350 tys. powodów, by przeprowadzić analizę ryzyka - case study dla przetwarzających dane osobowe

350 tys. powodów, by przeprowadzić analizę ryzyka - case study dla przetwarzających dane osobowe

Wprowadzenie

Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył karę w wysokości 350 tys. zł na firmę handlującą drzwiami antywłamaniowymi, której system został zaszyfrowany poprzez atak typu ransomware. 

Jak wynika z decyzji PUODO, przyczyną ataku było m.in. wyłączenie antywirusa przez pracownika, brak analizy ryzyka oraz nieaktualizowane oprogramowanie. W obliczu tych zaniedbań, PUODO podkreślił, że działania ukaranego Administratora: „To za mało, jeśli administrator uważa, że »czynnik ludzki« stwarza w jego organizacji zagrożenie.” 

Oto kluczowe obszary, które każdy administrator danych osobowych powinien uwzględnić, aby uniknąć podobnych konsekwencji.

1. Analiza ryzyka – fundament zabezpieczenia danych

Jak wynika z postępowania, firma nigdy nie przeprowadziła analizy ryzyka, co stanowiło istotną lukę w zabezpieczeniach. Brak identyfikacji zagrożeń doprowadził do zaniedbania w zakresie aktualizacji systemów, co wykorzystali cyberprzestępcy. Zdaniem PUODO, ocena ryzyk jest niezbędna do wdrożenia zabezpieczeń zgodnych z RODO i powinna być traktowana priorytetowo.

Regularne analizy ryzyka pozwalają administratorom na identyfikację i zabezpieczenie danych przed potencjalnymi zagrożeniami. Zaniedbanie tego obowiązku grozi nie tylko utratą danych, ale również wysokimi karami finansowymi.

Podczas audytów dokumentacji często spotykamy się z brakami w tym zakresie. Polityki ochrony danych czy bezpieczeństwa informacji mówią o analizie ryzyka, ale nie określają ram ich przeprowadzania (np. co trzy lata; w przypadku dużej zmiany organizacyjnej lub technicznej; w przypadku dużej zmiany prawnej itd.), a analiza jest robiona “wtedy, gdy to jest konieczne”, czyli jak jest czas. A jak to wygląda w Waszej Organizacji? 

2. Wdrożenie i aktualizacja oprogramowania – konieczność dla zapewnienia bezpieczeństwa

Firma przetwarzająca dane nie tylko nie zaktualizowała oprogramowania, ale również nie informowała administratora danych o istniejących podatnościach. 

Jak zauważył UODO, „Podmiot przetwarzający zaniechał (…) informowania Administratora o występujących w oprogramowaniu serwera podatnościach (…)”. Brak działań prewencyjnych doprowadził do poważnych konsekwencji finansowych i reputacyjnych.

Aktualizacja systemów i monitoring podatności powinny być obowiązkiem zarówno administratora, jak i podmiotu przetwarzającego. Tylko dzięki bieżącej aktualizacji można minimalizować ryzyko wykorzystania luk przez osoby trzecie.

W tym miejscu warto zastanowić się czy wewnętrzna kontrola w tym zakresie jest wystarczająca.

Być może warto jednak przejść zewnętrzny audyt bezpieczeństwa sieci czy audyt legalności oprogramowania? Takie testy świetnie sprawdzają się by wyłapać zagrożenia nim zaczną one eskalować.

3. Czynnik ludzki – kluczowe znaczenie szkoleń

Jak wskazał PUODO, firma przeprowadziła jedynie dwa szkolenia dotyczące ochrony danych, co uznano za niewystarczające. Pracownik wyłączył antywirus, umożliwiając w ten sposób cyberatak, co jest dowodem na niedostateczne zabezpieczenia w zakresie świadomości pracowników. W komunikacie stwierdzono: „To za mało, jeśli administrator uważa, że »czynnik ludzki« stwarza w jego organizacji zagrożenie.”

Regularne i rozbudowane szkolenia są kluczowe, szczególnie gdy organizacja dostrzega zagrożenie wynikające z czynnika ludzkiego. 

Pracownicy powinni być edukowani, jak unikać pułapek i jakie działania podejmować w przypadku naruszenia bezpieczeństwa danych.

Brak jasnych wytycznych jak często szkolić personel powoduje, że Organizacje czują, że mają jeszcze czas. Jednak jasnym jest, że w tak szybko zmieniającej się rzeczywistości jedno szkolenie w ciągu roku może być nie wystarczające. I tu znów pytanie do Twojej Organizacji, co roku w styczniu tworzycie plan szkoleń na nadchodzący rok? Prawda?

4. Spełnienie wymagań technicznych i organizacyjnych zgodnie z art. 24 RODO

W decyzji UODO wskazano, że brak odpowiednich środków ochrony i naruszenie wymagań art. 24 RODO (wdrażanie odpowiednich zabezpieczeń technicznych i organizacyjnych) miały bezpośredni wpływ na możliwość przeprowadzenia ataku. PUODO wielokrotnie przypominał, że obowiązkiem administratora jest dostosowanie zabezpieczeń do ryzyk wynikających z charakteru przetwarzanych danych.

