przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Bezpieczne konta chmurowe w firmie – jak o nie zadbać zgodnie z RODO?

Bezpieczne konta chmurowe w firmie – jak o nie zadbać zgodnie z RODO?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Korzystanie z chmury obliczeniowej usprawnia procesy w wielu przedsiębiorstwach, ale wiąże się z ryzykiem nieuprawnionego dostępu do danych. Kluczowe dla ochrony informacji stają się bezpieczne konta chmurowe i ich odpowiednia konfiguracja. Właściwe ustawienia usług oraz świadomość zagrożeń pozwalają w dużej mierze zabezpieczyć firmowe środowisko, co jest obowiązkiem administratora danych osobowych, nawet przy korzystaniu z usług zewnętrznego dostawcy.

RODO i UODO o korzystaniu z chmury

Art. 28 RODO nakłada obowiązek sporządzenia umowy (lub innego instrumentu prawnego), który jasno określa m.in. przedmiot, charakter, cel i czas przetwarzania danych osobowych. Należy również pamiętać o obowiązkach wynikających z art. 32 RODO, który mówi m.in. o konieczności regularnego testowania skuteczności wdrożonych środków technicznych oraz zdolności szybkiego przywrócenia dostępności danych osobowych w przypadku incydentu.

Orzeczenia Urzędu Ochrony Danych Osobowych (UODO) odnoszą się wprost do incydentów w środowiskach chmurowych. W decyzji z maja 2024 roku (DKN.5112.35.2021) wyróżniono złamanie zabezpieczeń platformy chmurowej jako potencjalny wektor ataku – UODO stwierdził, że użytkownicy systemu stosowali słabe hasła oraz podkreślił błędną konfigurację domeny.

Inna ważna sprawa dotyczy kary od UODO w wysokości 4,9 mln złotych dla Fortum Marketing oraz 250 tys. złotych dla podmiotu przetwarzającego (DKN.5130.2215.2020). W decyzji wyróżniono m.in. brak weryfikacji podmiotu przetwarzającego pod kątem gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych. Wieloletnia współpraca nie została uznana przez UODO za gwarant bezpiecznego świadczenia usług.

Klasyfikacja usług chmurowych

Usługi chmurowe oferowane są w wielu modelach. W przypadku wykorzystywania dowolnego z nich organizacja powinna uwzględnić go w swojej analizie ryzyka.

Wśród typów usług chmurowych wyróżnia się m.in.:

  • IaaS (infrastruktura jako usługa) – zapewnianie sprzętu;
  • PaaS (platforma jako usługa) – zapewnianie platformy do funkcjonowania danych rozwiązań;
  • SaaS (oprogramowanie jako usługa) – zapewnianie dostępu do gotowych aplikacji.

W codziennej pracy wielu przedsiębiorstw szczególnie ważne są rozwiązania SaaS, czyli gotowe aplikacje. Według danych Eurostatu z 2023 roku niecałe 56% polskich przedsiębiorstw korzystało z rozwiązań chmurowych, w tym:

  • 68% do skrzynek e-mailowych;
  • 49% do oprogramowania biurowego;
  • 40,5% do przechowywania plików;
  • 26,8% do oprogramowania księgowego;
  • ponad 30% do oprogramowania ERP i CRM.

Bezpieczne konta chmurowe a zarządzanie dostępem do plików

Podobnie jak w klasycznej architekturze informatycznej, działania administratorów są kluczowe dla zapewnienia odpowiedniego poziomu cyberbezpieczeństwa. Szczególnie ważne są odpowiednie ustawienia kont użytkowników, które utrudniają nieuprawniony dostęp do informacji.

Podstawowym czynnikiem, który znacząco zwiększa bezpieczeństwo użytkowników, jest dwuetapowe uwierzytelnianie (2FA). W przypadku Google Workspace oraz Microsoft Entra ID, czyli rozwiązań powszechnie stosowanych w wielu przedsiębiorstwach, administratorzy mogą wymusić konieczność dwuetapowego uwierzytelniania. Oznacza to, że do zalogowania konieczny będzie dodatkowy składnik – inny niż hasło, na przykład:

  • fizyczny klucz;
  • jednorazowy kod z aplikacji lub SMS (OTP);
  • dane biometryczne;
  • potwierdzenie logowania w aplikacji mobilnej.

Dzięki temu rozwiązaniu wyciek loginu i hasła nie umożliwia cyberprzestępcom natychmiastowego uzyskania dostępu do danego konta. Warto również pamiętać, że obecnie wykorzystywanie kodów z SMS jest niezalecane. Rekomenduje się również wygenerowanie kodów odzyskiwania oraz przechowywanie ich w bezpiecznym miejscu, co pozwoli nam na uzyskanie dostępu do konta w przypadku utraty danego składnika (np. telefonu lub klucza fizycznego).

Nie można również pomijać kwestii silnych haseł. Obecnie rekomenduje się wykorzystywanie haseł, które składają się z kilku słów (np. „ZielonySłońChodziPoNiebieskiejTrawie!”) na rzecz tych, które są krótsze i zawierają znaki specjalne (np. P0r4dn1k!007). Zalecane jest również wykorzystywanie menedżerów haseł. Szczegółowe informacje dotyczące tego zagadnienia znajdują się w poradniku „Kompleksowo o hasłach” od CERT Polska (styczeń 2022).

Google w swoim poradniku określa dwuetapowe uwierzytelnianie jako „dodatkową barierę między przedsiębiorstwem a cyberprzestępcami, którzy próbują wykradać loginy i hasła w celu kradzieży danych biznesowych”. Microsoft stwierdził w poście skierowanym do administratorów systemów, że „ponad 99,9% powszechnych ataków związanych z kradzieżą tożsamości jest powstrzymywanych dzięki zastosowaniu wieloskładnikowego uwierzytelniania oraz blokowaniu starszych metod uwierzytelniania”.

