Skuteczna ochrona danych osobowych zaczyna się od identyfikacji błędów, które najczęściej prowadzą do naruszeń. Analiza decyzji UODO pokazuje, że większość incydentów nie jest skutkiem zaawansowanych ataków, lecz efektem powtarzających się, dobrze znanych podatności, zarówno technicznych, jak i organizacyjnych. W artykule prezentujemy narzędzie porządkujące te podatności i umożliwiające szybkie wskazanie obszarów największego ryzyka.
Przypisanie poszczególnych decyzji UODO do konkretnych przyczyn naruszeń pozwala jednoznacznie wskazać najczęstsze luki: niewłaściwe zarządzanie dostępami, błędne konfiguracje systemów, brak bieżącego nadzoru nad procesami czy nieadekwatne procedury operacyjne. Efektem jest praktyczna lista kontrolna, która pomaga zarządom i inspektorom ocenić, czy w ich organizacji nie występują mechanizmy już wcześniej skutkujące karami finansowymi. Celem naszego artykułu jest umożliwienie szybkiego ustalenia priorytetów, poprzez wskazanie konkretnych błędów i zaniedbań, które realnie doprowadziły do kar UODO.
• wykorzystywanie prywatnych pojazdów do przewożenia dokumentów zawierających dane osobowe pacjentów
• brak zwrócenia dokumentów do siedziby administratora po zakończeniu pracy
• brak zawarcia umowy dalszego powierzenia przetwarzania danych osobowych
• brak identyfikacji wystąpienia naruszenia ochrony danych osobowych przez okres przynajmniej 19 miesięcy
• dopuszczenie możliwości uzyskania zdalnego dostępu do wewnętrznych zasobów za pośrednictwem prywatnych komputerów
• korzystanie z nieaktualnego bądź niesprawdzonego oprogramowania przy jednoczesnym braku narzędzi umożliwiających scentralizowany wgląd w bezpieczeństwo infrastruktury informatycznej
• brak regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków bezpieczeństwa
• brak szyfrowania nośników zawierających dane osobowe używanych poza obszarem przetwarzania
• brak regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków technicznych i organizacyjnych
• brak regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych
• brak weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych
• pozostawienie komputera/dokumentacji papierowej bez opieki
• nieodpowiednie przewożenie nośników danych
• brak szyfrowania dysków
• brak analizy ryzyka
• brak przeszkolenia pracownika przetwarzającego dane osobowe
• utrwalanie przez pracowników danych osobowych na niezabezpieczonym nośniku danych
• brak testów weryfikujących prawidłowość wykonywania przez pracowników ich obowiązków (np. udostępniania danych jedynie na zaszyfrowanych nośnikach czy niepozostawiania nośników danych w lokalizacjach niezabezpieczonych przed dostępem osób nieuprawnionych)
• niedostateczne przeszkolenie personelu, co poskutkowało wyłączeniem licencjonowanego oprogramowania przez jednego z pracowników
• brak weryfikacji procesora
• niewłaściwe wykonywanie kopii zapasowych, które również zostały zaszyfrowane podczas incydentu ransomware
• brak procedury aktualizacji systemów i oprogramowania urządzeń teleinformatycznych przed wystąpieniem naruszenia
• brak aktualizacji oprogramowania urządzeń brzegowych, co umożliwiło hakerom przełamanie zabezpieczeń poprzez istniejące luki (eksploity) i uzyskanie nieuprawnionego dostępu
• niewłaściwa analiza ryzyka, w której ryzyka związane z przetwarzaniem danych w systemach informatycznych zostały oszacowane na zbyt niski, nieadekwatny poziom w stosunku do rzeczywistych zagrożeń
• niewystarczające zabezpieczenia, takie jak błędna konfiguracja domeny oraz stosowanie zbyt słabych haseł przez użytkowników
