Dawno temu…w KSSiP
Do nieuprawnionego dostępu do bazy danych KSSiP doszło 21 lutego bieżącego roku. Tym niemniej Szkoła dowiedziała się o tym dopiero 7 kwietnia…od Policji, mimo że w pewnych serwisach internetowych (również zagranicznych) dane były obecne podobno już 2 kwietnia. Pojawiające się w mediach wypowiedzi sędziów i prokuratorów wskazują, że maile z zawiadomieniem o naruszeniu otrzymali oni od KSSiP w Wielką Sobotę w godzinach wieczornych (11 kwietnia).
Przypomnijmy, że na gruncie art. 34 ust. 1 RODO, 1. jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest do niezwłocznego powiadomienia o tym tych osób, co miało miejsce w niniejszej sprawie. Przedmiotowe dane, które pojawiły się w internecie obejmowały imiona i nazwiska, numery telefonów, adresy e-mail, adresy zamieszkania, miejsca pracy oraz ich adresy, hasła i numery różnego rodzaju komunikatorów. Co więcej, Dyrektor KSSiP nie wyklucza, że w grę wchodzi również ujawnienie numerów PESEL, jednak ta okoliczność jest wciąż weryfikowana. Przyczyną incydentu najprawdopodobniej okazuje się nieodpowiednio przeprowadzona migracja systemu platformy szkoleniowej. Za realizację tego procesu odpowiedzialny był zewnętrzny podmiot, z którym Szkoła współpracowała w zakresie zarządzania zasobami serwerowymi.
Czy między powyższymi stronami doszło do zawarcia odpowiedniej umowy powierzenia przetwarzania danych osobowych – nie wiadomo. Z komunikatów KSSiP wynika, że organizacja nie czuje się odpowiedzialna za zaistniałe naruszenie, a wręcz przeciwnie - ocenia obecnie swój status jako pokrzywdzonego. Dyrektor jednostki – sędzia Małgorzata Manowska w jednym z oficjalnych komunikatów stwierdza, że Szkoła jest podmiotem, który zawsze podejmuje wszelkie działania z dbałością o ochronę danych osobowych, jednak skuteczność tych działań nie zależy tylko od niej. Czy takie stanowisko można uznać za słuszne? Zważywszy, że Krajowa Szkoła Sądownictwa i Prokuratury, będąc w świetle RODO administratorem udostępnionych danych osobowych, odpowiada za wybór i weryfikację podmiotów, którym powierza dane, na powyższe pytanie należy odpowiedzieć negatywnie. Prezes UODO będzie mógł nałożyć na Szkołę sankcje przewidziane dla administratorów przez Rozporządzenie.
Zaufany podmiot przetwarzający?
Abstrahując od powyższego warto pochylić się nad dotychczasowym działaniem systemu ochrony danych osobowych w KSSiP. Na pierwszy rzut oka wydawać by się mogło, że administrator dołożył należytej staranności, przynajmniej w zakresie kontroli i przeaudytowania systemów informatycznego oraz bezpieczeństwa informacji. Audyt bezpieczeństwa tych właśnie obszarów jesienią ubiegłego roku Szkoła zleciła wrocławskiej spółce Test Army Group. Zamierzeniem audytu miała być identyfikacja potencjalnych zagrożeń i nieprawidłowości, jak również bezpieczeństwa przetwarzania danych i zgodności z aktualnie obowiązującymi przepisami. Powyższe potwierdziła sama spółka, zastrzegając jednak, że dokonanej przez nią kontroli nie podlegała materia migracji danych.
Odnosząc się zaś do wykonawcy hostingu serwerów, Dyrektor Manowska wskazuje, że został wybrany w przetargu publicznym, dodając, że również ta firma przeszła audyt oraz została odpowiednio sprawdzona przed uzyskaniem dostępu do systemów Szkoły.
Jakie ryzyko?
Kwestią bezdyskusyjną jest, że nieuprawniony dostęp i bezpodstawne upublicznienie danych osobowych jest naruszeniem plasującym się w czołówce rankingu niebezpieczeństwa potencjalnych konsekwencji zagrażających osobom fizycznym. Nie sposób jednak zaprzeczyć, że inna jest skala wycieku danych użytkowników serwisu społecznościowego czy sklepu internetowego, a inna sędziów i prokuratorów, którzy – delikatnie mówiąc – nie cieszą się sympatią wśród, niejednokrotnie groźnych, przestępców. a zatem, poza typowymi dla tego rodzaju incydentów zagrożeniami związanymi z wykorzystaniem danych osób fizycznych, m.in: uzyskiwaniem pożyczek w instytucjach pozabankowych, uzyskaniem wglądu do danych o stanie zdrowia, zawarciem umów cywilnoprawnych czy zakładaniem kont na mediach społecznościowych - zaistniałe naruszenie może stanowić realne niebezpieczeństwo dla zdrowia oraz życia nie tylko wskazanych prawników, ale również ich najbliższych.
