Jak skutecznie reagować na cyberataki z perspektywy RODO?

W przypadku cyberataku zarówno instytucje publiczne, jak i firmy prywatne, które przetwarzają dane osobowe, są narażone na ryzyko związane z ich naruszeniem, a dodatkowo na ogromne straty finansowe. Specjaliści z biznes.gov.pl w oparciu o ESET „Threat Report” oceniają, że przeciętny koszt takiego ataku wynosi ponad milion złotych. Jednak całkowite koszty mogą być znacznie wyższe, zwłaszcza jeśli dojdzie do utraty danych, utraty zaufania partnerów biznesowych oraz osłabienia wizerunku na rynku. W związku z tym istotne jest, aby organizacje wdrożyły odpowiednie środki i mechanizmy umożliwiające szybką reakcję na takie sytuacje.

Wyzwania przedsiębiorstw w zakresie cyberbezpieczeństwa

Z Raportu „Cyberbezpieczeństwo − wyzwania dla biznesu”, opracowanym przez organizację Pracodawców Rzeczypospolitej Polskiej wynika, że w 2022 r. odnotowano 322 479 zgłoszeń incydentów cyberbezpieczeństwa (w tym takie, które nie finalnie nie zostały zakwalifikowane jako incydent). Równocześnie wskazano na wzrost incydentów cyberbezpieczeństwa na poziomie 182% porównując rok 2021 do roku 2020 oraz 178% porównując rok 2022 do roku 2021. Statystki za 2023 r., nie są jeszcze znane, przy czym należy zakładać dalszy wzrost tendencji.

Pandemia skłoniła wiele organizacji do wprowadzenia pracy zdalnej lub hybrydowej. Przejście z biurowego środowiska na pracę zdalną, w której wiele procesów odbywa się online, zwiększyło podatność na cyberataki. Tradycyjne metody kontroli zostały zastąpione przez nowe, często mniej sprawdzone ścieżki i narzędzia dostępu do systemów informatycznych. Innym czynnikiem wpływającym na (nie)bezpieczeństwo cybernetyczne była eskalacja konfliktu na Ukrainie. Wraz z tradycyjnymi działaniami wojennymi wzrosło ryzyko działalności przestępczej w przestrzeni cyfrowej (co jest również związane ze wzmożoną dezinformacją w mediach społecznościowych). W reakcji na narastające zagrożenia wynikające z określonej sytuacji geopolitycznej Polski oraz z wykrytych działań o charakterze agresywnym w obszarze cyberprzestrzeni, które nosiły znamiona potencjalnego terroryzmu, Prezes Rady Ministrów zarządzeniem z dnia 18 stycznia 2022 r. wprowadził na całym terytorium kraju stopień alarmowy oznaczony jako ALFA-CRP. 21 lutego 2022 r., w związku z narastającą eskalacją działań przeciwko Ukrainie, Prezes Rady Ministrów wprowadził trzeci poziom alarmowy w dziedzinie cyberbezpieczeństwa, oznaczony jako CHARLIE-CRP, który pozostał w mocy do końca roku 2022.

Należy podkreślić, że żadne urządzenie nie zagwarantuje pełnej ochrony w sieci. Bezpieczeństwo w cyberprzestrzeni w głównej mierze zależy od naszych działań i świadomości. Ponad 90% ataków opiera się na interakcji z użytkownikiem, który przeważnie jest zachęcany do otwarcia załącznika w e-mailu lub do kliknięcia w link zawarty w wiadomości SMS. Dodatkowo coraz częściej sami udostępniamy zbyt wiele informacji i danych, które powinny być poufne, a to ułatwia cyberprzestępcom przygotowanie i przeprowadzenie ataku.

W 2020 r. Ministerstwo Cyfryzacji opublikowało poradnik „Jak chronić się przed cyberatakami? Praktyczne wskazówki dla parlamentarzystów i nie tylko”. Odnaleźć tam można pojęcia dotyczące cyberbezpieczeństwa, rady, jak ograniczyć ryzyko związane z cyberatakami, oraz realne przykłady takich ataków, jak phishing. W poradniku przedstawiono także metody tworzenia bezpiecznych haseł oraz wskazano, jak zachowywać bezpieczeństwo w mediach społecznościowych, gdzie cyberzagrożenia są coraz powszechniejsze. Jednak od opublikowania tego materiału minęły już 3 lata, co w epoce dynamicznego rozwoju technologii może wydawać się (zbyt) długim okresem.

