Konteksty

O incydentach bezpieczeństwa słów kilkoro

Incydenty bezpieczeństwa, a szczególnie bezpieczeństwa danych osobowych to temat w związku z wejściem w życie RODO zdecydowanie na czasie.

Incydenty się zdarzają, incydenty obsługujemy, czasami zamiatamy pod dywan, czasami potrząsamy nimi z tryumfem mówiąc: "a nie mówiłem?", czasami stają się okazją do zrobienia porządku lub rozpoczęcia inwestycji, na którą wcześniej nie było czasu ani środków.  Dla części z nas incydenty to chleb powszedni - działamy w trybie pogotowia ratunkowego. Dla innych świadczą o błędzie projektu lub wykonania. Generalnie jednak są to sprawy, których raczej nie nagłaśniamy i nie chwalimy się nimi.

RODO tę sytuacje odwraca.  Aczkolwiek nadal nie mamy czym się chwalić, to jednak RODO obliguje nas nie tylko do przekazania informacji do organu nadzorczego, ale dodatkowo powiadomienia osób, których bezpieczeństwo danych zostało incydentem naruszone. Do organu nadzorczego informacja o incydencie ma trafić w ciągu 72 godzin od wykrycia. W praktyce dla większości organizacji oznacza to zdolność do zdiagnozowania i oceny problemu z dnia na dzień - przecież mamy wolne soboty i niedziele.

Czy jesteśmy na to gotowi? Jak działa i czy w ogóle działa u nas zarządzanie incydentami? Abyśmy mogli sobie odpowiedzieć na to pytanie, spójrzmy na problematykę zarządzania incydentami.

Incydent - oznaka słabości?

Przypomnijmy, że incydent to każde odstępstwo od "normy". Z reguły interesują nas jednak zdarzenia odbierane jako negatywne. W przypadku bezpieczeństwa normą jest przynajmniej poufność, integralność i dostępność. Każdy zresztą powinien być autorem własnej "normy", aczkolwiek w przypadku danych osobowych, RODO decyduje za nas. W definicjach (art. 2) czytamy: „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Incydent może świadczyć o słabości systemu zabezpieczeń. Czegoś nie przewidzieliśmy, coś przerosło nasze oczekiwania. Tym samym powtarzające się incydenty, a w zasadzie wykryte słabości, są przesłanką do poprawy systemu zabezpieczeń.

Rejestr - ale jaki?

W tym właśnie celu - aby doskonalić swój system zabezpieczeń - wiele organizacji rejestry incydentów prowadzi od dawna. Inni robią to z uwagi na konieczność ich bezpośredniej obsługi - przynajmniej w pewnych obszarach (np. sytemu informatycznego).

Obecnie wszyscy muszą prowadzić rejestr z uwagi na wymogi prawne związane ze zgłaszaniem oraz dokumentacją incydentu. Czy da się pogodzić wszystkie wymogi za pomocą jednego "super" rejestru?

Wydaje się, że trzeba wydzielić dwie funkcjonalne struktury, współpracujące ze sobą rejestry: wewnętrzny i zewnętrzny.

Rejestr wewnętrzny powinien być rejestrem otwartym dla wszystkich - każdy powinien móc wprowadzić do niego informacje. Przeniesienie incydentu do rejestru zewnętrznego powinno być dokonane przez osobę zajmującą się ochroną danych osobowych - może to być nawet zadanie IOD'a. Rejestr wewnętrzny powinien służyć poszukiwaniom słabości oraz obsłudze incydentów, rejestr zewnętrzny komunikacji z organem nadzorczym oraz ewentualnej  z osobami dotkniętymi incydentem. Poniżej zestaw funkcji minimum obu rejestrów.

 

Rejestr wewnętrzny:

  1. zgłaszanie incydentu przez każdego członka organizacji - wstępna kategoryzacja;
  2. skierowanie incydentu do kompetentnych osób zajmujących się analiza przypadku;
  3. rozpoznanie i analiza sprawy;
  4. ostateczna kategoryzacja incydentu, ocena i decyzje co do dalszego postępowania w zakresie:
    1.  ewentualnych doraźnych działań naprawczych,
    2.  ewentualnego sformułowanie problemu stanowiącego słabość systemu bezpieczeństwa i skierowanie go do oceny,
    3.  ewentualne przekazanie sprawy do rejestru zewnętrznego.

Rejestr zewnętrzny

  1. Włączenie incydentu z rejestru wewnętrznego;
  2. powiązanie incydentu z osobą lub grupą osób, których dane są przetwarzane;
  3. przekazanie informacji o incydencie do organu nadzorczego;
  4. ewentualne przekazanie informacji o incydencie osobie, której dane są przetwarzane.

System zarządzania incydentami

Same jednak rejestry są tylko narzędziami wspomagającym procesy zarządzania incydentami.  W istocie musimy zadbać o szereg spraw, które w całości stworzą system zarządzania incydentami.

  1. Pierwszą jest zamiatane spraw pod dywan. Wygodny, prosty sposób zgłaszania to jedno, ale znacznie ważniejsze jest, aby pracownicy oraz szeroko rozumiani klienci nie czuli oporów przed jego użyciem, również w sytuacji kiedy sami do wywołania incydentu się przyczynili.
  2. Kolejną sprawą jest czas reakcji na wykryty incydent. Wstępna kategoryzacji może w tym pomóc, ale problem zazwyczaj nie leży w rozdysponowaniu zadania. Reakcja na incydent jest czymś oczywistym, ale w praktyce nigdy nie jest tak, aby zasobów dedykowanych jakiemuś zadaniu wystarczało, w sytuacji kiedy spraw jest z jakiegoś powodu, więcej niż zwykle. Nie inaczej jest z incydentami. Trzeba liczyć się z tym, że osoby mające się incydentem zająć, mają najczęściej jeszcze inne zadania do wykonania, swoje terminy i priorytety. A dopiero bliższa analiza sytuacji może nam powiedzieć z czym właściwie mamy do czynienia - właściwie zakwalifikować sprawę. Określić jaka jest waga incydentu, ile osób jest dotkniętych, czy sytuacje uda się opanować działaniami doraźnymi - "ad hoc".
  3. Same działania "ad hoc" również stanowią problem. Z incydentem w pierwszej chwili ma do czynienia pracownik lub klient - osoby niekoniecznie potrafiące dostrzec właściwą naturę incydentu. Często, szczególnie w sprawach związanych z informatyką, naprawa incydentu, której podejmuje się pracownik lub nawet pracownik wsparcia IT, zaciera ślady, pozwalające zapoznać się z prawdziwą natura zdarzenia.
  4. Dokumentacja zdarzenia oraz podejmowanych działań. To problem, który musimy rozwiązać. Nikt nie lubi się rozpisywać, szczególnie jeśli czeka następne zadanie.
  5. Odrębną od działań bezpośrednich jest szersza analiza incydentu. Patrzymy na jego powtarzalność, lokalizację, relację do innych incydentów. Szukamy słabości do usunięcia i oznak przyszłych zagrożeń. To sedno zarządzania incydentami. Wymaga dużej wiedzy i doświadczenia.

Rejestr zewnętrzny

Dopiero po analizie bezpośredniej i działaniach "ad hoc" można decydować, czy sprawa powinna trafić do rejestru zewnętrznego - czy będziemy dzielić się nią z organem nadzorczym. Takiej eskalacji powinny dokonywać osoby dobrze rozumiejące sens incydentu bezpieczeństwa w zakresie ochrony danych osobowych. Mamy obowiązek zgłosić każdy incydent chyba, że nie wpływa on na wolności i prawa osób, których dane przetwarzamy. W decyzji może nam pomóc ocena ryzyka - jeśli ją posiadamy. Na tym etapie - jeśli organizacja posiada IOD'a - powinien on być włączony w sprawę.

Dobrze jeśli mamy scenariusz na takie okoliczności, pomocna może być polityka informacyjna organizacji. Jednak o pewnych działaniach decydują za nas przepisy RODO.

 

Przykładowo: zgubienia zaszyfrowanego nośnika nie musimy zgłaszać jako incydentu, natomiast zgubienie nośnika niezaszyfrowanego może zgłoszenia wymagać. Może, ponieważ zależy to od oceny skutków, jakie ujawnienie danych może mieć dla osób, których dane tam się znajdowały.

 

Zgłoszenie - a co przed tym idzie rejestr - zgodnie z ust. 3 musi zawierać:

  1. charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji (tego akurat nie musimy mieć w rejestrze);
  3. możliwe konsekwencje naruszenia ochrony danych osobowych;
  4. środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach podjęte środki w celu zminimalizowania ewentualnych negatywnych skutków.
  5. jeśli składamy zawiadomienie po terminie 3 dni od wykrycia, należy załączyć wyjaśnienie przyczyn opóźnienia powiadomienia - art. 33 ust. 1.

Musimy mieć świadomość, że samo zgłoszenie może nie zamykać sprawy z organem nadzorczym - wręcz przeciwnie - musimy się liczyć z jego dalszym zainteresowaniem. Stąd wszystkie działania związane z incydentem muszą być dokumentowane - art. 33 ust. 5.

W tym miejscu warto podkreślić, że rejestr zewnętrzny powinien umożliwiać automatyczne zgłoszenie do organu nadzorczego.

 

Jednak nie tylko organ musimy o incydencie zawiadomić. O ile informacja o wszystkich incydentach z rejestru zewnętrznego przekazywana jest do organu nadzorczego, to tylko część incydentów stanowi podstawę do zawiadomienia o zdarzeniu osoby, której dobra mogą być naruszone w stopniu wysokim.
W ocenie, czy ryzyko naruszenia dóbr osoby, której dane przetwarzamy jest wysokie, czy też nie, może nam pomóc ocena skutków. Jeśli nie doszacujemy ryzyka, może okazać się, że organ nadzorczy zobliguje nas do zmiany zdania - po to właśnie dostaje informacje o wszystkich incydentach z rejestru zewnętrznego.

Rejestr zewnętrzny powinien nam umożliwić powiązanie incydentu w nim zawartego z osobą, tak, aby wspomóc nas w zawiadomieniu o incydencie nie tylko organu nadzorczego, ale również osób incydentem dotkniętych.

W zawiadomieniu osoby, która incydentem została dotknięta, powinniśmy zamieścić praktycznie te same informacje, jakie wysyłamy do organu nadzorczego za wyjątkiem litery e).

Podsumowanie

Artykuł dość pobieżnie omawia problematykę zarządzania incydentami związanymi z ochroną danych osobowych. Celem artykułu było zadanie niekoniecznie retorycznego pytania, czy nasza organizacja jest gotowa do obsługi incydentów w kontekście RODO. Czy jesteśmy na to gotowi? Jak działa i czy w ogóle działa u nas zarządzanie incydentami?

Wydaje się, że artykuł pozwala sobie na to pytanie odpowiedzieć. A my - jak zwykle - mamy na to przepis...