Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.05.2020

Cloud Native Universe

Jako patron medialny zapraszamy programistów wdrażających lub integrujących się z dowolną...
26.03.2020

Koniec certyfikatów...

MCSA, MCSD i MCSA
26.03.2020

Odświeżony OS

FortiOS 6.4
26.03.2020

Bezpieczeństwo w chmurze

Cisco SecureX
26.03.2020

Modernizacja IT

Nowości w VMware Tanzu
26.03.2020

Krytyczne zagrożenie dla...

Nowa groźna podatność
26.03.2020

Laptopy dla wymagających

Nowe ThinkPady T, X i L
26.03.2020

Serwerowe ARM-y

Ampere Altra
26.03.2020

Energooszczędny monitor

Philips 243B1

Ocena skuteczności zabezpieczenia danych osobowych

Data publikacji: 25-11-2019 Autor: Tomasz Cygan

„Rekordowa kwota”, „3 000 000 zł za wyciek danych”, „Gigantyczna kara” to tylko niektóre z fragmentów tytułów prasowych po wydaniu przez Prezesa Urzędu Ochrony Danych Osobowych decyzji nakładającej administracyjną karę pieniężną na Morele.net. Do opinii publicznej przedostał się komunikat, że przyczynami wymierzenia kary były wyciek i utrata poufności danych oraz niewystarczające zabezpieczenia organizacyjne i techniczne.

 

Warto poświęcić trochę czasu, aby przeanalizować rzeczywiste przyczyny nałożenia kary, przede wszystkim z perspektywy oceny zabezpieczeń organizacyjnych i technicznych chroniących dane osobowe w kontekście rodo. W naszej analizie przypadku poza zakresem zainteresowania pozostaną natomiast podstawy wymierzenia kary w „rekordowej” wysokości oraz okoliczności obciążające i łagodzące, inne niż dotyczące oceny zabezpieczeń, a także fakt, że ukarana została spółka pokrzywdzona przestępstwem, która dopełniła obowiązków notyfikacyjnych określonych w art. 33 i 34 rodo. Rozważania obejmą jedynie to, co wzbogaca wiedzę i praktykę w zakresie doboru i oceny skuteczności środków zabezpieczających dane osobowe.

> NARUSZENIE PRZEPISÓW

W swojej decyzji Prezes Urzędu Ochrony Danych Osobowych wskazał na naruszenie przepisów:

 

  • art. 5 ust. 1 lit. a – zasada zgodności z prawem, rzetelności i przejrzystości przetwarzania danych,
  • art. 5 ust. 1 lit. f – zasada poufności i integralności przetwarzania danych osobowych,
  • art. 5 ust. 2 – zasada rozliczalności przetwarzania danych osobowych,
  • art. 6 ust. 1 – podstawy zgodności przetwarzania danych osobowych z prawem,
  • art. 7 ust. 1 – warunki wyrażenia zgody na przetwarzanie danych osobowych,
  • art. 24 ust. 1 – obowiązki administratora w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych zabezpieczających dane osobowe,
  • art. 25 ust. 1 – uwzględnianie ochrony danych osobowych w fazie projektowania (privacy by design)
  • art. 32 ust. 1 lit. b – zabezpieczenie danych poprzez wdrożenie środków organizacyjnych i technicznych zapewniających zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • art. 32 ust. 1 lit. d – zabezpieczenie danych poprzez wdrożenie środków organizacyjnych i technicznych zapewniających regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
  • art. 32 ust. 2 – uwzględnianie w szczególności ryzyka wiążącego się z przetwarzaniem do oceny, czy stopień bezpieczeństwa jest odpowiedni.


Z perspektywy oceny skuteczności zabezpieczenia danych osobowych zasadnicze znaczenie ma analiza zastosowania przepisów: art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 rodo. Co istotne, Prezes Urzędu Ochrony Danych Osobowych w uzasadnieniu decyzji wskazał między innymi, że przepisy art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i d oraz art. 32 ust. 2 rozporządzenia 2016/679 stanowią konkretyzację zasady poufności wskazanej w art. 5 ust. 1 lit. f rozporządzenia 2016/679. W związku z tym przedmiotową sprawę należy analizować pod kątem spełnienia przesłanek współwyznaczających poziom właściwych do zastosowania środków technicznych i organizacyjnych.

Poufność oznacza, że dane nie są dostępne dla osób nieupoważnionych. W omawianym przypadku wskazano, że naruszenie poufności polegało na uzyskaniu nieuprawnionego dostępu do danych z systemu bazodanowego spółki Morele.net, czego konsekwencją było powstanie ryzyka naruszenia praw i wolności osób fizycznych. Polegało ono na zastosowaniu phishingu – podszycia się pod spółkę w wiadomościach tekstowych SMS w celu wyłudzenia danych uwierzytelniających dostęp do rachunku bankowego. W związku z tym istotne znaczenie mają:

 

  • ocena ryzyka dotyczącego przetwarzania danych osobowych w kontekście naruszenia zasady poufności przetwarzania,
  • wdrożenie stosownych środków zabezpieczających dane osobowe,
  • późniejsze działania mające na celu ocenę bezpieczeństwa w zakresie istniejących oraz prawdopodobnych zagrożeń dla danych osobowych.


