News

Praca zdalna, CyberBezpieczeństwo w dobie COVID-19

Praca zdalna, CyberBezpieczeństwo w dobie COVID-19

Pandemia zmusza wielu pracowników do pracy w domu. Czy Twoja organizacja może pozostać produktywna… i bezpieczna? Z uwagi na bezpieczeństwo, w całym kraju pracodawcy coraz częściej wysyłają swoich pracowników do domu, umożliwiając im pracę zdalną (tzw. home office). W sieci pojawiło się mnóstwo porad jak rozliczać zadania, nadzorować czas pracy, mobilizować i motywować pracowników zdalnych itp. Niewiele się jednak mówi o tym, jak zapewnić bezpieczeństwo IT dla całej organizacji.

Wybuch koronawirusa (COVID-19) został oficjalnie uznany przez Światową Organizację Zdrowia (WHO) za pandemię, co oznacza, że infekcja przyspiesza jednocześnie w wielu krajach. Obawy związane z koronawirusem spowodowały zamknięcie szkół, galerii handlowych, ośrodków rekreacji oraz innych miejsc pracy.

Według najnowszego raportu International Workplace Group na całym świecie 50% pracowników pracuje poza główną siedzibą przez co najmniej 2,5 dnia w tygodniu. Jednak COVID-19 stanowi wyzwanie dla większej liczby – być może wszystkich – organizacji do potencjalnego, natychmiastowego przyjęcia stylu pracy zdalnej. Oprócz presji, jaką ten biurowy exodus wywiera na zespoły IT i architekturę sieci, istnieją prawdziwe wyzwania cyberbezpieczeństwa, które organizacje muszą wziąć pod uwagę.

Zanim firma wyśle swoich pracowników do domu, powinna rozważyć ryzyka. Nie oznacza to, że koronawirusa i choroby COVID-19 nie należy traktować poważnie, ale podobnie jak z problemami zdrowotnymi, należy się zająć również cyberbezpieczeństwem. Niebezpieczeństwo polega na tym, że pracownicy pracując w swoich domach, mogą czuć się bardziej komfortowo niż w biurze. Nie chodzi tylko o wybór garderoby – chodzi o skupienie, które jest niezbędne do pracy zdalnej. Jego brak zwiększa ryzyko wprowadzenia do swoich firm złośliwego oprogramowania, np. poprzez kliknięcie niebezpiecznego łącza (90% ataków odbywa się za pośrednictwem poczty elektronicznej). Dodatkowo zakłócenia komunikacji oraz brak możliwości bezpośrednich kontaktów z innymi pracownikami może spowodować, że padniemy ofiarą ataków.

Pamiętaj!
Laptop służbowy używany w domu jest nadal własnością firmy i powinien być używany wyłącznie przez upoważnione osoby.

Fizyczne bezpieczeństwo urządzeń firmy

Pracownicy będą narażać urządzenia firmowe na większe ryzyko, gdy opuszczą bezpieczne środowiska w miejscu pracy. Pracownik zdalny często zabiera urządzenia służbowe w miejsca publiczne. Dlatego należy chronić urządzenia przed zagubieniem, kradzieżą, bądź innymi formami przejęcia (w tym również chrońmy dane służbowe, które posiadamy w pamięci wewnętrznej urządzeń). Co możemy zrobić?

  • Szyfrowanie całego dysku gwarantuje, że w przypadku, gdy urządzenie wpadnie w niepowołane ręce, dane firmy nie będą dostępne.
  • Wyloguj się, gdy urządzenie nie jest używane – zarówno w domu, jak i w miejscach publicznych.
    Wygaszacze ekranu powinny wymagać hasła. Pamiętaj, aby używać przydatnych skrótów klawiaturowych, takich jak Win-L (Windows) i Ctl-Cmd-Q (Mac), aby szybko blokować ekran za każdym razem, gdy odchodzisz od komputera.
  • Silna polityka haseł – wszystkie konta na urządzeniu powinny wymagać unikatowych poświadczeń logowania, a konta użytkowników powinny być ograniczone do uprawnień innych niż administracyjne.
  • W miejscach publicznych nigdy nie pozostawiaj urządzenia bez nadzoru.

Dostęp do sieci i systemów firmy

Należy ustalić, czy pracownik potrzebuje dostępu do wewnętrznej sieci organizacji, czy wystarczy dostęp do usług chmurowych i poczty e-mail. Należy wziąć pod uwagę, czy taki sam poziom dostępu do poufnych danych, z których pracownik korzysta w firmie, powinien być przyznany, gdy przebywa poza miejscem pracy.

  • Należy łączyć się z urządzenia należącego do organizacji (legalnego oraz z aktualnymi systemami bezpieczeństwa) tak, aby można było zapewnić kontrolę nad podłączonym urządzeniem przez zespół ds. bezpieczeństwa technologii IT.
  • Zawsze używać połączenia VPN do łączenia zdalnych pracowników z wewnętrzną siecią organizacji. Zapobiega to atakom typu man-in-the-middle ze zdalnych lokalizacji, tj. pracując z domu, ruch przepływa przez sieci publiczne.
  • Kontroluj użycie urządzeń zewnętrznych, takich jak pamięć USB i innych, które mogą zainfekować sieć.

Jeżeli to możliwe, zaimplementuj mechanizm 2FA lub MFA (dwu/wieloskładnikowe uwierzytelnienie) do logowania w sieci firmowej. W miarę możliwości należy używać generatorów krótkoterminowych, takich jak Google i Microsoft Authenticator, aby zminimalizować ryzyko naruszenia bezpieczeństwa poprzez kradzież danych uwierzytelniających lub wyłudzanie informacji.


