Mikołaj Otmianowski

legal advisor

Lubię RODO, bo RODO to ocean możliwości.
[Więcej >>>]

Zadaj pytanie

Decyzja Prezesa UODO ws. ENEA

Mikołaj Otmianowski19 marca 2021Komentarze (0)

Wejście w życie przepisów  RODO zdeterminowało wszystkie firmy oraz instytucje publiczne do przykładania większej uwagi do spraw ochrony danych osobowych, a w szczególności do przeprowadzania stosownych analiz ryzyka. Wszelkie niedopatrzenia w tym względzie mogą narazić przedsiębiorstwo na wysoką karę finansową.

Przekonała się o tym ENEA, która w wyniku błędu współpracownika została ukarana przez Prezesa UODO.

Kara dla ENEA za wyciek danych osobowych

Na początku marca cały kraj obiegła informacja o administracyjnej karze pieniężnej w wysokości ponad 136 tysięcy złotych, jaką Prezes Urzędu Ochrony Danych Osobowych nałożył na firmę ENEA. Z czego wynika taka wysokość kary? Z braku zgłoszenia przez administratora naruszenia ochrony danych osobowych, którego dopuścił się jeden ze współpracowników spółki.

Wysłał on wiadomość e-mail, zawierającą niezaszyfrowany i niezabezpieczony hasłem załącznik z danymi osobowymi kilkuset osób. Lista z imionami, nazwiskami, adresami e-mail, numerami telefonów oraz datami rejestracji trafiła w ten sposób do nieuprawnionej osoby, która przekazała UODO informację o naruszeniu ochrony danych osobowych. Problem w tym wypadku polega na tym, że takiego zgłoszenia powinna dokonać sama spółka, do czego niestety nie doszło. Doprowadziło to w konsekwencji do wszczęcia przez UODO postępowania administracyjnego, które zakończyło się dla przedsiębiorstwa wspomnianą już karą finansową.

Brak zgłoszenia powodem problemów spółki

W zaistniałej sytuacji UODO zwrócił się do spółki ENEA z prośbą o wyjaśnienie, przedstawienie jej analizy oraz ocenienie, czy w tym wypadku nie będzie konieczne zawiadomienie organu nadzorczego oraz osób, których dane znajdowały się w wiadomości. Z odpowiedzi firmy dowiedzieliśmy się, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych. W jej wyniku spółka uznała zgłoszenie naruszenia UODO za zbędne, ponieważ:

  • dane osób znajdujących się w e-mailu nie miały szczególnego charakteru i nie pozwalały na określenie zachowań czy preferencji;
  • dane nie zawierały numeru PESEL, w związku z czym zachodziła ograniczona możliwość identyfikacji konkretnych osób;
  • administrator zna tożsamość adresata e-maila, a dodatkowo otrzymał od niego oświadczenie o trwałym zniszczeniu załącznika.

Co więcej, ENEA wystosowała pismo, w którym przedstawiono przebieg dokonanej przez spółkę analizy ryzyka oraz podjęte środki zaradcze, mające pozwolić na wyeliminowanie negatywnych skutków dla osób, których dane zostały ujawnione.

UODO uznało to za niewystarczające, posiłkując się również tym, że oświadczenie niewłaściwego adresata zostało otrzymane dopiero po 5 dniach, co mogło być wystarczającym czasem np. na ich udostępnienie albo wykonanie kopii (jeszcze przed trwałym usunięciem załącznika).

Dokonana analiza ryzyka nie przekonała więc UODO. Podstawą decyzji organu był brak zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679. Decyzja wynika również z ryzyka utraty przez poszkodowane osoby kontroli nad własnymi danymi, które mogłyby posłużyć osobom trzecim np. do kontaktu z poszkodowanymi, próby wyłudzenia od nich dodatkowych danych albo założenia kont w serwisach społecznościowych, co mogłoby narazić poszkodowanych na niepożądane konsekwencje. Co ciekawe, kara mogła być jeszcze wyższa, ale urząd uwzględnił okoliczności łagodzące w postaci działań podjętych przez administratora, które miały na celu zminimalizowanie szkody.

Pełną treść decyzji Prezesa UODO można odnaleźć w tym miejscu.

Enea nie daje za wygraną

Czy tak wysoka kara pieniężna jest adekwatna do przewinienia spółki?

Jest to przedmiotem dyskusji, ponieważ UODO nie wykazał, dlaczego ocena ryzyka została przeprowadzona niepoprawnie i nie zakwestionował samej metodyki jej przeprowadzenia. Uznano po prostu, że poziom ryzyka jest inny, niż ten przedstawiony przez spółkę i na tej podstawie można ukarać przedsiębiorstwo. Co więcej, dawno nie było sytuacji, w której wyznaczenie kary ma miejsce za samo naruszenie ochrony danych osobowych, bez przeprowadzenia kontroli.

Zdaniem wielu specjalistów z branży maksymalną karą w tej sytuacji powinno być upomnienie, a tak wysoka grzywna może doprowadzić do tego, że UODO będzie od tego momentu otrzymywać co chwilę informacje o każdym niepoprawnie wysyłanym e-mailu.

Oczywiście sprawa ta wciąż, pomimo oficjalnego stanowiska UODO, nie jest zamknięta. Kierownik biura PR ENEA Piotr Ludwiczak zapowiedział odwołanie się od tej decyzji, ponieważ  została uznana za krzywdzącą.

Według spółki zaistniała sytuacja nie wymagała zgłoszenia naruszenia ochrony danych osobowych, ponieważ natychmiast po zdarzeniu dokonana została rzetelna ocena ryzyka, zgodnie z którą wykazano, że dane znajdujące się w e-mailu nie pozwalały na pełną identyfikację osób, a dodatkowo podjęte zostały działania uniemożliwiające wykorzystanie danych w nieodpowiedni sposób w przyszłości.

Jak uchronić się przed taką sytuacją?