• niedostateczne uwzględnienie ryzyka zagubienia nośnika danych w analizie ryzyka, co powodowało, że odpowiednie środki bezpieczeństwa (np. szyfrowanie) nie były skutecznie wdrażane i egzekwowane
• poleganie na pracownikach w kwestii szyfrowania nośników przy braku monitoringu i weryfikacji przestrzegania procedur szyfrowania, co potencjalnie prowadzi do niewłaściwego zabezpieczenia danych
• pozwolenie na wynoszenie nośników danych poza firmę, mimo obowiązujących zasad zabezpieczeń, bez skutecznej kontroli i nadzoru
• brak faktycznego nadzoru nad zbiórką podpisów mimo deklaracji o istniejących wytycznych i instrukcjach, co podważa skuteczność stosowanych środków organizacyjnych
• brak możliwości identyfikacji wolontariuszy zbierających podpisy lub ich pełnej kontroli, co zwiększa ryzyko podszywania się pod osoby uprawnione do zbierania danych
• brak ustalenia podatności, która umożliwiła zdalne wyeksportowanie danych z serwera
• nieprzeprowadzanie regularnych aktualizacji systemu operacyjnego serwera i stanowisk roboczych oraz brak aktualizacji oprogramowania antywirusowego i zabezpieczającego infrastrukturę sieciową
• brak zarządzania i zabezpieczeń umożliwiających ochronę danych osobowych pracowników i klientów w infrastrukturze, gdzie doszło do incydentu
• brak skutecznego monitorowania sieci i oceny ryzyk
• nieprawidłowy proces usuwania danych z wniosków ratalnych, niepoparty dokumentacją i procedurami
• brak regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych służących bezpieczeństwu danych, w tym pod kątem podatności i błędów
• przechowywanie haseł dostępowych technicznych w niezaszyfrowanej bazie
• stosowanie procedur bezpieczeństwa w niewystarczającym zakresie
• brak wprowadzenia właściwych procedur
• wykorzystywanie aplikacji Whatsapp przy jednoczesnym braku wprowadzonej procedury regulującej zasady wnioskowania o przekazanie danych osobowych zgromadzonych w systemach teleinformatycznych
• niedostateczne zarządzanie kopią zapasową danych: kopie zapasowe były przechowywane na tym samym zainfekowanym serwerze i nie były testowane pod kątem przywrócenia danych
• brak pełnej ewidencji urządzeń i oprogramowania, co utrudniało zarządzanie bezpieczeństwem infrastruktury IT
• opóźnienia we wdrożeniu szkoleń i monitoringu pracowników w zakresie cyberbezpieczeństwa i ochrony danych osobowych
• brak wdrożenia środków organizacyjnych i technicznych w celu regularnego testowania, mierzenia i oceniania skuteczności środków zabezpieczających dane, zwłaszcza w zakresie podatności, błędów oraz działań minimalizujących ryzyko ich wystąpienia
• dopuszczenie podczas prac programistycznych nad przeniesieniem systemu R. na nowy serwer produkcyjny możliwości nieautoryzowanego wywoływania podstron panelu administratora w module I., która przypadkowo została wdrożona na serwer produkcyjny i nie została wykryta podczas testów
• brak opracowanej i wdrożonej procedury tworzenia i testowania kopii zapasowych systemów objętych przetwarzaniem danych, skutkujący bezpowrotną utratą danych
• brak skutecznego wdrożenia środków zabezpieczających
• brak regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, w szczególności w kontekście przenośnych komputerów
• brak jasno określonych i stosowanych procedur dotyczących przetwarzania danych osobowych poza siedzibą administratora
• niewłaściwe lub niepełne procedury w zakresie tworzenia i przechowywania kopii zapasowych danych, w tym brak możliwości szybkiego odtworzenia danych po incydencie
• niedostateczna weryfikacja systemów oraz brak wykonania audytu bezpieczeństwa, który mógłby wykryć i minimalizować błędy oraz podatności systemów informatycznych
• brak przeprowadzenia prawidłowej oceny poziomu ryzyka i odpowiednich środków bezpieczeństwa odpowiadających temu ryzyku
