Wakacyjna promocja na szkolenia otwarte   Więcej      Bezpłatne webinary   Więcej          

Wyciek danych sędziów i prokuratorów.
Czy incydent był nieunikniony?

Wyciek

W minionym czasie media z prędkością światła obiegła informacja o publicznym udostępnieniu szerokiego zakresu danych osobowych tysięcy sędziów, prokuratorów oraz innych pracowników Krajowej Szkoły Sądownictwa i Prokuratury w Krakowie. Doniesienia prasowe wskazują, że problem może dotyczyć niemal 51 tysięcy osób (sic!).

Co tak naprawdę wydarzyło się w KSSiP i jak można zaradzić tego typu incydentom?

Dawno temu…w KSSiP

Do nieuprawnionego dostępu do bazy danych KSSiP doszło 21 lutego bieżącego roku. Tym niemniej Szkoła dowiedziała się o tym dopiero 7 kwietnia…od Policji, mimo że w pewnych serwisach internetowych (również zagranicznych) dane były obecne podobno już 2 kwietnia. Pojawiające się w mediach wypowiedzi sędziów i prokuratorów wskazują, że maile z zawiadomieniem o naruszeniu otrzymali oni od KSSiP w Wielką Sobotę w godzinach wieczornych (11 kwietnia).

Przypomnijmy, że na gruncie art. 34 ust. 1 RODO, 1. jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest do niezwłocznego powiadomienia o tym tych osób, co miało miejsce w niniejszej sprawie.  Przedmiotowe dane, które pojawiły się w internecie obejmowały imiona i nazwiska, numery telefonów, adresy e-mail, adresy zamieszkania, miejsca pracy oraz ich adresy, hasła i numery różnego rodzaju komunikatorów. Co więcej, Dyrektor KSSiP nie wyklucza, że w grę wchodzi również ujawnienie numerów PESEL, jednak ta okoliczność jest wciąż weryfikowana. Przyczyną incydentu najprawdopodobniej okazuje się nieodpowiednio przeprowadzona migracja systemu platformy szkoleniowej. Za realizację tego procesu odpowiedzialny był zewnętrzny podmiot, z którym Szkoła współpracowała w zakresie zarządzania zasobami serwerowymi.

Czy między powyższymi stronami doszło do zawarcia odpowiedniej umowy powierzenia przetwarzania danych osobowych – nie wiadomo. Z komunikatów KSSiP wynika, że organizacja nie czuje się odpowiedzialna za zaistniałe naruszenie, a wręcz przeciwnie - ocenia obecnie swój status jako pokrzywdzonego. Dyrektor jednostki – sędzia Małgorzata Manowska w jednym z oficjalnych komunikatów stwierdza, że Szkoła jest podmiotem, który zawsze podejmuje wszelkie działania z dbałością o ochronę danych osobowych, jednak skuteczność tych działań nie zależy tylko od niej. Czy takie stanowisko można uznać za słuszne? Zważywszy, że Krajowa Szkoła Sądownictwa i Prokuratury, będąc w świetle RODO administratorem udostępnionych danych osobowych, odpowiada za wybór i weryfikację podmiotów, którym powierza dane, na powyższe pytanie należy odpowiedzieć negatywnie. Prezes UODO będzie mógł nałożyć na Szkołę sankcje przewidziane dla administratorów przez Rozporządzenie.

Zaufany podmiot przetwarzający?

Abstrahując od powyższego warto pochylić się nad dotychczasowym działaniem systemu ochrony danych osobowych w KSSiP. Na pierwszy rzut oka wydawać by się mogło, że administrator dołożył należytej staranności, przynajmniej w zakresie kontroli i przeaudytowania systemów informatycznego oraz bezpieczeństwa informacji. Audyt bezpieczeństwa tych właśnie obszarów jesienią ubiegłego roku Szkoła zleciła wrocławskiej spółce Test Army Group. Zamierzeniem audytu miała być identyfikacja potencjalnych zagrożeń i nieprawidłowości, jak również bezpieczeństwa przetwarzania danych i zgodności z aktualnie obowiązującymi przepisami. Powyższe potwierdziła sama spółka, zastrzegając jednak, że dokonanej przez nią kontroli nie podlegała materia migracji danych.