Podatność na kampanie phishingowe

Kampanie phishingowe stanowią zagrożenie dla wszystkich pracowników, niezależnie od tego, czy mają siedzibę wewnętrzną, czy zdalną. Pracownikom, którzy nie są przyzwyczajeni do pracy „w domu” i mają do czynienia ze wzrostem liczby wiadomości e-mail i innych wiadomości tekstowych, trudniej ocenić, co jest prawdziwe, a co jest zagrożeniem. Szczególnie w sytuacji wzrostu liczby spamu grającego dokładnie na obawach przed koronawirusem, od „zwykłych podejrzanych” zachowań w sieci. Na co zwracać uwagę?

  • Należy pamiętać, aby zawsze sprawdzać linki przed kliknięciem (w wiadomościach mail oraz www), najeżdżając na nich wskaźnikiem myszy, aby zobaczyć rzeczywiste miejsce docelowe adresu URL.
  • Należy odrzucać prośby o włączenie makr podczas otwierania załączników e-mail.
  • Należy mieć ograniczone zaufanie do maili/stron www, których nie znamy.
  • Korzystać z zaufanych źródeł, takich jak legalne, rządowe strony internetowe, aby uzyskać aktualne, oparte na faktach informacje o COVID-19.

Oprócz technologii i procesów funkcjonalnych, istnieją inne kluczowe czynniki pracy zdalnej

  • Komunikacja: kontakt z zespołem, informowanie pracowników o statusie oraz umożliwienie dzielenia się doświadczeniami i problemami.
  • Reakcja:  praca zdalna to nie to samo, co praca w środowisku biurowym. Należy ustalić jasne wytyczne dotyczące tego, jak szybko zdalny pracownik ma odpowiedzieć na żądanie w zależności od rodzaju komunikacji, adresu e-mail, zwolnienia, zaproszeń kalendarza itp.
  • Raportowanie: kierownicy powinni wdrożyć procedury, które pozwolą ustalić, czy zdalni pracownicy wykonują zadanie, np. obowiązkowe spotkania grupowe, współpraca w zespole, codzienne / tygodniowe / miesięczne raporty.
  • Zdrowie i bezpieczeństwo: czy ergonomiczne klawiatury z biura można zabrać do domu, aby zapewnić taki sam komfort, do jakiego przyzwyczajeni są pracownicy? Praca w domu nie usuwa odpowiedzialności za zapewnienie dobrego środowiska pracy.
  • Odpowiedzialność: należy zapewnić ochronę majątku firmy, gdy jest ona w posiadaniu pracownika.
  • Wsparcie techniczne: rozpowszechnianie danych kontaktowych, tj. wszyscy zdalni pracownicy muszą wiedzieć, jak uzyskać pomoc w razie potrzeby.
  • Socjalizacja: interakcje społeczne są ważną częścią motywacji i zwiększają wydajność. Pomóc w tym mogą min. szkolenia wewnętrzne, wykorzystujące komunikatory np. z bezpieczeństwa, czy tzw. OpenSpace, w którym każdy będzie mógł wyrazić swoje zdania.
  • Dostępność: należy ustanowić wirtualną politykę zarządzania otwartymi drzwiami, tak jak ma to miejsce w biurze. Upewnij się, że ludzie są dostępni i mogą być łatwo zaangażowani w powierzenie zadań.

 

Niezależnie od tego, jak rozwinie się sytuacja z COVID-19, firmy powinny rozważyć podobne, zdroworozsądkowe środki, aby być w gotowości do zapewnienia cyberbezpieczeństwa na potencjalne zakłócenia.

  • Należy wzmocnić obowiązujące zasady, procedury i szkolenia dotyczące pracy w domu, ochrony urządzeń, szyfrowania danych w spoczynku, utrzymywania jasnych zasad dotyczących biurka itp.
  • Upewnij się, że masz aktualną politykę bezpieczeństwa informacji, która obejmuje pracę zdalną. Silne zasady bezpieczeństwa mogą już istnieć, ale ważne jest, aby je przejrzeć i upewnić się, że są odpowiednie, gdy Twoja organizacja decyduje się na pracę większej liczby osób pracujących w domu niż w biurze. Zasady bezpieczeństwa muszą obejmować zdalne zarządzanie dostępem do pracy, korzystanie z urządzeń osobistych oraz zaktualizowane względy prywatności danych w celu uzyskania dostępu pracowników do dokumentów i innych informacji.
  • Przygotuj urządzenia łączące się z organizacją. Pracownicy pracujący w domu mogą korzystać z urządzeń osobistych w celu wykonywania funkcji biznesowych, zwłaszcza jeśli nie mogą uzyskać dostępu do urządzenia dostarczanego przez pracodawcę. Urządzenia osobiste będą musiały mieć taki sam poziom bezpieczeństwa, jak urządzenia należące do firmy. Zadbaj o możliwość komunikacji VPN, aktualizacje wszystkich łatek bezpieczeństwa.
  • Wrażliwe dane mogą być dostępne za pośrednictwem niebezpiecznych sieci Wi-Fi. Pracownicy pracujący w domu mogą uzyskiwać dostęp do poufnych danych biznesowych za pośrednictwem domowych sieci Wi-Fi, które nie będą miały takich samych zabezpieczeń – jak min. FireWall, NAT, itp. stosowanych w tradycyjnych biurach. Więcej połączeń będzie się odbywać ze zdalnych lokalizacji, co będzie wymagało większego skupienia się na prywatności danych.
  • Higiena, tak jak i edukacja CYBER zagrożenia ma kluczowe znaczenie. Światowa Organizacja Zdrowia (WHO) i Federalna Komisja Handlu USA (FTC) ostrzegły już przed trwającymi atakami phishingowymi i kampaniami-oszustwami dotyczącymi koronawirusa. Ciągła edukacja użytkowników końcowych i komunikacja są niezwykle ważne i powinny obejmować zapewnienie, że zdalni pracownicy mogą szybko skontaktować się z działem IT w celu uzyskania porady. Organizacje powinny również rozważyć zastosowanie bardziej rygorystycznych środków bezpieczeństwa poczty e-mail.
  • Zorganizuj szkolenie anty phishingowe z udziałem personelu IT i innych osób mających dostęp do poufnych informacji firmy.