• wykorzystywanie systemu operacyjnego, który stracił wsparcie producenta i nie był wyposażony w aktualizacje bezpieczeństwa
• błędna i nierzetelna analiza ryzyka, w szczególności brak przewidzenia ryzyka związanego z używaniem nieaktualnego i niewspieranego oprogramowania serwera
• brak skutecznego i regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych
• niewystarczające procedury tworzenia i testowania kopii zapasowych: kopie zapasowe były wykonywane raz w tygodniu, serwer kopii zapasowych uległ awarii, kopie zapasowe zostały zaszyfrowane w ataku ransomware; brak możliwości szybkiego odtworzenia danych
• niedostateczna kontrola procesu aktualizacji oprogramowania i niezapewnienie jego regularnej aktualizacji, mimo że było to wskazane jako środek bezpieczeństwa w analizie ryzyka
• nieprawidłowo przeprowadzona analiza ryzyka, która nie uwzględniała wystarczająco ryzyka związanego z kradzieżą lub zagubieniem nośników danych, co skutkowało niewłaściwym doborem środków bezpieczeństwa
• niezastosowanie się pracowników do obowiązujących procedur dotyczących zabezpieczenia nośników danych przy wysyłce
• brak regularnego, skutecznego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych
• niewystarczające i nieregularne szkolenia pracowników w zakresie ochrony danych osobowych i stosowania procedur bezpieczeństwa
• błędna konfiguracja serwerów informatycznych podczas wdrażania pracy zdalnej
• niedostateczne zabezpieczenia IT, brak odpowiedniego audytu bezpieczeństwa
• nieprzeprowadzanie odpowiednich i regularnych testów penetracyjnych i audytów w celu wykrycia i eliminacji podatności systemu
• brak pełnej kontroli nad działaniami podmiotu przetwarzającego
• brak wdrożenia skutecznych środków technicznych, takich jak blokada portów USB, które zapobiegałyby używaniu nieautoryzowanych, prywatnych nośników danych
• mimo formalnych zakazów i posiadania procedur dotyczących prywatnych nośników nieprowadzenie odpowiedniego nadzoru nad przestrzeganiem tych zasad
• niedostateczne i niecykliczne szkolenia pracowników w zakresie ochrony danych osobowych i środków bezpieczeństwa przed wystąpieniem naruszenia
• brak ciągłego monitorowania skuteczności wdrożonych środków technicznych i organizacyjnych oraz brak ich aktualizacji i testowania
• nieprzestrzeganie określonych przez siebie zasad bezpieczeństwa zawartych w regulaminie użytkowania komputerów przenośnych
• brak regularnego testowania, mierzenia i oceniania skuteczności środków
• brak cyklicznych szkoleń pracowników
• brak systemu monitorowania służbowej poczty elektronicznej umożliwiającego kontrolę otwierania wiadomości lub kopiowania danych na prywatne sprzęty
• niewystarczająca weryfikacja przestrzegania procedur przez pracownika
• zezwalanie na otrzymywanie służbowej poczty na prywatnym sprzęcie, mimo że procedury tego zakazywały
• podłączenie urządzenia e-dozorca do głównej sieci LAN urzędu, co spowodowało rozprzestrzenienie się złośliwego oprogramowania na inne systemy
• wykorzystywanie dodatkowych systemów serwerowych pozbawionych wsparcia producenta
• brak skutecznej aktualizacji i migracji systemów operacyjnych do wersji wspieranych na czas (proces migracji rozpoczęto z dużym opóźnieniem)
• brak regularnego, skutecznego testowania, mierzenia i oceniania skuteczności środków
• nieskuteczna procedura tworzenia kopii zapasowych
• brak wykupionej usługi rozszerzonego wsparcia producenta dla używanych systemów, co ograniczało dostęp do zabezpieczeń
• brak regularnego, skutecznego testowania, mierzenia i oceniania skuteczności środków
