Świat obiegła niedawno informacja o kolejnej fali ransomware, skierowanej wprost w sektor publiczny w USA. Czy w Polsce zaatakowana przez hakerów gmina mogłaby zapłacić okup, by ocalić swoje zasoby? Raczej nie, bo zostałoby to zakwalifikowane jako naruszenie dyscypliny finansów publicznych

W USA z powodu ransomeware [ramka 1] ucierpiało kilkadziesiąt małych jednostek samorządowych. Tylko niektóre odzyskały dane, wykorzystując kopie zapasowe. Część zapłaciła okup (brak informacji, w jakim trybie i na jakiej podstawie prawnej), a część utraciła bezpowrotnie informacje i całe rejestry publiczne.

Ramka 1

Ransomware – o co tu chodzi ©℗
To rodzaj złośliwego oprogramowania, które zostało zaprojektowane w celu uniemożliwienia dostępu do danych i ich zaszyfrowania do momentu zapłacenia okupu. Ransomware zwykle rozprzestrzenia się za pośrednictwem wiadomości e-mail typu phishing lub podczas odwiedzania zainfekowanej strony internetowej. Najbardziej znane przypadki rozprzestrzeniania się ransomware to wirusy Petya oraz WannaCry.
Co by się stało, gdyby hakerzy uderzyli w polskie instytucje publiczne, w jednostki samorządu terytorialnego? Serwisy zajmujące się bezpieczeństwem informatycznym podają, że takie przypadki już u nas odnotowano. Z pewnością ich skala była znacznie mniejsza niż w USA, choć kwestią otwartą jest, czy o wszystkich opinia publiczna w ogóle się dowiedziała. W każdym razie atakujący wiedzą, co robią. Bo nie jest tajemnicą, że podmioty publiczne, zwłaszcza JST, borykają się z trudnościami w zabezpieczeaniu informacji. Czasem jest to kwestia niedostatecznych środków przeznaczanych na ten cel, a czasem wynik problemów organizacyjnych związanych z brakiem świadomości i wiedzy na temat zagrożeń.
Filary bezpieczeństwa informacji
W kontekście bezpieczeństwa informacji bardzo dużo mówi się o konieczności zapewnienia poufności (np. ostatnia głośna decyzja prezesa Urzędu Ochrony Danych Osobowych dotycząca Morele.net) , tj. o uniemożliwieniu dostępu do informacji (np. danych osobowych) osobom nieuprawnionym. Ale nie jest to jedyny aspekt bezpieczeństwa. Tradycyjnie przyjmuje się bowiem (np. w normach ISO), że na bezpieczeństwo informacji składają się trzy atrybuty:
  • poufność,
  • dostępność,
  • integralność.
Obowiązek zapewnienia bezpieczeństwa danych osobowych w tych trzech aspektach podkreśla art. 32 RODO. Zgodnie z nim, oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, wynikające z:
  • nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych (naruszenie poufności),
  • przypadkowego lub nieuprawnionego zniszczenia lub utraty danych (naruszenie dostępności),
  • przypadkowej lub nieuprawnionej modyfikacji danych (naruszenie integralności).
Na gruncie RODO doniosłość incydentu (m.in. całkowitej lub czasowej utraty dostępności danych) ocenia się przez pryzmat prawdopodobieństwa i wagi jego potencjalnych negatywnych konsekwencji dla osób fizycznych. Może być bowiem tak, że naruszenie dostępności danych (nawet czasowe) zrodzi wyższe ryzyko dla praw lub wolności osób fizycznych niż wyciek tych samych kategorii danych. Tak więc zapewnienie dostępności informacji to nie tylko konieczność wynikająca ze zdrowego rozsądku, ale przede wszystkim wymóg prawny. Z perspektywy jednostek samorządu terytorialnego chodzi głównie o dwie regulacje: wspomniane powyżej RODO oraz ustawę o krajowym systemie cyberbezpieczeństwa (dalej: u.k.s.c.). [schemat]
Schemat. Jak reagować w razie potrzeby ©℗
Schemat. Jak reagować w razie potrzeby ©℗
W uproszczeniu można powiedzieć, że zarówno na gruncie RODO, jak i u.k.s.c. nie da się prawidłowo reagować na incydent bez wdrożenia systemu bezpieczeństwa informacji. Ma on zapobiegać incydentom i pomagać w usuwaniu ich skutków. Na gruncie obu aktów prawnych naruszenie dostępności informacji może być traktowane jako incydent w sferze bezpieczeństwa.
