Obecnie już chyba wszyscy są świadomi swoistego fenomenu masowego wycieku i naruszania prywatności i ochrony danych. To zjawisko nawet już nie zaskakuje gdy rutynowo i regularnie czyta się o tym w prasie codziennej. To po prostu trend i niestety trzeba go zaakceptować. Zdarza się. Nawet często. Wciąż jednak może zaskakiwać, że te setki milionów rekordów prywatnych danych to przecież tylko drobna część większego obrazka. Nie chodzi o to, że z dużych firm o nazwie X, Y czy Z wyciekają sumarycznie setki milionów danych. W rzeczywistości dotkniętych firm czy instytucji jest przecież o wiele więcej. Te firmy są jednak o wiele mniejsze, lub położone lokalnie (np. w kraju takim jak Polska). Wtedy oczywiście nie są to tematy dla prasy światowej.
Wielkie firmy czy organizacje takie jak np. LinkedIn czy Yahoo mają ogromne bazy danych użytkowników (mają ich wielu), co naturalnie powoduje że oddźwięk naruszenia ochrony danych jest duży. Mniejsze organizacje mają mniej użytkowników (są one też zwykle o wiele mniej znane), więc na skalę całego kraju czy nawet świata - oddźwięk jest mniejszy. Za mniejszą widocznością niestety może iść mniejsza wrażliwość. Wobec tego często nawet nie usłyszymy o tego typu naruszeniach. Większość z nich nie jest przecież ujawniana publicznie. W niektórych krajach co prawda istnieją specjalne rejestry naruszeń na poziomie niektórych sektorów (dobry przykład: USA i HIPAA), ale nawet wtedy są one zbiorcze i ogólne (np. same liczby). W przypadku Polski nie ma nawet tego.
Jednak problem dla użytkownika to ogromny. Naruszenia ochrony prywatności i danych są stosunkowo częste w stosunku do oczekiwań wobec poziomu ochrony - tej jakiej by oczekiwali użytkownicy. Fakt, że użytkownicy mogą nigdy się nie dowiedzieć o naruszeniach jest jednak frapujący. Powinien niepokoić.
To duże ryzyko dla użytkownika gdy nie wie on, że jego dane mogły wyciec. Może wtedy nie mieć nawet motywacji do zajęcia się tym problemem. Ryzyko utraty kontroli nad danymi jest oczywiste. To ryzyko jest też często tak wysokie, że nie da się takiej sytuacji łatwo (a czasem - w ogóle) naprawić. Dlatego tak ważne jest, by możliwe było zagwarantowanie transparentności i pomocy dla użytkownika. Niestety nie zawsze tak było (jest).
Szczęśliwie, w Europie sytuacja wkrótce się poprawi!
Obowiązek zgłaszania naruszenia ochrony danych
Stanie się tak dzięki General Data Protection Regulation, czyli nowym unijnym Rozporządzeniu Ogólnym o Ochronie Danych (o projekcie polskiego RODO pisałem tu), które wprowadza obowiązek zgłaszania naruszeń ochrony danych. Firmy, instytucje, organizacje - będą musiały zgłaszać tego typu naruszenia organom ochrony danych (w Polsce - GIODO, a wkrótce UODO). W tym wpisie odnosząc się do opinii Grupy Roboczej 29 analizuję szereg wymogów i dobrych praktyk w temacie. Wskazuję też na kilka nie do końca jasnych punktów, które będą jednak wymagały decyzji i projektu strategicznego polityki prywatności w organizacjach objętych RODO. Nie zawsze będzie to oczywiste.
W analizie poruszam kilka zagadnień, m.in.:
- Kiedy naruszenie jest poważne? (gdy może prowadzić do wysokiego ryzyka dla użytkownika)
- Jestem firmą/instytucją, kiedy powinienem zgłosić naruszenie? (właściwie, to często)
- Czy powinienem mieć plan? (przed “incydentem”? Zdecydowanie tak!)
Jedno warto podkreślić na samym początku. Organizacje będą musiały być w stanie wykrywać i odpowiadać na naruszenia (incydenty). Inną konsekwencją będzie to, że zapewne będą musiały mieć kontakt do ludzi w temacie bezpieczeństwa, prywatności i ochrony danych. W kwestiach technologii, ale także bardziej wysokopoziomowych.
