Systemy bezpieczeństwa trzeba regularnie testować

Po tym jak kilka tygodni temu UODO ukarał firmę telekomunikacyjną za brak odpowiednich procedur weryfikacji zabezpieczeń, wielu administratorów poszukuje odpowiedzi na pytanie, w jaki sposób i jak często powinni sprawdzać swoje rozwiązania.

Niedawno prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 1,9 mln zł na firmę telekomunikacyjną Virgin Mobile (decyzja z 3 grudnia 2020 r., nr DKN.5112.1.2020). Organ nadzorczy stwierdził w niej, że spółka nie przeprowadzała regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych, mających zapewnić bezpieczeństwo przechowywanym przez nią danym osobowym swoich klientów. Jak ocenił UODO, w przypadku Virgin Mobile działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności albo w związku ze zmianami organizacyjnymi (wymiany firmy informatycznej).

Zdaniem UODO to za mało, aby spełnić wymogi RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.Urz. UE L 119 s. 1). To właśnie zaniechania ze strony przedsiębiorcy miały w ocenie UODO doprowadzić do wycieku danych 114 tys. klientów, do jakiego doszło w grudniu 2019 r. Przy czym organ, nakładając karę, wziął pod uwagę, że naruszenie miało poważny charakter, gdyż stwarzało wysokie ryzyko negatywnych skutków ochrony prawnej dla dużej liczby osób (np. ryzyko kradzieży tożsamości). W ocenie prezesa UODO przyjęte przez spółkę środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawarto również zasady dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych. Tymczasem w prowadzonej przez firmę dokumentacji, która opisywała proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne, kwestie te nie zostały uregulowane.

UODO: 1 mln zł kary dla ID Finance Poland za zwłokę w analizie luk w systemie

Trzeba stale pamiętać

A zatem jak przedsiębiorca (administrator danych osobowych) powinien prawidłowo postępować, aby wypełnić obowiązki związane ze sprawdzaniem posiadanych zabezpieczeń i nie narazić się na negatywną ocenę ze strony organów nadzoru? Wśród kluczowych przepisów, które należy uwzględnić, a których naruszenie stwierdził UODO, jest art. 32 ust. 1 lit. d RODO. Stanowi on, że obowiązkiem administratora jest „regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania”. Przykładowe środki techniczne i organizacyjne zapewniające odpowiedni poziom bezpieczeństwa wskazuje ten sam art. 32 ust. 1 RODO w lit. a‒c. Mogą to być m.in.:

pseudonimizacja i szyfrowanie danych osobowych;
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.

RODO wskazuje przy tym, by dokonując wyboru odpowiednich środków technicznych, wziąć pod uwagę:

stan wiedzy technicznej,
koszt wdrażania,
charakter, zakres, kontekst i cele przetwarzania,
ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.– Decyzja UODO to wyraźny sygnał dla administratorów, że RODO nie jest czymś, co się jednorazowo wdraża i o czym można zapomnieć. Podkreślono w niej konieczność regularnego testowania zabezpieczeń systemu informatycznego. Wiele podmiotów przetwarzających dane osobowe lekceważy ten obowiązek, bo zwyczajnie chce w ten sposób zaoszczędzić – mówi dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński. Przyznaje jednocześnie, że decyzja organu ws. Virgin Mobile wywołała już pewien ferment na rynku, który przekłada się na większe zainteresowanie klientów tym aspektem wdrożenia RODO. Interesują się nim zarówno podmioty prywatne, jak i państwowe.

Jak często

W swojej decyzji UODO wskazał, że testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d rozporządzenia 2016/679, „musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie”. A zatem jak często należy to robić? Zdaniem ekspertów częstotliwość przeprowadzania oceny zabezpieczeń powinna być proporcjonalna do ilości oraz rodzaju przetwarzanych przez administratora danych osobowych. – Im większe jest ryzyko, że ewentualny wyciek danych spowoduje poważne konsekwencje dla osoby fizycznej, tym lepsze powinny być zabezpieczenia i tym bardziej efektywne powinno być testowanie tych zabezpieczeń – wskazuje dr Litwiński.