!W RODO nie każda czasowa niedostępność danych jest naruszeniem bezpieczeństwa. Jest nią tylko taka sytuacja, która może stanowić ryzyko dla praw lub wolności osób fizycznych, np. w przypadku szpitala brak dostępu danych pacjentów może prowadzić do uniemożliwienia operacji, a zatem narażenia życia, co należy zaklasyfikować jako wysokie ryzyko dla praw lub wolności osób fizycznych.
Ocena incydentów
Ani RODO, ani u.k.s.c. nie wskazują konkretnych środków zapewnienia dostępności danych. JST muszą więc samodzielnie ocenić, jakie środki – w ich przypadku – będą odpowiednie. Oczywiście wskazane przepisy określają kryteria tej oceny. Zgodnie z art. 32 RODO należy oszacować ryzyko wynikające z przypadkowego lub niezgodnego z prawem przetwarzania danych oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i różnej wadze. Chodzi o ewentualne ich zniszczenie, utratę, modyfikacje lub nieuprawnione ujawnienie, czy dostęp osób do tego niepowołanych. Stosownie do RODO oceniając, jakie środki są odpowiednie, by zapewnić dostępność, należy też uwzględnić stan wiedzy technicznej, koszt wdrażania mechanizmów oraz charakter, zakres, kontekst i cele przetwarzania.
Zapobieganie
W kontekście ransomware (co można rozciągnąć także na inne cybernetyczne zagrożenia dostępności danych) prezes UODO wskazuje, że należy m.in.:
  • posiadać kopie zapasowe danych osobowych odseparowane od środowiska, które może być celem ataku przez złośliwe oprogramowanie;
  • używać sprawdzonego oprogramowania antywirusowego oraz oprogramowania kontrolującego dostęp do zasobów z zewnątrz (firewall);
  • ustawiać odpowiednio silne hasła;
  • aktualizować na bieżąco swoje oprogramowanie;
  • uświadamiać użytkowników i wprowadzać politykę użytkowania nieznanych nośników zewnętrznych;
  • zachować czujność przy otwieraniu załączników poczty elektronicznej (zwracając szczególną uwagę na pliki z takimi rozszerzeniami jak „exe”, „vbs” czy „scr”);
  • zwracać szczególną uwagę na wiadomości poczty elektronicznej informujące o otrzymaniu faktury czy wyglądające jak powiadomienie z banku, sklepu bądź instytucji publicznej (plik bądź link może zawierać złośliwe oprogramowanie).
Kopie zapasowe i ciągłość działania
Kluczowe znaczenie dla zapobiegania skutkom utraty dostępności danych ma tworzenie i testowanie kopii zapasowych. W tym zakresie wskazówki przedstawia norma ISO 27002, która dotyczy bezpieczeństwa informacji. Może znaleźć zastosowanie w kontekście stosowania zarówno RODO, jak i ustawy o krajowym systemie cyberbezpieczeństwa. Norma ISO 27002 zaleca ustanowienie polityki kopii zapasowych. Jednocześnie rekomenduje:
  • stworzenie spisu kopii zapasowych oraz procedur odtwarzania,
  • określenie zakresu i częstotliwości kopii zapasowych,
  • przechowywanie kopii zapasowych w innej lokalizacji niż dane pierwotne,
  • określenie czasu przechowywania kopii zapasowych,
  • szyfrowanie kopii zapasowych,
  • testowanie nośników kopii zapasowych.
wAŻNE JST nie może akceptować istnienia wysokiego ryzyka naruszenia praw lub wolności, zasłaniając się brakiem środków finansowych. Musi też umieć wykazać, dlaczego te, a nie inne środki były odpowiednie do zidentyfikowanego poziomu ryzyka.
Tworzenie i testowanie kopii zapasowych jest częścią szerszego mechanizmu zapewnienia ciągłości działania (ang. business continuity) oraz reakcji na katastrofę (ang. disaster ricovery). Zgodnie z normą ISO 27002 częścią planu ciągłości działania powinno być m.in.:
  • testowanie możliwości wykonania procesów, procedur i zabezpieczeń ciągłości bezpieczeństwa informacji,
  • cykliczna weryfikacja trybu utrzymania procesów, procedur i zabezpieczeń ciągłości bezpieczeństwa informacji.
Przy czym należy pamiętać, by kopie zapasowe były przechowywane odrębnie od kopiowanych danych, oddzielnie od komputera. Jeśli kopia zapasowa znajduje się na pamięci USB, dysku twardym lub dowolnym innym nośniku wymiennym, to nie należy pozostawiać jej podłączonej (ani nigdzie w sieci), ponieważ może zostać zaatakowana przez oprogramowanie ransomware. ©℗

