Mikołaj Otmianowski

legal advisor

Lubię RODO, bo RODO to ocean możliwości.
[Więcej >>>]

Zadaj pytanie

Blokada Tik Toka po śmierci 10-latki – czy można było uniknąć tragedii?

W ostatnich tygodniach Włochy żyją ogromną tragedią, która mocno wstrząsnęła całym krajem. Na skutek uczestnictwa w wyzwaniu „Blackout Challenge” 10-letnia dziewczynka poniosła śmierć. Winą obarczona jest popularna wśród młodzieży mobilna aplikacja internetowa Tik Tok, na której można znaleźć różnego rodzaju krótkie materiały wideo, tworzone na kształt teledysków muzycznych. Jak z pozoru niewinna i bezpieczna aplikacja przyczyniła się do śmierci tak młodej osoby? Czy można było uniknąć tej tragedii?

Fenomen aplikacji Tik Tok – co to jest i jak działa?

Tik Tok to obecnie jedna z najpopularniejszych aplikacji mobilnych, która z roku na rok zrzesza coraz to szersze grono użytkowników. Jej dynamiczny rozwój rozpoczął się już kilka lat temu. W 2018 roku portal dostępny był w aż 150 krajach i 75 językach. Obecnie liczby te są jeszcze większe. Na czym właściwie polega fenomen aplikacji Tik Tok?

Funkcjonowanie chińskiego portalu społecznościowego jest bardzo podobne do innej znanej aplikacji – Musical.ly. Tik Tok prawie w stu procentach ją zastąpił, lecz zasada działania zmieniła się nieznacznie. Dzięki aplikacji można przeglądać, nagrywać i umieszczać krótkie filmy wideo z dowolnym utworem muzycznym w tle. Bardzo podobny mechanizm można dostrzec w takich aplikacjach jak Snapchat czy Instagram. Tik Tok często nazywany jest globalną siecią wideo, a określenie to jest jak najbardziej trafne. Grono aktywnych użytkowników jest naprawdę liczne, niestety obejmuje ono również dzieci, które nie powinny mieć dostępu do takich aplikacji bez nadzoru dorosłych.

„Blackout Challenge” – zabawa czy śmiertelne wyzwanie?

Od jakiegoś czasu w mediach społecznościowych bardzo popularne stało się „rzucanie” wyzwań i zachęcanie innych do wspólnej zabawy. Na Facebooku, Instagramie i innych portalach społecznościowych można wziąć udział w różnego rodzaju challengach. Niektóre z takich wyzwań pełnią bardzo ważną funkcję – ich zadaniem jest zwrócenie uwagi na pewne problemy, które dotykają współczesnego świata, niestety większość z nich jest kompletnie bezsensowna, a co gorsze – śmiertelnie niebezpieczna, o czym przekonała się 10-letnia Antonella Sicomero z Włoch.

Przyczyną tragedii, do jakiej doszło we Włoszech, było wyzwanie promowane pod nazwą „Blackout Challenge”. Polegało ono samopodduszaniu się aż do utraty przytomności. Antonella zawiązała na swojej szyi pasek, a następnie podjęła się nagrywania filmiku. Dziewczynka dostała ataku serca – pomimo szybkiego przetransportowania jej do szpitala, zmarła.

Śmierć Antonelli Sicomero – czy można było jej uniknąć?

Media na całym świecie rozpisują się o nieumyślnej śmierci 10-latki. Winą obarczani są rodzice, organizator wyzwania oraz sama aplikacja, na którą w związku ze sprawą, nałożono blokadę celem ochrony dzieci dołączających do platformy społecznościowej. Wiele osób zastanawia się, czy można było uniknąć tak ogromnej tragedii oraz kto tak naprawdę jest za nią odpowiedzialny.

Niestety sprawa jest znacznie bardziej złożona, niż mogłoby się wydawać. Pod lupą znalazła się przede wszystkim aplikacja, której regulamin wyraźnie wskazuje na fakt, że z portalu mogą korzystać osoby, które ukończyły 13. rok życia. Jak więc doszło do tego, że 10-letnia dziewczynka uzyskała dostęp do treści promowanych na Tik Toku? Odpowiedź może być następująca – było to zaniedbanie ze strony założycieli portalu. Wiek użytkowników dołączających do aplikacji nie jest w należyty sposób kontrolowany, co, jak można było się przekonać, stanowi ogromne niebezpieczeństwo dla młodszych dzieci.

Wyrok w sprawie – blokada aplikacji

W związku z zaistniałym wydarzeniem organ nadzorczy z zakresu ochrony danych osobowych (Garante per la protezione dei dati personali) 22 stycznia 2021 roku wydał decyzję, zgodnie z którą na aplikację Tik Tok nałożona została blokada, obowiązująca do 15 lutego 2021 roku. Takie działanie miało na celu zaprzestania przetwarzania danych osobowych w przypadku osób przebywających na terytorium Włoch, których wieku nie dało się zweryfikować. Miało to zapobiec podobnym sytuacjom i ochronie dzieci, które wbrew regulaminowi założyły konto, przez co miały pełny dostęp do niestosownych treści, zagrażających ich bezpieczeństwu.