Niezależnie od tego, czy decyzja UODO w tej sprawie znajdzie potwierdzenie w wyroku wojewódzkiego sądu administracyjnego, najważniejsze jest zabezpieczanie się przed tego rodzaju sytuacjami – nawet jeżeli miałyby one wynikać z niedopatrzenia, albo błędu osoby trzeciej (tak jak w tym wypadku – współpracownika spółki).

Kluczem do skutecznej ochrony danych jest oczywiście kompleksowa analiza ryzyka potencjalnego i odpowiednie zabezpieczenie danych osobowych, w czym pomóc może narzędzie RED INTO GREEN. Zapewnia ono możliwość przeprowadzenia rzetelnej analizy pod kątem doboru adekwatnych środków technicznych i organizacyjnych, a także oceny skutków dla ochrony danych (DPIA).

Co istotne, sama obsługa aplikacji przypomina pracę w Excelu, czyli środowisku powszechnie znanym większości Inspektorów, co znacząco ułatwia przeprowadzanie analiz i ocen.

Jak zakończy się sprawa ze ENEA? Czas pokaże. My natomiast zachęcamy do zapoznania się z analizą innej decyzji, którą przeprowadził nasz specjalista Marcin Błoński. Dotyczy ona oceny ryzyka potencjalnego w Virgin Mobile i znajdziesz ją w tym miejscu.

Po co mi DPIA?

Ochrona danych osobowych ma coraz większe znaczenie we współczesnym biznesie. To szczególnie ważne w przypadku wykorzystywania nowych technologii, które niosą ze sobą wiele korzyści, jednak często opierają znaczną część działania na gromadzeniu informacji o użytkownikach. Kwestię danych osobowych regulują przepisy takie jak RODO, jednak pomimo tego może dojść do kradzieży tożsamości oraz oszustw na tym tle, a także wycieków. Czym jest DPIA i w jaki sposób może zapobiec takim sytuacjom?

Co to jest DPIA i na czym polega ten proces?

Akronim DPIA rozwija się jako Data Protection Impact Assessment – na język polski można przetłumaczyć to jako „ocenę skutków dla ochrony danych”. Celem jest określenie ryzyka naruszenia praw osób, których informacje przetwarza dana firma lub instytucja, a także sprawdzenie zgodności procedur z założeniami rozporządzenia o ochronie danych osobowych.

To skomplikowany proces, którego efektem jest pełny raport o możliwości wystąpienia np. szkód finansowych, kradzieży wizerunku, dyskryminacji w procesie rekrutacji czy złamania tajemnicy zawodowej. W dużym stopniu opiera się ona  na zbadaniu bezpieczeństwa przechowywanych danych. Na podstawie takiej oceny można wdrożyć dodatkowe, techniczne lub organizacyjne środki, które zapewnią lepszą ich ochronę.

Etapy oceny

Do wykonania oceny należy przystąpić jeszcze przed rozpoczęciem przetwarzania danych lub wprowadzeniem zmian. Na początek wykonywany jest przegląd procesu przetwarzania danych osobowych. Bardzo istotne jest, by udokumentować wszelkie informacje – w przeciwnym wypadku wnioski mogą być błędne. Europejska Rada Ochrony Danych publikuje wytyczne dotyczące tej procedury, określając wspólnie z organami poszczególnych państw członkowskich przypadki, w których DPIA jest wymagane.

Następnym krokiem jest sprawdzenie elementów, które mają zapewnić bezpieczeństwo. Bazując na analizie tych aspektów, a także potencjalnych zagrożeń oraz podatności na zagrożenia, wnioskuje się o ryzyku naruszenia praw lub wolności osób fizycznych, których dotyczą dane. To z kolei pozwala zaplanować środki, które pomogą skutecznie zapobiegać takim zdarzeniom.

Istotną częścią DPIA jest określenie prawidłowości mechanizmów przetwarzania danych, a także upewnienie się, że informacje nie są dostępne dla osób niepowołanych.

Należy stale monitorować proces przetwarzania informacji i reagować w razie niepokojących sygnałów. Skuteczna ochrona pomaga uniknąć wielu problemów związanych nie tylko z nieprawidłowym zarządzaniem danymi i konsekwencjami dla osób fizycznych, lecz także z potencjalnymi karami.

Czy nasze dane są dobrze chronione?

Administratorami naszych danych są głównie pracodawcy, ale ogromnym zasobem informacji dysponują również instytucje państwowe i urzędy. Szpitale mają dostęp do danych o wrażliwym charakterze. Atak hakerski na taką placówkę może skończyć się nie tylko wyciekiem wiadomości o adresach, numerach PESEL, numerach telefonów, ale także utratą informacji o stanie zdrowotnym pacjentów, co może wiązać się z zagrożeniem ich zdrowia, a nawet życia. Kolejnym, potencjalnym celem przestępców internetowych są banki i sklepy internetowe, co wiąże się z ryzykiem ogromnych szkód finansowych.

W celu zwiększenia ochrony przed tego typu zdarzeniami, a także zagwarantowania wyższego poziomu prywatności, w 2018 roku Unia Europejska wprowadziła rozporządzenie o ochronie danych osobowych (RODO). Nieprzestrzeganie wymogów rozporządzenia może mieć fatalne skutki – warto zatem zadbać o budowanie dobrego systemu zabezpieczeń, by móc prawidłowo wypełniać obowiązki prawne związane z ochroną danych. Podczas udostępniania informacji innym firmom należy koniecznie sprawdzić, jak będzie wyglądać ochrona danych.

Największe wycieki danych

O ryzyku związanym z nieprawidłowym zarządzaniem ochroną danych osobowych najłatwiej przekonać się poprzez zdobycie informacji o największych wyciekach.

Jednym z najbardziej znanych przykładów z polskiego podwórka jest incydent dotyczący Virgin Mobile, za który operator został w grudniu 2020 roku ukarany karą finansową w wysokości 1,9 mln złotych. O tej sprawie możesz przeczytać więcej tutaj. 

