Wyciek danych- aspekty prawne, organizacyjne i techniczne

Atak ukierunkowany, łamanie haseł, włamanie do sieci, phishing, ataki typu DDoS to tylko niektóre przykłady incydentów z szerokiego spektrum cyberprzestępczości, których konsekwencją może być wyciek danych. Przyczyny sukcesu ww. działań wydają się różnorodne. Do najczęściej spotykanych zaliczamy opieszałość w przestrzeganiu podstawowych procedur bezpieczeństwa informacji czy zachowania polegające na nieumyślnym udostępnieniu danych. Przedmiotem niniejszego opracowania jest analiza ostatnich przypadków wycieków danych. Zastanowimy się, dlaczego dochodzi do takich wypadków i co robić, aby ograniczyć ryzyko ich powstania w przyszłości. Poniżej przedstawię kilka przykładów, które stanowią tylko medialny szczyt góry lodowej.

Postęp technologiczny i luki prawne diametralnie zmieniają podejście do cyberprzestępczości. Punktem wyjścia wszelkich rozważań jest teza, iż na wycieki informacji najbardziej narażone są firmy z branży medycznej i bankowości. Wynika to ze specyfiki przechowywanych przez nie danych. Wrażliwe informacje, które posiadają, stają się przedmiotem wyłudzeń na szeroką skalę. Dlaczego tak właśnie jest? Oczywiście chodzi o wartość materialną tego typu danych na rynku.

Na każdym kroku słyszymy o kolejnej aferze związanej z wyciekiem danych. Skala procederu w tym zakresie wydaje się ogromna. W ostatnim czasie na łamach jednego z tygodników pojawiła się informacja, iż włoska firma Hacking Team, zajmująca się tworzeniem oraz sprzedażą specjalistycznego oprogramowania szpiegowskiego, wykorzystywanego przez wiele krajów (w tym polskie CBA) i służb specjalnych została zaatakowana przez hakerów. Przedmiotem wycieku stały się listy klientów, serwerów oraz hasła do wielu kont. Kwestią odrębną jest sprzedaż systemu do państw, które nagminnie łamią podstawowe prawa człowieka. Zagadnienie te nie będzie jednak przedmiotem dłuższej refleksji. Zaniepokojenie budzi fakt, że używane hasła nie były zbyt skomplikowane i bardzo często się powtarzały.

Pytanie w tym momencie nasuwa się samo. Dlaczego tak wyspecjalizowana w obszarze bezpieczeństwa firma nie stosuje się do podstawowych wymogów w tym zakresie? Zadaliśmy to pytanie Pawłowi Janiszewskiego – ekspertowi bezpieczeństwa systemów informatycznych Auraco sp. z o.o. (firmy zajmującej się doradztwem w obszarze ochrony danych osobowych). Oto jego komentarz.

Moim zdaniem wynika to z 2 powodów. Po pierwsze, firmy zajmujące się bezpieczeństwem często same we własnej organizacji mają problemy z tego typu zagadnieniami. Są one bowiem przekonane, że w związku z tym czym się zajmują, nie grozi im żadne niebezpieczeństwo. Oczywiście jest to nieprawda. Wielokrotnie mogliśmy obserwować tego typu sytuacje, np. doklejanie złośliwego kodu do programów komputerowych służących w intencji ich twórców do zapewnienia bezpieczeństwa. Druga przyczyna to brak poszanowania procedur bezpieczeństwa i okresowych weryfikacji stopnia ich skuteczności. Procedury to, najskuteczniejszy jaki do tej pory wymyślono, środek służący zachowaniu określonych standardów bezpieczeństwa. Aby procedury działały – konieczne jest ich szanowanie i stosowanie przez ścisłe kierownictwo organizacji oraz prowadzenie okresowych, profesjonalnych audytów. Jeśli „sam szef” się do nich nie stosuje to jest to sygnał dla pracownika, że najwidoczniej nie jest to ważne. W dzisiejszych czasach kwestia odpowiedniego zabezpieczenia danych to nie tylko wyraz korporacyjności i wielkości organizacji, ale środek służący realizacji celów biznesowych – utrzymania i pozyskiwania nowych klientów. – Paweł Janiszewski

Kolejny przykład wycieku danych to przedsiębiorstwo oferujące usługi dietetyczne Fit and Eat. Wyciek obejmował dane bardzo znanych osób, w tym ich adresy, kody do furtek na klatki, informacje o przebytych chorobach oraz urazach. Pole roszczeń cywilnoprawnych w tym zakresie wydaje się mieć ogromny potencjał. Mamy do czynienia z wyciekiem danych wrażliwych, które w konsekwencji stanowią naruszenie newralgicznych dóbr osobistych. Nieodzownym elementem przy omawianej sprawie wydaje się również zakres odpowiedzialności w aspekcie społecznym. Utrata renomy firmy, brak zaufania w oczach obecnych i potencjalnych klientów wydaje się jedną z większych bolączek dobrze prosperującej firmy.

Włamania do systemów informatycznych zdarzają się także w sektorze bankowym. W ostatnim czasie mieliśmy do czynienia z bezprecedensową sprawą dotycząca wycieku danych klientów jednego banków. Informacja o hakerskim incydencie szybko nabrała rozgłosu. Zaciekawienie wzbudza fakt, że na pewnym etapie sprawy haker żądał 200 tys. na dowolny dom dziecka. Kilka minut wystarczyło by w Internecie opublikowano dane osobowe klientów biznesowych w zakresie imienia, nazwiska, adresu zamieszkania i adresu e-mail, numeru dowodu, PESEL oraz wartości sald łącznie z historią transakcji. Komunikat banku dotyczący bezpieczeństwa danych zbudził strach klientów. Treść oświadczenia wskazywała, że w I kwartale roku 2015 r. doszło do przestępczego ataku grupy hakerów. Po raz kolejny wytknięto mankamenty w sferze bezpieczeństwa.

Kolejna kwestia jaka wymaga dłuższej refleksji dotyczy szerzącego się trendu, a mianowicie zdalnego dostępu do danych. Zbyt dużym stopniem zaufania obdarza się pracowników lub współpracowników mających zdalny dostęp do sensytywnych danych. Wielokrotnie zaufanie to jest nadużywane. Wyprowadzenie baz danych czy szeroko rozumiane działanie na niekorzyść firmy stają się procederem na porządku dziennym. Wielu ekspertów twierdzi, że zagrożenia „z wewnątrz” są zmorą wielu organizacji. Właściwym rozwiązaniem w tej sytuacji wydaje się wprowadzenie inteligentnego systemu monitorowania sesji zdalnych, którego zadaniem będzie wsparcie administratorów danych w zarządzaniu zasobami. Nie zapominajmy również o ciągłym dbaniu o adekwatność dostępu do danych osobowych. Żaden z naszych pracowników nie powinien posiadać szerszego dostępu do danych niż wymagają tego jego obowiązki służbowe.

Kilka słów na temat skutków prawnych wycieku danych. Czyn taki stanowi przestępstwo uregulowane w art. 51 Ustawy o ochronie danych osobowych. W myśl przepisu „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.

W rozdziale XXXIII Kodeksu Karnego odnajdujemy przepisy odnoszące się odpowiedzialności za przestępstwa przeciwko ochronie informacji. W myśl art. 269a kk „Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”. W rozdziale XXXV zatytułowanym „Przestępstwa przeciwko mieniu” odnajdujemy art. 287 kk, który wskazuje natomiast, że „Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”.

Niezależnie od odpowiedzialności karnej należy wskazać, że wyciek danych stanowi poważne naruszenie prywatności. Prawo do prywatności jest jednym z dóbr osobistych podlegającym ochronie na gruncie przepisów Kodeksu Cywilnego. Niejednokrotnie zdarza się, że wyciek danych jest przedmiotem skargi kierowanej do Generalnego Inspektora Ochrony Danych Osobowych. W przypadku niezastosowania się do decyzji wydanej przez GIODO stosowane są środki egzekucyjne przewidziane w przepisach ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji.

Kilka słów podsumowujących. Wyciek danych stanowi kryzysową sytuację u każdego przedsiębiorcy. Straty wynikające z nieprzewidzianego incydentu mogą być ogromne. Zakłócenie działalności firmy, straty finansowe (konieczność zakupu nowego oprogramowania oraz przeszkolenia pracowników z zakresu ochrony danych osobowych generują kolejne koszty), a kończąc na utracie renomy. Po zaistniałym incydencie pora na podjęcie odpowiednich kroków oraz wyciągnięcie stosownych wniosków. Warto by się zastanowić w jaki sposób można zminimalizować ryzyko wystąpienia wycieku danych. Zaleceń i rekomendacji w tym zakresie wydaje się wiele. Przed szereg wysuwa się kwestia kładzenia dużego nacisku na edukowanie pracowników w sferze ochrony danych osobowych oraz ciągłe doskonalenie systemu ochrony danych osobowych. Co więcej, właściwe obchodzenie się z dokumentacja firmową oraz prawidłowe wykorzystywanie narzędzi informatycznych wydają się kluczem do sukcesu.

Należy pamiętać, że cyberprzestępczość to świetnie prosperujący biznes. Pojedyncza informacja może nie będzie stanowić przedmiotu ataku hakera, ale paczka wartościowych danych na pewno go zainteresuje.

 

Szyfrowanie danych osobowych

szyfrowanieCzy często zdarzyło się Wam wysyłać jakieś informacje za pomocą poczty elektronicznej, które nie są w żaden sposób zabezpieczone, czy to hasłem, czy za pomocą jakiegokolwiek innego sposobu szyfrowania danych osobowych. W sytuacji kiedy wysyłamy takie informacje w naszych prywatnych celach to o tyle nie jest to problemem, gdyż ustawa o ochronie danych osobowych nie ma zastosowania do tzw. przetwarzania danych w celach osobistych lub domowych, a w takim przypadku możemy jedynie narazić się na utratę informacji o naszej prywatności. Jako przykład można wskazać korzystanie gwiazd telewizji czy filmowych. Swojego czasu było głośno o tym jak to aktorka Scarlett Johansson wysłała mailem swoje zdjęcia w negliżu i potem one wyciekły do sieci. Gdyby się taka sytuacja zdarzyła w Polsce to Scarlett mogłaby dochodzić swoich roszczeń na drodze cywilnej w oparciu o przepisy dotyczące dóbr osobistych (prawa do prywatności). Jeżeli jednak szyfrowanie danych osobowych jest dla nas problematyczne w pracy to możemy narazić się na negatywne konsekwencje z tym związane.

Inaczej natomiast wygląda sytuacja gdyby te same zdjęcia zrobiła agencja reklamowa i np. w związku z ich procesowaniem pracownicy tej agencji przesyłaliby je między sobą i doszło do ich udostępnienia osobom nieupoważnionym. Wizerunek w oparciu o przepisy ustawy stanowi dane osobowe i Scarlett mogłaby np. powiadomić Prokuratora o możliwości popełnienia przestępstwa z art. 52 ustawy o ochronie danych osobowych. Jednakże mało prawdopodobne jest abyśmy kiedyś dostali do procesowania zdjęcia Scarlett, proponuję więc zająć się w tym momencie bardziej przyziemnymi sprawami.  Przyjmijmy, że w naszej codziennej pracy przesyłamy, czy to między pracownikami, czy do naszych kontrahentów umowy, kwestionariusze lub inne dokumenty zawierające dane osobowe. Z punktu widzenia ustawy o ochronie danych osobowych przetwarzany w ten sposób dane osobowe, bowiem stosownie do definicji przetwarzania danych osobowych stanowią ją jakiekolwiek operacje wykonywane na danych osobowych, a więc i przesyłanie. Administrator danych jest zobowiązany, stosownie do przepisów ustawy o ochronie danych osobowych i Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych odpowiednio do zagrożeń zabezpieczyć dane przed ich utratą. Przepisy prawa nie wskazują jakie sposób zabezpieczenia danych osobowych jest odpowiedni. Administrator danych musi sam ocenić, jakie w jego przypadku zabezpieczenia będą najodpowiedniejsze.

Jeżeli chodzi o odpowiedzialność to przez nieodpowiednie zabezpieczenie danych osobowych możemy ponieść odpowiedzialność karną z art. 51 lub 52 ustawy o ochronie danych osobowych. Administrator danych powinien zadbać z kolei o stosowanie odpowiedniego rodzaju zabezpieczeń poprzez opisanie go w dokumentacji dotyczącej ochrony danych osobowych i rozpropagowanie poprzez szkolenia oraz zebranie od pracowników oświadczeń o zachowaniu danych w poufności i zapoznania się z dokumentacją. Warto również wspomnieć o stracie wizerunkowej wyciegu takich informacji. Jako kilka przykładów można wskazać bazę filmweb.pl, bazę CV PKO BP, bazę użytkowników wrocławskiej karty miejskiej.

Przechodząc na grunt praktyczny minimalnym, a jednocześnie zgodnym z przepisami prawa poziomem takiej ochrony będzie hasłowanie dokumentów. Co do zasad dotyczących haseł można by napisać osobny artykuł, tutaj tylko wspomnę, że w naszym przypadku powinniśmy używać hasła składającego się z co najmniej 8 znaków, zawierającego małe i wielkie litery oraz cyfry lub znaki specjalne i zmieniane co 30 dni. Dodatkowo warto wspomnieć, żeby hasła nie przekazywać tą samą drogą (np. dokument zahasłowany wysłany mailem, a następnym mailem hasło). Przykładami takiej alternatywnej drogi jest wysyłanie hasła smsem. W odniesieniu do innych formy przykładami szyfrowania może być stosowanie firewalla, czy stosowanie połączenia NTFS z systemem szyfrowania plików. Na rynku jest wiele programów dedykowanych dla mniejszych lub większych podmiotów. Poziom ich zabezpieczeń jest różny – dużą rolę pełni tu cena produktu.

Reasumując należy dbać o to, żeby w jakikolwiek sposób zabezpieczać służbową pocztę elektroniczną (osobistą oczywiście też można). Jeżeli tego nie zrobimy i dojdzie do wycieku danych to możemy narazić się przede wszystkim na stratę wizerunkową, ale i ponieść odpowiedzialność karną. Wybór sposobów do osiągnięcia tego celu należy już do nas, ważne aby takie zabezpieczenie było skuteczne i dostosowane odpowiednio do zagrożeń.

Najciemniej pod latarnią

W ostatnim czasie wpadkę (nie tylko wizerunkową) zaliczył sam GIODO.

Sprawa dotyczy wysłania decyzji nie do właściwej osoby. Decyzja przez omyłkę urzędnika pracującego w biurze GIODO została wysłana do błędnego adresata. Mamy więc do czynienia z udostępnieniem danych osobie nieupoważnionej lub przynajmniej z niewystarczającym poziomem zabezpieczenia danych osobowych. Warto zaznaczyć, iż zarówno w jednym i drugim przypadku ustawa o ochronie danych osobowych przewiduje kare grzywny, ograniczenia lub pozbawienia wolności. Powstaje tylko pytanie do kogo w takim razie można wnieść skargę na GIODO…

Na obronę GIODO można powiedzieć, iż dr Wojciech Wiewiórowski nie wyparł się błędu (zresztą co miał zrobić, jeżeli prasa już się o tym dowiedziała). GIODO argumentował, iż wpadka może się przytrafić każdemu … ciekawe tylko czy taka argumentacje przekonałaby inspektorów GIODO podczas przeprowadzanej kontroli, jeżeli wykryliby analogiczne uchybienie u jakiegoś przedsiębiorcy.