przejdź
przejdź
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Bezpieczeństwo nośników danych cyfrowych

Bezpieczeństwo nośników danych cyfrowych

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Nośniki danych cyfrowych wykorzystywane są powszechnie w każdym rodzaju organizacji. Przenoszenie danych na podstawie pendrive’ów czy dysków przenośnych jest bardzo wygodne, lecz nie jest wolne od ryzyka. Warto pamiętać o stosowaniu odpowiednich środków organizacyjnych i technicznych, co pozwoli nam na zachowanie odpowiednich standardów ochrony danych.

W Narodowym Standardzie Cyberbezpieczeństwa NSC 800-12, opracowanym przez Ministerstwo Cyfryzacji w sierpniu 2023 roku, wskazano konieczność zapobiegania utraty poufności, integralności lub dostępności informacji. W opracowaniu podkreślono, że działania obejmują zarówno przechowywanie danych przed wprowadzeniem ich do systemu, jak i eksportowane pliki. Duży nacisk położono również na fizyczną ochronę nośników – mowa tu nie tylko o potencjalnej kradzieży, lecz także m.in. o oddziaływaniu pola magnetycznego.

Rządowy dokument podkreślił 5 środków ochrony nośników, do których zaliczono:

  • dostęp (m.in. pod kątem rozliczalności, rozumianej jako możliwość wskazania osoby, która zapoznała się z danym zasobem);
  • oznaczanie;
  • przechowywanie;
  • transport;
  • sanityzacja (trwałe usuwanie informacji).

RODO a szyfrowanie

Art. 32 RODO zobowiązuje administratorów do wdrażania odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, dobieranych stosownie do ryzyka naruszenia praw i wolności osób fizycznych. W ust. 1 lit. a wspomnianego artykułu wskazano m.in. szyfrowanie, które jest kluczowe dla bezpieczeństwa nośników danych.

Wdrożenie szyfrowania przede wszystkim zapobiega nieuprawnionemu dostępowi do informacji, który może mieć miejsce w przypadku kradzieży lub zgubienia urządzenia.

Decyzja Prezesa UODO z kwietnia 2024 roku (DKN.5131.29.2023) jasno wskazuje dwie potrzeby – szyfrowania danych na pendrive’ach czy dyskach przenośnych oraz starannego sporządzenia analizy ryzyka. Pracownik firmy gastronomicznej zgubił nieszyfrowany nośnik z danymi osobowymi innego pracownika. Przedsiębiorstwo nie uwzględniło możliwości zgubienia takich urządzeń w analizie ryzyka oraz nie testowało regularnie skuteczności wdrażanych środków (art. 32 ust. 1 lit. d RODO). Incydent skutkował nałożeniem kary w wysokości 238 345 zł.

Poufność a dostępność

Artykuł 32 ust. 1 lit. b RODO podkreśla konieczność wykazania zdolności do „ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania”. Jest to szczególnie ważny zapis w kontekście motywu 12 Rozporządzenia, które stwierdza, że naruszenie ochrony danych obejmuje również przypadkowe lub niezgodne z prawem utracenie dostępu do danych.

W przypadku nośników danych widzimy konieczność jasnego określenia, że dane na urządzeniu są zarówno możliwe do odczytania (przez osoby mające ku temu stosowne uprawnienia), jak i chronione przed nieuprawnionym dostępem. Oznacza to, że w przypadku szyfrowania danych duży nacisk musi być jednocześnie położony na ochronę klucza do odszyfrowania danych czy bezpieczeństwo fizyczne (m.in. ochronę przed zniszczeniem). Utrata dostępu do danych również stanowi naruszenie ochrony, co pokazują decyzje PUODO związane z atakami ransomware (m.in. DKN.5131.1.2021).

W przypadku szyfrowanych nośników danych podstawą jest odpowiednie zabezpieczenie klucza do ich odszyfrowania. Jak wskazano w uwagach Leszka Kępy do poradnika UODO „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” z 2019 roku, jednoczesne zgubienie zaszyfrowanego nośnika wraz z kluczem (np. hasłem) będzie stanowić naruszenie ochrony, ponieważ pozwala nieuprawnionej osobie na uzyskanie dostępu do danych. W praktyce oznacza to konieczność odrębnego przechowywania szyfrowanego nośnika oraz klucza deszyfrującego.