Firma CompNet Sp z.o.o. posiada w swojej ofercie min. szkolenia online podnoszące świadomość zagrożeń, które w dobie pandemii pozwolą podnosić bezpieczeństwo w Państwa organizacji. Ponadto firma świadczy usługi outsourcing, pozwalając przedsiębiorstwom, podmiotom administracji publicznych na obniżenie kosztów oraz eliminację ryzyka kar za nieprzestrzeganie przepisów.

  • Wykorzystaj okazję, aby zaktualizować alternatywne informacje kontaktowe w planach reagowania na naruszenia bezpieczeństwa danych i innych planach komunikacji kryzysowej.
  • W przypadku tych samych planów opracuj procedury zwolnienia chorobowego, jeśli jeden lub więcej kluczowych członków zespołu zachoruje i nie będzie w stanie uczestniczyć – zidentyfikuj zespół elastyczny.
  • Dopełnij wszelkich formalności z pracownikiem w zakresie pracy zdalnej – zadbaj o umowę powierzenia sprzętu służbowego, umowę o odpowiedzialności za sprzęt, za pobierane oprogramowanie i inne.
    Jednym z rozwiązań jest powierzenie bezpieczeństwa, outsourcing usług czy wymogów ustawowych do firm, które zadbają o Twoje bezpieczeństwo.
  • Plany zarządzania kryzysowego i reagowania na incydenty muszą być wdrożone przed zdalną pracą.
    Cyber ​​incydent, który ma miejsce, gdy organizacja działa już poza normalnymi warunkami, ma większy potencjał wymknięcia się spod kontroli.
  • Kryzys COVID-19 prawdopodobnie będzie z nami przez jakiś czas. Organizacje i ich pracownicy będą musieli szybko podejmować trudne decyzje, a umożliwienie zdalnej pracy jest jedną z nich. 

    Wyzwania związane z trwającą epidemią koronawirusa polegają na zapewnieniu bezpieczeństwa zdrowia i życia oraz poczucia bezpieczeństwa, które ulega zachwianiu  poprzez fake news’y, wzbudzające min. panikę, strach czy dynamiczny rozwój sytuacji.

    Należy pamiętać, że sytuacja wokół COVID-19 ewoluuje, dlatego należy do niej racjonalnie podchodzić oraz rozważać wszystkie zagrożenia związane nie tylko z koronowirusem, ale również innymi podatnościami, w tym cyber zagrożeniami.

Bądź bezpieczny! Bądź świadomy! Bądź zdrowy!

Autor: Michał Lubera,
Kierownik Projektu, Specjalizacja: Ochrona Teleinformatyczna i Zarządzanie Oprogramowaniem

 

© Copyright by CompNet Sp. z o. o.

Biegły rewident przetwarza nasze dane osobowe czy finansowe?

Biegły rewident przetwarza nasze dane osobowe czy finansowe?

Obowiązkiem obligatoryjnym dla wielu podmiotów jest badanie sprawozdania finansowego przez biegłego rewidenta. Zawierając umowę na badanie sprawozdania finansowego z biegłym rewidentem nasuwa się pytanie, czy należy również zawrzeć umowę powierzenia przetwarzania danych? Udostępniamy przecież dane z ksiąg rachunkowych i wszelkich innych dokumentów.

Z powierzeniem danych, mamy do czynienia w sytuacji, w której podmiot przetwarzający realizuje, na polecenie Administratora, jego zadania. Ponadto podmiot, któremu Administrator powierzył ich przetwarzanie, odpowiada wobec Administratora za przetwarzanie danych niezgodnie z zawartą umową. Zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), podmiot przetwarzający przetwarza dane w imieniu Administratora oraz na jego wyraźne polecenie w związku ze zleceniem realizacji określonych zadań w imieniu Administratora.

Czy taka sytuacja zachodzi w przypadku, gdy biegły rewident przetwarza dane w związku z wykonywaniem czynności badania sprawozdania finansowego ?

Nie. Biegły rewident wykonując swoje zadania nie jest związany poleceniem Administratora, który zleca przeprowadzenie badania sprawozdania finansowego.

W przypadku wykonywania badania sprawozdania finansowego przez biegłego rewidenta, należy wskazać, że Administrator, w ramach zawartej umowy na wykonanie usługi, udostępnia biegłemu rewidentowi niezbędne dokumenty, dostęp do ksiąg rachunkowych oraz dokumentów stanowiących podstawę dokonanych w nich zapisów oraz wszelkich innych dokumentów, jak również udziela wyczerpujących informacji, wyjaśnień niezbędnych do przeprowadzenia badania sprawozdania finansowego. Zapewnienie to wynika z przepisów prawa, a nie autonomicznej decyzji Administratora co za tym idzie nie decyduje o sposobie przetwarzania danych przez biegłego rewidenta. Powyższe uregulowane jest w następujących przepisach prawa:  

  • 67 ust. 1-3 Ustawy z dnia 29 września 1994 r. o rachunkowości,
  • ustawy z dnia Ustawy z dnia 11 maja 2018 roku o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym,
  • rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 537/2014 z dnia 16 kwietnia 2014 r. w sprawie szczegółowych wymogów dotyczących ustawowych badań sprawozdań finansowych jednostek interesu publicznego, uchylającego decyzję Komisji 2005/909/WE.

