CyberbezpieczeństwoPolecane tematy

Krytyczne 72 godziny

Bez współpracy pomiędzy światem IT a światem doradców prawnych nie ma jakichkolwiek szans na dotrzymanie terminu 72 godzin na zgłoszenie naruszenia, wynikającego z przepisów RODO.

Krytyczne 72 godziny

Najważniejsze informacje

  • Obszar zarządzania naruszeniami ochrony danych osobowych nie będzie prawidłowo funkcjonował bez wsparcia i zaangażowania działów IT, bezpieczeństwa.
  • Pracownicy działów IT nie sygnalizują o podejrzeniu naruszenia ochrony danych osobowych, ponieważ w pierwszej kolejności ustalają szczegóły zdarzenia, potem informują o inspektora ochrony danych.
  • Jest to podejście błędne, ponieważ prowadzi do przekroczenia terminu krytycznych 72 godzin.
  • O tym, że komunikacja kuleje świadczy pusty rejestr naruszeń ochrony danych osobowych prowadzonym przez administratora. Po blisko 3 latach stosowania RODO, jest bardzo mało prawdopodobne, aby rejestr był wciąż pusty.
  • Prawnik musi zapytać na etapie wypełniania dokumentów wewnętrznych  o opis zdarzenia, ilu osób zdarzenie mogło dotyczyć, jaki był zakres danych, jakie środki techniczne i organizacyjne stosuje organizacja dla zapewnienia bezpieczeństwa, i jakie zastosowano w celu zminimalizowana ryzyka ponownego naruszenia

Przewidziany w przepisach RODO wymóg zgłoszenia naruszenia ochrony danych osobowych w ciągu 72 godzin od jego stwierdzenia pokazuje tym samym dobitnie, że są takie obszary działania przedsiębiorstwa (administratora), które nie tylko potrzebują „uszytych na miarę” procedur, szkoleń, inwestycji w infrastrukturę, ale także efektywnego dialogu pomiędzy działem IT a inspektorem ochrony danych, czy też prawnikami wyspecjalizowanymi w doradztwie z zakresu ochrony danych osobowych.

Bezpośrednią inspiracją do napisania tego artykułu jest doświadczenie autorów w obszarze obsługi niemalże kilkuset naruszeń ochrony danych osobowych w okresie ostatnich 3 lat, a także głośne decyzje Prezesa Urzędu Ochrony Danych Osobowych nakładające administracyjne kary pieniężne na przedsiębiorstwa, które nie wdrożyły odpowiednich zabezpieczeń systemów informatycznych lub spóźniły się z reakcją na naruszenie ochrony danych osobowych.

Kluczem jest informacja

Wiedza oraz doświadczenie w zakresie obsługi incydentów bezpieczeństwa danych osobowych pracowników lub doradcy prawnego administratora, decydują o tym, czy konkretne zdarzenie zostanie prawidłowo zakwalifikowane jako naruszenie ochrony danych osobowych w rozumieniu przepisów RODO. Przyznać przy tym trzeba, że jest do zadanie niezwykle trudne. Oceniając konkretne zdarzenie nie można bowiem polegać na swojej subiektywnej opinii, lecz dla przyjętej kwalifikacji należy znaleźć uzasadnienie w przepisach prawa oraz praktyce Prezesa UODO. Pozostawiając na boku samą definicję naruszenia ochrony danych osobowych, a skupiając się jedynie na aspekcie praktycznym omawianego zagadnienia, zwracamy uwagę, że prawidłowa identyfikacja i reakcja na naruszenie ochrony danych osobowych jest dopiero możliwa, gdy incydent zostanie administratorowi zgłoszony. Twierdzenie banalne, ale jakże istotne z perspektywy zachowania krytycznego terminu 72 godzin na zgłoszenie naruszenia. Z rozmów z działami IT dowiadujemy się, że pracownicy tych działów nie sygnalizują o podejrzeniu naruszenia ochrony danych osobowych, ponieważ w pierwszej kolejności z aptekarską dokładnością ustalają szczegóły zdarzenia, potem natomiast informują o nim inspektora ochrony danych albo inną osobę wyznaczoną ds. danych osobowych, czy też sytuacji kryzysowych. Jest to podejście błędne, ponieważ prowadzi do przekroczenia terminu krytycznych 72 godzin, a jak wiadomo terminy w urzędach to rzecz święta. Reakcja na podejrzenie naruszenia ochrony danych osobowych powinna być odmienna. Oznacza to, że specjaliści z zakresu danych osobowych (np. inspektor ochrony danych, wyspecjalizowani doradcy prawni) powinni zostać włączeni w ocenę zdarzenia (potencjalnego naruszenia ochrony danych osobowych) od razu po jego zidentyfikowaniu. Innymi słowy, przepływ informacji pomiędzy światem IT a światem doradców prawnych powinien nastąpić natychmiastowo.