Przykład 1.

Na dysku przenośnym znajduje się archiwum z danymi osobowymi, zaszyfrowane silnym hasłem (dłuższym niż 14 znaków, złożonym z 6 unikalnych fraz, np. Niebieskie3LatarnieNaCzerwonejPustyni). Hasło przechowywane jest w pliku na pendrivie (oddzielnym urządzeniu). Nie powinniśmy przechowywać obydwu pamięci przenośnych w jednej torbie, ponieważ zgubienie czy kradzież umożliwia zapoznanie się z danymi osobowymi nieuprawnionej osobie. Klucz deszyfrujący powinien znajdować się w możliwie bezpiecznym miejscu, innym niż zaszyfrowane dane.

W 2009 roku brytyjski „Guardian” opisał przypadek zgubienia nośnika z dokumentacją medyczną 6360 byłych i obecnych osadzonych z więzienia Preston. Dane były zaszyfrowane, lecz do urządzenia została przyczepiona kartka z hasłem – realna użyteczność takiego zabezpieczenia jest znikoma.

Nieznane nośniki i kontrola danych

Kluczowym aspektem bezpiecznego korzystania z nośników danych jest unikanie nieznanych pendrive’ów i dysków przenośnych. W „Fundamentalnych wytycznych w zakresie ochrony przed cyberatakami” Centrum e-Zdrowia z 2025 roku wskazano konieczność rozważenia zablokowania portów USB i nośników wymiennych dla stacji roboczych, aby zapobiec m.in. infekcji złośliwym oprogramowaniem.

Każdy zewnętrzny nośnik powinien być domyślnie traktowany jako niezaufany, co podkreśliło Ministerstwo Cyfryzacji w opracowaniu z okazji Dnia Bezpiecznego Internetu. W styczniu 2024 roku Sekurak opisał przykład prawdziwego incydentu, gdzie pracownik włożył do swojego komputera pendrive mający rzekomo zawierać projekt od klienta przedsiębiorstwa. Niedługo okazało się, że wpięcie urządzenia do portu USB komputera spowodowało infekcję złośliwym oprogramowaniem.

Ograniczenie ryzyka związanego z nieznanymi nośnikami danych może być osiągnięte poprzez konieczność używania jedynie urządzeń autoryzowanych przez dział IT organizacji. W „Polityce Bezpieczeństwa Informacji Statystyki Publicznej” Głównego Urzędu Statystycznego z 2020 roku wskazano, że pracownicy do wypełniania obowiązków służbowych mogą korzystać wyłącznie z autoryzowanych nośników danych.

Bezpieczeństwo fizyczne

W przypadku nośników danych cyfrowych kluczowym aspektem ochrony informacji pozostaje bezpieczeństwo fizyczne, rozumiane głównie przez pryzmat odpowiedniego przechowywania danych. W „Wyciągu z Polityki bezpieczeństwa informacji przetwarzanych na stacjach roboczych Systemu Rejestrów Państwowych” z 2020 roku stwierdzono, że „chronione nieużywane informacje” powinny być przechowywane w sejfie, zamykanej szafie bądź zamykanej szufladzie. Podkreślono również konieczność zamykania drzwi na klucz podczas opuszczania pomieszczeń – nawet gdy robimy to tymczasowo.

Na początku 2026 roku stwierdzono kradzież dysku twardego z danymi osobowymi osób z niepełnosprawnościami z siedziby Wojewódzkiego Zespołu do spraw Orzekania o Niepełnosprawności w Województwie Podkarpackim. Incydent podkreśla konieczność fizycznej ochrony nośników pod kątem nieuprawnionego dostępu do danych.

Sanityzacja i niszczenie

Artykuł 5 ust. 1 lit. e RODO zobowiązuje administratorów do przetwarzania danych wyłącznie przez okres niezbędny do realizacji określonego celu (wynikającego z art. 6 RODO). Oznacza to, że nośniki danych cyfrowych z czasem mogą być poddane procesowi sanityzacji (trwałego usuwania informacji) lub zniszczenia.