Nakaz uniemożliwił portalowi przetwarzanie danych osobowych, a tym samym dołączanie do społeczności osób, których wiek nie został jednoznacznie określony. O nakazie został poinformowany irlandzki odpowiednik organu nadzorczego (Data Protection Commission) – właśnie w Irlandii znajduje się główna jednostka organizacyjna portalu Tik Tok w sprawie ochrony danych osobowych w Unii Europejskiej.

To już kolejny raz, kiedy Tik Tok musi tłumaczyć się w sprawie ochrony danych osobowych

Co ciekawe, to nie pierwszy raz, kiedy portal Tik Tok znalazł się na świeczniku włoskiego organu nadzorczego, który przygląda się aplikacji od dłuższego czasu. Już kilkakrotnie zarzucano jej nieodpowiednie zarządzanie i dbałość o dane osobowe, głównie ze względu na możliwość łatwego obejścia wymagań rejestracyjnych i zbyt małej kontroli w tej kwestii ze strony twórców.

Postępowanie w sprawie wszelkich zaniedbań i uchybień aplikacji Tik Tok zostało wszczęte już w marcu 2020 roku. Wykazało ono wiele nieprawidłowości w zakresie zakładania i prowadzenia kont na portalu społecznościowym oraz niespełnianie europejskich norm prawnych z zakresu ochrony danych osobowych. Najlepszym przykładem na to, w jak prosty sposób można było dokonać rejestracji przez osoby poniżej 13. roku życia, jest przypadek Antonelli, dla której zakończyło się to niezwykle tragicznie. Niestety grono dzieci, które miało dostęp do nieodpowiednich treści, z pewnością było znacznie szersze. Blokada ze strony włoskiego organu nadzorczego była bardzo odpowiedzialnym posunięciem.

System ochrony – jak zabezpieczyć organizację przed niewłaściwym przetwarzaniem danych osobowych?

 

Ciekawe czy TIK TOK w swojej analizie ryzyka przetwarzania danych osobowych uwzględnił ryzyko śmierci swojego użytkownika? Ciekawe czy administrator przeprowadził analizę ryzyka pod kątem konsekwencji dla praw i wolności osób, których dane dotyczą? RODO wymusza na administratorze szacowanie ryzyka przetwarzania danych pod kątem ryzyk jakie takie przetwarzanie może wywołać u osób których dane przetwarzamy.

Ryzyka te badamy w kontekście praw i wolności osób pod kątem nieuprawnionego dostępu, modyfikacji danych, utraty dostępu do danych. Oceniamy przy tym powagę konsekwencji dla osób, których dane dotyczą w przypadku wystąpienia takich sytuacji. Czy, a jeśli już to w jaki sposób powinniśmy badać ryzyko takiego zdarzenia, jakie miało miejsce we Włoszech? Czy analiza ryzyka nie poszłaby tutaj o jeden krok za daleko? Czy Wy byście uwzględnili ryzyko utraty życia użytkownika Waszej aplikacji w swoich analizach?Napisz do mnie co myślisz mikolaj@howtocomplywithgdpr.com lub skomentuj artykuł.

Opisany przypadek włoskiej 10-letniej dziewczynki powinien być nauczką dla wszystkich firm, które odpowiedzialne są za różnego rodzaju portale społecznościowe. Poprawny system ochrony danych osobowych jest niezmiernie ważny i wszelkie uchybienia w tej kwestii są absolutnie niedopuszczalne. Skala przetwarzania danych osobowych w niektórych branżach bywa naprawdę duża. Aby pomóc sobie w identyfikacji takich lub innych ryzyk warto skorzystać z pomocy w postaci nowoczesnych aplikacji, dzięki którym możliwa będzie rejestracja czynności, analiza ryzyka oraz ocena skutków dla bezpieczeństwa danych.

Często czytasz o atakach socjotechnicznych, ale zwykle je lekceważysz. Myślisz, że Ciebie to nie dotyczy albo że na pewno wychwycisz próbę wyłudzenia danych. Moja historia może być drobną przestrogą.

Prywatny adres mailowy mam na tlen.pl (wiem, muszę zmienić!). Dostaję sporo maili z prymitywnymi atakami phishingowymi, które lądują w spamie: ktoś rzekomo nagrał mnie, gdy brałem prysznic czy dłubałem nosie, albo informuje, że wygrałem milion dolarów i wystarczy, że się „zaloguję”.

Tym razem atak został lepiej przygotowany. Wiadomość, która trafiła do głównej skrzynki odbiorczej, wyglądającą następująco:

Na pierwszy rzut oka wyrażenie „Administrator poczty” wygląda poważnie. W dodatku wiadomość nie trafiła do spamu i ma dobrą składnię. Ewentualnie kwestia „zablokowania konta” wzbudza podejrzenie, no ale czy administrator poczty może zablokować konto…? Kto przeczytał regulamin poczty elektronicznej i wie, kiedy mogą zablokować lub usunąć konto?

Z ciekawości człowiek otwiera mail, a tam coś takiego:

Sprawdzam!

Szybki rekonesans i…

  • Wizualnie wiadomość wygląda jak wysłana przez system o2, czyli tlen.
  • Dobra składnia.
  • Treść w miarę sensowna (co prawda trochę podejrzana, ale nie jest to nigeryjski książę czy kurier z brakującą złotówką).
  • Zachowane oficjalne sformułowania typu „Drogi Użytkowniku” lub „Z wyrazami szacunku, grupa o2.pl”).
  • Wygląda jak prawdziwy mail od systemu o2.
  • Domena o2 i adres mailowy wyglądają OK, ale czy na pewno…?

I tutaj pojawia się pierwsze poważne zastanowienie. Czy z takiego maila korzystałoby o2 w kontakcie z użytkownikiem?  (Tak na marginesie: czy za każdym razem sprawdzasz te wszystkie elementy?)

Treść:

  • Z jednej strony trochę przypomina atak, bo administrator mógł po prostu zablokować konto, zamiast informować mnie o nietypowych działaniach. Banki przecież blokują karty płatnicze, gdy zauważą coś podejrzanego. Coraz więcej jest różnych regulacji dot. przeciwdziałania czemukolwiek np. terroryzmowi itp. No i termin…
  • No właśnie, termin. Nie muszę klikać natychmiast, jak zazwyczaj przy takim ataku. Mam na spokojnie 3 dni. Mogę się zastanowić. Mogę poczekać do jutra. Jeśli to byłby atak, to zapewne kazaliby kliknąć w tym momencie i rozwiałoby to już wszelkie wątpliwości.

I tak zrobiłem, poczekałem. Usunąłem wiadomość i zobaczę co będzie następnego dnia.

Drugi dzień ataku

Następnego dnia otrzymałem taką samą wiadomość (znowu nie wpadła do spamu).

Tym razem miałem już 2 dni na reakcję.

Zacząłem się zastanawiać…

  • Podobna treść, bez błędów językowych itp.
  • Dwa dni (czyli nie tylko składnia dobra, lecz także z arytmetyką dobrze i powtarzalność).
  • Mail znowu nie trafił do spamu…

To jednak nie jest phishing! KLIKAM!

Tak zapewne by było, gdyby nie zawodowa paranoja: sprawdzanie czy nie ma skimmera przy bankomacie, zasłanianie karty płatniczej podczas dokonywania płatności czy wymaganie autoryzacji przychodzących połączeń od nieznanych numerów. Niektórzy znajomi przestali pożyczać ode mnie pieniądze (w nagłych wypadkach na odległość), bo męczyła ich autoryzacja jak w banku. 😊

Zboczenie zawodowe spowodowało, że postanowiłem zadzwonić do o2.pl*.

No i pojawiły się schody: na stronie nie podano w widocznym miejscu numeru telefonu.

Nie zniechęcam się, tylko szukam dalej.

Mija minuta.

Mija 5 minut.

Mija 10 minut…

Znalazłem! Dopiero w zakładce pomocy, na samym dole, po kliknięciu w ten szary przycisk, że „nie znalazłem odpowiedzi na swoje pytanie”.

Dzwonię!

Pierwszy numer nie działa.

Drugi numer nie działa.

Trzeci numer… działa!

Trwa połączenie …………………………………………………………………………………………………………….…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Nie będę przesadzał z liczbą kropek, bo na pewno domyślasz się, jak było.

„Jesteś piąty w kolejce…”.

„Jesteś czwarty w kolejce…”.

„Przed tobą jeszcze trzy osoby…”.

Co robić?

Po co piszę o szukaniu numerów telefonu i dzwonieniu do administracji portalu?

Bo to jedyny sposób, żeby zweryfikować mail, który dostałem.

Weryfikacja nie jest łatwa. Gdyby nie zboczenie zawodowe, pewnie bym jej nie dokonał. Zrobiłbym tak, jak pomyślałem, czyli kliknął w link! Ciekawe, ile osób tak właśnie postąpiło?

Odczekałem swoje i okazało się, że…

„TO JEST ATAK! PROSZĘ NIE KLIKAĆ! Dostaliśmy zgłoszenie, już pracujemy nad tym”.

Fajnie, że dostają zgłoszenia. Może gdyby usprawnili opcję kontaktu, szybciej by to naprawili. Bo atak trwa już drugi dzień.**

Pytanie, w jaki sposób chcą to naprawić. Byleby nie wysłali maila o treści: „Poprzedni mail to był atak. Jeżeli kliknąłeś w link, to zrobiłeś źle. Kliknij w ten link, żebyśmy wiedzieli, że padłeś ofiarą wyłudzenia danych!”. 😉

Happy end

Nie padłem ofiarą phishingu, a jeśli już, to jedynie częściowo (w końcu otrzymałem wiadomość). Chciałem Cię raczej sprowokować do przeczytania całości tekstu (socjotechnika 😉 )

Uważaj w sieci i miłego dnia!

*Dzwoniłem już pierwszego dnia, ale się nie dodzwoniłem. Za długo czekałem na połączenie. Na potrzeby czytelników, historia została skrócona.