Dlaczego przepływ informacji jest tak ważny?

Zdarzenia, które dla pracowników IT mogą wydawać się błahe, dla doradców prawnych mogą stanowić naruszenie prawa do prywatności, a co za tym idzie naruszenie przepisów RODO. Podchodząc jednak do tematu już całkiem poważnie, zawracamy uwagę, że naruszenie ochrony danych osobowych to nie tylko:

  • zdarzenia typu ransomware blokujące całą firmę;
  • ataki hakerskie skutkujące najczęściej uzyskaniem nieuprawnionego dostępu do bazy danych;
  • błędy programistyczne w systemach informatycznych pozwalające na uzyskanie dostępu do danych osobowych przez osoby do tego nieuprawnione.

Naruszenie ochrony danych osobowych to także przykładowo:

  • zagubienie dokumentacji zawierających dane osobowe;
  • udostępnienie danych w formie papierowej lub elektronicznej osobie nieuprawnionej np. poprzez wydawanie dokumentów zawierających dane osobowe innych osób;
  • nieuzasadniona publikacja danych osobowych na stronie internetowej administratora;
  • kradzież baz danych klientów administratora przez jego pracowników;
  • udostępnienie danych osobie innej niż adresat, czyli nieprawidłowo zaadresowana korespondencja (w formie tradycyjnej oraz za pomocą poczty elektronicznej);
  • wysyłka poczty elektronicznej do wielu adresatów z pominięciem aktywnej opcji „Ukryj do wiadomości”.

Po czym poznać, że komunikacja kuleje?

Odpowiedź jest prosta – po pustym rejestrze naruszeń ochrony danych osobowych prowadzonym przez administratora. Po blisko 3 latach stosowania RODO, a co za tym idzie obowiązku zapewnienia wysokich standardów bezpieczeństwa ochrony danych osobowych, jest bardzo mało prawdopodobne, aby rejestr był wciąż pusty. Jeżeli jest – to jest to wyraźny sygnał, że przyjęte przez administratora mechanizmy ochrony danych nie działają. Doświadczenie podpowiada, że pracownicy nie wiedzą co, kiedy, komu i jak zgłosić. Albo wiedzą, tylko nie czują jak istotna jest to kwestia albo zwyczajnie się boją odpowiedzialności.

Procedury

Większość znanych nam przedsiębiorstw uzbroiła się w różnego rodzaju procedury reagowania na naruszenia ochrony danych osobowych. Takie działanie należy oczywiście zapisać na plus. Na minus jednak należy zapisać to, że:

  • rzadko kiedy te procedury są dopasowane do faktycznej struktury i zasad działania administratora;
  • nie przypisują odpowiedzialności, zadań konkretnym osobom;
  • nie określają żadnych terminów, a przecież działać trzeba szybko i sprawnie.

Ostatnia kwestia to ćwiczenia. Jak przecież wiadomo ćwiczenie czyni mistrza. Każda procedura powinna zatem zostać przetestowana – najlepiej przed obsługą rzeczywistego naruszenia ochrony danych oraz przez wszystkich pracowników, współpracowników administratora. Pisząc „wszystkich” mamy na myśli również członków zarządu, na których spoczywa obowiązek zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO.  Przeszkolenie, wprowadzenie zarządu w omawiany obszar zaoszczędzi nam mnóstwo czasu w razie naruszenia.

O co zapyta prawnik dział IT?

Jest kilka żelaznych punktów, o które prawnik musi zapytać na etapie wypełniania dokumentów wewnętrznych (i możliwego również zgłoszenia do Prezesa UODO). Do najważniejszych kwestii należy: opis samego zdarzenia (na czym ono polegało, jak do niego doszło), informacja ilu osób zdarzenie mogło dotyczyć, jaki był zakres danych, jaka to jest ilość rekordów danych, jakie środki techniczne i organizacyjne stosuje organizacja dla zapewnienia bezpieczeństwa, jakie środki bezpieczeństwa zastosowano lub należy zastosować w celu zminimalizowana ryzyka ponownego wystąpienia naruszenia oraz negatywnych skutków dla osób, których dane dotyczą. To dosyć „proste” i oczywiste pytania. Z tych trudniejszych można natomiast wskazać – czy doszło tylko do wglądu w dane, czy również ich nieuprawnionego pobrania? Ile osób w tym samym czasie było zalogowanych i widziało ten sam błąd? Kiedy będziemy znali nowe szczegóły zdarzenia? Jakie inne podmioty uczestniczą w procesie – jacyś podwykonawcy? To tylko przykłady kilku pytań jakie zdarza się nam często zadawać w ramach obsługi naruszenia.