Firma zleciła przetwarzanie danych osobowych podmiotowi, który nie spełniał wymaganych standardów bezpieczeństwa. UODO zauważył, że „Podmiot przetwarzający zaniechał (…) wdrożenia adekwatnych środków technicznych i organizacyjnych”, co zwiększyło ryzyko naruszenia danych. Kara w wysokości 9,8 tys. zł nałożona solidarnie na wspólników spółki przetwarzającej była wyraźnym sygnałem, że zarówno administrator, jak i podmiot przetwarzający ponoszą odpowiedzialność za bezpieczeństwo danych.

Wybierając podmiot przetwarzający, administrator musi upewnić się, że spełnia on standardy zgodne z RODO. Umowa o powierzenie przetwarzania powinna jasno określać obowiązki obu stron w zakresie monitorowania bezpieczeństwa i wdrażania aktualizacji.

To jak kontrolujemy podmiot przetwarzający jest istotne w myśl najnowszego stanowiska EROD w tej sprawie. Możliwe, że dziś już nawet przesłanie ankiety bezpieczeństwa do firmy, która ma w naszym imieniu przetwarzać dane osobowe to za mało. A przecież doskonale wiemy, że niektóre Organizacje zapominają nawet o tym aspekcie. 

5. Zgłaszanie naruszeń danych – konieczność pełnego przestrzegania procedur RODO

W wyniku incydentu firma nie zgłosiła naruszenia danych we właściwy sposób, co stanowiło kolejne zaniedbanie. Pomimo opanowania sytuacji, zgodnie z wymogami RODO firma powinna zgłosić incydent do PUODO oraz poinformować osoby, których dane dotyczyły naruszenie. Brak reakcji ze strony administratora danych jest poważnym uchybieniem, które naraża firmę na sankcje.

Zgłaszanie incydentów musi być przeprowadzane zgodnie z wytycznymi PUODO oraz przepisami RODO, nawet jeśli skutki incydentu zostały szybko opanowane. Brak zgłoszenia lub opóźnienia w raportowaniu naruszeń może skutkować wysokimi karami.

Z naszego doświadczenia wiemy, że właściwa współpraca z PUODO zwiększa szansę na uniknięcie kary lub jej złagodzenie. Warto zatem to robić i mieć przy sobie specjalistę ds. ochrony danych/ Inspektora Ochrony Danych, który pomoże nam opanować ten proces.

6. Konsekwencje finansowe i inne zobowiązania wobec PUODO

Kara nałożona na firmę handlową (353,5 tys. zł) oraz dodatkowe sankcje na wspólników firmy przetwarzającej (9,8 tys. zł) podkreślają znaczenie pełnego wdrożenia zaleceń organu nadzorczego. 

Dodatkowo jak wskazano w decyzji, firma musi w ciągu 60 dni przeprowadzić analizę ryzyka i wdrożyć zabezpieczenia minimalizujące zagrożenia.

Wszelkie zalecenia PUODO, takie jak przeprowadzenie analizy ryzyka czy wdrożenie dodatkowych zabezpieczeń, powinny być traktowane priorytetowo. Każde opóźnienie może wiązać się z dodatkowymi sankcjami.

Podsumowanie

Na przykładzie tej decyzji wyraźnie widać, że PUODO surowo ocenia wszelkie zaniedbania w zakresie cyberbezpieczeństwa i ochrony danych osobowych.

Zatem uczmy się na cudzych błędach i wyciągajmy wnioski i zwracajmy szczególną uwagę na obszary wskazane przez PUODO. W ten sposób możemy uniknąć kar i zabezpieczyć swoje przedsiębiorstwa przed atakami.

Zapewnij sobie pełną ochronę danych – skontaktuj się z nami!

Czy Twoja organizacja jest w pełni zabezpieczona przed zagrożeniami, jakie niesie cyfrowy świat? Coraz częstsze przypadki naruszeń danych pokazują, że ochrona danych osobowych wymaga staranności na każdym poziomie – od solidnej analizy ryzyka, przez audyty bezpieczeństwa sieci, po zapewnienie, że polityki ochrony danych odpowiadają bieżącym wymaganiom.

W artykule przyjrzeliśmy się, jak brak analizy ryzyka i odpowiednich zabezpieczeń doprowadził do poważnych konsekwencji finansowych. Nasze usługi obejmują szczegółowe audyty ochrony danych, projektowanie i wdrażanie polityki ochrony danych, audyty bezpieczeństwa sieci oraz analizę ryzyka – wszystko, by Twoja Organizacja była gotowa na przyszłe wyzwania.

Jeśli chcesz zagwarantować pełne bezpieczeństwo swoich danych i zminimalizować ryzyko, jakie niosą coraz bardziej wyrafinowane ataki, skontaktuj się z nami już dziś!

Autor: Kamil Lewicki | Starszy Kierownik Projektu w CompNet Sp. z o.o.