Odnosząc się zaś do wykonawcy hostingu serwerów, Dyrektor Manowska wskazuje, że został wybrany w przetargu publicznym, dodając, że również ta firma przeszła audyt oraz została odpowiednio sprawdzona przed uzyskaniem dostępu do systemów Szkoły.

Jakie ryzyko?

Kwestią bezdyskusyjną jest, że nieuprawniony dostęp i bezpodstawne upublicznienie danych osobowych jest naruszeniem plasującym się w czołówce rankingu niebezpieczeństwa potencjalnych konsekwencji zagrażających osobom fizycznym. Nie sposób jednak zaprzeczyć, że inna jest skala wycieku danych użytkowników serwisu społecznościowego czy sklepu internetowego, a inna sędziów i prokuratorów, którzy – delikatnie mówiąc – nie cieszą się sympatią wśród, niejednokrotnie groźnych, przestępców. a zatem, poza typowymi dla tego rodzaju incydentów zagrożeniami związanymi z wykorzystaniem danych osób fizycznych, m.in: uzyskiwaniem pożyczek w instytucjach pozabankowych, uzyskaniem wglądu do danych o stanie zdrowia, zawarciem umów cywilnoprawnych czy zakładaniem kont na mediach społecznościowych - zaistniałe naruszenie może stanowić realne niebezpieczeństwo dla zdrowia oraz życia nie tylko wskazanych prawników, ale również ich najbliższych.

Usługa DPIA

Podejrzany zatrzymany

Mężczyzna podejrzany o bezpośrednie przyczynienie się do wycieku został zatrzymany. Może być mu postawiony zarzut udostępnienia danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym Krajowej Szkoły Sądownictwa i Prokuratury w Krakowie, który to czyn zagrożony jest karą pozbawienia wolności od 3 miesięcy do lat 5. Prokuratura nie wyklucza także zatrzymania kolejnych podejrzanych.

Bezpieczeństwo IT niesłusznie pomijane

Doświadczenia wielu firm doradczych z obszaru IT jednoznacznie wskazują, że w procesie wdrażania, utrzymania i rozwoju systemów informatycznych, tematyka ogólnie rozumianego bezpieczeństwa IT jest nadal lekceważona lub wręcz całkowicie pomijana. Czy w czasach, kiedy wprowadzane są coraz to nowsze i bardziej restrykcyjne regulacje dotyczące ochrony informacji, organizacje mogą pozwolić sobie na pomijanie bezpieczeństwa informacji? Informacji, która jest kapitałem, jednym z ważniejszych pośród wszystkich aktywów i bez wątpienia niezbędnym do prowadzenia działalności. Wyciek danych czy niedostępność systemu świadczącego usługi krytyczne dla biznesu, bez względu na formę, zawsze będzie przyczyniał się do powstawania poważnych problemów w organizacji, a nawet do upadłości firmy. Dlatego niezwykle ważne jest zapewnienie odpowiednio wysokiego poziomu bezpieczeństwa, który wynikać będzie z analizy ryzyka związanego z budowanym lub rozwijanym systemem oraz prawdopodobieństwem ich urzeczywistnienia się.

Jak minimalizować ryzyko utraty danych?

Każde ryzyko może zostać wyliczone, posiada ono swoją wartość, którą organizacja traktująca priorytetowo bezpieczeństwo powinna uwzględnić w prowadzonej działalności. W praktyce oznacza to, że koszt zarządzania ryzykiem i ewentualnych strat w przypadku jego urzeczywistnienia się powinien zostać porównany z możliwościami finansowymi organizacji i w zależności od wyniku powinna powstać dedykowana strategia.