**Atak trwał i trzeci dzień:

W poniedziałek Prezes UODO opublikował bardzo ważną dla praktyków ochrony danych decyzję ws. Virgin Mobile: https://uodo.gov.pl/pl/138/1791. Decyzja ta jest o tyle istotna, że krajowy organ nadzorczy odniósł się w niej bardziej szczegółowo do tego jak postrzega prawidłowe przeprowadzenie analizy ryzyka zgodnie z wymaganiami RODO i wprost wskazuje, jakie elementy przy szacowaniu tego ryzyka należy uwzględnić. Przeczytałem z zapartym tchem i… kamień spadł mi z serca. W DAPR robimy to dobrze 😊. Poniżej odniosłem się do najistotniejszych z punktu widzenia metodyki fragmentów, dzieląc wpis na 5 części:

  1. Do czego odnosi się ryzyko w RODO?
  2. Jakie to ryzyko?
  3. Ryzyko inherentne czy stan faktyczny?
  4. Regularne testy zabezpieczeń i wdrożenie ISO
  5. Co jeszcze ważnego w decyzji?

Kiedy skończyłem pisać okazało się, że wyszedł z tego całkiem obszerny materiał. Tym bardziej warto jednak się z nim zapoznać, ponieważ może być on pomocny w uporządkowaniu dość złożonych kwestii analizy ryzyka, w odniesieniu do omawianej decyzji. Także zalecam kubek dobrej kawy i zapraszam do lektury 🙂

 

  1. Do czego odnosi się ryzyko w RODO?

Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu.

Definiowanie ryzyka jako iloczynu prawdopodobieństwa i skutków nie jest niczym zaskakującym i za pomocą tych samych składowych określone zostało w RODO. Pewne niejasności pojawiają się natomiast w zakresie tego, do czego to ryzyko powinno się odnosić. Innymi słowy, czego prawdopodobieństwo i powagę skutków szacujemy. Dlatego w cytowanym fragmencie ważne jest też trzecie pojęcie – incydentu. Część analiz ryzyka, w tym ta krytykowana przez organ w omawianej decyzji wydaje się ten element pomijać. Czym jest zatem wspomniany incydent? Powinniśmy w tym miejscu przytoczyć kolejny fragment decyzji:

Wskazane w przedstawionej analizie ryzyka zagrożenie w postaci „nieuprawniony dostęp osób trzecich lub nieuprawnione ujawnienie danych osobom trzecim” nie powinno zostać określone przez Spółkę na poziomie „Nie dotyczy”, ponieważ zdarzenie to może zaistnieć w każdej organizacji, z powodu wielu różnych przyczyn, natomiast odpowiedź „Nie dotyczy” byłaby zasadna w sytuacji, gdyby Spółka nie przetwarzała w tym procesie danych osobowych. Natomiast, jak wynika z materiału dowodowego ustalonego w toku kontroli oraz postępowania administracyjnego, właśnie to zagrożenie zmaterializowało się, poprzez wykorzystanie niezidentyfikowanej podatności istniejącej w procesie przetwarzania danych osobowych (…).

W powyższym fragmencie przedstawiono opis zaistniałego incydentu, który jest niczym innym, jak zrealizowanym scenariuszem badanego ryzyka, który może prowadzić do naruszenia ochrony danych osobowych. Zamiennie dla słowa „incydent” może być stosowane sformułowanie „naruszenie bezpieczeństwa”, wykorzystane w definicji naruszenia ochrony danych osobowych z art. 4. punkt 12) RODO.

Kiedy incydent/naruszenie bezpieczeństwa staje się naruszeniem ochrony danych osobowych? Zgodnie z powyższą definicją ma to miejsce wtedy, gdy w jego wyniku następuje kolejny etap (określony w cytowanym fragmencie słowem „zdarzenie”), w postaci utraty jednego z atrybutów bezpieczeństwa danych osobowych, określonych w art. 5 ust. 1 f) RODO (poufność, integralność, dostępność, zgodność z prawem). To właśnie scenariusz: incydent prowadzący do zdarzenia, np. utraty poufności danych (naruszenia ochrony danych), wraz ze skutkami tego ostatniego dla osób fizycznych stanowi przedmiot badania w analizie ryzyka na potrzeby RODO.

Do wyjaśnienia całości wykorzystanego aparatu pojęciowego brakuje jeszcze zagrożenia i podatności. Tak jak wskazano w cytowanym fragmencie, do zdarzenia w postaci nieuprawnionego ujawienia danych (utraty poufności) może dojść z wielu różnych przyczyn. Przyczyny te to nic innego jak właśnie zagrożenia, czyli hipotetyczne incydenty. W tym przypadku zagrożeniem było wykonanie nieautoryzowanej kopii danych przez osoby do tego nieuprawnione. Zmaterializowało się ono dzięki wykorzystaniu podatności, czyli słabości systemu wykorzystywanego przez Virgin Mobile do realizacji czynności przetwarzania. To samo zdarzenie, czyli nieuprawnione ujawnienie danych mogłoby nastąpić w wyniku innych zagrożeń, takich jak np. atak ze strony hakera lub kradzież nośników danych.

Z powyższego fragmentu można odnieść również wrażenie, że słowa zagrożenie oraz zdarzenie stosowane są zamiennie. Takie wrażenie można odnieść również z lektury poradnika UODO z maja 2018 pt. Jak stosować podejście oparte na ryzyku. Rozstrzygające będą tutaj jednak (cytowane zresztą w tym samym poradniku na s. 35) wytyczne Grupy Roboczej Art. 29 WP 248 pt. Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679, które w załączniku 2, opisującym kryteria dopuszczalnej oceny skutków dla ochrony danych zawierają kolejno punkty:

– zidentyfikowano możliwe skutki dla praw i wolności osób, których dane dotyczą, w przypadku zdarzeń takich jak bezprawny dostęp, niepożądane zmiany i zniknięcie danych;

– zidentyfikowano zagrożenia, które mogłyby doprowadzić do bezprawnego dostępu, niepożądanych zmian i zniknięcia danych;

W związku z powyższym, w zespole DAPR posługujemy się wymienionymi pojęciami tak jak zostało to przedstawione powyżej.

 

  1. Jakie to ryzyko?

Nie bezpodstawnie tytułuję tę część zgodnie z nazwą naszego projektu www.jakietoryzyko.pl. Urząd w decyzji odniósł się także do tego, jak należy szacować prawdopodobieństwo i powagę skutków. Zacznijmy od tego drugiego.

W przypadku oceny powagi skutków incydentu, organ podkreśla konieczność wcześniejszego ustalenia wartości aktywów:

Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla organizacji, firmy – administratora danych osobowych. (…) Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych).

W tym miejscu należy z kolei wyjaśnić, że chociaż w decyzji Prezes UODO stosuje generalną definicję aktywów, to zgodnie ze standardami bezpieczeństwa informacji (co urząd wskazuje również w swoim poradniku na s. 6) dzielą się one na aktywa podstawowe (w tym przypadku będą to informacje – dane osobowe) oraz wspierające (hardware, software, lokalizacje, personel itd.).

Nie mam wątpliwości, że dla oceny powagi skutków w przypadku ryzyka związanego z naruszeniem ochrony danych osobowych kluczowe będzie przede wszystkim określenie wartości tych pierwszych, czyli samych danych osobowych. Jedynym możliwym do zastosowania kryterium w tym przypadku będzie intensywność ewentualnego wpływu na osoby fizyczne w przypadku naruszenia. „Wartość” ta będzie wprost proporcjonalna do intensywności wpływu. Innymi słowy, im poważniejsze konsekwencje dla osób, których dane dotyczą może spowodować utrata jednego z omówionych w Części 1. atrybutów bezpieczeństwa danych z art. 5 ust. 1 f) RODO, tym większą „wartość” będą miały te aktywa.

Do tego odnoszą się kolejne fragmenty:

Z uwagi na zakres ujawnionych danych osobowych wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw i wolności osób fizycznych. (…) Przemawia za tym poważny charakter naruszenia oraz krąg osób nim dotkniętych (123.391 – stu dwudziestu trzech tysięcy trzystu dziewięćdziesięciu jeden abonentów (…).

W jakich kategoriach należy mierzyć powagę tych konsekwencji (skutków)? Odpowiedź również mamy w decyzji:

W niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba lub osoby nieuprawnione, doznały szkody majątkowej. Niemniej jednak już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę); osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową.

Na podstawie powyższego fragmentu widoczne jest, że organ posługuje się kategoriami skutków wymienionymi w motywie 75. RODO. Kto próbował jednak wartościować dane w ramach tych kategorii ten wie, że taka ocena nie jest wcale łatwa. Poza zakresem danych osobowych, oraz tym ilu i jakich osób dotyczą, należy tutaj uwzględnić również charakter przetwarzania (kontekst procesu). W DAPR zdaliśmy sobie sprawę z tego wyzwania już na początku naszych prac nad analizą ryzyka. Na potrzeby tej oceny przygotowaliśmy wtedy autorską skalę, którą posługujemy się i doskonalimy do dziś – można ją poznać właśnie na www.jakietoryzyko.pl. Szerzej na temat oceny powagi skutków dla osób fizycznych rozpisaliśmy się też w artykule do najnowszego wydania Magazynu ODO: https://magazyn-odo.pl/w-numerze/.

Po przeanalizowaniu powagi skutków możemy zająć się oceną drugiego ze składników ryzyka, jakim jest prawdopodobieństwo. Organ w swojej decyzji odniósł się również do tego jak należy, a raczej nie należy go szacować:

Podkreślić należy, iż badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt nie wystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.

Należy wyjaśnić, że podejście, w którym prawdopodobieństwo zaistnienia określonego zdarzenia może być określane poprzez częstość jego wcześniejszego występowania w danym przedziale czasu ma swoje korzenie w standardach ISO dotyczących bezpieczeństwa informacji i zarządzania ryzykiem. Znajdziemy je chociażby w normach ISO 27005 czy ISO 31010. Jednocześnie normy te wskazują jasno, że jest to tylko jedna z możliwych do zastosowania technik i nie zawsze uzasadniona, chociażby w sytuacji gdy organizacja jest „młoda” lub nie miała nigdy w przeszłości do czynienia z danym rodzajem zdarzenia. W takiej sytuacji rekomendowane są inne możliwości, np. analiza drzewa błędów lub po prostu skorzystanie z opinii specjalistów. Należy wtedy oprzeć się na zidentyfikowanych w stanie faktycznym podatnościach i posiadanych zabezpieczeniach.

Podatności i zabezpieczeń nie możemy z kolei rozpatrywać w oderwaniu od drugiego rodzaju aktywów występujących w organizacji – aktywów wspierających. Chociaż nie mają one znaczenia dla określenia powagi konsekwencji dla osób fizycznych, to będą one niezbędne dla szacowania prawdopodobieństwa. To na nie będą bowiem oddziaływać poszczególne zagrożenia. Pominięcie tego elementu jest częstym błędem w analizach ryzyka, a przecież nie da się ukraść, zhakować lub zgubić czynności przetwarzania jako takiej – zagrożenia te mogą natomiast dotyczyć wykorzystywanych w tych czynnościach aktywów wspierających. To w kontekście tych aktywów (uczestniczących w czynnościach) powinniśmy określać prawdopodobieństwo. Samo oszacowanie ich wartości również będzie pomocne dla spełnienia obowiązków wynikających z RODO w zakresie zarządzania ryzykiem. Dlaczego? Ponieważ wiedząc, które aktywa wspierające są najistotniejsze z punktu widzenia ochrony danych osobowych będziemy mogli bardziej precyzyjnie zaadresować adekwatne środki techniczne i organizacyjne, zgodnie z art. 32 ust. 1 RODO. Z perspektywy ochrony danych osobowych najwyższą wartość będą miały te aktywa wspierające, które uczestniczą w największej ilości czynności przetwarzania, przechowują najwięcej/najszerszy katalog danych osobowych, uczestniczą w czynnościach przetwarzania objętych najwyższym ryzykiem. Taką klasyfikację sporządzamy w ramach funkcji Raportów naszej aplikacji.

 

  1. Ryzyko inherentne czy stan faktyczny?

Kolejną wątpliwością, która często pojawia się przy analizie ryzyka na potrzeby RODO jest zagadnienie tzw. ryzyka inherentnego. Najczęściej jest ono definiowane jako ryzyko oszacowane w sytuacji braku zabezpieczeń. W kontekście RODO pojawia się pytanie, czy takie właśnie ryzyko w ramach art. 32 powinno się mierzyć, aby następnie dostosować adekwatne środki techniczne i organizacyjne? Przytaczany już wcześniej fragment decyzji ws. Virgin wydaje się rozwiewać tę wątpliwość na niekorzyść powyższej tezy:

– (…) analiza ryzyka przeprowadzana przez administratora danych osobowych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.

Cytowane zdanie wskazuje na to, że powinno się brać pod uwagę stan aktualny wraz z istniejącymi zabezpieczeniami, co również przyjmuję z zadowoleniem, ponieważ od początku wychodziliśmy z takiego założenia wykonując analizy dla naszych klientów.

 

  1. Regularne testy zabezpieczeń i wdrożenie ISO

W Spółce nie było przeprowadzane kompleksowe regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych (…).

To pierwsza decyzja, w tak dużym stopniu oparta na art. 32 ust. 1 d) RODO. Podkreślenie konieczności udokumentowania przeprowadzanych ocen skuteczności zabezpieczeń może zwrócić uwagę tych administratorów, którzy ten punkt traktowali do tej pory z przymrużeniem oka, chociaż pojawił się on wcześniej m.in. w decyzji dot. SGGW. Co istotne, organ stwierdził, że gwarancję przeprowadzania regularnych przeglądów i audytów zabezpieczeń zapewnia wdrożenie i utrzymywanie przez administratora norm ISO 27001, 27002 i 27701:

(…) wymogi utrzymania certyfikatów zgodności systemu zarządzania w Spółce z wdrożonymi normami oznaczają m.in objęcie funkcjonowania systemu zarządzania bezpieczeństwa informacji i ochrony danych corocznym audytem wewnętrznym prowadzonym przez Spółę, jak i zewnętrznym niezależnej instytucji wydającej certyfikat. Powyższe oznacza, że Spółka wdrożyła rozwiązania zapewniające regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków zapewniających bezpieczeństwo przetwarzania danych. (…) Spółka wdrożyła również normy ISO gwarantujące na przyszłość wysoki poziom procedur regulujących m.in. przetwarzanie danych osobowych w Spółce, w tym przewidujące również regularne przeglądy i audyty zabezpieczeń (…).

Jest to ważny sygnał dla rynku i potwierdzenie oparcia podejścia Prezesa UODO do analizy ryzyka na tym właśnie źródle. Warto jednak pamiętać, że przeprowadzenie analizy ryzyka wg norm odnoszących się do bezpieczeństwa informacji nie oznacza przeprowadzenia analizy ryzyka zgodnej ze specyfiką RODO, gdzie powaga skutków określana jest nie w stosunku do organizacji, ale wobec praw i wolności osób fizycznych (norma 27701 nie precyzuje jak należy szacować tę powagę).