Mówiąc wprost: instytucja finansowa czy firma telekomunikacyjna powinna znacznie częściej sprawdzać swoje zabezpieczenia niż np. mały sklep internetowy. Co nie oznacza, że ten drobny podmiot może nie przywiązywać wagi do tej kwestii.

Reagować na incydenty

Tomasz Zieliński, ekspert ds. cyberbezpieczeństwa i redaktor naczelny czasopisma „Informatyk Zakładowy”, wskazuje, że każdy administrator danych powinien reagować na pojawiające się w sieci informacje o podatnościach używanych przez siebie systemów czy nowych sposobach włamań dokonywanych przez cyberprzestępców. – Obsługujący systemy powinni zadbać, by były one na bieżąco aktualizowane za pomocą poprawek publikowanych przez producentów – podkreśla Zieliński. W tym celu rekomenduje śledzenie komunikatów swoich dostawców oraz skorzystanie z możliwości wprowadzania automatycznych aktualizacji, o ile używane oprogramowanie oferuje taką opcję.

Przy czym warto zauważyć, że szczególnie narażeni na wycieki są przedsiębiorcy, którzy decydują się na zamówienie własnego oprogramowania, np. do obsługi sklepu internetowego. – Cyberprzestępczość stale się rozwija, więc nie można oczekiwać, że raz wdrożone rozwiązanie będzie stale bezpieczne – wskazuje Zieliński. W takiej sytuacji wymagane może więc być wsparcie informatyka, który będzie odpowiadał za sprawdzanie podatności i wdrażanie niezbędnych poprawek. Alternatywnym rozwiązaniem jest skorzystanie z gotowych systemów dla e-sklepów, które są sprzedawane w formie subskrypcji. – W ich przypadku to usługodawca ma obowiązek dbania o zabezpieczenia oraz łatanie luk w systemie – wyjaśnia Tomasz Zieliński.

Procesor wywiązujący się z kontraktu ryzykuje karą od prezesa UODO

Rozliczalność

Z punktu widzenia RODO i ewentualnej kontroli prezesa UODO trzeba zwrócić uwagę na konieczność wykazania wdrożonych rozwiązań i procedur bezpieczeństwa. Mówi o tym art. 5 ust. 2 RODO – zgodnie z którym administrator jest odpowiedzialny za przestrzeganie przepisów dotyczących ochrony danych i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). A więc należy gromadzić dokumentację, która potwierdzi, że firma podejmuje wymagane prawem działania. Tomasz Zieliński przyznaje, że praktyka jest niestety daleka od doskonałości. Wiele podmiotów nie ma ani opracowanej polityki bezpieczeństwa, ani ustalonego harmonogramu testowania zabezpieczeń. Decyzja UODO ws. Virgin Mobile wyraźnie zaś wskazuje, że takie uchybienia mogą istotnie wpłynąć na wysokość kary finansowej. – Pracodawca powinien więc opracować takie dokumenty i wskazać pracownikom sposoby postępowania z danymi oraz procedury zgłaszania incydentów czy wycieków – radzi Zieliński.

Trzeba mieć jednak na uwadze, że dobre praktyki w zakresie bezpieczeństwa danych stale ewoluują. Przykładowo wcześniej rekomendowano częste zmiany haseł dostępowych. Otóż okazało się, że pracownicy zmuszani do aktualizacji haseł, zmieniali je bardzo nieznacznie lub wymyślali łatwe do złamania frazy. Dziś rekomenduje się ustalanie jednego, lecz skomplikowanego hasła. Te, których nie sposób jest zapamiętać, zapisuje się w tzw. menedżerach haseł – oprogramowaniu do przechowywania haseł dostępowych. Ten przykład wyraźnie pokazuje, że jeżeli mowa o zabezpieczeniach systemów, nawet najlepsza praktyka może z czasem się zmieniać.