAK I PO CO WDROŻYĆ WYMAGANIA PRZEPISÓW KRAJOWYCH RAM INTEROPERACYJNOŚCI

Biurko w kancelarii prawnej z komputerem i książkami

 

KRAJOWE RAMY INTEROPERACYJNOŚCI TO NIE RODO

Krajowe Ramy Interoperacyjności (KRI) to zbiór standardów i wytycznych, które mają na celu zapewnienie spójności i efektywności działania systemów teleinformatycznych w administracji publicznej. Ich wdrożenie jest kluczowe dla poprawy jakości usług publicznych, zwiększenia bezpieczeństwa informacji oraz ułatwienia współpracy między różnymi podmiotami administracji.

Pierwszym krokiem w procesie wdrażania KRI jest dokładne zapoznanie się z obowiązującymi przepisami prawnymi, w tym z Rozporządzeniem Rady Ministrów w sprawie Krajowych Ram Interoperacyjności. Dokument ten określa minimalne wymagania dla rejestrów publicznych, wymiany informacji w postaci elektronicznej oraz systemów teleinformatycznych. Zrozumienie tych wymogów pozwala na właściwe przygotowanie się do ich implementacji.

Kolejnym etapem jest przeprowadzenie analizy obecnego stanu systemów informatycznych w danej jednostce (PONIŻEJ GOTOWA AUTODIAGNOZA). Audyt bezpieczeństwa informacji, zgodnie z wytycznymi KRI, umożliwia identyfikację potencjalnych luk i obszarów wymagających poprawy. Regularne audyty są nie tylko zalecane, ale w wielu przypadkach obligatoryjne, co podkreśla ich znaczenie w utrzymaniu wysokiego poziomu bezpieczeństwa danych.

Wdrażanie KRI wiąże się również z koniecznością opracowania i aktualizacji dokumentacji dotyczącej polityki bezpieczeństwa informacji. Dokumenty te powinny precyzować procedury postępowania w sytuacjach kryzysowych, zasady dostępu do danych oraz inne istotne aspekty związane z ochroną informacji. Szczególną uwagę należy zwrócić na zgodność z normą PN-ISO/IEC 27005, która opisuje wytyczne dotyczące zarządzania ryzykiem w bezpieczeństwie informacji. Gov.pl

Szkolenie pracowników to kolejny kluczowy element wdrażania KRI. Personel powinien być świadomy znaczenia bezpieczeństwa informacji oraz znać procedury i zasady obowiązujące w organizacji. Regularne szkolenia podnoszą kompetencje pracowników i minimalizują ryzyko błędów ludzkich, które mogą prowadzić do naruszeń bezpieczeństwa.

Warto również zwrócić uwagę na techniczne aspekty wdrożenia KRI. Obejmuje to m.in. aktualizację oprogramowania, konfigurację systemów zgodnie z wytycznymi oraz implementację odpowiednich mechanizmów ochrony, takich jak firewalle czy systemy wykrywania intruzów. Wszystkie te działania mają na celu zapewnienie integralności, poufności i dostępności przetwarzanych informacji.

Wdrożenie KRI przynosi wiele korzyści. Przede wszystkim zwiększa poziom bezpieczeństwa informacji, co jest kluczowe w dobie rosnących zagrożeń cybernetycznych. Ponadto, ujednolicenie standardów w administracji publicznej ułatwia wymianę informacji między różnymi podmiotami, co przekłada się na sprawniejszą realizację zadań publicznych. Dodatkowo, spełnienie wymogów KRI może podnosić zaufanie obywateli do instytucji publicznych, które dbają o ochronę ich danych.

Podsumowując, wdrożenie Krajowych Ram Interoperacyjności to proces wymagający zaangażowania na wielu płaszczyznach – od analizy i planowania, przez szkolenia, po techniczne dostosowanie systemów. Jednakże korzyści płynące z tego przedsięwzięcia, zarówno w kontekście bezpieczeństwa informacji, jak i efektywności działania administracji publicznej, są nieocenione.