> OBOWIĄZKI ADMINISTRATORA

Obowiązkiem każdego administratora jest udokumentowane (zasada rozliczalności) zapewnianie (a nie zapewnienie – działania administratora muszą mieć charakter dynamiczny) przetwarzania danych osobowych w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym (zasada poufności) poprzez wdrożenie takich środków organizacyjnych i technicznych, które między innymi mają gwarantować zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Do obowiązków należą również regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Innymi słowy, administrator musi zapewnić bezpieczeństwo danych osobowych „tu i teraz” i jednocześnie doskonalić swój system bezpieczeństwa, uwzględniając ryzyko istniejące i przewidywane w celu jak największej minimalizacji, a w niektórych obszarach wręcz eliminacji zagrożeń.

Podejście takie nie jest niczym nowym, bowiem od zawsze bezpieczeństwo postrzegane jest jako proces, a administrator nie jest w stanie jednorazowo zdefiniować i ocenić wszystkich istniejących zagrożeń. Jak zauważa dr nauk prawnych i radca prawny Dominik Lubasz w publikacji „RODO. Ogólne rozporządzenie o ochronie danych. Komentarz” (Wolters Kluwer Polska, Warszawa 2017): „wdrożenie systemu bezpieczeństwa przetwarzania jako elementu ochrony danych osobowych nie może wobec tego bazować na niezmiennych założeniach i środkach technicznych i organizacyjnych, to bowiem właśnie rozwój techniki dostarcza nowych rozwiązań w zakresie bezpieczeństwa, ale także niesie za sobą nowe zagrożenia, do których administratorzy muszą dostosować przyjęte rozwiązania w zakresie bezpieczeństwa”.

Z drugiej strony, przy takim ujęciu, każdy administrator powinien projektować i konfigurować swój system bezpieczeństwa „na miarę”. Nie ma bowiem jednego uniwersalnego rozwiązania dla ochrony danych osobowych. Oczywiście możemy bez większego trudu wskazać najbardziej typowe zagrożenia i ryzyka, pozostaną one jednak jedynie zagrożeniami typowymi, które nie wyczerpią zagadnienia.

> ZNANY I NIEBEZPIECZNY PHISHING

W analizowanej sprawie Prezes Urzędu Ochrony Danych Osobowych wskazał, że „jak wynika z raportów rocznych dotyczących działalności CERT Polska za 2016, 2017 i 2018 r., phishing to jeden z najczęściej występujących typów incydentów i najbardziej wyróżniająca się kategoria na tle pozostałych ataków, a odsetek tego typu incydentów utrzymuje się wciąż na podobnym poziomie (w 2018 r. około 44% incydentów). Jak wskazuje CERT Polska, najbardziej powszechnym motywem przestępców jest chęć pozyskania danych uwierzytelniających pozwalających na dostęp do różnych serwisów internetowych w tym systemów bankowości online. Ponadto scenariusze dotyczące podszywania się pod pośredników płatności, co dotyczyło stanu faktycznego przedmiotowej sprawy, stały się w 2018 r. najpopularniejszym atakiem na użytkowników bankowości elektronicznej, powodując znaczne straty finansowe. CERT Polska wskazuje, że pierwsze tego typu praktyki zarejestrowano już w 2017 r., co potwierdzają również doniesienia prasowe”.

Na podstawie historii zjawiska phishingu organ nadzorczy uznał, że stanowi ono ryzyko przewidywalne i możliwe do minimalizacji (jak wskazano w uzasadnieniu decyzji, w niektórych sytuacjach może być to zagrożenie trudne do wykrycia i obrony). W związku z tym administrator powinien uwzględnić ryzyko kradzieży danych osobowych za pomocą tej metody. Powinien również wziąć pod uwagę rodzaj prowadzonej działalności, realizowane procesy przetwarzania danych osobowych oraz cele ich przetwarzania. Inne bowiem będą wyniki oceny ryzyka dla sklepu internetowego, który musi być dostępny przez wyszukiwarkę internetową, od oceny ryzyka przeprowadzonej dla systemów produkcyjnych niedostępnych spoza organizacji. Zasadnicze znaczenie zawsze ma sytuacja prawna i faktyczna konkretnego administratora w konkretnym procesie przetwarzania danych osobowych.

> PRZETWARZANIE NA DUŻĄ SKALĘ

Prezes Urzędu Ochrony Danych Osobowych uznał wręcz, że „znaczący wpływ na wagę naruszenia ma również okoliczność, że na Spółce, przetwarzającej dane osobowe w sposób profesjonalny, w ramach jej działalności, ciąży większa odpowiedzialność i większe wymagania niż na podmiocie przetwarzającym dane osobowe w ramach działalności ubocznej, incydentalnie lub na niewielką skalę; prowadząc działalność komercyjną, a przy tym gromadząc dane za pośrednictwem sieci internet. Spółka jako administrator tych danych powinna podjąć wszelkie niezbędne działania i dochować należytej staranności w doborze środków technicznych i organizacyjnych, zapewniających bezpieczeństwo i poufność danych”.

 

[...]

 

Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"