Streszczenie: Incydenty związane z cyberatakami, takie jak phishing, stają się coraz powszechniejsze, a ich skutki mogą prowadzić do poważnych naruszeń ochrony danych osobowych. Jednym z kluczowych elementów zarządzania ryzykiem związanym z takimi incydentami jest inspektor ochrony danych (IOD), który pełni rolę doradcy odpowiedzialnego za zapewnienie zgodności procesów przetwarzania danych z regulacjami, takimi jak RODO. W przypadku cyberataków, IOD ma kluczowe zadanie w ocenie ryzyka oraz w podejmowaniu decyzji o zgłoszeniu incydentu do Urzędu Ochrony Danych Osobowych (UODO) i informowaniu osób, których dane zostały naruszone. Firmy powinny zapewnić IOD odpowiednie zasoby, takie jak szybka ścieżka kontaktu oraz integracja w procesy związane z przetwarzaniem danych, aby skutecznie reagować na zagrożenia.
Partnerem materiału jest Umano.
Zapowiada się miły, piątkowy wieczór, pracownik odpowiedzialny za prowadzenie instagramowego konta firmy otrzymuje nagle wiadomość. W treści maila widnieje ostrzeżenie – Facebook (właściciel Instagrama) zablokuje konto w ciągu 24 godzin z uwagi na naruszenie praw autorskich. Ale jest jeszcze szansa na „ratunek”, ponieważ w wiadomości załączono również link, za pomocą którego można się skontaktować z centrum pomocy Facebooka.
„Przecież za chwilę mam umieścić informację o corocznym konkursie!” – przypomina sobie wystraszony adresat. Klika więc w zamieszczony link i podaje dane do logowania (rzekomo wymagane w celu potwierdzenia autentyczności zapytania). Chwilę później zalogowanie się do firmowego konta nie jest już w ogóle możliwe, a na zdjęciu profilowym nie widnieje już firmowy logotyp, a obrazek wrzucony przez złodzieja…
Złapani na cyfrową wędkę
Trzy najczęściej występujące typy incydentów w polskim internecie to phishing, dystrybucja złośliwego oprogramowania i spam. Jak wynika z ostatniego raportu rocznego CERT Polska*, phishing stanowił ok. 44 proc. wszystkich incydentów. W 2018 roku CERT otrzymał łącznie aż 77 536 zgłoszeń z nim związanych.
Utrata danych uwierzytelniających najczęściej oznacza również naruszenie bezpieczeństwa w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO). Każdy taki incydent należy ocenić pod kątem ewentualnego ryzyka naruszenia praw i wolności osób, których dane dotyczą.
Dane mogą zostać na przykład sprzedane firmom marketingowym, narażając ofiary na potop niechcianych wiadomości typu spam. Mogą też zostać wykorzystane do kradzieży tożsamości, a przez to np. do wyłudzenia.
Inspektor ochrony danych – na ratunek
Właściwa ocena incydentu pod kątem naruszenia RODO wymaga odpowiedniej wiedzy i umiejętności. Czy incydent należy zgłosić do Urzędu Ochrony Danych Osobowych (UODO)? Czy należy poinformować o zdarzeniu klientów firmy? Jakie kryteria należy zastosować, by ocenić poziom ryzyka dla naszych klientów?
Odpowiedzi na te pytania powinien znać inspektor ochrony danych (IOD). To fachowy doradca, który wspiera firmę w zapewnianiu zgodności wszystkich procesów przetwarzania danych z RODO oraz z innymi przepisami o ochronie danych. W niektórych przypadkach wyznaczenie IOD jest obowiązkowe – muszą go posiadać m.in. podmioty publiczne. Niemniej jednak wszystkie firmy powinny rozważyć zapewnienie wsparcia swoich procesów przez IOD. To także element budowania pozytywnego przekazu do klientów: „Twoje dane osobowe są u nas bezpieczne”.
Jak przygotować firmę na IOD?
Aby inspektor ochrony danych mógł wykonywać swoje zadania właściwie i rzeczywiście wspierać firmę w codziennym zapewnianiu zgodności działań z RODO i radzeniu sobie w przypadku wystąpienia cyberataków, firma powinna zadbać, by:
właściwie zakomunikować wszystkim pracownikom, że w zespole znajduje się osoba odpowiedzialna za ochronę danych – tak aby zatrudniony, który padł ofiarą phishingu, wiedział, że należy o tym incydencie poinformować IOD;
zapewnić szybką ścieżkę kontaktu z IOD. Na ocenę zdarzenia i ewentualne poinformowanie UODO firma ma jedynie 72 godziny. Każde opóźnienie w komunikacji może narazić firmę na złamanie przepisów RODO w tym zakresie;
włączać IOD we wszystkie procesy związane z przetwarzaniem danych – tak by miał wiedzę potrzebną do skutecznego doradzania firmie;
odpowiednio umieścić IOD w strukturze firmy. RODO wymaga, by IOD podległy był bezpośrednio najwyższemu kierownictwu i miał z nim szybki kontakt. Dzięki temu jego zdanie i opinie będą skutecznie przekładać się na ochronę danych i właściwą reakcję w sytuacjach kryzysowych.