Naruszenie ochrony danych i kary
Informacje o naruszeniu ochrony danych muszą być przekazywane do organów nadzorczych (np. GIODO/UODO). Co więcej, w wielu przypadkach organizacje muszą zgłosić też zajście naruszenia także do dotkniętych nim użytkowników, czyli w praktyce - często publicznie. Stawka dla organizacji czy firmy? Wysoka, bo wg RODO nieprawidłowe wypełnienie tego obowiązku wiąże się z ryzykiem kary do €10 mln lub 2% rocznych obrotów (limitem górnym jest kwota wyższa). To powinno mieć wpływ na ryzyko finansowe.
Raportowanie
Czym jest naruszenie ochrony?
RODO rozpatruje naruszenie ochrony danych z punktu widzenia użytkownika. Nie każdy incydent bezpieczeństwa jest naruszeniem ochrony RODO. Warto pamiętać, że naruszenie ochrony danych to nie jedynie dane wycieknięte lub wykradzione. Pojęcie to jest dużo szersze i obejmuje choćby utratę dostępu, stratę jakości, zmianę, nieautoryzowany dostęp itd.
Przykłady naruszeń
Ransomware i baza danych
Przykładowo, jeśli ransomware “przypadkiem” zaszyfruje firmową bazę danych przechowującą ważne dane i niestety tak się złożyło, że nie ma kopii zapasowych, jest to naruszeniem danych. Nawet jeśli dane te nie zostały wykradzione, a o firmie nie napisała prasa (w tym przypadku organizacja miałaby jednak o wiele mniej czasu nas reakcję).
Skradziono nośnik zaszyfrowany
Z drugiej strony, jeśli organizacja może zagwarantować, że nawet w przypadku incydentu naruszenie ochrony jest nieprawdopodobne, nie ma wtedy potrzeby zgłaszania (publicznie). Przykład? Z firmy skradziono pendrive z danymi. Dane te jednak były zabezpieczone za pomocą szyfrowania i to w dodatku w sposób sensowny. Wtedy można uznać, że nie doszło do naruszenia ochrony danych i nie trzeba zgłaszać takiego incydentu. Oczywiście zupełnie inna sytuacja będzie miała miejsce, gdy kopia bazy danych firmy znajdzie się przypadkiem w ogólnodostępnym katalogu na stronie internetowej.
Cena CC może nagle wzrosnąć
Co gdy dział marketingu przypadkiem wyśle masowo korespondencję do powiedzmy 1000 odbiorców przy użyciu pola “do/to” (tak, że odbiorcy widzą adresy innych) lub “dw/cc” a nie “udw/bcc” (adresy odbiorców niewidoczne)? Jest to naruszenie ochrony danych i trzeba taki przypadek zgłosić do instytucji nadzorczej. Czasem także do dotkniętych użytkowników (oby już z użyciem właściwej adresacji).
Często ważny jest też kontekst. Są zajścia, kiedy nie jest od razu jasne czy naruszenie ochrony danych musi zostać zgłoszone. Wyobraźmy sobie sytuację gdy firmowa (zaszyfrowana) baza danych została skradziona. Można by oczekiwać, że jest zabezpieczona. Co jednak jeśli klucze szyfrujące okazały się słabe, bądź też także skradzione? Co jeśli ktoś zyska nieautoryzowany dostęp do konta z wysokimi uprawnieniami i powiedzmy ukradnie portfel bitcoina? Prywatne dane mogą nie być bezpośrednio dotknięte. Ale co gdy to przejęte konto miało uprawnienia dostępu do innych danych? Wtedy sytuacja jest już zupełnie inna.
Mówimy zatem o technologii, kontroli, planowaniu i strategii.
Ryzyko dla użytkownika
RODO wymaga zgłaszania naruszenia danych jeżeli to naruszenie może wywołać wysokie ryzyko dla praw i wolności jednostki. Oznacza to, że gdy dojdzie do naruszenia danych, firma czy organizacja musi szybko przeprowadzić dość specyficzną analizę ryzyka. Trzeba ocenić potencjalne i realne konsekwencje dla użytkownika. Ta ocena jest jednak odmienna niż tradycyjna ocena ryzyka bezpieczeństwa informacji. Jest także inna od oceny skutków dla ochrony danych (OSOD / DPIA, o nich pisałem tu i tu) - o ile nie zrobiono ich wyczerpująco i wyjątkowo dobrze. Wtedy może być to pomocne, ale nawet wówczas pewne specyficzne problemy mogą wynikać bezpośrednio z samej specyfiki naruszenia ochrony danych.