Wówczas do sieci trafiły dane ponad stu tysięcy klientów korzystających z oferty prepaid. Aktualnie operator ten obsługuje około 350 tysięcy kart SIM – problem dotknął zatem ogromną część abonentów. Podobne historie spotkały między innymi Allegro, Morele.net czy MediaExpert. Wszystkie te firmy są operatorami ogromnych baz danych – przy takiej skali informacji bezpieczeństwo staje się jeszcze ważniejsze.

Do najbardziej znanych spraw związanych z ochroną danych na terenie Polski z pewnością należy zaliczyć także atak na sklep Morele.net w listopadzie 2018 roku.

Sprawcy wykorzystali zdobyte informacje, aby przekierowywać klientów na fałszywą stronę płatności. O znaczeniu odpowiednich zabezpieczeń przekonał się również Bank Pekao S.A., gdy na stronie placówki pojawiły się aplikacje osób ubiegających się o pracę. Sytuacja tego typu wydarzyła się także w Gdańsku, gdzie organizowana w 2019 loteria dla osób rozliczających PIT zakończyła się kradzieżą pliku zawierającego nazwiska, adresy, numery PESEL i numery telefonu uczestników.

To tylko kilka z licznych przykładów podobnych incydentów. Sprawy tego typu doskonale pokazują, jak istotne jest dobre zabezpieczenie systemów przetwarzania danych jeszcze przed przystąpieniem do przetwarzania. Skuteczna ocena ryzyka w fazie projektowania może znacznie ograniczyć ryzyko wystąpienia sytuacji o tak krytycznych skutkach.

Co zrobić w przypadku wycieku danych?

Rozporządzenie Unii Europejskiej jasno wyznacza zobowiązania wobec przedsiębiorców, gdy dochodzi do nieuprawnionego dostępu do danych osobowych. Na początku firma, której dane wyciekły, przez co mogły ulec rozpowszechnieniu, modyfikacji lub użyciu niezgodnemu z prawem, jest zobowiązana do podjęcia wszelkich środków zapobiegających dalszej utracie danych. W zależności od specyfiki sytuacji oraz oceny ryzyka może być konieczne poinformowanie osób, których dane zostały skradzione lub użyte bez ich zgody. Zawiadomienie może nie być wymagane, gdy wdrożono mechanizmy uniemożliwiające odczyt danych (na przykład szyfrowanie) lub po zdarzeniu zastosowano środki redukujące ryzyko naruszenia praw lub wolności tych osób. W przypadku gdy powiadomienie potencjalnych poszkodowanych wymagałoby niewspółmiernie dużego wysiłku, wydaje się publiczny komunikat lub stosuje inne środki. Jeżeli jest prawdopodobne, że naruszenie skutkować będzie naruszeniem praw i wolności, konieczne jest również zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych o zaistniałej sytuacji.

Niestety nie można cofnąć wycieku, a efektem są najczęściej straty nie tylko dla osób fizycznych, lecz także dla firm – ich wizerunek zostaje mocno nadszarpnięty.

Zapobieganie wyciekom danych

Ze względu na możliwą nieodwracalność skutków, należy skupić się przede wszystkim na zapobieganiu wyciekom.

To właśnie jeden z celów DPIA – ocena ma za zadanie między innymi zapewniać weryfikację jakości zabezpieczeń i pomagać we wdrażaniu nowych zasad, które przyczynią się do lepszej ochrony praw osób, których dane dotyczą.

DPIA pomaga stale utrzymywać zgodność z kluczowymi zapisami RODO, co jest niezwykle ważne w kontekście przetwarzania danych osobowych zarówno klientów, jak i pracowników.

W wielu przypadkach najlepszym rozwiązaniem będzie specjalistyczna aplikacja, która pomoże zweryfikować i ocenić ryzyko dla ochrony danych osobowych. Rozwiązanie tego typu powinno oferować przede wszystkim spójną i przejrzystą metodykę dokonania analizy. To spore ułatwienie dla różnego rodzaju firm, a także sposób, by w uporządkowany sposób przeprowadzać DPIA.

Blokada Tik Toka po śmierci 10-latki – czy można było uniknąć tragedii?

W ostatnich tygodniach Włochy żyją ogromną tragedią, która mocno wstrząsnęła całym krajem. Na skutek uczestnictwa w wyzwaniu „Blackout Challenge” 10-letnia dziewczynka poniosła śmierć. Winą obarczona jest popularna wśród młodzieży mobilna aplikacja internetowa Tik Tok, na której można znaleźć różnego rodzaju krótkie materiały wideo, tworzone na kształt teledysków muzycznych. Jak z pozoru niewinna i bezpieczna aplikacja przyczyniła się do śmierci tak młodej osoby? Czy można było uniknąć tej tragedii?

Fenomen aplikacji Tik Tok – co to jest i jak działa?

Tik Tok to obecnie jedna z najpopularniejszych aplikacji mobilnych, która z roku na rok zrzesza coraz to szersze grono użytkowników. Jej dynamiczny rozwój rozpoczął się już kilka lat temu. W 2018 roku portal dostępny był w aż 150 krajach i 75 językach. Obecnie liczby te są jeszcze większe. Na czym właściwie polega fenomen aplikacji Tik Tok?

Funkcjonowanie chińskiego portalu społecznościowego jest bardzo podobne do innej znanej aplikacji – Musical.ly. Tik Tok prawie w stu procentach ją zastąpił, lecz zasada działania zmieniła się nieznacznie. Dzięki aplikacji można przeglądać, nagrywać i umieszczać krótkie filmy wideo z dowolnym utworem muzycznym w tle. Bardzo podobny mechanizm można dostrzec w takich aplikacjach jak Snapchat czy Instagram. Tik Tok często nazywany jest globalną siecią wideo, a określenie to jest jak najbardziej trafne. Grono aktywnych użytkowników jest naprawdę liczne, niestety obejmuje ono również dzieci, które nie powinny mieć dostępu do takich aplikacji bez nadzoru dorosłych.

„Blackout Challenge” – zabawa czy śmiertelne wyzwanie?

Od jakiegoś czasu w mediach społecznościowych bardzo popularne stało się „rzucanie” wyzwań i zachęcanie innych do wspólnej zabawy. Na Facebooku, Instagramie i innych portalach społecznościowych można wziąć udział w różnego rodzaju challengach. Niektóre z takich wyzwań pełnią bardzo ważną funkcję – ich zadaniem jest zwrócenie uwagi na pewne problemy, które dotykają współczesnego świata, niestety większość z nich jest kompletnie bezsensowna, a co gorsze – śmiertelnie niebezpieczna, o czym przekonała się 10-letnia Antonella Sicomero z Włoch.

Przyczyną tragedii, do jakiej doszło we Włoszech, było wyzwanie promowane pod nazwą „Blackout Challenge”. Polegało ono samopodduszaniu się aż do utraty przytomności. Antonella zawiązała na swojej szyi pasek, a następnie podjęła się nagrywania filmiku. Dziewczynka dostała ataku serca – pomimo szybkiego przetransportowania jej do szpitala, zmarła.

Śmierć Antonelli Sicomero – czy można było jej uniknąć?

Media na całym świecie rozpisują się o nieumyślnej śmierci 10-latki. Winą obarczani są rodzice, organizator wyzwania oraz sama aplikacja, na którą w związku ze sprawą, nałożono blokadę celem ochrony dzieci dołączających do platformy społecznościowej. Wiele osób zastanawia się, czy można było uniknąć tak ogromnej tragedii oraz kto tak naprawdę jest za nią odpowiedzialny.

Niestety sprawa jest znacznie bardziej złożona, niż mogłoby się wydawać. Pod lupą znalazła się przede wszystkim aplikacja, której regulamin wyraźnie wskazuje na fakt, że z portalu mogą korzystać osoby, które ukończyły 13. rok życia. Jak więc doszło do tego, że 10-letnia dziewczynka uzyskała dostęp do treści promowanych na Tik Toku? Odpowiedź może być następująca – było to zaniedbanie ze strony założycieli portalu. Wiek użytkowników dołączających do aplikacji nie jest w należyty sposób kontrolowany, co, jak można było się przekonać, stanowi ogromne niebezpieczeństwo dla młodszych dzieci.

Wyrok w sprawie – blokada aplikacji

W związku z zaistniałym wydarzeniem organ nadzorczy z zakresu ochrony danych osobowych (Garante per la protezione dei dati personali) 22 stycznia 2021 roku wydał decyzję, zgodnie z którą na aplikację Tik Tok nałożona została blokada, obowiązująca do 15 lutego 2021 roku. Takie działanie miało na celu zaprzestania przetwarzania danych osobowych w przypadku osób przebywających na terytorium Włoch, których wieku nie dało się zweryfikować. Miało to zapobiec podobnym sytuacjom i ochronie dzieci, które wbrew regulaminowi założyły konto, przez co miały pełny dostęp do niestosownych treści, zagrażających ich bezpieczeństwu.

Nakaz uniemożliwił portalowi przetwarzanie danych osobowych, a tym samym dołączanie do społeczności osób, których wiek nie został jednoznacznie określony. O nakazie został poinformowany irlandzki odpowiednik organu nadzorczego (Data Protection Commission) – właśnie w Irlandii znajduje się główna jednostka organizacyjna portalu Tik Tok w sprawie ochrony danych osobowych w Unii Europejskiej.

To już kolejny raz, kiedy Tik Tok musi tłumaczyć się w sprawie ochrony danych osobowych

Co ciekawe, to nie pierwszy raz, kiedy portal Tik Tok znalazł się na świeczniku włoskiego organu nadzorczego, który przygląda się aplikacji od dłuższego czasu. Już kilkakrotnie zarzucano jej nieodpowiednie zarządzanie i dbałość o dane osobowe, głównie ze względu na możliwość łatwego obejścia wymagań rejestracyjnych i zbyt małej kontroli w tej kwestii ze strony twórców.

Postępowanie w sprawie wszelkich zaniedbań i uchybień aplikacji Tik Tok zostało wszczęte już w marcu 2020 roku. Wykazało ono wiele nieprawidłowości w zakresie zakładania i prowadzenia kont na portalu społecznościowym oraz niespełnianie europejskich norm prawnych z zakresu ochrony danych osobowych. Najlepszym przykładem na to, w jak prosty sposób można było dokonać rejestracji przez osoby poniżej 13. roku życia, jest przypadek Antonelli, dla której zakończyło się to niezwykle tragicznie. Niestety grono dzieci, które miało dostęp do nieodpowiednich treści, z pewnością było znacznie szersze. Blokada ze strony włoskiego organu nadzorczego była bardzo odpowiedzialnym posunięciem.

System ochrony – jak zabezpieczyć organizację przed niewłaściwym przetwarzaniem danych osobowych?

 

Ciekawe czy TIK TOK w swojej analizie ryzyka przetwarzania danych osobowych uwzględnił ryzyko śmierci swojego użytkownika? Ciekawe czy administrator przeprowadził analizę ryzyka pod kątem konsekwencji dla praw i wolności osób, których dane dotyczą? RODO wymusza na administratorze szacowanie ryzyka przetwarzania danych pod kątem ryzyk jakie takie przetwarzanie może wywołać u osób których dane przetwarzamy.

Ryzyka te badamy w kontekście praw i wolności osób pod kątem nieuprawnionego dostępu, modyfikacji danych, utraty dostępu do danych. Oceniamy przy tym powagę konsekwencji dla osób, których dane dotyczą w przypadku wystąpienia takich sytuacji. Czy, a jeśli już to w jaki sposób powinniśmy badać ryzyko takiego zdarzenia, jakie miało miejsce we Włoszech? Czy analiza ryzyka nie poszłaby tutaj o jeden krok za daleko? Czy Wy byście uwzględnili ryzyko utraty życia użytkownika Waszej aplikacji w swoich analizach?Napisz do mnie co myślisz mikolaj@howtocomplywithgdpr.com lub skomentuj artykuł.