• niewłaściwa analiza ryzyka – pierwotna analiza ryzyka nie uwzględniała ryzyka zaszyfrowania danych przez ransomware oraz ryzyka związanego z mechanizmem RDP (Remote Desktop Protocol)
• niewystarczająca procedura tworzenia kopii zapasowych – były wykonywane raz w tygodniu i brakowało testów ich poprawności i zdolności do odtworzenia danych
• używanie przestarzałego oprogramowania serwerowego (Windows Server 2012) bez odpowiednich aktualizacji po zakończeniu wsparcia producenta
• podatność serwera na atak przez RDP z powodu niewłaściwych ustawień rutera (przekierowanie portu natywnego) i brak zabezpieczeń testujących ten mechanizm
• brak blokady bezpośredniego dostępu do serwera
• brak konfiguracji białych list adresów
• brak blokowania ruchu zewnętrznego pod adresami plików źródłowych
• brak podwójnego uwierzytelniania
• brak migracji plików kopii zapasowych na zewnętrzne serwery z dodatkowymi blokadami
• brak reinstalacji serwerów i oprogramowania
• wdrożenie zmiany programistycznej (usługa archiwum cyfrowego), która polegała na utworzeniu dodatkowej bazy danych z rzeczywistymi danymi klientów, bez wcześniejszego przetestowania zabezpieczeń w fazie testowej i bez konsultacji z administratorem danych
• brak pełnej kontroli nad działaniami podmiotu przetwarzającego – jednostronna decyzja podmiotu przetwarzającego o zmianie
• brak procedur regularnego testowania, mierzenia i oceny skuteczności wdrożonych zabezpieczeń
• brak postanowienia zobowiązującego podmiot przetwarzający do przetwarzania danych wyłącznie na udokumentowane polecenie administratora
• błędy w zarządzaniu infrastrukturą hostingową
• niedopełnienie obowiązku nadzoru nad podmiotem przetwarzającym
• błędne działanie serwera po restarcie, w którego wyniku nastąpiło zresetowanie ustawień bezpieczeństwa przez podmiot przetwarzający, co spowodowało publiczne udostępnienie danych (doszło do otwarcia jednego z portów w zaporze sieciowej)
• przechowywanie haseł użytkowników w bazie danych w postaci otwartego tekstu, podczas gdy główna baza produkcyjna stosowała haszowanie
• niedostateczny nadzór nad podmiotem przetwarzającym, brak dostatecznej weryfikacji i zapewnienia stosowania przez niego środków adekwatnych do ryzyka
• brak regularnego, skutecznego testowania, mierzenia i oceniania skuteczności środków
• brak pełnej wiedzy i kontroli administratora nad uprawnieniami osób mających lub mogących mieć dostęp do systemu
• brak skutecznej oceny zabezpieczeń aplikacji i systemu oraz weryfikacji ich pod kątem podatności wykorzystanej do naruszenia
• analiza ryzyka nieuwzględniająca czynnika ludzkiego (lekkomyślności lub niedbalstwa pracowników)
• brak regularnego, skutecznego testowania, mierzenia i oceniania skuteczności środków
• brak uzyskania zgody i upoważnienia na przetwarzanie danych poza obszarem uczelni, co naruszyło procedury i zasady bezpieczeństwa
• niewdrożenie odpowiednich środków organizacyjnych, które zapobiegłyby przetwarzaniu danych na prywatnym sprzęcie, mimo istnienia procedur zakazujących takich praktyk
• niedostateczne działania w zakresie monitorowania i audytowania przestrzegania polityk ochrony danych
Analiza zebranych danych – zagrożenia
W ujęciu normy ISO 27001 zagrożenie oznacza potencjalną przyczynę niepożądanego zdarzenia, które może prowadzić do naruszenia bezpieczeństwa informacji. Jest nim każdy czynnik – techniczny, ludzki lub środowiskowy – który może spowodować utratę poufności, integralności lub dostępności przetwarzanych danych.
Po przeanalizowaniu decyzji Prezesa UODO przyporządkowaliśmy zidentyfikowane zagrożenia do odpowiednich kategorii normy ISO 27002, odpowiadających obszarom, w których doszło do incydentów bezpieczeństwa informacji.