Oznacza to, że firmy czy instytucje muszą mieć dostęp do wysokich kompetencji przy przeprowadzaniu analizy ryzyka naruszenia bezpieczeństwa, prywatności czy danych. Lub przynajmniej dostęp do odpowiednich zasobów na zewnątrz ich organizacji. Zasobów - czy też ludzi - którzy będą w stanie działać szybko i odpowiednio pomóc,
Wynika to z faktu, że aby właściwie zrozumieć ryzyko dla użytkownika, często trzeba rozważyć dość szerokie i złożone spektrum zagadnień, wykraczające poza proste informacje o rodzaju naruszenia danych, ale także o jego kontekście. Jakie dane? Ilu użytkowników? Przykładowo - czy można “odwrócić” pewnego rodzaju zabezpieczenia? W jaki sposób dotknięci są użytkownicy (a nie twój system)? Czy niektórzy spośród nich są szczególnie wrażliwi (dzieci, osoby niepełnosprawne)? I tak dalej...
Podsumowanie: obowiązki
Podsumujmy kilka punktów.
- Firmy (organizacje, instytucje, itd) muszą być w stanie wykrywać że naruszenie ochrony miało miejsce
- Muszą być w stanie działać szybko i umieć szacować ryzyko
- Muszą wiedzieć jak przeprowadzać specyficzne analizy ryzyka z nastawieniem na użytkownika
- Będą musiały zgłaszać naruszenia do instytucji nadzorujących
- Często będą musiały zgłaszać też naruszenia publicznie
Ostatni punkt jest interesujący. Bo jak zgłosić użytkownikom, że doszło do naruszenia? Nikt nie chce by stało się coś niepożądanego z jego prywatnymi danymi które powierzył jakiemuś podmiotowi w dobrej wierze. Taka informacja nie jest czymś oczekiwanym. Trzeba więc taki komunikat mądrze sformułować. Użytkownicy muszą dostać precyzyjne informacje z radami o tym, co ewentualnie muszą zrobić. Firmy prawdopodobnie będą musiały korzystać ze specjalizowanych dobrych praktyk bezpieczeństwa i prywatności PR. Spójrzmy prawdzie w oczy - na tym etapie nie chodzi przecież jedynie informowanie, ale także zmniejszanie dalszych szkód dla firmy. Często nawet użycie poszczególnych wyrazów może mieć znaczenie. Jednak nie wolno kolorować rzeczywistości bądź pomijać istotnych kwestii - to niezgodne z RODO i podlegałoby jego sankcjom. Dlatego za komunikację o potencjalnie tak wysokim koszcie powinny odpowiadać osoby, które rozumieją specyfikę technologii i prywatności. W przeciwnym wypadku może wyjść bardzo niefortunnie i z konsekwencjami (także finansowymi dla firmy).
Zgłaszanie naruszenia
Kroki składające się na proces naruszenia można podsumować w wydawałoby się kilku prostych punktach. W praktyce jednak wprowadzenie ich w życie nie jest takie proste jak się może wydawać.
Co robić jeśli wykryto naruszenie?
Dane prawdopodobnie zostały dotknięte? Masz maksymalnie 72 godziny na zgłoszenie do organu nadzorczego. Rada? Jeśli można, warto zrobić najszybciej jak to możliwe. Chodzi o to by być otwartym i zachować się kulturalnie. To się może przydać.
Czasem można informować w terminie późniejszym, ale trzeba umieć to dobrze uzasadnić. Potrafię sobie wyobrazić wiele takich sytuacji, ale to nie musi oznaczać, że dotyczą one właśnie Ciebie.
Kiedy informować publicznie?
Naruszenie ochrony danych może oznaczać wysokie ryzyko dla praw i wolności użytkowników? Muszą zostać oni poinformowani bez zbędnej zwłoki. Trzeba to interpretować jako “tak szybko jak to możliwe”. To jednak nie tylko wymóg, ale i szansa dla firm: można być bezpośrednim i uczciwym. Takie zgłoszenie publiczne powinno oczywiście zawierać odpowiednie szczegóły i kroki, które powinien wykonać użytkownik.