O co zapyta organ nadzoru, czyli Prezes UODO

Zakładając na moment, że naruszenie jest na tyle poważne, że wymagać będzie również notyfikacji do Prezesa UODO, wskazać trzeba, że regułą jest, że organ dopytuje o szczegółowe okoliczności zdarzenia oraz żąda przedstawienia konkretnych dokumentów. Jeżeli w dany proces przetwarzania zaangażowany jest podmiot przetwarzający (procesor) to jest bardzo prawdopodobne, że będziemy potrzebowali przedłożyć umowę powierzenia zawartą z tym podmiotem. Często pojawiają się pytania o aspekty techniczne, metody i sposoby zabezpieczeń. Standardem są już także pytania o oceny ryzyka, DPIA, a także przeprowadzone testy bezpieczeństwa, czyli pytania o regularne mierzenie i testowanie. Na końcu warto podkreślić, że dokumenty przekazywane do Prezesa UODO powinny być w języku polskim. W przeciwnym razie zostaniemy poproszeni o dostarczenie tłumaczeń przysięgłych.

Podsumowanie

Obszar zarządzania naruszeniami ochrony danych osobowych nie będzie prawidłowo funkcjonował bez wsparcia i zaangażowania działów IT, bezpieczeństwa. Działy prawne, inspektor ochrony danych, czy zewnętrzni specjaliści bardzo często nie są w stanie samodzielnie dostarczyć rzetelnych, technicznych informacji do Prezesa UODO. Budowanie tego obszar w każdym przedsiębiorstwie powinno składać się z kilku elementów: procedur, szkoleń, wzajemnych analiz i współpracy. Dopiero takie podejście może spowodować, że będziemy działać jak dobry zespół operacyjny, którego członkowie wiedzą co i dlaczego mają zrobić. W przeciwnym razie mamy chaos, przekroczenie krytycznych 72 godzin, a w konsekwencji możliwą sankcję finansową ze strony Prezesa UODO.

Krytyczne 72 godziny
Aleksandra Zomerska, Associate, Domański Zakrzewski Palinka
Krytyczne 72 godziny
Michał Kluska, Counsel, Domański Zakrzewski Palinka

72H CHALLENGE: CZY PO STRONIE IT SĄ NARZĘDZIA TECHNOLOGICZNE?

Krytyczne 72 godzinyW odniesieniu do opisu słabości działów IT, (dogłębnego poszukiwania źródeł incydentu itp.) w kontekście 72h, warto by wspomnieć o tym, że współczesne zaawansowane ataki są prowadzone w sposób tzw. odroczonego działania. Przełamanie zabezpieczeń powoduje jedynie ulokowanie w infrastrukturze IT atakowanego, złośliwego oprogramowania, które przebywa tam w sposób nieaktywny. Nie podejmuje żadnych działań nawet przez lata. Uaktywnienie takiego oprogramowania następuje w określonych okolicznościach i często jego działanie odbywa się w sposób niezauważony, po czym oprogramowanie ponownie się dezaktualizuje i przebywa w sposób utajony. Zatem działy IT niejednokrotnie nie mają świadomości, że mają problem od bardzo długiego okresu.

Działom IT bardzo brakuje skutecznych metod obrazowania zdarzeń, szczególnie dotyczących bezpieczeństwa (tzw. visibility), zarówno na poziomie podstawowym jak i zaawansowanym. Systemy korelujące zdarzenia zachodzące w infrastrukturze IT oraz wykonujące zaawansowane wnioskowania to rzadkość. Przyczyna jest prosta: ogromna ilość zdarzeń zachodzących w sposób ciągły w infrastrukturze IT, ich poziom złożoności i niejednoznaczność w interpretacji oraz niedoskonałość ludzi i narzędzi skutkują m.in. sytuacjami opisanymi powyżej. Wobec nieprzekraczalności 72h zgłoszenia incydentu wraz z jego dokładnym opisem, również technicznym, stanowi to poważne wyzwanie.

Marek Laskowski, CIO, Domański Zakrzewski Palinka

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *