Zarządzanie kryzysowe w razie wystąpienia naruszenia ochrony danych osobowych – przykład Morele.net

Kolejna decyzja Prezesa Urzędu Ochrony Danych Osobowych (UODO) nakładająca administracyjną karę pieniężną dała powód do podjęcia szerokiej dyskusji dotyczącej postępowania po wykryciu naruszenia ochrony danych osobowych. Warto zatem sprawdzić, jakie działania należy podjąć, aby odpowiednio zarządzać takimi naruszeniami.

Kluczowe mogą być także kroki podjęte już po wykryciu naruszenia, o czym poniżej.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
W swojej decyzji Prezes UODO wskazuje, że firma Morele.net zawiadomiła organ nadzorczy o dwóch naruszeniach ochrony danych osobowych, które dotyczyły uzyskania przez osobę nieuprawnioną dostępu do bazy danych klientów sklepów internetowych prowadzonych przez tę spółkę. To zaniedbanie Prezes UODO uznał za rażące właśnie z powodu niepodjęcia odpowiednich działań zaradczych przez administratora danych w celu uniemożliwienia dostępu do danych osobowych klientów, mimo że spółka deklarowała monitorowanie systemu sieciowego i reagowania w systemie 24/7.

Cennym dla organizacji wnioskiem płynącym z omawianej decyzji Prezesa UODO jest to, że samego stwierdzenia naruszenia ochrony danych osobowych i wdrożenia w związku z tym odpowiednich procedur nie można uznać za podjęcie wystarczających działań.

Oczywiście organizacja musi posiadać procedury w zakresie bezpieczeństwa, dotyczące reagowania na zdarzenie, które może okazać się naruszeniem ochrony danych osobowych. Celem ich przyjęcia i stosowania jest jednak ujednolicenie podejścia do zarządzania naruszeniem ochrony danych osobowych w całej organizacji oraz przyspieszenie działań w przypadku, gdy administrator danych jest zobowiązany do szybkiego zgłoszenia zdarzenia (w terminie nie późniejszym niż 72 godziny).

Najistotniejszą część omawianej procedury stanowi opis etapów zarządzania naruszeniem – począwszy od jego wykrycia, a skończywszy na jego zarejestrowaniu w rejestrze naruszeń – oraz opis postępowania personelu organizacji. Procedura ta musi zostać zakomunikowana pracownikom, a jej zapisy powinny być cyklicznie przypominane.

 W takim razie jakie działania powinna podjąć organizacja, gdy dojdzie już do naruszenia?

Odpowiedź na to pytanie obrazuje poniższy schemat:

schemat

Na podstawie rozstrzygnięcia Prezesa UODO w sprawie Morele.net można zatem dojść do podstawowej konkluzji, że w zależności od okoliczności danego naruszenia koniecznie musimy podjąć działania w celu minimalizacji jego skutków, tzw. działania zaradcze.

Mówiąc obrazowo: budynek płonie, a my musimy podjąć decyzje, nie tylko czy ugasić samodzielnie pożar, czy zawiadomić straż pożarną (czyli określić, jakie sposoby postępowania będą w danej sytuacji efektywne), lecz także jak zapobiec rozprzestrzenianiu się pożaru, jak uratować zasoby znajdujące się w płonącym budynku i obiektach przylegających, a przede wszystkim jakie kroki podjąć w pierwszej kolejności, uwzględniając występujące ryzyko.

Przykład:
Dochodzi do ataku hackerskiego. Co zrobić? Poniżej wskazujemy przykładowe działania: - odłączenie sieci zewnętrznej od sieci wewnętrznej,
- zabezpieczenie logów z urządzeń aktywnych i systemów informatycznych,
- analiza i wykrycie punktu wejścia osób atakujących,
- zresetowanie wszystkich haseł do kont użytkowników,
- identyfikacja i analiza strat (materialnych i niematerialnych),
- zawiadomienie organów ścigania,
- poinformowanie wszystkich osób, których hasła i loginy zostały wykradzione, o sposobie postępowania w zaistniałej sytuacji,
- bieżące monitorowanie naruszenia, w tym monitorowanie ruchu sieciowego,
- postępowanie zgodnie z procedurą reagowania na niepożądane zdarzenia, takie jak nietypowy ruch sieciowy,
- wykonanie tzw. informatyki śledczej (własnymi siłami lub przez firmę zewnętrzną).

Nie wszystkie z powyższych czynności mogą być zrealizowane, jeśli nie zapewniono wcześniej odpowiednich możliwości technicznych. Oznacza to, że wdrożenie zabezpieczeń to nie tylko unikanie naruszenia, lecz także zapewnienie zdolności do skutecznej reakcji w razie jego wystąpienia.

Kolejny wniosek, jaki można wyciągnąć z decyzji dotyczącej Morele.net, jest taki, że administrator danych osobowych nie powinien podejmować jedynie minimalnych środków zaradczych, lecz wszelkie możliwe rozwiązania, w tym dostępne rozwiązania techniczne, w celu minimalizacji powstałego już naruszenia i jego skutków.

W przypadku Morele.net zabrakło m.in. zresetowania wszystkich haseł do kont użytkowników oraz faktycznego bieżącego monitorowania naruszenia, w tym monitorowania ruchu sieciowego (czyli działania zgodnie z procedurą monitorowania systemu sieciowego i reagowania w systemie 24/7).

RODO. Wspracie się przydaje!

Doprowadziło to do tego, że spółka nie stwierdziła w czasie rzeczywistym zwiększonego ruchu na bramie sieciowej serwera, a w konsekwencji nie podjęła w tym czasie żadnych działań zaradczych w celu uniemożliwienia dostępu do danych około 2,2 mln osób fizycznych będących jej klientami.

Jak wskazał Prezes UODO, w stanie faktycznym sprawy Morele.net ryzyko dotyczyło zagrożenia polegającego na zastosowaniu metody zwanej phishingiem, mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego, poprzez podszycie się pod spółkę w wiadomościach SMS i wykorzystanie faktu dokonania zamówienia przez klienta. Ryzyko to, jak już wiemy, nie zostało ocenione w sposób prawidłowy.

W związku z powyższym przy podejmowaniu działań zaradczych/naprawczych po wystąpieniu naruszenia ochrony danych nie możemy zapomnieć również o przeprowadzeniu analizy ryzyka. W 2013 r. Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), we współpracy z organami ochrony danych Grecji i Niemiec, opracowała metodologię oceny stopnia naruszenia ochrony danych (jest ona dostępna na stronie internetowej ENISA).

Zaproponowała w niej trzy główne kryteria: kontekst przetwarzania danych (KPD), łatwość identyfikacji osoby, której dane dotyczą (ŁI), okoliczności naruszenia mające dodatkowy wpływ na powagę (dotkliwość) naruszenia (ON). Pamiętajmy również o tym, że w ciągu 72 godzin należy powiadomić Prezesa UODO o zaistniałym naruszeniu.

Czytaj także:

Szkolenie RODO od podstaw

Szkolenie dla osób, które zaczynają swoją „przygodę” z RODO i z funkcją inspektora ochrony danych.

Zobacz więcej
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".