Dodatkowo warto zauważyć, że zawarcie umowy powierzenia danych osobowych z biegłym rewidentem, w tej sytuacji mogłoby ograniczyć jego swobodę dostępu do niezbędnych danych na potrzeby wykonania badania. Administrator zawartą umową powierzenia danych nakłada na podmiot przetwarzający szereg obowiązków i ograniczeń, co do swobody podejmowania decyzji przy określaniu sposobów przetwarzania danych w ramach art. 28 RODO. Ponadto podmiot, któremu Administrator powierzył ich przetwarzanie, odpowiada wobec Administratora za przetwarzanie danych niezgodnie z zawartą umową, co dodatkowo ograniczało by swobodę w podejmowaniu czynności audytowych przez rewidenta.

Zgodnie z art. 78 ustawy z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym, zarówno biegły rewident, jak i firma audytorska są, na mocy przepisów prawa, zobowiązani do zachowania tajemnicy zawodowej. Ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) dodano do w/w ustawy art. 2b (obowiązujący od 4 maja 2019 r.), który określa podstawowe zabezpieczenia danych osobowych przetwarzanych w celu realizacji zadań lub obowiązków określonych w ustawie i rozporządzeniu nr 537/2014, za zapewnienie których odpowiedzialny jest właściwy administrator danych – w tym przypadku jest nim biegły rewident, firma audytorska.

Podsumowując, zawieranie umowy powierzenia danych osobowych z biegłym rewidentem wykonującym badanie sprawozdania finansowego jest nieuzasadnione w myśl art. 28 RODO w związku z art. 67 ust. 1-3 Ustawy z dnia 29 września 1994 r. o rachunkowości i ustawą z dnia 11 maja 2018 roku o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym. Mamy w tej sytuacji do czynienia z dwoma podmiotami, które realizują swoje niezależne cele i zadania i są w związku z tym odrębnymi Administratorami danych, którzy przetwarzają, w tym udostępniają pomiędzy sobą dane osobowe, w celu wykonania obowiązków wynikających z przepisów prawa.

Autorzy:

Monika Kowalik,
Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.

Piotr Kropidłowski,
Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.

 

Zdarzenia, które mogą być uznane za naruszenie!

Zdarzenia, które mogą być uznane za naruszenie!

Czy na pewno wiemy co to jest naruszenie i co z nim zrobić? Często spotykamy się z informacjami u klientów, że u nich do naruszeń nie dochodzi. Czy faktycznie? A może pracownicy nie wiedzą, co trzeba zgłaszać i komu.

Każde naruszenie danych osobowych należy zgłosić do osoby upoważnionej. Najczęściej do Inspektora Ochrony Danych. Celem powiadomienia IOD jest przeanalizowanie przyczyn wystąpienia naruszenia oraz analiza ewentualnych skutków. W przypadku gdy naruszenie będzie skutkowało naruszeniem praw i wolności osoby fizycznej, zgodnie z przepisami prawa, w ciągu 72 godzin takie naruszenie należy zgłosić do Prezesa Urzędu Ochrony Danych Osobowych. Każde naruszenie trzeba przeanalizować i zaewidencjonować wewnętrznie, jednak nie każde należy zgłosić do Prezesa UODO.

Czym jest naruszenie ?

Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

Tym samym z naruszeniem ochrony danych będziemy mieli do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania pracownika przetwarzającego dane, jak i wtedy, gdy pracownik ten doprowadzi do incydentu niechcący.

Najogólniej mówiąc naruszenia można podzielić na trzy grupy:

  • naruszenie poufności, które polega na ujawnieniu lub udostępnieniu danych osobie nieuprawnionej;
  • naruszenie integralności, które sprowadza się do zmiany treści danych osobowych, czyli ich modyfikowania, w sposób nieautoryzowany;
  • naruszenie dostępności, które wiąże się z trwałą utratą dostępu do danych lub ich zniszczeniem.

Jak zdarzenia mogą być uznane za naruszenia?

  • zgubienie lub kradzież nośnika lub urządzenia;
  • zgubienie, kradzież lub pozostawienie w niezabezpieczonej lokalizacji dokumentacji papierowej, która zawiera dane osobowe;
  • utratę przez operatora pocztowego korespondencji papierowej lub otwarcie jej przed zwróceniem nadawcy;
  • nieuprawnione uzyskanie dostępu do informacji;
  • nieuprawnione uzyskanie dostępu do informacji poprzez złamanie zabezpieczeń;
  • pojawienie się złośliwego oprogramowania, które ingeruje w poufność, integralność i dostępność danych;
  • uzyskanie poufnych informacji przez pozornie zaufaną osobę w oficjalnej komunikacji elektronicznej, tj. drogą e-mailową lub za pomocą komunikatora internetowego (phishing);
  • nieprawidłową anonimizację danych osobowych w dokumencie;
  • nieprawidłowe usunięcie lub zniszczenie danych osobowych z nośnika lub urządzenia elektronicznego przed jego zbyciem przez administratora;
  • niezamierzoną publikację;
  • wysłanie danych osobowych do niewłaściwego odbiorcy;
  • ujawnienie danych niewłaściwej osoby;
  • ustne ujawnienie danych osobowych;
  • udostępnienie danych osobowych nieuprawnionym osobom w związku z wysyłaniem poczty elektronicznej;
  • zagubienie lub kradzieży niezabezpieczonych (niezaszyfrowanych) urządzeń informatycznych z danymi osobowymi (smartfony, komputery przenośne);
  • udostępnienie dokumentacji zawierającej dane osobowe osobie nieuprawnionej;
  • zablokowanie dostępu do danych osobowych;
  • wysyłka dokumentów na niewłaściwy adres korespondencyjny;
  • niewłaściwa anonimizacja danych osobowych oraz niszczenie archiwalnej dokumentacji;
  • w wyniku cyberataku na usługę nastąpił wyciek danych osobowych osób fizycznych;
  • wiadomość e-mail w ramach marketingu bezpośredniego wysłano do odbiorców w polach „do:” lub „dw:”, tym samym umożliwiając każdemu odbiorcy wgląd w adresy e-mail innych odbiorców.