Opisany przypadek włoskiej 10-letniej dziewczynki powinien być nauczką dla wszystkich firm, które odpowiedzialne są za różnego rodzaju portale społecznościowe. Poprawny system ochrony danych osobowych jest niezmiernie ważny i wszelkie uchybienia w tej kwestii są absolutnie niedopuszczalne. Skala przetwarzania danych osobowych w niektórych branżach bywa naprawdę duża. Aby pomóc sobie w identyfikacji takich lub innych ryzyk warto skorzystać z pomocy w postaci nowoczesnych aplikacji, dzięki którym możliwa będzie rejestracja czynności, analiza ryzyka oraz ocena skutków dla bezpieczeństwa danych.

Często czytasz o atakach socjotechnicznych, ale zwykle je lekceważysz. Myślisz, że Ciebie to nie dotyczy albo że na pewno wychwycisz próbę wyłudzenia danych. Moja historia może być drobną przestrogą.

Prywatny adres mailowy mam na tlen.pl (wiem, muszę zmienić!). Dostaję sporo maili z prymitywnymi atakami phishingowymi, które lądują w spamie: ktoś rzekomo nagrał mnie, gdy brałem prysznic czy dłubałem nosie, albo informuje, że wygrałem milion dolarów i wystarczy, że się „zaloguję”.

Tym razem atak został lepiej przygotowany. Wiadomość, która trafiła do głównej skrzynki odbiorczej, wyglądającą następująco:

Na pierwszy rzut oka wyrażenie „Administrator poczty” wygląda poważnie. W dodatku wiadomość nie trafiła do spamu i ma dobrą składnię. Ewentualnie kwestia „zablokowania konta” wzbudza podejrzenie, no ale czy administrator poczty może zablokować konto…? Kto przeczytał regulamin poczty elektronicznej i wie, kiedy mogą zablokować lub usunąć konto?

Z ciekawości człowiek otwiera mail, a tam coś takiego:

Sprawdzam!

Szybki rekonesans i…

  • Wizualnie wiadomość wygląda jak wysłana przez system o2, czyli tlen.
  • Dobra składnia.
  • Treść w miarę sensowna (co prawda trochę podejrzana, ale nie jest to nigeryjski książę czy kurier z brakującą złotówką).
  • Zachowane oficjalne sformułowania typu „Drogi Użytkowniku” lub „Z wyrazami szacunku, grupa o2.pl”).
  • Wygląda jak prawdziwy mail od systemu o2.
  • Domena o2 i adres mailowy wyglądają OK, ale czy na pewno…?

I tutaj pojawia się pierwsze poważne zastanowienie. Czy z takiego maila korzystałoby o2 w kontakcie z użytkownikiem?  (Tak na marginesie: czy za każdym razem sprawdzasz te wszystkie elementy?)

Treść:

  • Z jednej strony trochę przypomina atak, bo administrator mógł po prostu zablokować konto, zamiast informować mnie o nietypowych działaniach. Banki przecież blokują karty płatnicze, gdy zauważą coś podejrzanego. Coraz więcej jest różnych regulacji dot. przeciwdziałania czemukolwiek np. terroryzmowi itp. No i termin…
  • No właśnie, termin. Nie muszę klikać natychmiast, jak zazwyczaj przy takim ataku. Mam na spokojnie 3 dni. Mogę się zastanowić. Mogę poczekać do jutra. Jeśli to byłby atak, to zapewne kazaliby kliknąć w tym momencie i rozwiałoby to już wszelkie wątpliwości.

I tak zrobiłem, poczekałem. Usunąłem wiadomość i zobaczę co będzie następnego dnia.

Drugi dzień ataku

Następnego dnia otrzymałem taką samą wiadomość (znowu nie wpadła do spamu).

Tym razem miałem już 2 dni na reakcję.

Zacząłem się zastanawiać…

  • Podobna treść, bez błędów językowych itp.
  • Dwa dni (czyli nie tylko składnia dobra, lecz także z arytmetyką dobrze i powtarzalność).
  • Mail znowu nie trafił do spamu…

To jednak nie jest phishing! KLIKAM!

Tak zapewne by było, gdyby nie zawodowa paranoja: sprawdzanie czy nie ma skimmera przy bankomacie, zasłanianie karty płatniczej podczas dokonywania płatności czy wymaganie autoryzacji przychodzących połączeń od nieznanych numerów. Niektórzy znajomi przestali pożyczać ode mnie pieniądze (w nagłych wypadkach na odległość), bo męczyła ich autoryzacja jak w banku. 😊

Zboczenie zawodowe spowodowało, że postanowiłem zadzwonić do o2.pl*.

No i pojawiły się schody: na stronie nie podano w widocznym miejscu numeru telefonu.

Nie zniechęcam się, tylko szukam dalej.

Mija minuta.

Mija 5 minut.

Mija 10 minut…

Znalazłem! Dopiero w zakładce pomocy, na samym dole, po kliknięciu w ten szary przycisk, że „nie znalazłem odpowiedzi na swoje pytanie”.

Dzwonię!

Pierwszy numer nie działa.

Drugi numer nie działa.

Trzeci numer… działa!

Trwa połączenie …………………………………………………………………………………………………………….…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Nie będę przesadzał z liczbą kropek, bo na pewno domyślasz się, jak było.

„Jesteś piąty w kolejce…”.

„Jesteś czwarty w kolejce…”.

„Przed tobą jeszcze trzy osoby…”.

Co robić?

Po co piszę o szukaniu numerów telefonu i dzwonieniu do administracji portalu?

Bo to jedyny sposób, żeby zweryfikować mail, który dostałem.

Weryfikacja nie jest łatwa. Gdyby nie zboczenie zawodowe, pewnie bym jej nie dokonał. Zrobiłbym tak, jak pomyślałem, czyli kliknął w link! Ciekawe, ile osób tak właśnie postąpiło?

Odczekałem swoje i okazało się, że…

„TO JEST ATAK! PROSZĘ NIE KLIKAĆ! Dostaliśmy zgłoszenie, już pracujemy nad tym”.