Jak zgłosić w praktyce? Kanał musi być efektywny i dobrze dobrany. Może to być bezpośredni kontakt, telefoniczny, SMSowy, za pomocą komunikatora, e-maila itd. Jeśli nie ma możliwości dotarcia do użytkownika - powinien być otwarty, publiczny (np. na firmowej stronie). W wielu przypadkach taka forma powinna towarzyszyć też innym. I wcale nie chodzi tu jedynie o dobre praktyki.
Warto jednak odnotować, że wybór właściwego kanału to jest coś, co także powinno być oceniane przez instytucję nadzorującą przy ewentualnym ustaleniu późniejszych kar.
Co jednak jeśli nie wiadomo co oznacza to “wysokie ryzyko”? Cóż, wtedy warto skontaktować się z kimś kto wie. Na przykład z instytucją nadzorującą. Inna sprawa, że jeśli wszyscy bez wyjątku i zawsze - będą próbowali kontaktować się z GIODO/UODO, to po prostym następstwem będzie zalanie zapytaniami. Co będzie dla instytucji nadzorujących swoistym sprawdzianem (i ryzykiem) wymagającym również pewnej strategii działania. Dla firm to też oczywiście wyzwanie - kiedy i co zgłaszać, a kiedy nie zgłaszać? Oraz - jak nie zirytować instytucji nadzorującej zbyt częstymi pytaniami :)
Kiedy nie trzeba zgłaszać użytkownikom?
Zgłaszanie naruszenia ochrony użytkownikom nie jest wymagane np. w następujących przypadkach:
- nie ma naruszenia - gratulacje!
- w użyciu są techniczne środki kontroli i ochrony, dane objęte naruszeniem były zabezpieczone (nie zawsze i nie wszystkie da się zabezpieczyć)
- organizacja szybko zaradziła problemowi i nie doszło do naruszenia, incydent został dobrze obsłużony
- nie da się skontaktować z użytkownikiem - wymagałoby to nieproporcjonalnie dużego wysiłku (wtedy obowiązkowo informacja publiczna, np. na stronie firmy)
Naruszenie ochrony danych i DPIA
DPIA mierzy i dokumentuje aspekty bezpieczeństwa i prywatności systemu, produktu czy procesu. Pisałem już o tym procesie przy wielu okazjach: 1, 2, 3
Jeśli miało miejsce naruszenie ochrony, DPIA prawdopodobnie trzeba będzie też uaktualnić. Szczególnie jeśli dotyczyło ono aspektów w nim analizowanych. W DPIA warto też zawrzeć informację o takim incydencie.
Podsumowanie
Obowiązkowy wymóg zgłaszania naruszeń ochrony danych jest dobry zarówno dla firm/organizacji jak i użytkowników. Organizacje uznają je za problematyczne, choć z nich z pewnością potraktuje je jako szansę. Dla użytkowników będzie to dobre: będzie łatwiej, szybciej i prościej zrozumieć kiedy dane były objęte naruszeniem (np. wyciekiem). Użytkownicy dowiedzą się też, jakie akcje mogą być z ich strony konieczne by się chronić. Będzie to bowiem obowiązkiem dla firm: dać znać użytkownikom, ale także poinformować jakie mogą być konsekwencje i co ewentualnie można/trzeba zrobić. To duża odpowiedzialność, a RODO obwarowuje niedopełnienie tych obowiązków wysokimi karami.
Zgłaszanie naruszeń ochrony danych RODO wymaga planowania i projektowania odpowiedniego procesu. Jeśli taki projekt nie istnieje, to organizacja nie jest gotowa na RODO. Chodzi więc nie tylko o wykrywanie i zarządzanie incydentami, ale także kwestie radzenia sobie z problemem i komunikowania użytkownikom. Będą musiały powstać działy z odpowiednim rozumieniem bezpieczeństwa i prywatności na wielu poziomach. Czasami ryzyko będzie musiało zostać przeanalizowane bardzo szybko.
Proces zgłaszania naruszeń będzie jednym z największych wyzwań dla organizacji. To dlatego, że ten proces nie obejmuje jedynie komunikacji. Jest złożony.
*Zainteresowała Cię tematyka tego problem? Masz pytania lub wątpliwości? Zachęcam do kontaktu (lukasz.w3c@gmail.com). *
Comments is loading...