Podejrzany zatrzymany
Mężczyzna podejrzany o bezpośrednie przyczynienie się do wycieku został zatrzymany. Może być mu postawiony zarzut udostępnienia danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym Krajowej Szkoły Sądownictwa i Prokuratury w Krakowie, który to czyn zagrożony jest karą pozbawienia wolności od 3 miesięcy do lat 5. Prokuratura nie wyklucza także zatrzymania kolejnych podejrzanych.
Bezpieczeństwo IT niesłusznie pomijane
Doświadczenia wielu firm doradczych z obszaru IT jednoznacznie wskazują, że w procesie wdrażania, utrzymania i rozwoju systemów informatycznych, tematyka ogólnie rozumianego bezpieczeństwa IT jest nadal lekceważona lub wręcz całkowicie pomijana. Czy w czasach, kiedy wprowadzane są coraz to nowsze i bardziej restrykcyjne regulacje dotyczące ochrony informacji, organizacje mogą pozwolić sobie na pomijanie bezpieczeństwa informacji? Informacji, która jest kapitałem, jednym z ważniejszych pośród wszystkich aktywów i bez wątpienia niezbędnym do prowadzenia działalności. Wyciek danych czy niedostępność systemu świadczącego usługi krytyczne dla biznesu, bez względu na formę, zawsze będzie przyczyniał się do powstawania poważnych problemów w organizacji, a nawet do upadłości firmy. Dlatego niezwykle ważne jest zapewnienie odpowiednio wysokiego poziomu bezpieczeństwa, który wynikać będzie z analizy ryzyka związanego z budowanym lub rozwijanym systemem oraz prawdopodobieństwem ich urzeczywistnienia się.
Jak minimalizować ryzyko utraty danych?
Każde ryzyko może zostać wyliczone, posiada ono swoją wartość, którą organizacja traktująca priorytetowo bezpieczeństwo powinna uwzględnić w prowadzonej działalności. W praktyce oznacza to, że koszt zarządzania ryzykiem i ewentualnych strat w przypadku jego urzeczywistnienia się powinien zostać porównany z możliwościami finansowymi organizacji i w zależności od wyniku powinna powstać dedykowana strategia.
Czynnikami, które definiują bezpieczne systemy są:
- dostępność,
- integralność,
- poufność,
- rozliczalności i niezaprzeczalność.
Bezpłatna wiedza o RODO.
Korzystaj do woli!
Załóżmy, że wewnętrzne systemy zarządzania bezpieczeństwem informacji nie dadzą organizacji pewności, że posiadane aktywa będą miały wysoki poziom bezpieczeństwa – nie da się za ich pomocą przewidzieć intencji dostawcy realizującego usługi np. migracji systemu, a tym bardziej podczas testowej migracji. Analizując przypadek ostatniej migracji w KSSIP dojdziemy do wniosku, że poprawnie utrzymywany i stale rozwijany system bezpieczeństwa informacji dałby kilkukrotnie szanse na zminimalizowanie ryzyka, że podczas tego procesu dojdzie do niepożądanego i niezaplanowanego zdarzenia. Oto kilka czynności minimalizujące ryzyko wycieku:
- dane przetwarzane w migrowanej aplikacji mogłyby być zanonimizowane,
- testowa migracja nie odbywałaby się z użyciem danych produkcyjnych,
- sam proces migracji odbywałby się w środowisku bez dostępu do Internetu,
- proces migracji byłby dokładnie przeanalizowany w systemie zarządzania zmianą, a następnie realizowany krok po kroku pod nadzorem pracownika KSSIP.
Być może wystarczyłaby sama świadomość jakie dane są przetwarzane w migrowanym systemie, aby zostały one wyłączone z zakresu zleconego firmie zewnętrznej. Fakt, że dostawca „legitymował się najwyższymi certyfikatami bezpieczeństwa” jak to miało miejsce w przypadku KSSIP dowodzi, że transfer ryzyka na inny podmiot, nie jest prawidłowym działaniem dla niepoprawnie zidentyfikowanego ryzyka.
Tak długo, jak tworzone przez lata standardy bezpieczeństwa informacji pozostaną standardami tylko na papierze i nie będą uwzględniane przy budowie i rozwoju systemów IT, tak długo będziemy świadkami coraz bardziej spektakularnych wycieków informacji, których konsekwencji trudno przewidzieć.