Poradnik niemieckich organów „jak się bronić przed cyberatakiem?”

W ostatnim czasie wsparcia merytorycznego udzieliły organy niemieckie, tj. Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) oraz Urząd Ochrony Danych i Wolności Informacji z Nadrenii Północnej-Westfalii, które opracowały poradnik „Jak się bronić przed cyberatakiem?”. Stanowi on źródło wielu cennych informacji i wskazówek, jakie działania należy podjąć w razie wystąpienia cyberataku, jak minimalizować potencjalne szkody i jak chronić dane osobowe przetwarzane w organizacji. W niemieckim poradniku przedstawiono w 6 krokach proces reagowania na cyberataki.

• Zwalczanie skutków cyberataku

Pierwszym krokiem jest zidentyfikowanie zainfekowanych systemów oraz odłączenie urządzenia od internetu i sieci wewnętrznej. To działanie ma na celu zabezpieczenie danych przed dalszym dostępem osób trzecich i zapobieżenie rozprzestrzenianiu się złośliwego oprogramowania. Następnie dokładnie analizowane są zainfekowane systemy i wszystkie podłączone urządzenia. Pozostałe systemy w tej samej sieci, które nie wykazują objawów złośliwych działań zewnętrznych, powinny być stale monitorowane. Celem jest natychmiastowe wykrywanie potencjalnych wirusów typu backdoor (tzw. tylne drzwi), które mogły zostać utworzone, ale nie zostały jeszcze zlokalizowane. Mowa tu o elementach złośliwego oprogramowania, które mogły ominąć zabezpieczenia. Na tym etapie warto rozważyć możliwość skorzystania ze wsparcia zewnętrznych specjalistów w dziedzinie bezpieczeństwa informatycznego. Posiadają oni odpowiednie doświadczenie w zwalczaniu złośliwego oprogramowania oraz mogą pomóc w bardziej zaawansowanych badaniach i w skutecznym oczyszczaniu zainfekowanych systemów.

• Przeprowadzenie cyberdochodzenia

W razie wystąpienia cyberataku warto skorzystać z zewnętrznego wsparcia, oferowanego np. przez ekspertów od informatyki śledczej i analizy powłamaniowej. Jeżeli cyberatak dotknął podmioty przetwarzające dane w imieniu administratora, to znaczna część procesu dochodzenia będzie spoczywać właśnie na tych podmiotach. Przydatny będzie także audyt systemów administratora, aby upewnić się, że atak nie ma wpływu na te systemy.

Podczas przeprowadzania cyberdochodzenia należy przeanalizować chronologię ataku, przyczynę lub ścieżkę ataku, a także jego zakres, obejmujący czas trwania, dotknięte systemy i dane. Ponadto przy wypełnianiu obowiązków nałożonych przepisami art. 32 RODO należy zbadać, czy dane osobowe były narażone na ryzyko podczas ataku. W związku z tym warto rozważyć następujące kwestie:

• Czy doszło do naruszenia danych, at.. zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu? Czy dane zostały zaszyfrowane lub skasowane? Czy dane zostały wykorzystane nielegalnie (np. do rozsyłania szkodliwych e-maili)?
• Czy są możliwe inne rodzaje naruszeń ochrony danych (np. czy dane zostały skopiowane, a następnie przekazane lub opublikowane, bądź czy uległy modyfikacji)? Przez jaki okres osoby nieuprawnione miały dostęp do systemów? Czy i w jakim stopniu dane zostały skopiowane (np. w oprogramowaniu używanym przez atakujących lub w dziennikach systemów operacyjnych)? Czy możliwa jest identyfikacja miejsca publikacji tych danych?
• Jakie kategorie osób zostały dotknięte atakiem?
• Ile osób zostało dotkniętych naruszeniem i ile rekordów może to obejmować?