Pierwszą ważną kategorią są incydenty związane ze złośliwym oprogramowaniem, odpowiadające zabezpieczeniu 8.7: ochrona przed malware. Obejmują one przede wszystkim ataki typu ransomware, które wykorzystywały zarówno podatności techniczne w systemach, jak i błędy użytkowników, takie jak otwieranie zainfekowanych załączników czy brak aktualizacji oprogramowania. Takie incydenty stwierdziliśmy trzynaście razy, co potwierdza ich istotny udział w strukturze naruszeń.
Drugą kategorią są incydenty o charakterze fizycznym, powiązane z zabezpieczeniami 7.10: nośniki informacji oraz 5.14: przenoszenie informacji. Zaliczamy tu zarówno kradzieże i zagubienia elektronicznych nośników danych, jak i utratę dokumentacji papierowej zawierającej dane osobowe. Incydenty tej kategorii wystąpiły łącznie aż piętnaście razy – najczęściej spośród wszystkich grup. Mimo postępującej cyfryzacji tradycyjne zagrożenia fizyczne pozostają więc jednym z głównych źródeł naruszeń.
Trzecią kategorię stanowią przypadki nieuprawnionego dostępu logicznego do systemów i danych, przypisane do zabezpieczenia 5.15: kontrola dostępu. Chodzi tu o sytuacje, w których osoby nieupoważnione uzyskiwały dostęp do informacji, w tym również o przypadki ich niezamierzonego upublicznienia. W analizowanym materiale odnotowaliśmy dziesięć takich zdarzeń, co potwierdza, że nadal pojawiają się problemy z właściwym zarządzaniem uprawnieniami oraz mechanizmami uwierzytelniania.
Analiza zebranych danych – podatności
Podatności to słabości organizacyjne i techniczne, które umożliwiają materializację zagrożeń, a w konsekwencji prowadzą do naruszeń ochrony danych osobowych. Ich analiza w odniesieniu do kategorii normy ISO 27002 pozwala precyzyjnie wskazać obszary, w których systemy zarządzania bezpieczeństwem informacji najczęściej zawodzą w praktyce.
Zidentyfikowane słabości koncentrują się wokół obszaru przypisanego do zabezpieczenia 8.8: zarządzanie podatnościami technicznymi oraz weryfikacja skuteczności zabezpieczeń. Wyróżniamy tu brak regularnych testów bezpieczeństwa, w tym testów penetracyjnych, oraz brak bieżącej oceny odporności systemów na zagrożenia, a także używanie nieaktualnego lub nieweryfikowanego oprogramowania. Odnotowanie trzydziestu sześciu przypadków w tej kategorii jednoznacznie wskazuje na systemowy problem z utrzymaniem bezpieczeństwa środowisk IT.
Drugą pod względem liczebności grupę stanowią podatności o charakterze zarządczym i proceduralnym. Braki w politykach bezpieczeństwa, niewystarczające egzekwowanie obowiązujących procedur oraz nieprawidłowo przeprowadzona analiza ryzyka odpowiadają łącznie za dwadzieścia pięć przypadków. Wynik ten potwierdza, że źródłem wielu naruszeń są niedojrzałe procesy zarządzania bezpieczeństwem informacji, a nie wyłącznie luki technologiczne.
Istotną rolę odgrywają również problemy techniczne związane z konfiguracją systemów oraz ochroną danych przy użyciu kryptografii. Do tej kategorii należą brak szyfrowania nośników danych oraz błędne ustawienia zabezpieczeń systemowych. W analizowanym materiale odnotowaliśmy dziewiętnaście takich przypadków. Oznacza to, że nawet podstawowe środki ochrony informacji nie są w wielu organizacjach stosowane konsekwentnie.
Kolejnym obszarem są podatności związane z relacjami z dostawcami i podmiotami przetwarzającymi dane. Brak weryfikacji bezpieczeństwa po stronie kontrahentów oraz niewystarczający nadzór nad realizowanymi przez nich procesami odpowiadają za jedenaście przypadków. Pokazuje to, że zarządzanie dostawcami nadal często odbywa się bez realnej kontroli poziomu zabezpieczeń.