Ramka 2

Pytania, na które trzeba sobie odpowiedzieć ©℗
Aby sprawdzić, czy jest się odpornym na potencjalną utratę danych, należy zweryfikować, czy w jednostce:
• wdrożono plan ciągłości działania,
• określono typowe scenariusze możliwej utraty danych (np. w wyniku ransomware),
• systematycznie testuje się odporność organizacji na utratę danych (w szczególności przywracanie danych z kopii zapasowych),
• wdrożono procedurę systematycznej oceny ryzyka,
• wdrożono procedurę reakcji na zaistniałe incydenty, w tym zgłaszania do prezesa UODO,
• przeprowadzono inwentaryzację i klasyfikację aktywów,
• wyodrębniono kluczowe aktywa,
• tworzone są kopie zapasowe i jak często oraz gdzie są przechowywane,
• tworzenie lub przechowywanie kopii zapasowych zlecono podmiotowi zewnętrznemu i zawarto z nim umowę powierzenia danych osobowych.
Jeśli jednak doszło już do zdarzenia, np. wycieku danych, to warto zadać sobie jeszcze kilka pytań:
• Jaki problem został zgłoszony i przez kogo?
• Jakie usługi, programy lub sprzęt nie działają?
• Czy są jakieś oznaki utraty danych (np. opublikowanie danych w internecie)?
• Jakie informacje zostały ujawnione osobom nieupoważnionym, usunięte lub uszkodzone?
• Kto zaprojektował system podlegający usterce i kto go utrzymuje?
• Kiedy problem wystąpił po raz pierwszy?
• Jaki jest zakres problemu, na jakie obszary organizacji ma to wpływ?
• Jaki jest potencjalny wpływ zdarzenia na funkcjonowanie jednostki?
• Jakie jest ryzyko naruszenia praw lub wolności i czy należy poinformować o incydencie osoby, których dane zostały objęte incydentem, lub prezesa UODO?
• Czy zrealizowano obowiązki raportowania incydentu stosownie do ustawy o krajowym systemie cyberbezpieczeństwa?
• Czy istnieje podstawa zawiadomienia organów ścigania o popełnieniu przestępstwa (zaszyfrowanie danych przez ransomware może być przestępstwem z art. 268a kodeksu karnego oraz w przypadku żądania okupu za odszyfrowanie – z art. 287 kodeksu karnego).
Podstawa prawna
Art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, RODO (Dz.Urz. UE z 2016 r. L 119, s. 1).
Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. poz. 1560).
Art. 268 a i 287 ustawy z 6 czerwca 1997 r. ‒ Kodeks karny (t.j. Dz.U. z 2018 r. ze zm.).