Wstępna ocena ryzyka naruszenia praw i wolności osób fizycznych powinna być przeprowadzona w ciągu 72 godzin od ujawnienia ataku. Podmioty przetwarzające mają obowiązek bez zbędnej zwłoki informować administratorów danych – niezależnie od ryzyka – i wspierać ich w wypełnianiu obowiązków prawnych (zgodnie ar.rt. 28 ust. 3 lit. f oraz art. 33 ust. 2 RODO).

• Ocena wpływu cyberataku na osoby, których dane dotyczą

Na podstawie przeprowadzonego cyberdochodzenia administrator jest zobowiązany określić ryzyko naruszenia praw i wolności osób fizycznych. Powinien dokonać analizy w celu ustalenia, czy doszło do naruszenia praw i wolności osób, których dane dotyczą, uwzględniając charakter, zakres, kontekst i cele przetwarzania. Na podstawie motywu 76 RODO można wskazać, że przy ocenie ryzyka naruszenia praw i wolności osób fizycznych należy wziąć pod uwagę powagę zdarzenia będącego skutkiem naruszenia, czyli wielkość szkody, jaką zdarzenie może spowodować względem osoby, której dane dotyczą, oraz prawdopodobieństwo jego wystąpienia. Skutkiem naruszenia mogą być: kradzież tożsamości, dyskryminacja, straty finansowe, utrata reputacji, naruszenie tajemnicy zawodowej, nieuprawnione cofnięcie pseudonimizacji.

W przypadku gdy atakujący będą mieli możliwość przeglądania lub kopiowania danych, osoby, których te dane dotyczą, stracą nad nimi kontrolę. Jeżeli nie można bezpośrednio ocenić wagi naruszenia, analiza może opierać się na możliwych szkodach następczych wynikających z utraty kontroli (taką szkodą jest np. kradzież tożsamości).

W ocenie wagi naruszenia przydatne mogą być odpowiedzi na poniższe pytania:

• W jakim stopniu dane osobowe zostały zaatakowane (liczba rekordów lub kategoria)?
• Czy są to dane zwykłe czy dane szczególnej kategorii, np. dane medyczne, informacje o przebiegu leczenia, wyniki badań itp.?
• Czy istnieje możliwość nieuprawnionego zidentyfikowania konkretnych osób lub podjęcia wobec nich określonych działań?
• 

  Kiedy ostatnio
  robiłeś analizę ryzyka?

  Ryzyko i DPIA są podstawowymi elementami budowy systemu ochrony danych.

  ZAMÓW OFERTĘ
  Czy ujawnione dane pozwalają na bardziej szczegółową identyfikację osób, np. dotyczącą majątku albo statusu społecznego?
• Czy na podstawie ujawnionych danych można wyciągnąć inne wnioski dotyczące osób, np. indywidualnego leczenia, przewlekłych chorób lub alergii?
• Czy dane nie są krytyczne, a ich ujawnienie nie wiąże się z poważnymi konsekwencjami?
• W jakich (nieuprawnionych) celach dane mogą być przetwarzane?
• Czy istnieją kopie zapasowe, z których można odzyskać utracone lub uszkodzone dane oraz które można wykorzystać do weryfikacji danych i dokonywania w nich zmian?
• Czy istnieją sposoby na ponowne pozyskanie utraconych danych z innych źródeł, np. bezpośrednio od osób, których dane dotyczą?
• Czy administrator dysponuje środkami do złagodzenia skutków wynikających z utraty lub zmiany danych, np. przez rekompensatę?
• Czy atak może prowadzić do negatywnych skutków społecznych lub gospodarczych, takich jak utrata reputacji, dyskryminacja lub straty finansowe?

Po dokładnym przeanalizowaniu sytuacji kolejnym etapem jest ocena prawdopodobieństwa wystąpienia naruszenia. W tym procesie powinny zostać uwzględnione różne czynniki, takie jak: źródło ataku (czy to np. działanie etycznych hakerów (tj. ekspertów ds. bezpieczeństwa komputerowego, którzy specjalizują się w testach penetracyjnych, zabezpieczaniu systemów informatycznych i stosowaniu różnych metodologii w celu zapewnienia bezpieczeństwa cybernetycznego), ukierunkowany atak na konkretne osoby, systematyczne wykorzystywanie luk w zabezpieczeniach, czy rozpowszechnianie złośliwych wiadomości e-mail żądania stawiane przez atakujących, możliwość uzyskania korzyści finansowych z ujawnionych danych oraz ryzyko dla osób fizycznych związane z ujawnieniem ich tożsamości.