Nie bez znaczenia pozostaje także czynnik ludzki. Niedostateczne przeszkolenie pracowników oraz poleganie na ich indywidualnej odpowiedzialności za zabezpieczania nośników danych odnotowaliśmy w dziesięciu przypadkach. Wyniki te wskazują na potrzebę stałego budowania świadomości bezpieczeństwa w codziennym funkcjonowaniu organizacji.
Analiza wykazała również braki w obszarze ciągłości działania, w szczególności niewłaściwe zarządzanie kopiami zapasowymi lub ich całkowity brak. Choć przypadki takich zaniedbań stanowią mniej liczną grupę, ich konsekwencje bywają szczególnie dotkliwe, zwłaszcza w razie ataków typu ransomware.
Podatności związane z bezpieczeństwem fizycznym oraz z pracą zdalną obejmują m.in. przetwarzanie danych na prywatnych urządzeniach, brak kontroli nad nośnikami informacji, a także niewłaściwy nadzór nad dokumentacją poza siedzibą organizacji. Ten obszar odpowiada za dziesięć przypadków. Potwierdza to, że granica między bezpieczeństwem IT a bezpieczeństwem fizycznym w praktyce nadal jest źródłem wielu problemów.
Całość dopełniają słabości w zakresie uwierzytelniania użytkowników, w tym brak mechanizmów wieloskładnikowych oraz niewłaściwe przechowywanie haseł, a także brak niezależnych audytów bezpieczeństwa informacji. Choć przypadki te występują rzadziej, świadczą o tym, że podstawowe mechanizmy kontroli nadal nie są standardem w każdej organizacji.
Podsumowanie
Przyporządkowanie podatności stwierdzonych przez Prezesa UODO do zabezpieczeń ISO/IEC 27002:2022 ukazuje spójny i powtarzalny obraz problemów występujących w organizacjach.
Podatności ogniskują się wokół obszaru zarządzania technicznym bezpieczeństwem systemów (zabezpieczenie 8.8), który odpowiada za niemal 30% wszystkich zidentyfikowanych przypadków. Wynika to przede wszystkim z braku systemowego podejścia do aktualizacji oprogramowania, testów bezpieczeństwa oraz monitorowania luk. Często organizacje wdrażają środki ochronne jednorazowo, ale zapominają o tym, by weryfikować ich skuteczność.
Znaczący udział mają również braki w warstwie zarządczej, w szczególności w zakresie polityk bezpieczeństwa i analizy ryzyka (20%). To potwierdza, że naruszenia rzadko są wyłącznie efektem ataku hakerskiego, a częściej – konsekwencją braku spójnego systemu zarządzania bezpieczeństwem informacji. Problemy konfiguracyjne i niewłaściwe stosowanie kryptografii dodatkowo zwiększają podatność środowisk IT na kompromitację danych.
Po stronie zagrożeń nie obserwujemy dominacji jednego wektora ataku. Incydenty cyfrowe, w tym ransomware, występują z podobną częstotliwością jak zdarzenia o charakterze fizycznym, takie jak utrata nośników, sprzętu lub dokumentacji. Uzupełniają je przypadki nieuprawnionego dostępu do systemów, często wynikające ze stosowania prostych haseł, braku MFA oraz nadmiernych uprawnień użytkowników.
Z perspektywy zarządzania cyberbezpieczeństwem wniosek jest jednoznaczny: skuteczna ochrona danych osobowych to dojrzały, ciągły proces, a nie jednorazowe wdrożenie technicznych. Priorytetami powinny być regularne testy zabezpieczeń, aktualność systemów, rzetelna analiza ryzyka, kontrola dostępu oraz dyscyplina w obszarze bezpieczeństwa fizycznego. Dopiero połączenie tych elementów ogranicza ryzyko wystąpienia naruszeń, które tak często są opisywane w orzecznictwie Prezesa UODO.