 

JAKIE SĄ ZAGROŻENIA DLA INSTYTUCJI, KTÓRE BAGATELIZUJĄ BEZPIECZEŃSTWO INFORMACJI

Bagatelizowanie bezpieczeństwa informacji przez instytucje publiczne wiąże się z wieloma poważnymi zagrożeniami, które mogą skutkować zarówno stratami finansowymi, jak i utratą zaufania społecznego. Oto najważniejsze z nich:

  1. Utrata lub wyciek danych wrażliwych
    Instytucje publiczne przetwarzają ogromne ilości danych osobowych, w tym informacje wrażliwe dotyczące obywateli, takie jak dane zdrowotne, finansowe czy socjalne. Wyciek takich informacji może prowadzić do naruszenia prywatności obywateli, a instytucja może ponieść konsekwencje prawne oraz wizerunkowe.
  2. Ataki cybernetyczne
    Bagatelizowanie bezpieczeństwa zwiększa ryzyko skutecznych ataków cybernetycznych, takich jak ransomware, phishing czy DDoS. Takie ataki mogą paraliżować działanie urzędów, powodować utratę danych oraz wymuszać wysokie koszty na przywrócenie działania systemów.
  3. Narażenie na kary finansowe
    Nieprzestrzeganie przepisów dotyczących ochrony danych, takich jak RODO czy Krajowe Ramy Interoperacyjności, może skutkować wysokimi karami finansowymi. W Polsce Urząd Ochrony Danych Osobowych (UODO) może nakładać surowe sankcje na instytucje, które nie dbają o bezpieczeństwo informacji.
  4. Dezinformacja i manipulacja danymi
    Brak odpowiednich zabezpieczeń może umożliwić cyberprzestępcom manipulację danymi przechowywanymi w systemach publicznych, co może prowadzić do chaosu i podważenia wiarygodności instytucji publicznych.
  5. Utrata zaufania społecznego
    Ujawnienie wycieków danych lub innych incydentów związanych z bezpieczeństwem może poważnie zaszkodzić reputacji instytucji publicznej. Obywatele mogą stracić zaufanie do urzędu, co utrudni współpracę i realizację zadań publicznych.
  6. Paraliż infrastruktury krytycznej
    Instytucje publiczne często zarządzają kluczową infrastrukturą, taką jak sieci energetyczne, wodociągi czy transport publiczny. Brak odpowiednich zabezpieczeń może prowadzić do przerw w działaniu tych systemów, co z kolei wpływa na bezpieczeństwo i jakość życia obywateli.
  7. Szpiegostwo i kradzież informacji
    Niedostateczna ochrona danych może ułatwić działalność grup szpiegowskich lub konkurencyjnych podmiotów, które mogą wykorzystać uzyskane informacje do szkodzenia interesom narodowym lub lokalnym.
  8. Problemy operacyjne i utrata danych
    Awaria systemów teleinformatycznych spowodowana brakiem regularnych audytów czy zabezpieczeń może prowadzić do trwałej utraty danych. Tego typu sytuacje mogą być kosztowne i czasochłonne w naprawie. Brak ewidencji i rejestrów może prowadzić do nadużyć ze strony pracowników. Instalacji nielegalnego oprogramowania.
  • odpowiedzialność karna za nielegalne oprogramowanie – art. 278 §2 KK;
  • odpowiedzialność karna za paserstwo art. 293 § 1 KK;
  • zwrot dofinansowania z środków UE – dyrektywa 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004r. w sprawie egzekwowania praw własności intelektualnej uprawnia kontrolerów do sprawdzania projektów i audytu legalności oprogramowania w ciągu 5 lat od zakończenia inwestycji.

 

  1. Narażenie na odpowiedzialność osobistą pracowników
    W przypadku zaniedbań w zakresie ochrony danych, odpowiedzialność może być przypisana konkretnym osobom w instytucji, co może skutkować konsekwencjami zawodowymi i prawnymi.
  • odpowiedzialność administracyjna, w art. 102 ustawy o ochronie danych osobowych, m.in. w wysokości do 100.000 zł w odniesieniu do takich jednostek sektora finansów publicznych jak np. gminy, szkoły, szpitale, uczelnie bądź w wysokości do 10.000 zł dla jednostek sektora finansów publicznych takich jak: biblioteki, domy kultury, muzea itp.
  • odpowiedzialność cywilnoprawna, każda osoba, która poniosła szkodę majątkową lub niemajątkową uprawniona jest do dochodzenia odszkodowania lub zadośćuczynienia – również w wyniku naruszenia przepisów dot. ochrony danych osobowych, zgodnie z art. 82 ust. 1 RODO
  • odpowiedzialność karna – uję­tą przez polskiego prawodawcę w art. 231 1 Kodeksu karnego, w przypadku gdy funkcjonariusz publiczny, który, przekraczając swoje uprawnienia lub nie dopełniając obowiązków, działa na szkodę interesu publicznego lub prywatnego, podlega karze pozbawienia wolności do lat 3.

 

  1. Rosnące koszty naprawy po incydentach
    Brak prewencji w postaci odpowiednich zabezpieczeń często skutkuje wyższymi kosztami związanymi z reagowaniem na incydenty. Naprawa szkód, odzyskanie danych czy odbudowa reputacji jest zazwyczaj bardziej kosztowna niż wcześniejsze inwestycje w bezpieczeństwo.

