Wakacyjna promocja na szkolenia otwarte   Więcej      Bezpłatne webinary   Więcej          

Zarządzanie kryzysowe
w razie naruszenia ochrony
danych osobowych

Szacowanie

Kolejna decyzja Prezesa Urzędu Ochrony Danych Osobowych (UODO) nakładająca administracyjną karę pieniężną dała powód do podjęcia szerokiej dyskusji dotyczącej postępowania po wykryciu naruszenia ochrony danych osobowych. Warto zatem sprawdzić, jakie działania należy podjąć, aby odpowiednio zarządzać takimi naruszeniami.


Prezes UODO nałożył na Morele.net Sp. z o.o. karę pieniężną w wysokości 2,8 mln zł przede wszystkim za brak realizacji zasady poufności – a więc brak wystarczających zabezpieczeń.

Organizacja, która chce uniknąć podobnych incydentów, przede wszystkich powinna przeprowadzić dobrą analizę ryzyka (zadanie to może ułatwić nasze narzędzie: kalkulator analizy ryzyka dla zasobów przetwarzających dane osobowe).

Kluczowe mogą być także kroki podjęte już po wykryciu naruszenia, o czym poniżej.

W swojej decyzji Prezes UODO wskazuje, że firma Morele.net zawiadomiła organ nadzorczy o dwóch naruszeniach ochrony danych osobowych, które dotyczyły uzyskania przez osobę nieuprawnioną dostępu do bazy danych klientów sklepów internetowych prowadzonych przez tę spółkę. To zaniedbanie Prezes UODO uznał za rażące właśnie z powodu niepodjęcia odpowiednich działań zaradczych przez administratora danych w celu uniemożliwienia dostępu do danych osobowych klientów, mimo że spółka deklarowała monitorowanie systemu sieciowego i reagowania w systemie 24/7.

Cennym dla organizacji wnioskiem płynącym z omawianej decyzji Prezesa UODO jest to, że samego stwierdzenia naruszenia ochrony danych osobowych i wdrożenia w związku z tym odpowiednich procedur nie można uznać za podjęcie wystarczających działań.

Oczywiście organizacja musi posiadać procedury w zakresie bezpieczeństwa, dotyczące reagowania na zdarzenie, które może okazać się naruszeniem ochrony danych osobowych. Celem ich przyjęcia i stosowania jest jednak ujednolicenie podejścia do zarządzania naruszeniem ochrony danych osobowych w całej organizacji oraz przyspieszenie działań w przypadku, gdy administrator danych jest zobowiązany do szybkiego zgłoszenia zdarzenia (w terminie nie późniejszym niż 72 godziny).

Najistotniejszą część omawianej procedury stanowi opis etapów zarządzania naruszeniem – począwszy od jego wykrycia, a skończywszy na jego zarejestrowaniu w rejestrze naruszeń – oraz opis postępowania personelu organizacji. Procedura ta musi zostać zakomunikowana pracownikom, a jej zapisy powinny być cyklicznie przypominane.

 W takim razie jakie działania powinna podjąć organizacja, gdy dojdzie już do naruszenia?

Odpowiedź na to pytanie obrazuje poniższy schemat:

schemat

Na podstawie rozstrzygnięcia Prezesa UODO w sprawie Morele.net można zatem dojść do podstawowej konkluzji, że w zależności od okoliczności danego naruszenia koniecznie musimy podjąć działania w celu minimalizacji jego skutków, tzw. działania zaradcze.

Mówiąc obrazowo: budynek płonie, a my musimy podjąć decyzje, nie tylko czy ugasić samodzielnie pożar, czy zawiadomić straż pożarną (czyli określić, jakie sposoby postępowania będą w danej sytuacji efektywne), lecz także jak zapobiec rozprzestrzenianiu się pożaru, jak uratować zasoby znajdujące się w płonącym budynku i obiektach przylegających, a przede wszystkim jakie kroki podjąć w pierwszej kolejności, uwzględniając występujące ryzyko.

Przykład
Dochodzi do ataku hackerskiego. Co zrobić? Poniżej wskazujemy przykładowe działania:
- odłączenie sieci zewnętrznej od sieci wewnętrznej,
- zabezpieczenie logów z urządzeń aktywnych i systemów informatycznych,
- analiza i wykrycie punktu wejścia osób atakujących,
- zresetowanie wszystkich haseł do kont użytkowników,
- identyfikacja i analiza strat (materialnych i niematerialnych),
- zawiadomienie organów ścigania,
- poinformowanie wszystkich osób, których hasła i loginy zostały wykradzione, o sposobie postępowania w zaistniałej sytuacji,
- bieżące monitorowanie naruszenia, w tym monitorowanie ruchu sieciowego,
- postępowanie zgodnie z procedurą reagowania na niepożądane zdarzenia, takie jak nietypowy ruch sieciowy,
- wykonanie tzw. informatyki śledczej (własnymi siłami lub przez firmę zewnętrzną).

Nie wszystkie z powyższych czynności mogą być zrealizowane, jeśli nie zapewniono wcześniej odpowiednich możliwości technicznych. Oznacza to, że wdrożenie zabezpieczeń to nie tylko unikanie naruszenia, lecz także zapewnienie zdolności do skutecznej reakcji w razie jego wystąpienia.

Kolejny wniosek, jaki można wyciągnąć z decyzji dotyczącej Morele.net, jest taki, że administrator danych osobowych nie powinien podejmować jedynie minimalnych środków zaradczych, lecz wszelkie możliwe rozwiązania, w tym dostępne rozwiązania techniczne, w celu minimalizacji powstałego już naruszenia i jego skutków.

W przypadku Morele.net zabrakło m.in. zresetowania wszystkich haseł do kont użytkowników oraz faktycznego bieżącego monitorowania naruszenia, w tym monitorowania ruchu sieciowego (czyli działania zgodnie z procedurą monitorowania systemu sieciowego i reagowania w systemie 24/7).

Usługa DPIA

Doprowadziło to do tego, że spółka nie stwierdziła w czasie rzeczywistym zwiększonego ruchu na bramie sieciowej serwera, a w konsekwencji nie podjęła w tym czasie żadnych działań zaradczych w celu uniemożliwienia dostępu do danych około 2,2 mln osób fizycznych będących jej klientami.

Jak wskazał Prezes UODO, w stanie faktycznym sprawy Morele.net ryzyko dotyczyło zagrożenia polegającego na zastosowaniu metody zwanej phishingiem, mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego, poprzez podszycie się pod spółkę w wiadomościach SMS i wykorzystanie faktu dokonania zamówienia przez klienta. Ryzyko to, jak już wiemy, nie zostało ocenione w sposób prawidłowy.

W związku z powyższym przy podejmowaniu działań zaradczych/naprawczych po wystąpieniu naruszenia ochrony danych nie możemy zapomnieć również o przeprowadzeniu analizy ryzyka. W 2013 r. Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), we współpracy z organami ochrony danych Grecji i Niemiec, opracowała metodologię oceny stopnia naruszenia ochrony danych (jest ona dostępna na stronie internetowej ENISA).

Zaproponowała w niej trzy główne kryteria: kontekst przetwarzania danych (KPD), łatwość identyfikacji osoby, której dane dotyczą (ŁI), okoliczności naruszenia mające dodatkowy wpływ na powagę (dotkliwość) naruszenia (ON). Pamiętajmy również o tym, że w ciągu 72 godzin należy powiadomić Prezesa UODO o zaistniałym naruszeniu.

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Adw. Anna Dmochowska
15 stycznia 2020

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się