Fajnie, że dostają zgłoszenia. Może gdyby usprawnili opcję kontaktu, szybciej by to naprawili. Bo atak trwa już drugi dzień.**

Pytanie, w jaki sposób chcą to naprawić. Byleby nie wysłali maila o treści: „Poprzedni mail to był atak. Jeżeli kliknąłeś w link, to zrobiłeś źle. Kliknij w ten link, żebyśmy wiedzieli, że padłeś ofiarą wyłudzenia danych!”. 😉

Happy end

Nie padłem ofiarą phishingu, a jeśli już, to jedynie częściowo (w końcu otrzymałem wiadomość). Chciałem Cię raczej sprowokować do przeczytania całości tekstu (socjotechnika 😉 )

Uważaj w sieci i miłego dnia!

*Dzwoniłem już pierwszego dnia, ale się nie dodzwoniłem. Za długo czekałem na połączenie. Na potrzeby czytelników, historia została skrócona.

**Atak trwał i trzeci dzień:

W poniedziałek Prezes UODO opublikował bardzo ważną dla praktyków ochrony danych decyzję ws. Virgin Mobile: https://uodo.gov.pl/pl/138/1791. Decyzja ta jest o tyle istotna, że krajowy organ nadzorczy odniósł się w niej bardziej szczegółowo do tego jak postrzega prawidłowe przeprowadzenie analizy ryzyka zgodnie z wymaganiami RODO i wprost wskazuje, jakie elementy przy szacowaniu tego ryzyka należy uwzględnić. Przeczytałem z zapartym tchem i… kamień spadł mi z serca. W DAPR robimy to dobrze 😊. Poniżej odniosłem się do najistotniejszych z punktu widzenia metodyki fragmentów, dzieląc wpis na 5 części:

  1. Do czego odnosi się ryzyko w RODO?
  2. Jakie to ryzyko?
  3. Ryzyko inherentne czy stan faktyczny?
  4. Regularne testy zabezpieczeń i wdrożenie ISO
  5. Co jeszcze ważnego w decyzji?

Kiedy skończyłem pisać okazało się, że wyszedł z tego całkiem obszerny materiał. Tym bardziej warto jednak się z nim zapoznać, ponieważ może być on pomocny w uporządkowaniu dość złożonych kwestii analizy ryzyka, w odniesieniu do omawianej decyzji. Także zalecam kubek dobrej kawy i zapraszam do lektury 🙂

 

  1. Do czego odnosi się ryzyko w RODO?

Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu.

Definiowanie ryzyka jako iloczynu prawdopodobieństwa i skutków nie jest niczym zaskakującym i za pomocą tych samych składowych określone zostało w RODO. Pewne niejasności pojawiają się natomiast w zakresie tego, do czego to ryzyko powinno się odnosić. Innymi słowy, czego prawdopodobieństwo i powagę skutków szacujemy. Dlatego w cytowanym fragmencie ważne jest też trzecie pojęcie – incydentu. Część analiz ryzyka, w tym ta krytykowana przez organ w omawianej decyzji wydaje się ten element pomijać. Czym jest zatem wspomniany incydent? Powinniśmy w tym miejscu przytoczyć kolejny fragment decyzji:

Wskazane w przedstawionej analizie ryzyka zagrożenie w postaci „nieuprawniony dostęp osób trzecich lub nieuprawnione ujawnienie danych osobom trzecim” nie powinno zostać określone przez Spółkę na poziomie „Nie dotyczy”, ponieważ zdarzenie to może zaistnieć w każdej organizacji, z powodu wielu różnych przyczyn, natomiast odpowiedź „Nie dotyczy” byłaby zasadna w sytuacji, gdyby Spółka nie przetwarzała w tym procesie danych osobowych. Natomiast, jak wynika z materiału dowodowego ustalonego w toku kontroli oraz postępowania administracyjnego, właśnie to zagrożenie zmaterializowało się, poprzez wykorzystanie niezidentyfikowanej podatności istniejącej w procesie przetwarzania danych osobowych (…).

W powyższym fragmencie przedstawiono opis zaistniałego incydentu, który jest niczym innym, jak zrealizowanym scenariuszem badanego ryzyka, który może prowadzić do naruszenia ochrony danych osobowych. Zamiennie dla słowa „incydent” może być stosowane sformułowanie „naruszenie bezpieczeństwa”, wykorzystane w definicji naruszenia ochrony danych osobowych z art. 4. punkt 12) RODO.

Kiedy incydent/naruszenie bezpieczeństwa staje się naruszeniem ochrony danych osobowych? Zgodnie z powyższą definicją ma to miejsce wtedy, gdy w jego wyniku następuje kolejny etap (określony w cytowanym fragmencie słowem „zdarzenie”), w postaci utraty jednego z atrybutów bezpieczeństwa danych osobowych, określonych w art. 5 ust. 1 f) RODO (poufność, integralność, dostępność, zgodność z prawem). To właśnie scenariusz: incydent prowadzący do zdarzenia, np. utraty poufności danych (naruszenia ochrony danych), wraz ze skutkami tego ostatniego dla osób fizycznych stanowi przedmiot badania w analizie ryzyka na potrzeby RODO.

Do wyjaśnienia całości wykorzystanego aparatu pojęciowego brakuje jeszcze zagrożenia i podatności. Tak jak wskazano w cytowanym fragmencie, do zdarzenia w postaci nieuprawnionego ujawienia danych (utraty poufności) może dojść z wielu różnych przyczyn. Przyczyny te to nic innego jak właśnie zagrożenia, czyli hipotetyczne incydenty. W tym przypadku zagrożeniem było wykonanie nieautoryzowanej kopii danych przez osoby do tego nieuprawnione. Zmaterializowało się ono dzięki wykorzystaniu podatności, czyli słabości systemu wykorzystywanego przez Virgin Mobile do realizacji czynności przetwarzania. To samo zdarzenie, czyli nieuprawnione ujawnienie danych mogłoby nastąpić w wyniku innych zagrożeń, takich jak np. atak ze strony hakera lub kradzież nośników danych.