Autor: Krzysztof Juszczak, Dyrektor Projektu – Inspektor Ochrony Danych Osobowych

 

© Copyright by CompNet Sp. z o. o.

Czy warto inwestować w cyberbezpieczeństwo? Ile to kosztuje?

Czy warto inwestować w cyberbezpieczeństwo? Ile to kosztuje?

W dobie cyfryzacji oraz ataków skierowanych na instytucje, wartość bezpieczeństwa jest bezcenna. Problematyka wyceny bezpieczeństwa jest trudna do oszacowania. Powodem jest brak dowodów oraz liczb, które mogą zbudować takie modele kalkulacji. Dlatego właśnie zagrożenia oraz ataki w ostatnich latach coraz bardziej wyceniają koszty incydentu.

28 listopada 2019 roku jeden z Urzędów Gminy w Polsce został zaatakowany przez cyberprzestępców. Doszło do tzw. ataku cybernetycznego. Nastąpiło włamanie na serwery i zaszyfrowanie danych z wykorzystaniem złośliwego oprogramowania RANSOMWARE. Aby je odzyskać, samorządowcy musieliby zapłacić okup. Oprogramowanie to, jest “przynętą rozrzuconą na cały świat”. Żeby paść jego ofiarą, wystarczy kliknąć w link, bądź uruchomić zainfekowany plik. Program szyfruje dane wszystkich urządzeń dostępnych w sieci nawet w 15 sek. od zarażenia jednej z maszyn dostępnych w strukturze LAN.

Gdy 4 grudnia 2019 r. pojawiły się opóźnienia w wypłatach zasiłków i innych urzędowych sprawach, Wójt Gminy w województwie pomorskim, poinformował oficjalnie na stronie internetowej o przeprowadzonym ataku:

„W Urzędzie Gminy Kościerzyna oraz w jednostkach organizacyjnych doszło do masowej awarii technicznej, która uniemożliwia nam standardowe korzystanie z systemów komputerowych. Obecnie intensywnie pracujemy nad przywróceniem działania systemów komputerowych. Jednak w najbliższym czasie realizacja zadań własnych, w tym obsługa spraw mieszkańców Gminy Kościerzyna, może być utrudniona. Za wszelkie problemy z tym związane przepraszamy – napisał wójt Gminy Kościerzyna.”

Urząd został sparaliżowany, a pracownicy ręcznie musieli wpisywać potrzebne dane. Oprócz tego, że załatwianie wielu spraw w Urzędzie stało się trudniejsze, to pozostały jeszcze kwestie m.in. związane z wypłatą świadczeń, w tym zasiłków 500+, rodzinnego czy alimentacyjnego, które zostały bardzo utrudnione.

Hackerzy zażądali okupu w krypto walucie, ale Wójt Gminy zawiadomił o przestępstwie lokalną policję oraz zwrócił się o pomoc w pierwszej kolejności do zespołu CSIRT GOV, który przekazał zgłoszenie zgodnie z właściwością do CSIRT NASK. CSIRT NASK jest to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową – Polski Instytut Badawczy, do którego należy koordynacja obsługi incydentów zgłaszanych m.in. przez jednostki samorządu terytorialnego.

Zgodnie z Ustawą o Krajowym Systemie Cyberbezpieczeństwa, obsługa incydentów oznacza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację i podejmowanie działań naprawczych i ograniczanie skutków incydentów.

Do dnia dzisiejszego nie wiadomo, w jaki sposób hakerzy dostali się do sieci Urzędu Gminy. Po 2 tygodniach od rozpoczęcia prac naprawczych w Organizacji przywrócone zostały systemy niezbędne do bieżącego funkcjonowania Urzędu. Teoretycznie urzędnicy mogliby odzyskać utracone dane z kopii zapasowej, jednak serwery z backupami nie zostały odizolowane od reszty sieci, co spowodowało zainfekowanie także systemów kopii bezpieczeństwa.

Zarażeniem systemów przez atak Ransomware można dokonać m.in. przez otwarcie zainfekowanego załącznika, linka dostępnego w sieci WWW, bądź posiadając nie zaktualizowany system operacyjny, zawierający wiele luk bezpieczeństwa. Bezpieczeństwo mogło również nie zostać spełnione przez aspekty ekonomiczne. Proces bezpieczeństwa wiążę się z zapewnieniem szkoleń, ale również inwestowaniu w technologie bezpieczeństwa zapewniające m.in. poprawną izolację archiwizowanych danych, które wymagają większych nakładów finansowych niż zwykły serwer backupowy podpięty do sieci.

W każdym z tych przypadków pomóc mogą szkolenie ze świadomości o zagrożeniach przeprowadzone dla wszystkich pracowników urzędu oraz przeprowadzane audyty bezpieczeństwa obrazujące stan faktyczny bezpieczeństwa struktur IT w organizacji. Pamiętać należy również o opracowywaniu planów awaryjnych w przypadku incydentów/ataków, zawierających procedury przechowywania wraz z zabezpieczeniem kopii bezpieczeństwa.

CompNet Sp. z.o.o wykonuje wyżej wymienione usługi dbając o najwyższy standard oraz zapewnienie bezpieczeństwa Państwa systemów.

Ataki oprogramowania ransomware od kilku lat spędzają sen z powiek organizacjom publicznym, placówkom służby zdrowia, korporacjom, a także konsumentom. Tylko w 2019 roku technologie firmy Kaspersky zidentyfikowały i powstrzymały cyberprzestępcze działania tego rodzaju na komputerach ponad 750 tysięcy użytkowników.