 

  1. Co jeszcze ważnego w decyzji?

Na koniec jeszcze trzy istotne z punktu widzenia metodyki punkty, które nie wymagają już szerszego komentarza:

– Zmiana dostawcy (operatora systemu informatycznego) powinna każdorazowo wiązać się z aktualizacją analizy ryzyka w tym zakresie;

– Należy pamiętać o przechowywaniu informacji o zakresie upoważnień oraz uprawnień dostępowych dla personelu organizacji, czego brak został zinterpretowany jako naruszenie zasady rozliczalności;

– Półtorej roku to zbyt długi odstęp pomiędzy kolejnymi iteracjami analizy ryzyka, przynajmniej w przypadku organizacji tej wielkości i o tej skali przetwarzania danych osobowych jak Virgin Mobile Polska.

 

Podsumowując, analizowana decyzja rzuca pewną ilość światła na dyskutowane do tej pory niejasności w zakresie analizy ryzyka na potrzeby RODO. Mam nadzieję, że kolejne rozstrzygnięcia będą posiadać równie obszerne uzasadnienia i pozwolą w przyszłości dopełnić ten obraz. Osobiście, najważniejsze jest dla mnie to, że po lekturze możemy jako DAPR, z czystym sumieniem polecać naszą metodę analizy ryzyka i aplikację: https://riskundercontrol.pl/.

 

Zapraszam na nasz profil DAPR na Linkedin! Znajduje się tam informacja o najbliższym webinarze, na którym pokażemy jak przeprowadzić modelowy proces analizy ryzyka w firmie św. Mikołaja 😊.

Kryzys czy wyzwanie?

Mikołaj Otmianowski20 marca 2020Komentarze (0)

Cześć,

Zdecydowanie wyzwanie.

Pracujemy mniej, ale pracujemy efektywniej! Jako, że całym sercem zgadzam się z #ZostańWDomu”, siedzimy całą rodziną. To nie łatwe dla mojej naturalnej twarzy “przedsiębiorca”.

Często pracuje z domu, więc nie jest mi to obce. Ale zwykle wtedy nie ma żony i dzieci. Dzieci wymagają uwagi, a to kłóci się z wykonywaniem pracy. Ale powiem wam, że na razie współpracujemy. Co nam w tym pomaga?

“Plan dnia”

Codziennie rano tworzymy plan dnia. Dla wszystkich ze wszystkim. To super zabawa, ale i zobowiązanie.

Najpierw córka (l.4)przynosi kartkę i rysuje linie godzin. Potem wydzielamy części dla każdego. Wprowadzamy obowiązkowe punkty jak call (Nie tylko moje także dzieci. Dziś syn (l. 9) ma pierwszego call z klasą o 9:30), webinary, umówione rozmowy, drugie śniadanie, obiad, spacer pod domem.

Potem nanosimy kwestie naukowe zadania, gry. Planujemy momenty zabawy, filmów, spacerów. Jak ustalimy możemy modyfikować, ale co do zasady trzymamy się. Dzięki temu dzieci rzadko przychodzą żądając dostępu do filmów. Same się sobą zajmują, bo to rano ustalamy. Dla mnie to jest super metoda. Co więcej zawsze chciałem to rygorystycznie wprowadzić. Teraz to się udało. Polecam.

#ZdalnyPrawnik

Prace w domu trzeba dobrze zaplanować. Przez ostatni tydzień poza regularnymi obowiązkami wraz z Marcinem i Jackiem z Marketing Prawniczy tworzyliśmy e-book, który mówi o narzędziach i zarządzaniu pracą prawników pt.

#ZdalnyPrawnik –
przewodnik po narzędziach do pracy zdalnej z klientem v2

Dziś opublikowaliśmy, a o 11 webinar z r. pr. Marcin Maruta oraz r. pr. Michał Babicz o zdalnym zarządzaniu kancelarią.

Agile

Co ciekawe e-book tworzymy w technice agile, o której wiele się mówi w różnych środowiskach i spotkaniach. Co ważne ani pierwsza ani druga wersja nie musi być doskonała. Zniesiemy słowa krytyki i poprawimy.

I na końcu powstanie lista narzędzi dla prawników, ale także tip & tricks jak zarządzać zespołem zdalnie. Pracujemy razem z OIRP Warszawa. Uczę się agile, uczę się narzędzi, poznaję ludzi, a przy okazji dla mnie to kolejny krok na drodze do stworzenia komisji LegalTech przy OIRP Warszawa, co planujemy i realizujemy wraz z dziekanem r. pr. Włodzimierzem Chróścik.

I wiecie co, w tym tygodniu to zobaczyłem agile na żywo. Widzę, że efekt takiej pracy może być doskonały pomimo tego, że do poszczególnych etapów mam uwagi, spore uwagi! Nie tylko ja!

Ważne e-book #ZdalnyPrawnik będzie darmowym opracowaniem. Dostępnym dla każdego free. Ale dzięki temu, że współtworzy go zespół prawników praktyków, wydaje się, że będzie użyteczny dla wszystkich na każdym etapie jego tworzenia. To projekt otwarty, więc każdy może się zaangażować, a pierwszym krokiem może być rozmowa na webinar.

Analiza ryzyka

Tak tak, wiem, że teraz nikt tego nie chce robić, bo ryzyko się zmaterializowało i teraz cały rynek mikro, mali, średni i duzi walczą o przetrwanie. My też! Nas kryzys uderzył w momencie, gdy doprowadziliśmy do 3 dużych sprzedaży oprogramowania!

Przez ostatnie 3 miesiące przeszliśmy z klientami całą ścieżkę od zainteresowania, poprzez szkolenie, prezentacje, porównanie ofert, znowu szkolenie, proof of concept, negocjacje z działami zakupów, dział controllingu i nawet zarząd wyraził zgodę, ale teraz chwila ciszy trwa! Trzymajcie kciuki.

Niemniej nadal uważamy, że analiza ryzyka to jest to co jest ważne, a po tym kryzysie (…wyzwaniu) będzie jeszcze ważniejsze. Koncepcja #ZdalnegoPrawnika wiedzie nas do wykorzystania narzędzi i aplikacji chmurowych typu office365 od Microsoft czy G-Suite od Google. Jako zawód zaufania publicznego i grupa osób objęta tajemnicą zawodową musimy z głową korzystać z dostarczonych narzędzi.

Dlatego, aby zrobić to z głową warto pomyśleć o zrobieniu analizy ryzyka dla zastosowanych narzędzi. Wymagają tego przepisy RODO mówiące o Privacy by Design (art 24 RODO) łącznie z przepisami zobowiązującymi organizacje do zastosowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzykom.

Jak to zrobić?

To jest wpis w trybie agile. Zacząłem go rano, ale dziecko miało call a teraz ja Webinar. Niedługo uzupełnimy jak my byśmy to zrobili.

Na koniec cytat z mojej córki z codziennej modlitwy:

Wyślijmy koronawirusa na Uran, bo tam zimno i niech tam zamarznie.

Pozdrawiam
Mikołaj

PS: zapraszam na webinar

PS.1: zapraszam do pobrania #ZdalnyPrawnik v 2

PS.2: zapraszam do kontaktu ze mną, aby zrobić analizę ryzyka dla zastosowania aplikacji w organizacji.

PS.3: jeśli myślisz o przyszłości po tym jak to największe wyzwanie tego roku się skończy, to zapraszam na szkolenie z analizy ryzyka RODO. Pierwszy raz on-line, więc cena atrakcyjna. Zamiast 1.500 PLN + VAT, proponujemy 299 PLN + VAT. Ilość miejsc ograniczona, bo na pierwszym takim szkoleniu będzie maksymalnie 6 uczestników.

Raporty z audytów

Mikołaj Otmianowski26 lutego 2020Komentarze (0)

Witajcie,

Ciekawe zjawisko zauważyłem. Zbliża się druga rocznica, a więc i okres corocznych audytów. Osoby odpowiedzialne spojrzały w rekomendacje i wnioski z raportów z lat ubiegłych i wszyscy ruszyli po narzędzia do analizy ryzyka. Tak, tak, jednym z zaleceń po audytowych w praktycznie każdej organizacji jest przeprowadzenie analizy ryzyka lub jej aktualizacja.

Co ciekawe niewiele osób ma pomysł jak to zrobić by to miało ręce i nogi. Czy ty wiesz?

Do przeprowadzenia analizy ryzyka niezbędna jest metodyka. Metodyka, która będzie potem bronić organizacji i wykonanej pracy. Nie ma publicznie dostępnego wzoru. My swoją stworzyliśmy i szkolimy jak to zrobić. Najbliższe tu.

Co więcej istotną cześć naszej metodyki – przygotowane przez nas kryteria – opublikowaliśmy na stronie https://jakietoryzyko.pl To projekt społeczny. Kryteria można sobie pobrać i zacząć je stosować, ale bardzo liczymy na konstruktywne uwagi i komentarze. Dzięki temu może stworzymy powszechnie dostępne kryteria wspierające ocenę ryzyka.

Metodyka jest najważniejsza, ale fajnie gdy metodyka jest wspierana przez narzędzie. Nasze narzędzie tu.

Ostatnio nasza metodyka została nazwana:

nowe oświecenie

Zbliża się termin audytów, może warto zajrzeć do zeszłorocznych rekomendacji i pomyśleć jak zagospodarować temat analizy ryzyka. Pomyśl, maj blisko.

Co my robimy?

  1. szkolenie z metodyki analizy ryzyka, to już w piątek 28.02.20,
  2. dostarczamy klientom aplikację do przeprowadzenia analizy ryzyka, ale nie tylko,
  3. zapewniamy wsparcie w całym procesie analizy ryzyka.

Co jeszcze? Hmm, a co jeszcze potrzebujesz?

pozdrawiam i do usłyszenia
Mikołaj