Z powyższego fragmentu można odnieść również wrażenie, że słowa zagrożenie oraz zdarzenie stosowane są zamiennie. Takie wrażenie można odnieść również z lektury poradnika UODO z maja 2018 pt. Jak stosować podejście oparte na ryzyku. Rozstrzygające będą tutaj jednak (cytowane zresztą w tym samym poradniku na s. 35) wytyczne Grupy Roboczej Art. 29 WP 248 pt. Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679, które w załączniku 2, opisującym kryteria dopuszczalnej oceny skutków dla ochrony danych zawierają kolejno punkty:

– zidentyfikowano możliwe skutki dla praw i wolności osób, których dane dotyczą, w przypadku zdarzeń takich jak bezprawny dostęp, niepożądane zmiany i zniknięcie danych;

– zidentyfikowano zagrożenia, które mogłyby doprowadzić do bezprawnego dostępu, niepożądanych zmian i zniknięcia danych;

W związku z powyższym, w zespole DAPR posługujemy się wymienionymi pojęciami tak jak zostało to przedstawione powyżej.

 

  1. Jakie to ryzyko?

Nie bezpodstawnie tytułuję tę część zgodnie z nazwą naszego projektu www.jakietoryzyko.pl. Urząd w decyzji odniósł się także do tego, jak należy szacować prawdopodobieństwo i powagę skutków. Zacznijmy od tego drugiego.

W przypadku oceny powagi skutków incydentu, organ podkreśla konieczność wcześniejszego ustalenia wartości aktywów:

Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla organizacji, firmy – administratora danych osobowych. (…) Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych).

W tym miejscu należy z kolei wyjaśnić, że chociaż w decyzji Prezes UODO stosuje generalną definicję aktywów, to zgodnie ze standardami bezpieczeństwa informacji (co urząd wskazuje również w swoim poradniku na s. 6) dzielą się one na aktywa podstawowe (w tym przypadku będą to informacje – dane osobowe) oraz wspierające (hardware, software, lokalizacje, personel itd.).

Nie mam wątpliwości, że dla oceny powagi skutków w przypadku ryzyka związanego z naruszeniem ochrony danych osobowych kluczowe będzie przede wszystkim określenie wartości tych pierwszych, czyli samych danych osobowych. Jedynym możliwym do zastosowania kryterium w tym przypadku będzie intensywność ewentualnego wpływu na osoby fizyczne w przypadku naruszenia. „Wartość” ta będzie wprost proporcjonalna do intensywności wpływu. Innymi słowy, im poważniejsze konsekwencje dla osób, których dane dotyczą może spowodować utrata jednego z omówionych w Części 1. atrybutów bezpieczeństwa danych z art. 5 ust. 1 f) RODO, tym większą „wartość” będą miały te aktywa.

Do tego odnoszą się kolejne fragmenty:

Z uwagi na zakres ujawnionych danych osobowych wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw i wolności osób fizycznych. (…) Przemawia za tym poważny charakter naruszenia oraz krąg osób nim dotkniętych (123.391 – stu dwudziestu trzech tysięcy trzystu dziewięćdziesięciu jeden abonentów (…).

W jakich kategoriach należy mierzyć powagę tych konsekwencji (skutków)? Odpowiedź również mamy w decyzji:

W niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba lub osoby nieuprawnione, doznały szkody majątkowej. Niemniej jednak już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę); osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową.

Na podstawie powyższego fragmentu widoczne jest, że organ posługuje się kategoriami skutków wymienionymi w motywie 75. RODO. Kto próbował jednak wartościować dane w ramach tych kategorii ten wie, że taka ocena nie jest wcale łatwa. Poza zakresem danych osobowych, oraz tym ilu i jakich osób dotyczą, należy tutaj uwzględnić również charakter przetwarzania (kontekst procesu). W DAPR zdaliśmy sobie sprawę z tego wyzwania już na początku naszych prac nad analizą ryzyka. Na potrzeby tej oceny przygotowaliśmy wtedy autorską skalę, którą posługujemy się i doskonalimy do dziś – można ją poznać właśnie na www.jakietoryzyko.pl. Szerzej na temat oceny powagi skutków dla osób fizycznych rozpisaliśmy się też w artykule do najnowszego wydania Magazynu ODO: https://magazyn-odo.pl/w-numerze/.

Po przeanalizowaniu powagi skutków możemy zająć się oceną drugiego ze składników ryzyka, jakim jest prawdopodobieństwo. Organ w swojej decyzji odniósł się również do tego jak należy, a raczej nie należy go szacować:

Podkreślić należy, iż badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt nie wystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.

Należy wyjaśnić, że podejście, w którym prawdopodobieństwo zaistnienia określonego zdarzenia może być określane poprzez częstość jego wcześniejszego występowania w danym przedziale czasu ma swoje korzenie w standardach ISO dotyczących bezpieczeństwa informacji i zarządzania ryzykiem. Znajdziemy je chociażby w normach ISO 27005 czy ISO 31010. Jednocześnie normy te wskazują jasno, że jest to tylko jedna z możliwych do zastosowania technik i nie zawsze uzasadniona, chociażby w sytuacji gdy organizacja jest „młoda” lub nie miała nigdy w przeszłości do czynienia z danym rodzajem zdarzenia. W takiej sytuacji rekomendowane są inne możliwości, np. analiza drzewa błędów lub po prostu skorzystanie z opinii specjalistów. Należy wtedy oprzeć się na zidentyfikowanych w stanie faktycznym podatnościach i posiadanych zabezpieczeniach.