Czynnikami, które definiują bezpieczne systemy są:

  • dostępność,
  • integralność,
  • poufność,
  • rozliczalności i niezaprzeczalność.

Oczywiście czynniki te należy rozpatrywać indywidualnie dla każdego wdrażanego czy utrzymywanego systemu. To właśnie z analizy ryzyka wynikać będzie jakie koszty są niezbędne w celu zapewnienia dostępności czy poufności danego systemu na wymaganym poziomie. W tym miejscu jednak kończy się teoria. Nie przyniesie wymiernych korzyści najlepiej zorganizowany system zarządzania bezpieczeństwem informacji, z metodycznym systemem zarządzania ryzykiem, jeśli organizacja nie będzie faktycznie realizować celów jakie sobie wyznaczyła powołując ten system do życia. Niezwykle często działania podejmowane przez firmy dla realizacji założeń systemu zarządzania bezpieczeństwem postrzegane są negatywnie, ponieważ wpływają na płynność procesów, wydajność oraz koszty wdrażania nowych rozwiązań. W efekcie dochodzi do wybierania drogi na skróty, omijania procedur i urzeczywistnianiu się ryzyka, którego prawdopodobieństwo wystąpienia w normalnych okolicznościach było niewielkie. Dlatego należy położyć szczególny nacisk na fakt, by polityki i procedury bezpieczeństwa tworzące SZBI, a przez to sam system, były monitorowane, przeglądane, utrzymywane i stale doskonalone w kontekście prowadzonej działalności i dotyczącego jej ryzyka.

Strefa RODO

Załóżmy, że wewnętrzne systemy zarządzania bezpieczeństwem informacji nie dadzą organizacji pewności, że posiadane aktywa będą miały wysoki poziom bezpieczeństwa – nie da się za ich pomocą przewidzieć intencji dostawcy realizującego usługi np. migracji systemu, a tym bardziej podczas testowej migracji. Analizując przypadek ostatniej migracji w KSSIP dojdziemy do wniosku, że poprawnie utrzymywany i stale rozwijany system bezpieczeństwa informacji dałby kilkukrotnie szanse na zminimalizowanie ryzyka, że podczas tego procesu dojdzie do niepożądanego i niezaplanowanego zdarzenia. Oto kilka czynności minimalizujące ryzyko wycieku:

  • dane przetwarzane w migrowanej aplikacji mogłyby być zanonimizowane,
  • testowa migracja nie odbywałaby się z użyciem danych produkcyjnych,
  • sam proces migracji odbywałby się w środowisku bez dostępu do Internetu,
  • proces migracji byłby dokładnie przeanalizowany w systemie zarządzania zmianą, a następnie realizowany krok po kroku pod nadzorem pracownika KSSIP.

Być może wystarczyłaby sama świadomość jakie dane są przetwarzane w migrowanym systemie, aby zostały one wyłączone z zakresu zleconego firmie zewnętrznej. Fakt, że dostawca „legitymował się najwyższymi certyfikatami bezpieczeństwa” jak to miało miejsce w przypadku KSSIP dowodzi, że transfer ryzyka na inny podmiot, nie jest prawidłowym działaniem dla niepoprawnie zidentyfikowanego ryzyka.

Tak długo, jak tworzone przez lata standardy bezpieczeństwa informacji pozostaną standardami tylko na papierze i nie będą uwzględniane przy budowie i rozwoju systemów IT, tak długo będziemy świadkami coraz bardziej spektakularnych wycieków informacji, których konsekwencji trudno przewidzieć.

Autorzy:
R. pr. Joanna Ożóg, specjalista ds. ochrony danych w ODO 24 sp. z o.o.
Cezary Bartsch, konsultant ds. bezpieczeństwa IT w jtendo sp. z o.o.

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Zespół
ODO 24

05 czerwca 2020

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się