Instytucje publiczne muszą traktować bezpieczeństwo informacji jako priorytet, ponieważ bagatelizowanie tego obszaru niesie ryzyko nie tylko dla nich samych, ale także dla obywateli i całego państwa.

 

KTO MA OBOWIĄZEK STOSOWANIA ZABEZPIECZEŃ ZGODNIE Z KRI?

 

Art.  2.  [Zakres podmiotowy USTAWA z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne]

  1. Z zastrzeżeniem ust. 2-4, przepisy ustawy stosuje się do realizujących zadania publiczne określone przez ustawy:

1) organów administracji rządowej, organów kontroli państwowej i ochrony prawa, sądów, jednostek organizacyjnych prokuratury, a także jednostek samorządu terytorialnego i ich organów,

2) jednostek budżetowych i samorządowych zakładów budżetowych,

3) funduszy celowych,

4) samodzielnych publicznych zakładów opieki zdrowotnej oraz spółek wykonujących działalność leczniczą w rozumieniu przepisów o działalności leczniczej,

5) Zakładu Ubezpieczeń Społecznych, Kasy Rolniczego Ubezpieczenia Społecznego,

6) Narodowego Funduszu Zdrowia,

7) państwowych lub samorządowych osób prawnych utworzonych na podstawie odrębnych ustaw w celu realizacji zadań publicznych,

8) uczelni,

9) federacji podmiotów systemu szkolnictwa wyższego i nauki,

9a) instytutów badawczych,

9b) instytutów działających w ramach Sieci Badawczej Łukasiewicz,

9c) jednostek organizacyjnych tworzonych przez Polską Akademię Nauk,

10) Polskiej Komisji Akredytacyjnej,

11) Rady Doskonałości Naukowej

– zwanych dalej „podmiotami publicznymi”.

 

SZYBKA ŚCIEŻKA WDROŻENIA KRI

Wykonaj poniższą autodiagnozę aby określić mocne i słabe obszary SZBI w twojej organizacji. Wyciągnij wnioski, zrób analizę ryzyka, opracuj plan naprawczy, szczegółowo opisz działania korygujące, określ przedział czasowy w jakim uzupełnisz braki, wykonaj audyt KRI. Gotowe. 😊

Chętnie pomogę, Witold Bzdęga tel. 606648004

AUTODIAGNOZA

Przykład.

KRI.§19 ust. 2 pkt 7– Zabezpieczania techniczne oraz organizacyjne

Czy zaprojektowano i wdrożono zabezpieczania techniczne oraz organizacyjne ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami?

Czy dostęp do pomieszczeń jest zabezpieczony poprzez bariery fizyczne (drzwi z zamkiem itp.)?

Czy monitorujemy dostęp do pomieszczeń z infrastrukturą krytyczną?

Czy rejestrujemy dostęp do pomieszczeń z infrastrukturą krytyczną?

Czy mamy zainstalowany alarm? Czujniki zalania, pożaru, dymu, temperatury?

Czy mam zasilanie awaryjne (ups/agregat)?

Czy posiadamy środki ochrony przeciwpożarowej?

Czy mamy umowę na ochronę osób i mienia?

Czy monitory są ustawione w sposób uniemożliwiający dostęp do danych osobom trzecim?

Czy jest rejestr kluczy?

Czy jest rejestr wydanych i odebranych kluczy/ automat na karty RFID?

Czy prowadzi się działania związane z monitorowaniem dostępu do informacji ?

Czy prowadzi się działania związane z monitorowaniem ruchu osobowego w podmiocie?

 

KRI.§19 ust. 2 pkt 8 – Przetwarzanie mobilne i praca na odległość

Czy opracowano i wdrożono regulamin pracy mobilnej i zdalnej?

Czy zaszyfrowano wszystkie mobilne nośniki danych?

Czy są zinwentaryzowane i przypisane do osób?

Czy komputery mobilne mają zaszyfrowane dyski?

Czy prowadzony jest rejestr udostępniania komputerów mobilnych?

Czy kierownictwo zapewniło odpowiednie środki?

Czy wyznaczono osobę lub zespół odpowiedzialny za ewidencje i kontrolę urządzeń mobilnych?

Czy udokumentowano proces?

Jeśli chcesz dostać kompletny dokument z autodiagnozą napisz e-mail. 

Źródła:

USTAWA z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne

ROZPORZĄDZENIE RADY MINISTRÓW z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych

W przypadku pytań pozostaje do dyspozycji.