Dyrektywa NIS2 [1] to jedno z głośniejszych haseł w ostatnim czasie. To już (raczej) powszechnie znany fakt, iż konieczność implementacji dyrektywy NIS2 w ramach przepisów krajowych, wiąże się ze znaczącym rozszerzeniem kręgu podmiotów, które będą zobowiązane do wdrożenia obowiązków wynikających z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa [2]. Na ustawę, dzięki której regulacje z dyrektywy NIS2 zostaną wprowadzone do naszego porządku prawnego, jeszcze musimy poczekać. Na stan obecny, na podstawie najświeższego projektu ustawy zmieniającej ustawę o krajowym systemie cyberbezpieczeństwa [3], możemy wyłącznie przewidywać, jak będzie klarował się przyszły stan prawny. Jako, iż na finalny kształt przepisów musimy poczekać, uwagi wymaga […]
Wieczór Andrzejkowy – wspominamy decyzję PUODO oraz magiczne zaszyfrowanie danych osobowych
29 listopada 2022 | Artur Kruziński
Andrzejkowy wieczór kojarzy nam się przede wszystkim z czasem magii oraz wróżb. Według dawnych wierzeń, wieczór ten miał przynosić wszystkim ludom szczęście przez wieki. W dzisiejszym wpisie wspominamy tę tradycję również z uwagi na magiczne zaszyfrowanie serwerów komputerowych zawierających dane osobowe dokonane przez sprawcę, którego tożsamości nie udało się ustalić, albowiem w równie magiczny sposób nie ujawnił on swoich danych osobowych.
Krótkie streszczenie stanu faktycznego sprawy
Prezydent pewnego miasta w Polsce dokonał zgłoszenia Prezesowi UODO naruszenia ochrony danych do jakiego miało dojść w kierowanym przez niego Urzędzie Miasta. Polegało ono na przełamaniu zabezpieczeń systemu informatycznego i zaszyfrowaniu za pomocą oprogramowania ransomware trzech serwerów Urzędu Miasta, które były wykorzystywane do przechowywania i wykonywania innych czynności na danych osobowych dotyczących pracowników zatrudnionych przez Urząd, użytkowników systemu, potencjalnych i obecnych klientów Urzędu, a także klientów innych podmiotów publicznych powiązanych z Urzędem Miasta. Skala naruszeń obejęła około 50 000 rekordów danych osobowych, w zakres których wchodziły informacje takie jak: imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania, PESEL, numer dowodu osobistego, numer telefonu czy adres e-mail. Prezydent Miasta dokonując analizy całego zdarzenia, nie stwierdził wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, ale z uwagi na utratę dostępu do danych osobowych, wydał publiczny komunikat którego celem było zawiadomienie osób objętych naruszeniem o zaistniałym zdarzeniu. Prezes UODO z uwagi na dokonane zgłoszenie w sprawie, postanowił zwrócić się do Prezydenta Miasta o złożenie dodatkowych wyjaśnień wynikających z wewnętrznego postępowania, m.in. w celu ustalenia:
1) w jaki sposób doszło do zaszyfrowania danych osobowych,
2) czasu przywrócenia sprawności systemu oraz odzyskania wszystkich zaszyfrowanych danych,
3)zastosowanego oprogramowania serwera,
4) czy przeprowadzano szkolenia dla pracowników Urzędu z zakresu cyberbezpieczeństwa.
Wszczęcie postępowania z urzędu przez Prezesa UODO
Po uzyskaniu wyjaśnień od Prezydenta Miasta, Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Prezydenta Miasta, jako Administratora danych, obowiązków wynikających z przepisów RODO, tj. art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, czyli kolejno:
1) zasady odpowiedniego zabezpieczenia danych, zapewnienia integralności i poufności danych za pomocą odpowiednich rozwiązań technicznych lub organizacyjnych (art. 5 ust. 1 lit. f),
2) zasady rozliczalności, tj. możliwości wykazania przestrzegania zasady zabezpieczenia danych z pkt. 1 (art. 5 ust. 2),
3) obowiązku wprowadzenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, dostosowanych do zagrożeń i charakteru danych (art. 24 ust. 1),
4) obowiązku uwzględnienia konieczności ochrony danych już w fazie projektowania jak i na każdym etapie danego sposobu wykorzystywania danych, na przykład takiego jak wybór bezpiecznego oprogramowania oraz weryfikowanie czy z upływem czasu zastosowane rozwiązania odpowiadają nowym zagrożeniom (art. 25 ust. 1),
5) obowiązku zastosowania odpowiednich zabezpieczeń biorąc pod uwagę możliwe ryzyko dla danych oraz inne czynniki wskazane w przepisach (art. 32 ust. 1 i 2).
W uzasadnieniu decyzji[1] Prezes UODO wielokrotnie podkreślał ciążący na administratorach danych obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia niezbędnych zabezpieczeń w procesie przetwarzania danych. Ponadto, w ocenie organu nadzorczego, Prezydent Miasta jako administrator powinien nieustannie podejmować działania zmierzające do optymalnej konfiguracji wykorzystywanych w działalności Urzędu systemów operacyjnych poprzez regularną weryfikację i ocenę skuteczności zabezpieczeń na podstawie wyników testów bezpieczeństwa infrastruktury informatycznej oraz aplikacji. Charakter oraz rodzaj powyższych działań powinien wynikać przede wszystkim z przeprowadzonej analizy ryzyka, której kluczowymi elementami są ustalenie możliwych zagrożeń dla danych oraz określenie adekwatnych środków bezpieczeństwa służących wyłączeniu bądź zminimalizowaniu tych zagrożeń.
Przyczyny naruszenia danych osobowych
Prezes UODO na podstawie zebranego materiału dowodowego ustalił, że przyczyną która zainicjowała naruszenie był nieposiadający wsparcia producenta system operacyjny urządzenia służący do wydawania kluczy (e-dozorca). W efekcie ułatwiło to zaszyfrowanie danych przez złośliwe oprogramowanie ransomware. Prezes UODO w uzasadnieniu decyzji podkreślał, że jedną z metod zapobiegania takim atakom jest bieżące analizowanie i wykrywanie słabych punktów w infrastrukturze teleinformatycznej oraz używanie aktualnego oprogramowania. Wracając jednak do istoty naruszenia, poprzez urządzenie nieposiadające wsparcia producenta, które było podłączone do sieci informatycznej, zaatakowano również inne urządzenia, w efekcie czego nastąpiła utrata dostępności danych osobowych. Jak wynika z uzasadnienia decyzji, część wsparcia rozszerzonego dobiegło końca w styczniu 2016 r., a w innych systemach informatycznych Administratora, wsparcie producenta wygasło w styczniu 2020 r., a zatem na odpowiednio pięć i niemal dwóch lat przed wystąpieniem zdarzenia. W tym czasie dla tych systemów nie były wydawane aktualizacje oprogramowania oraz aktualizacje zabezpieczeń i poprawek.
Podsumowanie
Przedstawiona powyżej sprawa wyraźnie udowadnia, jak istotne jest odpowiednie zabezpieczenie systemów informatycznych oraz bieżące weryfikowanie skuteczności zastosowanych rozwiązań. Równocześnie pokazuje, iż nie zawsze pozostaje „płacz nad rozlanym mlekiem” 😊 Prezydent Miasta podjął bowiem szereg działań naprawczych minimalizujących ryzyko ponownego wystąpienia naruszenia, a z uwagi na brak doznanej szkody osób których dane były objęte zdarzeniem, Prezes UODO postanowił udzielić Administratorowi wyłącznie upomnienia.
Drodzy Czytelnicy, a czy Wy na bieżąco dokonujecie aktualizacji oprogramowania swojego sprzętu teleinformatycznego? Przypominamy, żeby uczynić to jeszcze przed wieczorem andrzejkowym by Wasze dane w magiczny sposób nie zostały w jakikolwiek sposób zaszyfrowane 😊
[1] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 23 czerwca 2022 r. sygn. akt DKN.5131.11.2022.
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.