Zegar tyka nieubłaganie…
Czego szef powinien wymagać od inspektora ochrony danych w trakcie wspomnianych 72 godzin od stwierdzenia incydentu? Przede wszystkim koordynowania skutecznej i szybkiej analizy zdarzenia.
Dobrze przygotowany do pełnienia swojej funkcji IOD powinien znać wytyczne Urzędu Ochrony Danych Osobowych, Europejskiej Rady Ochrony Danych oraz Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA), gdzie dostępne są praktyczne wskazówki dotyczące tego, jakie kryteria należy brać pod uwagę, szacując ryzyko związane z incydentem.
Tak krótki czas reakcji na cyberincydent oznacza również konieczność stworzenia szybkiej ścieżki kontaktu inspektora ochrony danych z działem IT firmy. Właściwa ocena naruszenia nie będzie możliwa bez fachowej wiedzy specjalistów od bezpieczeństwa teleinformatycznego.
Profilaktyka zawsze lepsza niż leczenie
Czy mogliśmy ustrzec się przed tym incydentem? To pytanie pada niemal zawsze, kiedy firma stanie się ofiarą cyberataku. I rzeczywiście inspektor ochrony danych powinien również w tym przypadku odegrać swoją rolę – pomagać zapobiegać, a nie tylko leczyć.
Standardem na rynku jest obecnie uwzględnianie tematyki phishingowej w programie szkoleń, za które odpowiada inspektor ochrony danych. Nie wystarczy jednak jednokrotna realizacja takiego szkolenia. Budowanie świadomości dbania przez pracowników o dane osobowe to proces ciągły. Jest to tym ważniejsze, że według statystyk zdecydowana większość naruszeń w firmie ma swój początek właśnie w nieintencjonalnym błędzie zatrudnionego.
Reakcja po incydencie powinna również wiązać się z koniecznością dokonania przeglądu stosowanych zabezpieczeń i wdrożenia niezbędnych środków technicznych mających na celu wyeliminowanie podobnych zdarzeń w przyszłości. Wśród nich wskazuje się przede wszystkim na konieczność stosowania weryfikacji dwuetapowej dla logowania w aplikacjach i portalach społecznościowych.
Krajobraz po bitwie
Zarząd, inspektor ochrony danych, dział IT – czy jeszcze ktoś uczestniczy w tej wielkiej grze o cyberbezpieczeństwo? Tak – są to osoby odpowiedzialne za firmowy PR. Wystąpienie incydentu ochrony danych często wiąże się z określonymi stratami wizerunkowymi firmy – głównie w branżach, które przetwarzają dane szczególnie istotne dla klientów, takich jak finanse czy sektor medyczny.
Budowanie odpowiednich komunikatów to zadanie trudne. Muszą one z jednej strony budować zaufanie do firmy, ale również zapewnić klientom odpowiednie wsparcie w zakresie minimalizacji skutków takiego incydentu dla nich samych.
Jak czytamy na stronach UODO, phishing jest kradzieżą tożsamości i o ile sprawca dokonuje tej kradzieży z zamiarem wyrządzenia szkody, to w Polsce jest ona przestępstwem. Dlatego też w każdym przypadku zidentyfikowania takiego ataku na firmę dobrą praktyką jest informowanie o zdarzeniu policji oraz CERT Polska.
Accountability
To nieprzetłumaczalne angielskie słowo oznacza w RODO rozliczalność. W praktyce oznacza, że wszelkie działania związane z przetwarzaniem danych powinny być odpowiednio dokumentowane. Pracownik zgłasza incydent do inspektora ochrony danych na formularzu wdrożonym wcześniej firmie, a IOD współdziała z kierownictwem oraz osobami odpowiedzialnymi zgodnie z przyjętą wcześniej procedurą. Wszystko po to, by na żądanie organu nadzorczego prezes firmy mógł wykazać i udowodnić, że zrobiono wszystko, aby zapewnić zgodność podejmowanych działań z RODO. Tym samym zmniejszyć lub całkowicie wyeliminować groźbę otrzymania kary pieniężnej. A kary za naruszenie RODO sięgają nawet 20 mln euro, ale to już całkiem inna opowieść…
Autorem tekstu jest Paweł Makowski, wiceprezes JAMANO – firmy doradczej zapewniającej obsługę prawną i wsparcie biznesowe (w tym z zakresu ochrony danych osobowych).
CERT Polska (Computer Emergency Response Team) to działający od 1996 r. zespół reagowania na incydenty związane z bezpieczeństwem w sieci. Podlega państwowemu NASK, a jego zadaniem jest m.in. rejestrowanie zdarzeń zagrażających użytkownikom internetu oraz reagowanie w uzasadnionych przypadkach.