Przepisy RODO nakładają na administratora danych obowiązek zgłaszania organowi nadzorczemu incydentów naruszenia ochrony danych osobowych, które mogą prowadzić do potencjalnego naruszenia praw i wolności osób fizycznych. Niemniej przepisy te nie dostarczają wytycznych dotyczących konkretnej oceny istnienia ryzyka. Podobnie jest w przypadku, gdy zachodzi potrzeba powiadomienia osób, której dane zostały naruszone – RODO odnosi się do „wysokiego ryzyka” naruszenia praw i wolności jako podstawy do podjęcia odpowiednich działań, ale ocenę tego ryzyka pozostawia administratorowi danych.

•  Minimalizacja skutków cyberataku

Po zidentyfikowaniu ryzyka administratorzy i podmioty przetwarzające muszą rozważyć, jakie działania należy podjąć, aby złagodzić możliwe skutki cyberataku. Należą do nich przede wszystkim czynności zmierzające do przywrócenia utraconych lub skompromitowanych danych, regularne monitorowanie danych w celu wykrycia nieautoryzowanych zmian oraz przywrócenie normalnego funkcjonowania usług, które mogły zostać zakłócone przez atak.

Organizacje powinny zadbać o to, aby w przyszłości możliwe było wykrycie niewłaściwego wykorzystania danych lub potencjalnych ataków na wczesnym etapie. Istotne jest monitorowanie działań atakujących, np. prób dalszego kontaktu z poszkodowanymi czy publikacji ich danych.

Co ciekawe, niemieckie organy nadzorcze rekomendują, aby informować osoby, których dane zostały dotknięte cyberatakiem, nawet jeśli nie ma takiego obowiązku na mocy przepisów RODO. Jest to argumentowane tym, że osoba ma możliwość przygotowania się na konsekwencje ataku, np. przez zachowanie większej czujności w razie ewentualnych prób oszustwa. Z kolei polska doktryna wskazuje, że dopiero jeżeli naruszenie ochrony danych osobowych może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych ma obowiązek bez zbędnej zwłoki powiadomić o tym fakcie osoby, których dane dotyczą.

Zakres zawiadomienia powinien zawierać m.in. opis charakteru zdarzenia, dane do kontaktu z inspektorem ochrony danych, wskazanie możliwych konsekwencji zdarzenia, informacje dotyczące podjętych środków, w tym w celu minimalizacji ewentualnych skutków naruszenia. Komunikacja powinna być przeprowadzona w sposób bezpośredni, np. przez e-mail, list, telefon, chyba że wymagałoby to niewspółmiernego wysiłku. W takim przypadku dopuszczalne jest skorzystanie z publicznego środka komunikacji, np. prasowego, telewizyjnego lub internetowego.

• Dostosowanie poziomu bezpieczeństwa systemów do obecnych ryzyk

Aby upewnić się, że szkodliwe oprogramowanie nie stwarza już zagrożenia, konieczne jest przywrócenie lub zresetowanie systemu do stanu bezpiecznego, a następnie wzmocnienie jego ochrony. Ponadto poziom bezpieczeństwa systemów musi być dostosowywany do ewentualnych przyszłych zagrożeń i podlegać regularnym testom, ocenie oraz ewaluacji systemów zapewniających bezpieczeństwo przetwarzania danych. Poprawienie poziomu ochrony systemów można osiągnąć dzięki:

• szybkiemu identyfikowaniu i naprawianiu krytycznych luk w zabezpieczeniach z wykorzystaniem informacji i alertów od producentów produktów czy dostawców usług,
• zrezygnowaniu z otwartych i niezabezpieczonych interfejsów,
• szyfrowaniu wysyłanych danych,
• monitorowaniu ruchu danych za pośrednictwem firewalli na bramkach sieciowych,
• oddzielaniu systemów i aplikacji przetwarzających dane w różnych celach, np. przez segmentację i hermetyzację sieci,
• ograniczaniu dostępu do danych zgodnie z zasadą need-to-know na podstawie ról i uprawnień, a w szczególności restrykcyjnemu przydzielaniu uprawnień administracyjnych,
• monitorowaniu procesu przetwarzania danych za pomocą logowania,
• regularnej kontroli w celu wykrywania złośliwego oprogramowania,
• posiadaniu zdolności do wykrywania przeciążeń systemu, takich jak ataki DDoS, oraz do przeciwdziałania takim przeciążeniom,
• wykorzystywaniu bezpiecznych procedur uwierzytelniania, w tym uwierzytelniania wieloskładnikowego, i stosowaniu wytycznych dotyczących haseł,
• skutecznemu reagowaniu na cyberataki i inne incydenty związane z bezpieczeństwem IT, włącznie z zarządzaniem w sytuacjach kryzysowych,
• odseparowaniu kopii zapasowych danych od systemów produkcyjnych,
• weryfikowaniu możliwości przywrócenia kopii zapasowych danych,
• cyklicznym szkoleniom i budowaniu świadomości pracowników w zakresie ochrony danych osobowych oraz bezpieczeństwa IT,
• regularnemu testowaniu skuteczności działań, w tym przeprowadzaniu testów penetracyjnych.

Dostosowanie poziomu ochrony systemów do bieżących zagrożeń to kluczowy element zapewnienia bezpieczeństwa przetwarzania danych w organizacjach.

• Rejestr cyberataków

Odparcie cyberataku wiąże się dla administratora ze stworzeniem wewnętrznej dokumentacji i przedstawieniem jej organowi nadzorczemu właściwemu w sprawie ochrony danych. Dokumentacja ta musi zawierać co najmniej:

• dane administratora i dane kontaktowe do udzielania dalszych informacji,
• informacje o innych podmiotach biorących udział w zdarzeniu (w razie potrzeby),
• krótki opis zdarzenia,
• opis chronologii wydarzeń i podjętych działań (z załączeniem korespondencji tradycyjnej i elektronicznej, notatek z rozmów telefonicznych itp.),
• uzasadnienie opóźnienia zgłoszenia lub powiadomienia organu o naruszeniu (w razie potrzeby),
• ocenę wagi naruszenia,
• wskazanie kategorii osób, których dane dotyczą, i przybliżonej liczby tych osób,
• wskazanie kategorii danych,
• opis prawdopodobnych skutków zdarzenia, w tym ocenę ryzyka naruszenia praw i wolności osób fizycznych,
• opis podjętych lub zaproponowanych środków zaradczych (w tym powiadomienie osób, których dane dotyczą),
• w przypadku spodziewanego wysokiego ryzyka – wzór informacji dla osób, których dane zostały naruszone, wraz z opisem powiadomienia lub uzasadnienie, dlaczego powiadomienie tych osób nie było możliwe lub konieczne,
• zgłoszenie naruszenia administratorowi zgodnie z art. 33 ust. 2 RODO, z podaniem czasu zgłoszenia,
• opis podjętych lub zaproponowanych środków, aby zapobiec ponownemu wystąpieniu zdarzenia, wraz z zapewnieniem utrzymywania odpowiedniego poziomu ochrony danych w przyszłości.

Podsumowanie

Warto zaznaczyć, że w obliczu dynamicznie ewoluującej cyberprzestrzeni i zmieniających się zagrożeń organy europejskie starają się aktywnie reagować na potrzebę skutecznej ochrony danych osobowych przetwarzanych przez różnego rodzaju organizacje. Istotnym aspektem tego procesu jest dostosowywanie poziomu ochrony systemów do aktualnych ryzyk, systematyczne monitorowanie środków zabezpieczających oraz ciągła ocena ich efektywności. Ponadto nieustannie podkreśla się znaczenie regularnego szkolenia pracowników, aby zwiększyć ich świadomość i umiejętności w zakresie cyberbezpieczeństwa. Jednocześnie należy podkreślić, że reagowanie na cyberatak to proces wymagający ciągłego doskonalenia i dostosowywania do zmieniających się realiów. Wszystkie te działania mają na celu zmniejszenie potencjalnych skutków cyberataków oraz zapewnienie bezpieczeństwa danych osobowych w organizacjach.