O aktualnościach związanych z cyberbezpieczeństwem rozmawiamy z Marcinem Zemłą, pełnomocnikiem bezpieczeństwa z ramienia Projektu MdS w Grupie MiŚOT oraz Patrycją Hładoń, inspektorką ochrony danych, a także audytorką i researcherką spółki Informatics.
Czy w kwestiach cyberbezpieczeństwa i ochrony danych odstajemy od Europy i świata?
Patrycja Hładoń: Spójrzmy na najnowsze doniesienia. Kanadyjski wywiad obserwuje TikToka, a resort spraw zagranicznych tego kraju informuje, że będzie blokował tę aplikację na telefonach służbowych urzędników. Komisja Europejska informuje pracowników, że od połowy marca nie będą mogli korzystać z TikToka na telefonach służbowych. W USA także już głośno o usuwaniu tej aplikacji z telefonów służbowych pracowników administracji z powodu obaw o bezpieczeństwo amerykańskich danych. A w polskim radio? Wciąż nie umilkły jeszcze krzyki o maile Dworczyka…
Pogadajmy o TikToku. To rzeczywiście poważny problem?
Patrycja Hładoń: Właściwie mocno niepoważny, bo będąc pracownikiem administracji rządowej wystarczyłoby czytać polityki prywatności lub mieć bazową świadomość, że nie należy klikać wszystkich zgód jak leci i przestrzegać zasad bezpieczeństwa korespondencji mailowej. To samo dotyczy zresztą ministra Michała Dworczyka.
Tylko tyle?
Patrycja Hładoń: Niestety, dla wielu to wciąż aż tyle. Dotyczy to także małych i średnich operatorów telekomunikacyjnych. Zgodnie z przysłowiem o znanym szewcu, MiŚOT dbając o dobro i bezpieczeństwo innych, zapominają o własnym lub po prostu na własne nie starcza im czasu i środków. A licho nie śpi…
Marcin Zemła: Pandemia i wojna w Ukrainie stały się punktami zwrotnymi w dziedzinie bezpieczeństwa. Nie można nie zauważyć, że nasilają się wszelkiego rodzaju ataki, szczególnie typu ransomware. Codziennie są publikowane informacje, takie jak ta Otwocka: w nocy z piątku na sobotę doszło do ataku hakerskiego, był to atak typu ransomware. Nie wiadomo jeszcze, co było jego źródłem.
Hakerzy są sprytni. Trudno chyba ustalić takie informacje?
Marcin Zemła: Możemy przypuszczać, że zostało użyte oprogramowanie o nazwie LockBit 2.0 działające na zasadzie ransomware as a service, czyli złośliwe oprogramowanie wymuszające okup jako usługa. Cyberprzestępców poszukuje się wówczas do włamywania się do określonych infrastruktur. Ci otrzymują część okupu (około 70 procent), a resztę zgarniają twórcy LockBit 2.0.
Patrycja Hładoń: Pomijając kwestie etyczne i przestępcze są to łatwe pieniądze z jednej prostej przyczyny: sami użytkownicy, wśród których zapewne znaleźlibyśmy też pracowników małych i średnich operatorów telekomunikacyjnych, klikając tu i tam, są źródłem tej pandemii. Kiedy jednak przychodzi co do czego, usprawiedliwiają się brakiem szkoleń ze strony pracodawcy, brakiem procedur i odpowiednich narzędzi do pracy. Jeśli pracodawca zaczyna dyskutować i postanawia pociągać ich do odpowiedzialności finansowej, może spodziewać się pozwu w sądzie pracy. Ci pracownicy, którym się nie chce tłumaczyć i są nieco sprytniejsi, usuwają zaś historię przeglądania, wymazują ślady swoich działań i trzymają buzię na kłódkę, licząc, że nie wypłynie, kto popełnił błąd i ściągnął na firmę kłopoty.
Ale firmy nie są bierne, tworzą na przykład kopie zapasowe…
Patrycja Hładoń: Szczęście w nieszczęściu jeśli taka kopia była i sprawnie zadziałała w razie potrzeby. Nierzadko się jednak zdarza, że nieodtwarzana i niezweryfikowana kopia zapasowa w sytuacji awaryjnej odmawia współpracy i zostajemy z niczym. Kiedy z jednej strony atakuje ransomware, z drugiej zastaje często wygodnictwo i pychę. Większość użytkowników nadal żyje w przekonaniu: mnie to nie spotka. Tak zapewne myślał również pracownik Sądu Rejonowego Szczecin-Centrum, który zgubił trzy nośniki danych typu pendrive (jeden służbowy – szyfrowany oraz dwa nieszyfrowane – prywatne), zawierające dane osobowe nieustalonej liczby osób w zakresie: imion i nazwisk, adresów zamieszkania lub pobytu, danych dotyczących zakładu pracy oraz danych dotyczących zdrowia, zawarte w projektach orzeczeń i uzasadnień sporządzanych przez ww. pracownika w okresie od grudnia 2004 r. do sierpnia 2020 r.
Jakie wyniknęły z tego konsekwencje?
Patrycja Hładoń: Koszt trzech pendrive’ów wzrósł do niebagatelnej sumy 30 tys. złotych z powodu kary nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych na ów sąd. Pendrive za 10 tys. zł? Jak widać, jest to możliwe.
MiŚOT zapłaciłby w takiej sytuacji więcej czy mniej?
Marcin Zemła: W przypadku każdego prywatnego przedsiębiorcy koszt takiego pendrive’a wzrósłby co najmniej dwukrotnie. Maksymalna kara finansowa dla jednostek budżetowych to 100 tys. zł, w przypadku przedsiębiorstwa – 4 proc. jego całkowitego rocznego światowego obrotu. Powtarzam: obrotu!
Zgodnie z art. 24 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) to administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Patrycja Hładoń: Dodajmy, że w art. 5 ust. 1 lit. f ustawy o RODO, jest mowa, iż dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Każdy zatem administrator danych ma zapewnić integralność i poufność danych. Przypomnijmy też, że tym obowiązkom prawnym podlegają również mali i średni operatorzy telekomunikacyjni jako administratorzy danych.
Marcin Zemła: W przypadku Sądu Rejonowego Szczecin-Centrum, jak się okazało w trakcie postępowania, pracownicy sądu przez wiele lat korzystali z prywatnych nośników, niezabezpieczonych i niezweryfikowanych przez dział IT. Teoretycznie istniały procedury, które jednak nie były weryfikowane. Nikt nie prowadził nad tym nadzoru.
Patrycja Hładoń: Każdy mały i średni operator telekomunikacyjny jako administrator odpowiada za cały proces przetwarzania danych osobowych w swoim podmiocie. Na nim spoczywa prawny obowiązek zapewnienia bezpieczeństwa danych. Niestety, większość administratorów przypomina sobie o tym, dopiero jak pali im się grunt pod nogami, a wtedy choćby inspektor ochrony danych czynił cuda, może być za późno na ratunek. Mając na uwadze powyższe, najrozsądniejszym rozwiązaniem wydaje się zastosowanie profilaktyki.
Przypomnijmy na koniec, że Grupa MiŚOT już dawno podjęła temat bezpieczeństwa i za pośrednictwem spółki Projekt MdS służy wsparciem w tym zakresie.