Dostęp do plików

Bardzo ważnym aspektem cyberbezpieczeństwa jest jasne określenie tego, kto jest uprawniony do uzyskania dostępu do danego zasobu. Wycieki danych z jednostek samorządu terytorialnego niestety pokazują, że niekiedy kilka czy kilkanaście osób współdzieli dokumenty zawierające dane osobowe. Oznacza to, że włamanie na jedno konto może mieć znaczące skutki dla organizacji.

Sytuacja wygląda podobnie w przypadku środowiska chmurowego. Administratorzy mogą ustawić domyślne ustawienia dotyczące udostępniania plików – np. w Google Drive czy SharePoincie, ograniczając je do osób w danej organizacji.

Walka z mailami phishingowymi

Bezpieczne korzystanie z rozwiązań chmurowych jest ważne w kontekście wiadomości e-mail. W ramach walki z phishingiem możemy ostrzegać użytkowników o korespondencji pochodzącej spoza organizacji za pomocą baneru widocznego nad treścią wiadomości czy prefiksu w temacie maila. Ustawienie takiego ostrzeżenia jest możliwe zarówno w Outlooku i Gmailu.

Przykład 1.

Pracownik otrzymał mail, który rzekomo pochodzi od jego przełożonego. Zwrócił jednak uwagę na to, że nad treścią wiadomości pojawił się baner, który informował o korespondencji zewnętrznej. Dzięki temu zwrócił się do działu IT, który stwierdził phishing.

Przykład 2. 

Baner widoczny w wydruku petycji (wiadomości przychodzącej) do Ministerstwa Nauki i Szkolnictwa Wyższego:

**OSTRZEŻENIE**

E-mail pochodzi spoza organizacji. Nie kilkaj łączy ani nie otwieraj załączników, chyba że rozpoznajesz nadawcę i wiesz, że zawartość jest bezpieczna.

Przykład 3. 

Baner widoczny w wydruku wniosku o informację publiczną (wiadomości przychodzącej) do Powiatowej Stacji Sanitarno-Epidemiologicznej w Gołdapi:

OSTRZEŻENIE: Ta wiadomość została wysłana przez nadawcę, który jest spoza organizacji. Zachowaj czujność. W razie wątpliwości skontaktuj się z działem IT.

Przykład 4. 

Baner widoczny w wydruku petycji (wiadomości przychodzącej) do Ministerstwa Zdrowia:

UWAGA: Ten e-mail pochodzi spoza Twojej organizacji. Zawsze sprawdzaj adres nadawcy i zachowaj ostrożność podczas otwierania linków lub załączników.

Przywracanie usuniętych wiadomości

Ważnym aspektem dla funkcjonowania organizacji jest możliwość przywracania wiadomości po usunięciu ich przez użytkownika. Warto pamiętać o tym, że przeniesienie wiadomości do kosza oraz permanentne usunięcie maila nie oznacza, że nie da się ich odtworzyć (w najbliższym czasie). W przypadku Gmaila administrator ma na to 25 dni. W środowisku Microsoftu domyślnie ta wartość wynosi 14 dni i może zostać wydłużona do 30 dni.

Warto przy tym nadmienić, że przechowywanie usuniętych wiadomości może podlegać uprzednio ustawionym regułom retencji oraz przetrzymywania (hold), co pozwoli odtworzyć je administratorom po upływie określonego czasu. Takie działanie wymaga jednak wcześniejszego skonfigurowania środowiska pod tym kątem.

Podsumowanie

Bezpieczne środowisko chmurowe to ważny aspekt funkcjonowania coraz większej liczby polskich przedsiębiorstw. Podstawą przed wdrożeniem takiego rozwiązania w firmie powinna być analiza ryzyka oraz wybór odpowiedniego dostawcy usług, co pokazuje orzeczenie UODO.

Pamiętajmy również o zasadzie przyznawania użytkownikom najmniejszych wymaganych uprawnień – dotyczy to nie tylko środowisk chmurowych. Nie wolno również zapominać o dezaktywowaniu kont byłych pracowników.

Bezpieczeństwo danych w organizacji wymaga również okresowego testowania zgodności stosowanych rozwiązań pod kątem regulacji.

Polecamy:

AI jako przewaga konkurencyjna o ludzkiej twarzy

Analiza ryzyka – jakie elementy są konieczne?
Listopad 2025
05
Środa
  • Dzień ustawowo wolny od pracy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Jak walczyć z phishingiem w firmie?
  2. Komunikatory a RODO w pracy – jak korzystać z nich bezpiecznie?
  3. Cyberbezpieczeństwo w MŚP - jakie są najczęstsze rodzaje ataków i jak się przed nimi chronić?
  4. Phishing w firmie - zagrożenie, którego MŚP nie mogą ignorować
  5. Jak można monitorować i dbać o bezpieczeństwo danych w firmie?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Analiza ryzyka – jakie elementy są konieczne?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Kongres For Social Media 2025
eCommerce Business Innovations w Katowicach – pierwsza konferencja o e-handlu na Górnym Śląsku!
Tech Talk Katowice #1: Infrastructure – spotkanie dla pasjonatów i praktyków IT
XII Konferencja Delegowania Pracowników do UE – Warszawa, 16 października 2025 r.
Spotkanie Liderów Finansów – banki, ubezpieczenia i fintechy wobec wyzwań jutra Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów