Temat jest poważny
Pamiętacie głośny wyciek z 2023 roku, kiedy dane medyczne z firmy ALAB Laboratoria trafiły do sieci?
Po ataku ransomware na ALAB Laboratoria do sieci trafiły dane szczególnej kategorii ok. 50 tys. pacjentów – od identyfikacji ( imiona i nazwiska,
nr pesel, pełne adresy) po wyniki badań.
31 sierpnia 2025 r. ofiarą poważnego ataku padła także EKOTRADE
(doniesienia mówią o grupie Qilin i setkach gigabajtów wykradzionych danych). Na stronie firmy możemy przeczytać, że od ponad 30 lat zajmuje się szeroko pojętą ochroną dla najbardziej wymagających klientów i zna się na różnych systemach zabezpieczeń. Jak widać sytuacja wycieku danych może dotyczyć każdego.
Niezależnie od tego, czy przyczyną jest błąd człowieka czy przestępstwo, prawo wymaga reakcji w 72 godziny: zgłoszenie do UODO, a przy wysokim ryzyku – poinformowanie osób, których dane dotyczą; incydenty techniczne można raportować do CSIRT NASK/GOV/MON, a przestępstwa – Policji (CBZC) i prokuraturze.
Stawka?
Kary pieniężne do 20 mln € lub 4% obrotu – w 2025 r. dodatkowe obowiązki dołoży też NIS2) Naruszenie ochrony danych to więcej niż kara administracyjna.
Każda osoba, której dane wyciekły, ma prawo żądać informacji i odszkodowania.
Szkody wizerunkowe mogą utrudniać pozyskiwanie klientów i kontraktów przez wiele lat.
Coraz częściej w przetargach i negocjacjach pada pytanie: „jak dbacie o bezpieczeństwo danych?”.
Dlatego firmy muszą nie tylko reagować, ale też aktywnie zarządzać ryzykiem – wdrażać procedury, szkolić pracowników i regularnie sprawdzać swoją infrastrukturę IT.
W organizacjach, które intensywnie przetwarzają dane w systemach informatycznych, nie wystarczy powołanie Inspektora Ochrony Danych (IOD)
potrzebny jest także ekspert IT – Administrator systemów / Security Manager – który odpowiada za bieżące bezpieczeństwo środowiska technologicznego i wspiera zarząd w decyzjach.
Dlaczego to takie ważne?
Bo błędy zdarzają się każdemu.
ktoś ustawi hasło „12345” 
,
ktoś kliknie w e-mail phishingowy 
,
ktoś zapomni sprawdzić certyfikat SS , ( czym jest certyfikat SSL 
?)
ktoś zignoruje politykę bezpieczeństwa (a kto je czyta? )
Ale gdy takie „małe” błędy nakładają się na siebie – powstaje luka, którą hakerzy wykorzystają.
Rozwiązaniem jest profesjonalny audyt IT. Tylko on potrafi wskazać słabe strony naszych zabezpieczeń.
Każda firma, również Twoja potrzebuje kompleksowego audytu IT.
Dzięki niemu:
poznasz realne luki i zagrożenia w infrastrukturze,
zidentyfikujesz nieefektywności i obszary generujące koszty,
otrzymasz raport z praktycznymi rekomendacjami dopasowanymi do Twojego biznesu,
przygotujesz się na wymagania prawne (RODO, a od 2025 także NIS2).
Nasze audyty IT od ponad dwóch dekad pomagają firmom budować bezpieczeństwo, stabilność i spokój – zamiast strachu przed kolejnym nagłówkiem o wycieku danych.
Jeśli nie chcesz, żeby Twoja firma znalazła się w podobnej sytuacji co ALAB czy EKOTRADE – zacznij od audytu IT
To pierwszy krok do tego, by Twoje dane i reputacja były naprawdę bezpieczne.
Jeżeli nie zdążysz przeprowadzić audytu, a zdarzy się, że z Twojej firmy wyciekły dane osobowe, to poniżej przedstawiamy Ci checklistę
, co robić w 72 h po incydencie.
Pierwsze 60 minut
• odizoluj zainfekowane systemy,
• zabezpiecz logi i dowody (kopie dysków, zrzuty pamięci),
• poinformuj zespół ds. bezpieczeństwa/IT,
• nie podejmuj działań, które mogą zniszczyć ślady (np. restart).
Do 24 godzin
• przeanalizuj zakres naruszenia,
• oceń, jakie dane i ilu osób dotyczy incydent,
• sprawdź, czy istnieje wysokie ryzyko dla praw osób fizycznych,
• przygotuj plan komunikacji (zarząd, klienci, media).
Do 72 godzin
• zgłoś incydent do UODO (art. 33 RODO),
• jeżeli ryzyko jest wysokie – poinformuj osoby, których dane dotyczą (art. 34 RODO),
• zgłoś zdarzenie do CSIRT (NASK/GOV/MON),
• zawiadom Policję (CBZC) lub prokuraturę, jeśli podejrzewasz przestępstwo,
• rozpocznij wdrażanie działań naprawczych zgodnie z planem IR (Incident Response).