Charakterystyka studiów podyplomowych „Bezpieczeństwo informacji i danych osobowych w administracji i biznesie”

Nowa edycja studiów będzie odpowiadać na wyzwania, jakie stoją przez inspektorami ochrony danych (IOD), a które wynikają z dynamicznie rozwijającej się legislacji unijnej oraz z potrzeby dostosowania modelu prowadzonej działalności do wciąż zmieniającego się otoczenia technologicznego, z rozwojem sztucznej inteligencji (AI) na czele.

Adaptacja procesów biznesowych do nowych wyzwań prawnych i technologicznych oznacza nie tylko konieczność poznania brzmienia obowiązujących regulacji prawnych, ale także potrzebę uświadomienia sobie możliwości oraz ograniczeń, jakie niesie za sobą sama technologia. Daje to możliwość zrozumienia powodów, które stały za określonym kształtem uregulowania aspektów zagadnień o kluczowym znaczeniu dla ochrony danych, co w konsekwencji pozwala proaktywnie przewidywać kierunki zmian w zakresie ochrony danych.

Zrozumienie szans i zagrożeń, które towarzyszą technologii opartej na AI czy modelom szyfrowania lub zabezpieczania systemów informatycznych, realnie przekłada się na wartość, jaką wnosi IOD do każdego przedsiębiorstwa. Jednym z kluczowych obowiązków inspektora jest bowiem dbanie o aktualność zarówno polityki ochrony danych i/lub polityki prywatności, jak i procedur bezpieczeństwa funkcjonujących w danej organizacji, a w szczególności zapewnienie ich zgodności z obowiązującymi regulacjami. To zadanie rozciąga się nie tylko na posiadanie wiedzy na temat nowych przepisów prawnych, ale także dzielenie się tą wiedzą z personelem, co może być wyzwaniem samym w sobie, biorąc pod uwagę techniczne aspekty bezpieczeństwa i ochrony danych.

Z uwagi na powyższe wyzwania program studiów obejmować będzie nie tylko omówienie stosownych regulacji prawnych, ale także szeregu zagadnień technicznych, w tym:

• wyjaśnienie sposobu działania systemów informatycznych,
• przybliżenie pojęcia luk systemowych, (dlaczego można się włamać do systemów)
• analizę kwestii związanych z polityką haseł czy modelami ich łamania,
• jak bezpiecznie tworzyć i przechowywać hasła,
• jaki model uwierzytelniania zastosować,
• czemu 2FA ma wady i czy warto stosować klucze sprzętowe?

To zaledwie kilka z wielu poruszanych w toku studiów zagadnień, mających istotne znaczenie dla zarządzania bezpieczeństwem informacji. Z kolei wyjaśnienie, czym jest blockchain i zdecentralizowany model przetwarzania danych uświadomi ograniczenia tego modelu współdzielenia infrastruktury sprzętowej, pozwalając ważyć opłacalność jego stosowania jako struktury bazodanowej, jednocześnie rozważając inne alternatywne rozwiązania.

Na poziomie regulacji prawnych, program studiów będzie obejmować w szczególności szereg zarówno już obowiązujących, jak będących dopiero na etapie prac legislacyjnych, aktów unijnych, w tym m.in.:

• Akt w sprawie sztucznej inteligencji (AI Act) który jest pierwszą kompleksową regulacją systemów AI, określającą obowiązki firm i instytucji tworzących oraz wdrażających systemy i modele działania oparte na AI. W czasie studiów szczegółowo przedstawione będą przepisy tego aktu, ze wskazaniem na ryzyka, jakie mogą wiązać się w wymiarze biznesowym z wykorzystywaniem rozwiązań opartych na tej technologii;
• Akt w sprawie danych (Data Act), który reguluje sposoby dostępu do danych nieosobowych generowanych na terenie UE, co ma coraz większe znaczenie w kontekście szczerszego wykorzystywania urządzeń Internetu Rzeczy (IoT) w codziennym życiu. Na studiach wyjaśnione zostanie, co kryje się pod pojęciem IoT, a także omówione zostaną kwestie ataków, jakie mogą być dokonywane za pomocą zintegrowanych urządzeń oraz konsekwencji dla ochrony danych użytkowników konkretnej aplikacji czy sprzętu;
• Akt o rynkach cyfrowych (Digital Market Act; DMA), który wprowadza nowe obowiązki dla „strażników dostępu” – największych podmiotów rynku internetowego, którzy mają znaczący wpływ na rynek UE, a który zakazywać będzie takim podmiotom szeregu działań związanych z przetwarzaniem określonych danych;
• Akt w sprawie zarządzania danymi (Data Governance Act; DGA), który regulować będzie kwestie powtórnego wykorzystania wybranych kategorii chronionych danych sektora publicznego, jednocześnie regulując kwestie związane ich udostępnianiem.

Na wszystkie powyższe akty prawne będą nakładać się unijne regulacje z zakresu cyberbezpieczeństwa, z Dyrektywą NIS2 na czele, która aktualizuje unijne przepisy cyberbezpieczeństwa z 2016 r. znane jako NIS, rozszerzając zakres podmiotów nimi objętych oraz zwiększając wymagania w sferze cyberbezpieczeństwa dla bardzo licznej grupy podmiotów. Jednym z powodów aktywności legislacyjnej UE w tym obszarze jest dynamicznie zmieniający się „rynek” cyberprzestępczości, z wysoko wykwalifikowanymi i wyspecjalizowanymi grupami przestępczymi.

Na studiach przedstawiony zostanie ten dynamicznie zmieniający się model cyberprzestępczości, wraz z gruntownym wyjaśnieniem niebezpieczeństw, jakie może nieść dla danej organizacji niewłaściwe przeszkolenie, a tym bardziej brak wiedzy w tym zakresie, osób w niej zatrudnionych. W kontekście coraz powszechniejszego wykorzystywania chociażby phishingu, wiąże się to z koniecznością nie tylko odpowiedniej aktualizacji polityk bezpieczeństwa, ale także ciągłego podnoszenia kwalifikacji przez osoby odpowiedzialne za wdrażanie stosownych systemów ochronnych. Nie dziwi więc fakt, że świadomość w jaki sposób przestępcy wykorzystują coraz to nowsze i doskonalsze metody socjotechniki w celu uzyskania dostępu do systemu informatycznego, jawi się jako kluczowa dla inspektorów ochrony danych.