Podatności i zabezpieczeń nie możemy z kolei rozpatrywać w oderwaniu od drugiego rodzaju aktywów występujących w organizacji – aktywów wspierających. Chociaż nie mają one znaczenia dla określenia powagi konsekwencji dla osób fizycznych, to będą one niezbędne dla szacowania prawdopodobieństwa. To na nie będą bowiem oddziaływać poszczególne zagrożenia. Pominięcie tego elementu jest częstym błędem w analizach ryzyka, a przecież nie da się ukraść, zhakować lub zgubić czynności przetwarzania jako takiej – zagrożenia te mogą natomiast dotyczyć wykorzystywanych w tych czynnościach aktywów wspierających. To w kontekście tych aktywów (uczestniczących w czynnościach) powinniśmy określać prawdopodobieństwo. Samo oszacowanie ich wartości również będzie pomocne dla spełnienia obowiązków wynikających z RODO w zakresie zarządzania ryzykiem. Dlaczego? Ponieważ wiedząc, które aktywa wspierające są najistotniejsze z punktu widzenia ochrony danych osobowych będziemy mogli bardziej precyzyjnie zaadresować adekwatne środki techniczne i organizacyjne, zgodnie z art. 32 ust. 1 RODO. Z perspektywy ochrony danych osobowych najwyższą wartość będą miały te aktywa wspierające, które uczestniczą w największej ilości czynności przetwarzania, przechowują najwięcej/najszerszy katalog danych osobowych, uczestniczą w czynnościach przetwarzania objętych najwyższym ryzykiem. Taką klasyfikację sporządzamy w ramach funkcji Raportów naszej aplikacji.

 

  1. Ryzyko inherentne czy stan faktyczny?

Kolejną wątpliwością, która często pojawia się przy analizie ryzyka na potrzeby RODO jest zagadnienie tzw. ryzyka inherentnego. Najczęściej jest ono definiowane jako ryzyko oszacowane w sytuacji braku zabezpieczeń. W kontekście RODO pojawia się pytanie, czy takie właśnie ryzyko w ramach art. 32 powinno się mierzyć, aby następnie dostosować adekwatne środki techniczne i organizacyjne? Przytaczany już wcześniej fragment decyzji ws. Virgin wydaje się rozwiewać tę wątpliwość na niekorzyść powyższej tezy:

– (…) analiza ryzyka przeprowadzana przez administratora danych osobowych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.

Cytowane zdanie wskazuje na to, że powinno się brać pod uwagę stan aktualny wraz z istniejącymi zabezpieczeniami, co również przyjmuję z zadowoleniem, ponieważ od początku wychodziliśmy z takiego założenia wykonując analizy dla naszych klientów.

 

  1. Regularne testy zabezpieczeń i wdrożenie ISO

W Spółce nie było przeprowadzane kompleksowe regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych (…).

To pierwsza decyzja, w tak dużym stopniu oparta na art. 32 ust. 1 d) RODO. Podkreślenie konieczności udokumentowania przeprowadzanych ocen skuteczności zabezpieczeń może zwrócić uwagę tych administratorów, którzy ten punkt traktowali do tej pory z przymrużeniem oka, chociaż pojawił się on wcześniej m.in. w decyzji dot. SGGW. Co istotne, organ stwierdził, że gwarancję przeprowadzania regularnych przeglądów i audytów zabezpieczeń zapewnia wdrożenie i utrzymywanie przez administratora norm ISO 27001, 27002 i 27701:

(…) wymogi utrzymania certyfikatów zgodności systemu zarządzania w Spółce z wdrożonymi normami oznaczają m.in objęcie funkcjonowania systemu zarządzania bezpieczeństwa informacji i ochrony danych corocznym audytem wewnętrznym prowadzonym przez Spółę, jak i zewnętrznym niezależnej instytucji wydającej certyfikat. Powyższe oznacza, że Spółka wdrożyła rozwiązania zapewniające regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków zapewniających bezpieczeństwo przetwarzania danych. (…) Spółka wdrożyła również normy ISO gwarantujące na przyszłość wysoki poziom procedur regulujących m.in. przetwarzanie danych osobowych w Spółce, w tym przewidujące również regularne przeglądy i audyty zabezpieczeń (…).

Jest to ważny sygnał dla rynku i potwierdzenie oparcia podejścia Prezesa UODO do analizy ryzyka na tym właśnie źródle. Warto jednak pamiętać, że przeprowadzenie analizy ryzyka wg norm odnoszących się do bezpieczeństwa informacji nie oznacza przeprowadzenia analizy ryzyka zgodnej ze specyfiką RODO, gdzie powaga skutków określana jest nie w stosunku do organizacji, ale wobec praw i wolności osób fizycznych (norma 27701 nie precyzuje jak należy szacować tę powagę).

 

  1. Co jeszcze ważnego w decyzji?

Na koniec jeszcze trzy istotne z punktu widzenia metodyki punkty, które nie wymagają już szerszego komentarza:

– Zmiana dostawcy (operatora systemu informatycznego) powinna każdorazowo wiązać się z aktualizacją analizy ryzyka w tym zakresie;

– Należy pamiętać o przechowywaniu informacji o zakresie upoważnień oraz uprawnień dostępowych dla personelu organizacji, czego brak został zinterpretowany jako naruszenie zasady rozliczalności;

– Półtorej roku to zbyt długi odstęp pomiędzy kolejnymi iteracjami analizy ryzyka, przynajmniej w przypadku organizacji tej wielkości i o tej skali przetwarzania danych osobowych jak Virgin Mobile Polska.

 

Podsumowując, analizowana decyzja rzuca pewną ilość światła na dyskutowane do tej pory niejasności w zakresie analizy ryzyka na potrzeby RODO. Mam nadzieję, że kolejne rozstrzygnięcia będą posiadać równie obszerne uzasadnienia i pozwolą w przyszłości dopełnić ten obraz. Osobiście, najważniejsze jest dla mnie to, że po lekturze możemy jako DAPR, z czystym sumieniem polecać naszą metodę analizy ryzyka i aplikację: https://riskundercontrol.pl/.

 

Zapraszam na nasz profil DAPR na Linkedin! Znajduje się tam informacja o najbliższym webinarze, na którym pokażemy jak przeprowadzić modelowy proces analizy ryzyka w firmie św. Mikołaja 😊.