Rok 2021 był rokiem ransomware i nic nie wskazuje na to, by obecny miał się od niego różnić – wynika z raportów szeregu instytucji badawczych. Ta metoda ataku spędza sen z powiek specjalistom od cyberbezpieczeństwa, szefom działów IT i zarządom firm, urzędów i instytucji.
PARTNEREM MATERIAŁU JEST JAMANO
CZYTAJĄC O KWOTACH OKUPÓW, jakich żądają twórcy ransomware, czy o branżach dotkniętych atakami, łatwo zapomnieć o innym, równie istotnym, aspekcie tego typu sytuacji. Oprogramowanie wymuszające okup w wielu sytuacjach prowadzi do naruszenia ochrony danych osobowych w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO). Jak w 2022 roku powinno wyglądać modelowe podejście do tego tematu? Na jakie ryzyko naraża się firma, która zlekceważy ten aspekt?
Ustalenie stanu faktycznego
Pytanie o to, czy firma jest przygotowana na zagrożenie informatyczne, jakim jest atak ransomware, kierujemy do naszego działu IT. Z kolei ustalenie, czy jesteśmy przygotowani w aspekcie ochrony danych osobowych, leży w gestii naszego inspektora ochrony danych (IOD) lub firmy odpowiedzialnej za ochronę danych osobowych i bezpieczeństwa informacji. Jeśli nie mamy u siebie takiej osoby lub firmy, należy koniecznie rozważyć taką współpracę.
Przygotowania na ransomware należy zacząć od ustalenia wszystkich kierunków, z których firma może zostać zaatakowana:
• urządzenia firmowe podłączone do internetu (od serwerów po smartfony) – każde musi być zabezpieczone przez programy antywirusowe, firewalle sprzętowe itp. środki techniczne (uzgodnione z działem IT);
• urządzenia firmowe, na których można korzystać z nośników danych (dyski zewnętrzne, pendrive’y) – także i one muszą być zabezpieczone zaakceptowanymi przez informatyka środkami technicznymi;
• sieć komputerowa – konieczne jest ustalenie, jakie urządzenia są do niej podłączone oraz kierunków transferu danych;
• kopie zapasowe danych – należy ustalić, jak często są wykonywane, gdzie są fizycznie przechowywane, jak często sprawdzana jest ich przydatność itd.;
• aplikacje, programy, systemy – wszystkie muszą być wykorzystywane w najnowszych dostępnych (stabilnych) wersjach;
• uprawnienia użytkowników – rezygnacja z codziennej pracy w systemie operacyjnym na koncie administratora;
• poczta elektroniczna – spora część ataków ransomware odbywa się za pośrednictwem poczty elektronicznej (jako konsekwencja kliknięcia w podejrzany link lub otwarcie rzekomo bezpiecznego załącznika); dlatego serwer pocztowy powinien być zabezpieczony przed spamem i złośliwym oprogramowaniem, a użytkownicy służbowej poczty powinni być uczeni odróżniania prawdziwych maili od fałszywych.
W ramach sprawdzenia stanu przygotowań możemy nawet zdecydować się na symulację ataku ransomware. Wiele firm na rynku oferuje testy penetracyjne, w ramach których wyspecjalizowani informatycy próbują sforsować zabezpieczenia firmowej infrastruktury IT oraz stosują socjotechniczne sztuczki, by sprawdzić odporność pracowników. Następnie przedstawiają plan poprawy sytuacji.
Wszystkie te działania pozwalają ustalić, jakie zmiany jako firma musimy wprowadzić, by zmniejszyć ryzyko wykradzenia danych. Zapewnimy także w ten sposób zgodność działań firmy z art. 24, 25 i 32 RODO.
Procedura obsługi naruszeń
W zasadzie żadne zabezpieczenia nie ochronią przed atakiem ransomware. Dlatego pracownicy muszą wiedzieć, w jaki sposób postępować, gdy dojdzie do zablokowania przez złośliwe oprogramowanie dostępu do plików lub systemów. Konieczne jest więc wcześniejsze wprowadzenie i bezwzględne egzekwowanie zasad dotyczących postępowania w przypadku naruszenia ochrony danych osobowych.
• W przypadku wystąpienia ataku ransomware pracownicy muszą jak najszybciej poinformować o tej sytuacji osoby odpowiedzialne za firmową infrastrukturę IT oraz IOD (lub inną osobę odpowiedzialną za ochronę danych osobowych i bezpieczeństwo informacji) oraz czekać na ich instrukcje.
• Nikt nie może podejmować żadnych działań sugerowanych przez oprogramowanie, w szczególności płacić okupu.
Dlaczego tak istotne jest szybkie zaangażowanie w sprawę IOD? Zgodnie z art. 33 RODO, gdy dochodzi do poważnego naruszenia ochrony danych, należy zgłosić taką sytuację do Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin zegarowych od wystąpienia naruszenia (zegarowych, a nie trzech dni roboczych lub kalendarzowych!).
To właśnie IOD jest zobowiązany do ustalenia, czy doszło do poważnego naruszenia, przygotowania zgłoszenia do Prezesa UODO, zarekomendowania podjęcia innych działań, np. zawiadomienia osób, których dane były objęte atakiem ransomware.
Bardzo ważne jest, by regularnie przypominać naszym pracownikom o istnieniu tych zasad i obowiązku współpracy z IOD. W zależności od potrzeb i możliwości może odbywać się to w formie szkoleń na żywo, webinariów, dystrybucji materiałów szkoleniowych, udostępniania wzorów dokumentów w firmowym intranecie itd. Nie można o tym zapominać: najlepsze zabezpieczenia techniczne i organizacyjne nie zdadzą się naszej firmie na nic, jeśli nasi pracownicy nie będą świadomi ich istnienia i nie będą ich przestrzegali.
Konsekwencje
Skutki ataku wymuszającego okup różnią się od siebie drastycznie, jeśli chodzi o negatywne konsekwencje dla klientów firmy. Najczęściej oznacza to przedłużony czas oczekiwania na realizację usługi, ale jeśli nie udało się odzyskać zablokowanych danych z kopii zapasowych, może równać się utracie konta użytkownika lub gdy zablokowane dane zostały jednocześnie wysłane do atakujących, całkowitej utracie kontroli nad nimi.
Taka sytuacja może zwrócić uwagę Prezesa UODO (np. otrzymującego skargi od osób poszkodowanych lub dowiadującego się o sytuacji z mediów), który jest wówczas uprawniony do przeprowadzenia w firmie kontroli z zakresu przestrzegania przepisów o ochronie danych osobowych. Brak odpowiednich regulacji lub ich nieprzestrzeganie może – przy stwierdzeniu braku współpracy z firmą – zakończyć się nałożeniem administracyjnej kary pieniężnej.
Jak dotąd Prezes UODO udzielił jedynie kary upomnienia działającemu w Polsce podmiotowi, który nie zadbał o odpowiednią reakcję na atak ransomware. Jednak odpowiedniki tego organu, działające za granicą, nakładają w podobnych sytuacjach kary pieniężne sięgające niekiedy pół miliona euro. Jeśli zatem nie przemawiają do nas inne argumenty, możemy posługiwać się tym jednym: brak procedur bezpieczeństwa uwzględniających ryzyko ataków ransomware może oznaczać dla naszej firmy kłopoty finansowe.