“Postawa Wójta Gminy zaatakowanej przez Hackerów jest godna naśladowania. Płacenie okupu cyberprzestępcom nie gwarantuje odzyskania danych, a ponadto finansuje nielegalną działalność i motywuje do kolejnych ataków. Jesteśmy szczęśliwi, że w tym przypadku udział eksperta z firmy Kaspersky umożliwił odzyskanie istotnych danych. Poza dostarczaniem rozwiązań bezpieczeństwa kładziemy duży nacisk na udzielanie pomocy w niestandardowych przypadkach, co nie zawsze są w stanie zapewnić inne firmy zajmujące się bezpieczeństwem IT – powiedział Piotr Kupczyk, dyrektor biura komunikacji z mediami, Kaspersky Lab Polska.”

Ataki przeprowadzane przez Hakerów coraz częściej dotyczą uszkodzenia struktur (min. przez kampanie z wykorzystaniem oprogramowania szyfrującego Ransomware) ale również kradzieżą danych osobowych z organizacji oraz instytucji państwowych.

Należy zaznaczyć że zgodnie z art. 102 ustawy o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych może nałożyć na jednostki sektora finansów publicznych, a także instytuty badawcze i Narodowy Bank Polski – maksymalnie 100 tys. złotych kary. Pierwszą karę na instytucję samorządową nałożono na gminę Aleksandrów Kujawski.

Ponadto w czasie postępowania Prezes UODO ustalił, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne na stronie BIP jedynie poprzez zamieszczenie linka do kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. W przypadku utraty danych zapisanych w serwisie YouTube, administrator nie dysponowałby więc nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło tym samym do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

Dodatkowymi kosztami mogą okazać się roszczenia cywilnych podmiotów którym cyberatak i trudności techniczne mogły uniemożliwić załatwienie sprawy w urzędzie, w związku z czym poniosły szkodę majątkową lub niemajątkową, np. w postaci stresu, że nie mogły uzyskać niezbędnych im w danym dniu dokumentów, zaświadczeń, informacji, odpisów, itp.

Podmioty cywilne na mocy rozporządzenia RODO mogą dochodzić roszczeń o charakterze cywilno-prawnym wobec administratora. Przyjmując, że jest nim wójt, burmistrz czy prezydent, to pozew byłby skierowany właśnie do niego – wynika to bezpośrednio z art. 79 lub z art. 81 RODO. Zgodnie z Kodeksem cywilnym „osoba prawna jest obowiązana do naprawienia szkody wyrządzonej z winy jej organu” (art. 416 Kc). Nie jest to odpowiedzialność konkretnego pracownika, tylko gminy, więc wiąże się z zabezpieczeniem środków w budżecie gminy.

Urzędy z całej Polski powinny zainwestować w szkolenia dotyczące obrony przed cyberatakami. W przeciwnym wypadku możemy w niedalekiej przyszłości mówić o większej liczbie przypadków podobnych ataków. Nieodpowiednio przeszkolony lub źle dobrany personel może okazać się kluczową podatnością środowiska wewnętrznego na atak. Pomyłki, niezadowolenie, nieuczciwość, to czynniki mogące przyczynić się do wystąpienia i realizacji działań niepożądanych. Hackerzy atakujący z zewnątrz, jak również sami pracownicy wewnątrz organizacji w sposób mniej lub bardziej świadomy są w stanie ułatwiać dostęp osobom nieuprawnionym lub sami czynić szkody. Sytuacje kryzysowe mają to do siebie, że pojawiają się nagle i nie przebiegają w sposób standardowy. Trudno znaleźć dwa jednakowe, nawet jeśli związane są z podobnym typem zagrożenia. Należy być świadomym, że komunikacja o wystąpieniu zdarzenia jest równie istotna. Tak samo, jak same działania operacyjne podjęte w celu minimalizacji skutków zagrożenia, które wystąpiło.

Co można zrobić, aby zminimalizować skutki ataku hackerskiego?

  • Opracować plan awaryjny na wypadek ataku.
  • Starać się przewidywać i zapobiegać temu, co jeszcze nie nastąpiło.
  • Zainwestować w człowieka – zadbać o przeszkolenie swoich pracowników.
  • Wykonywać cykliczne audyty bezpieczeństwa, obrazujące stan faktyczny zabezpieczeń w organizacji.
  • Korzystać z doświadczenia i wiedzy osób przeszkolonych w tym zakresie.

Autor: Michał Lubera, Kierownik Projektu, Specjalizacja: Ochrona Teleinformatyczna i Zarządzanie Oprogramowaniem

© Copyright by CompNet Sp. z o. o.

Szyfrowanie danych - zabezpieczaj dane "odpowiednio"!

Szyfrowanie danych - zabezpieczaj dane "odpowiednio"!

Na koniec zeszłego roku nagłówki zawierające słowo „wyciek” zdominowała uczelnia SGGW (Szkoła Główna Gospodarstwa Wiejskiego w Warszawie), która była odmieniana przez wszystkie przypadki. Dlaczego? Jak się okazało, laptop jednego z pracowników SGGW został skradziony przez nieznanego sprawcę. Na dysku miały znajdować się dane osobowe tysięcy osób, ale jak się raczej doliczono, były to dane kilkunastu, kilkudziesięciu tysięcy osób.

              Pierwsze światło zarzutów zostało rzucone w stronę działu IT uczelni jako odpowiedzialnego m. in. za bezpieczne korzystanie z komputerów przenośnych. Szybko zweryfikowano, że niesłusznie, gdyż był to laptop prywatny, a więc kopiowanie na niego danych miało miejsce z pominięciem uczelnianych procedur. Pamiętajmy, że kradzież komputerów miała, ma i będzie miała miejsce. Jednak w takim przypadku zawsze pojawia się pytanie: „czy dane były zaszyfrowane?” I tutaj, niestety, odpowiedź była przecząca.

              Należy zauważyć, że rozpoczęcie stosowania Ogólnego rozporządzenia o ochronie danych (dalej: RODO) zmieniło podejście do stosowanych zabezpieczeń. Uchylone Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczny służące do przetwarzania danych osobowych przewidywało
np. hasło składające się z co najmniej 8 znaków zawierających małe i wielkie litery oraz cyfry lub znaki specjalne, gdy rozporządzenie wymagało stosowania środków bezpieczeństwa na poziomie podwyższonym. RODO nakierowuje wybór zabezpieczeń w stronę Administratora (danych osobowych), i tak w art. 24 ust. 1 stanowi, że:

Uwzględniając charakter, zakres kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom
i uaktualniane.”

Dodać tutaj należy jeszcze art. 32 RODO:

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów
i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.”

Żeby właściwie rozkodować powyższe normy, trzeba zauważyć, że to Administrator powinien wybrać jakie zabezpieczenia zastosować, ponieważ zna swoją organizację najlepiej (a potem być w stanie dowieść słuszności wyboru zgodnie z zasadą rozliczalności). Tego wyboru najlepiej dokonać w oparciu o przeprowadzoną analizę ryzyka, która wykaże m. in. newralgiczne punkty (aktywa/czynności na danych osobowych), które wymagają zastosowania podwyższonego poziomu zabezpieczeń. Katalog zabezpieczeń jest otwarty, ale prawodawca zdecydował się, by w szczególności wymienić szyfrowanie danych osobowych, więc tym bardziej powinien to być znak dla Administratorów, by zwrócić szczególną uwagę na to zabezpieczenie i wdrożyć je, gdy zachodzi taka potrzeba. Warto też pamiętać, że po wdrożeniu zabezpieczenia, powinno nastąpić jego monitorowanie poprzez regularnie testowanie, mierzenie i ocenianie. O tym elemencie często się zapomina.

              Zauważenie skali wycieku, wymaga wyliczenia rodzaju danych osobowych, które były przetwarzane (rzecz dotyczy prowadzonych postępowań rekrutacyjnych): imię (imiona) i nazwisko, nazwisko rodowe, imiona rodziców, płeć, narodowość, obywatelstwo, adres zamieszkania, PESEL, seria i numer dowodu osobistego/paszportu, nr telefonu komórkowego i stacjonarnego, ukończona szkoła średnia, miejscowość szkoły średniej, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega, zdjęcia kandydatów. Jest to relatywnie szeroki katalog danych osobowych, który bez większych problemów pozwala na zaciąganie zobowiązań w imieniu osób, których dane dotyczą, okradnięcie rachunków bankowych, uwierzytelnienie na infolinii czy wyrobienie duplikatu karty SIM.

              Co w tej sytuacji można zrobić? Najważniejszym krokiem jest złożenie wniosku o wyrobienie nowego dowodu osobistego (można to zrobić przez Internet). Następnymi mogą być zastrzeżenie dowodu w banku czy skorzystanie z usługi powiadomienia czy na wskazane dane nie został założony rachunek. Zaleca się również zmianę numeru telefonu, który jest podpięty do rachunku bankowego. To są działania, tylko i aż, minimalizujące wspomniane wcześniej ryzyka.

              Ze swojej strony chciałbym zwrócić uwagę, że w każdym takim przypadku zajmujemy się skutkiem, a nie przyczyną. Skoro wiemy, że nasze dane prawdopodobnie już w jakimś zakresie wyciekły, to należy zastanowić się nad tym jakie drogi otwierają konkretne dane osobowe. Gdyby katalog danych nie dawał takich możliwości albo byłyby one bardzo ograniczone, to nie istniałby taki popyt na ich wykradanie. A tak, dzisiaj za sprawą m. in. słabej weryfikacji tożsamości czy łatwości w zaciąganiu chociażby tzw. „chwilówek”, jest to proceder niezbyt skomplikowany, a więc atrakcyjny w oczach osób, które się nim zajmują.

              Niedługo po tym jak się dowiedzieliśmy o kradzieży, znaleziono sprawców. Okazało się, że działali wyłącznie dla zysku poprzez szybkie pozbywanie się skradzionego sprzętu np. w lombardzie. A przecież wiemy, że znajdujące się dane na laptopie były warte o wiele więcej. To po raz kolejny dowodzi, że dane osobowe są dzisiaj walutą.

              W tej historii z jednej strony ukazuje się zwodnicze podejście na zasadzie, że nic złego się nie wydarzy (choć praca na prywatnym komputerze nie jest kontrolowanym środowiskiem), to z drugiej strony trzeba zauważyć, że uczelnia nie zamiotła sprawy pod dywan. Incydenty i naruszenia się zdarzają i zdecydowanie uczciwiej jest wziąć za nie odpowiedzialność niż tłumaczyć się dlaczego zostały one przemilczane (pod warunkiem, że się o nich dowiedzieliśmy). Co więcej, taka reakcja jest obowiązkiem Administratora, a w stosownych przypadkach należy poinformować również Urząd Ochrony Danych Osobowych, a gdy ryzyko naruszenia praw i wolności osób jest wysokie, także osoby, których dane dotyczą.

              Odpowiednie zabezpieczanie danych osobowych może dzisiaj stanowić kapitał. Gdy dochodzi do takiego naruszenia ochrony danych osobowych (zwłaszcza medialnego), organizacja może bardzo ucierpieć wizerunkowo. Warto więc dbać, by osoba (np. klient) miała poczucie, że jej dane będą bezpiecznie przechowywane.

              Rynek dostarcza dzisiaj wiele rozwiązań w zakresie szyfrowania danych (również bezpłatnych). Niekorzystanie z nich, może okazać się poważnym błędem.

 

Autor: Patryk Makowski, Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.

Upoważnienia do przetwarzania danych osobowych - praktyczne wskazówki dla sądów powszechnych.

Upoważnienia do przetwarzania danych osobowych - praktyczne wskazówki dla sądów powszechnych.

Omawiając temat RODO, nie sposób nie zapytać o upoważnienia do przetwarzania danych osobowych. Do 25 maja 2018 roku (wejście w życie RODO) kwestię tę regulował art. 37 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, który w bardzo wyraźny sposób wskazywał obowiązek nadawania upoważnień przez Administratora Danych Osobowych. Co się zmieniło 25 maja 2018?

Zgodnie z art. 29 RODO Administrator decyduje o tym, kogo dopuścić do przetwarzania danych osobowych, jednak treść tego przepisu nie określa w jednoznaczny sposób obowiązku nadawania upoważnień do przetwarzania danych osobowych. W art. 29 RODO wskazano, że każda osoba działająca z upoważnienia Administratora i mająca dostęp do danych przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Jak wygląda to w praktyce?

Co to oznacza dla sądów?

To zależy – zależy od tego o jakich grupach pracowników oraz o jakim rodzaju danych osobowych mówimy. Zależności te są przedstawione w poniższej tabeli:

Kolejną kwestią do rozważenia jest kwestia tego, kto podpisuje konkretne upoważnienie do przetwarzania danych osobowych. Jaka jest odpowiedź? Niestety – to zależy. Jest to związane z tym, iż od dnia 6 lutego 2019 roku została znowelizowana ustawa Prawo o ustroju sądów powszechnych i w sądach obecnie mamy trzech Administratorów Danych Osobowych (ADO): Sąd, Prezesa Sądu i Dyrektora Sądu. Wiemy już komu należy wydać upoważnienie do przetwarzania danych. W związku z tym przykładowo zobaczmy kto powinien je podpisać:

Podsumowując zawarte w tym artykule rozważania dotyczące nadawania upoważnień do przetwarzania danych osobowych należy wskazać na cztery najważniejsze kroki w tym procesie:

  1. Należy ustalić, czy dana osoba będzie miała jakikolwiek dostęp do danych osobowych „papierowych” lub w systemie informatycznym.
  2. Należy ustalić czy czasem dostęp do danych osobowych, tak jak np. w przypadku sędziów, nie wynika z „mocy prawa” – jeżeli nie, wówczas należy nadać upoważnienie do przetwarzania danych.
  3. Należy ustalić, w oparciu o ustawę Prawo o ustroju sądów powszechnych, kto jest Administratorem danych osobowych – należy wziąć pod uwagę nie stanowisko pracownika, a rodzaj danych, które pracownik będzie przetwarzał.
  4. Należy przygotować odpowiednie upoważnienie i przekazać do podpisu właściwemu Administratorowi Danych. W praktyce, w przypadku np. pracowników kadr, którzy przetwarzają dane osobowe pracowników, dla których zwierzchnikiem służbowych jest Prezes Sądu oraz pracowników, dla których zwierzchnikiem służbowych jest Dyrektor Sądu, dobrym rozwiązaniem jest wydanie 1 upoważnienia podpisanego przez obu Administratorów.

Autor: Monika Kowalik, Inspektor Ochrony Danych w sądach, Kierownik Projektu w CompNet Sp. z o.o.

Jak uniknąć kradzieży tożsamości? Silne hasło!

Jak uniknąć kradzieży tożsamości? Silne hasło!

Haseł używasz każdego dnia. Są one elementarną częścią życia online. Przestępcy są świetni w rozszyfrowywaniu zabezpieczeń, dlatego musisz utworzyć hasło trudne do odgadnięcia. Unikaj tych  z imieniem, nazwiskiem, datą urodzin czy nazwą pupila. 

Nie zapisuj haseł na kartkach, łatwo dostępnych dla osób postronnych. Tylko Ty powinieneś znać swoje hasła. Nie udostępniaj ich innym. Nie używaj tych samych haseł do wielu kont. 

Pamiętaj o najważniejszych zasadach: 

  1. Hasło powinno być długie.
  2. Używaj liter, cyfr i symboli.
  3. Im mniej rodzajów znaków w haśle, tym powinno być ono dłuższe.
  4. Korzystaj z całej klawiatury. 
  5. Używaj zwrotów i słów, które będą łatwe dla Ciebie do zapamiętania, lecz trudne do odgadnięcia przez innych. 
  6. Unikaj sekwencji lub powtórzeń znaków.
  7. Unikaj korzystania ze swojej nazwy użytkownika.
  8. Unikaj stosowania wyrazów ze słownika dowolnego języka.
  9. Zawsze używaj więcej niż jednego hasła.
  10. Nie ujawniaj ich osobom trzecim.
  11. Chroń zapisane hasła.
  12. Nigdy nie podawaj hasła w wiadomości e-mail lub w odpowiedzi na żądanie przesłane pocztą e-mail.
  13. Regularnie zmieniaj hasła.
  14. Nie wpisuj haseł, gdy korzystasz z komputerów, nad którymi nie masz kontroli.
  15. Nie naklejaj hasła na ekranie komputera!
  16. Nie chowaj hasła pod klawiaturą komputera! 

Polecamy krótki filmik pracownika UODO odnośnie wyżej opisanych zasad: https://youtu.be/BXQWsxH6kX8  

Autor: Krzysztof Juszczak, Dyrektor Projektu – Inspektor Ochrony Danych