Usunięcie plików z poziomu interfejsu graficznego Windowsa (eksploratora plików) nie zapewnia tego, że dane zostały usunięte z nośnika. Jak podkreślono w „Rekomendacjach w zakresie bezpieczeństwa infrastruktury pamięci masowych” Narodowych Standardów Cyberbezpieczeństwa NSC 800-209, opublikowanych przez Ministerstwo Cyfryzacji w sierpniu 2023 roku, wyróżnia się 3 metody sanityzacji nośników:

  • czyszczenie (np. poprzez nadpisanie danych);
  • kasowanie (np. za pomocą silnego pola magnetycznego);
  • zniszczenie (fizyczne i trwałe uszkodzenie nośnika, np. poprzez spalenie czy zmiażdżenie).

W dokumencie jasno wskazano, że dobór odpowiedniej metody zależy od rodzaju urządzenia. W przypadku nośników wykorzystujących moduły pamięci flash (np. dyski SSD czy pendrive’y) nadpisywanie danych uznawane zostało za nieskuteczne. W przypadku dysków magnetycznych (np. HDD) taka metoda została uznana za odpowiednią.

W „Instrukcji zarządzania systemem informatycznym dla Łódzkiego Urzędu Wojewódzkiego w Łodzi” wskazano wprost, że w przypadku nośników nieumożliwiających nadpisania danych konieczne jest zniszczenie mechaniczne urządzenia.

Decyzja nr 64 Szefa Agencji Bezpieczeństwa Wewnętrznego z marca 2017 roku określa praktyczne podejście do niszczenia nośników. ABW wyróżniło 3 metody niszczenia nośników:

  • ścięcie (np. w dedykowanej niszczarce),
  • spalenie,
  • zmiażdżenie.

W Zarządzeniu nr 11 Prezesa Głównego Urzędu Miar (GUM) z sierpnia 2022 roku opisano proces usuwania danych osobowych, który obejmuje przygotowanie dokumentacji związanej z tym działaniem, uwzględniającą m.in. podstawę usunięcia danych.

Podsumowanie

W przypadku bezpieczeństwa nośników danych cyfrowych kluczową rolę odgrywa szyfrowanie wraz z zapewnieniem ochrony klucza deszyfrującego. Nie wolno również pomijać aspektu bezpieczeństwa fizycznego, ponieważ kradzież nośnika nie zwalnia administratora z odpowiedzialności z zakresu RODO.

Bezpieczeństwo nośników danych cyfrowych powinno zostać uwzględnione w analizie ryzyka, aby móc dostosować odpowiednie środki techniczne i organizacyjne w celu ochrony informacji.

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Najczęstsze rodzaje cyberataków - jak chronić prze...
Maj 2026
15
Piątek
  • Dzień ustawowo wolny od pracy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • Dzień ustawowo wolny od pracy
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  2. Anonimizacja danych – jak poprawnie zabezpieczyć dokumenty firmowe?
  3. NIS2 i KSC2 w Polsce: Sprawdź w kilka minut czy Twoja firma podlega ustawom
  4. Najczęstsze rodzaje cyberataków - jak chronić przed nimi firmę?
  5. Monitoring wizyjny: RODO, cyberbezpieczeństwo i ochrona danych
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Najczęstsze rodzaje cyberataków - jak chronić przed nimi firmę?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

HR Workshop Week 2026: Trzy dni intensywnej praktyki dla branży HR
SEO Vibes Summit ’26 już w maju – ruszyła promocja Last Call na wszystkie bilety!
semKRK#24 BIG już 3 czerwca! Bądź z nami w Starej Zajezdni
Między faktem a fałszem: jak weryfikować rzeczywistość w cyfrowym świecie? XXVI Kongres Public Relations w Rzeszowie
Handel pod presją kosztów, regulacji i technologii. Przed nami 8. Kongres Nowoczesnej Dystrybucji Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów