Wyciek danych osobowych – co oznacza i jak się przed nim bronić

BySylwia Ostrowska
wyciek danychCzym są dane, które mogą ulec wyciekowi?

Urząd Ochrony Danych Osobowych przy każdej okazji przypomina o podstawowych zasadach jakie wiążą się z przechowywaniem danych oraz procedurami koniecznymi do wdrożenia, pamiętając o tym, że te dane mogą w jakikolwiek sposób wyciec. Mówimy tu o danych osobowych w oparciu o RODO, które wprost w swoich przepisach nakazuje nam chronić te dane. Oczywiście dane jakie mogą ulec wyciekowi mogą być różne i taki wyciek danych może negatywnie oddziaływać na firmę np. poprzez utratę wizerunku. Celem tego artykułu jest jednak zwrócenie uwagi na wyciek danych osobowych. Wyciek danych osobowych nie jest nowym zjawiskiem, z którym borykają się przedsiębiorcy, instytucje czy też inne organizacje posiadające zbiory danych. Natomiast staje się coraz powszechniejszy, a konsekwencje mogą być bardzo dotkliwe. Pamiętajmy, że dane osobowe stanowią wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej. Poszczególne informacje, które w połączeniu ze sobą mogą prowadzić do zidentyfikowania tożsamości danej osoby, także stanowią dane osobowe. Wyciek tego rodzaju informacji może doprowadzić organizację nie tylko do utraty wizerunku, ale kar, a nawet upadłości.

Proste wyjaśnienie wycieku danych osobowych

Wyciek danych to nic innego jak niepożądane umożliwienie dostępu do aktywów organizacji osobom, systemom, procesom które nie są uprawnione do ich pozyskania. Zdarzenie takie bezpośrednio wpływa na zaburzenie podstawowych atrybutów bezpieczeństwa informacji (BI) danej organizacji, tj. poufności, dostępności i integralności. Wyciek danych osobowych jest zatem utratą informacji spełniających wymagania w zakresie określenia ich danymi osobowymi o czym pisaliśmy powyżej. Co trzeci Polak boi się wycieków danych osobowych jak wynika z badania serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych. Jako Administrator danych jesteś odpowiedzialny za wdrożenie takiego systemu ochrony danych osobowych. Pozwoli to zminimalizować ryzyko ich wycieku, a tym samych będzie chronić osoby, których przetwarzane dane dotyczą. W ostatnim czasie obserwujemy wzmożoną ilość naruszeń ochrony danych związanych właśnie z ich wyciekami.

Największe wycieki danych

W 2019 roku do najgłośniejszych spraw wycieków danych należały sprawy linii lotniczych British Airways, sieci hotelarskiej Marriott, a w Polsce znane już wszystkim Morele.net. Wg raportu NASK Cert w 2020 roku odnotowano 10 420 incydentów cyberbezpieczeństwa na terenie naszego kraju. Największym wyciekiem danych był na pewno ten dotyczący 223 000 000 Brazylijczyków. W zeszłym roku dochodziło również do wielu wpadek związanych z wyciekiem danych osobowych. Wśród nich można wymienić Facebooka, dane studentów Uniwersytetu Morskiego w Gdyni, Politechniki Warszawskiej czy mBanku. Bieżący rok również pokazuje, że sytuacja się nie zmienia.

Do wycieku danych doprowadzają czynniki wewnętrzne lub zewnętrzne

RODO nałożyło na przedsiębiorców szereg nowych obowiązków, w tym także w obszarze informowania o sytuacjach, które pociągają za sobą nieprawidłowości w obszarze danych osobowych. To może być zagubienie dokumentu, zmasowany atak hackerski, a nawet mail wysłany do niewłaściwego odbiorcy. Każde tego typu zdarzenie może nieść za sobą negatywne skutki. Te wewnętrzne czynniki to najczęściej „błędy ludzkie”. Zawsze w organizacji najsłabszym ogniwem jest człowiek, czyli jej pracownik. To on może z powodu nie wiedzy, braku właściwego podejścia czy zwykłej pomyłki narazić organizację na naruszenie ochrony danych. Najgorszą sytuacją wewnętrznego wycieku danych jest sytuacja, w której to pracownik działa w sposób świadomy. Dzieje się tak gdy pracownicy mają prywatne powody, działają w afekcie lub zostali skorumpowani. Takiej sytuacji nie da się przewidzieć. Wśród wewnętrznych działań często niezamierzonych, ale powodujących ryzyko wycieku danych znajdują się również niesprawności systemów informacyjnych i sprzętowych, które zazwyczaj są spowodowane ich nieprawidłowym użytkowaniem (brak odpowiednich szkoleń) lub starzeniem się sprzętu/oprogramowania (brak wystarczających środków na modernizację). W zakresie zewnętrznych czynników to najprościej mówiąc są nimi działania hackerskie. Przeprowadzanie umyślnych ataków na systemy informatyczne, kradzież danych, ich szyfrowanie itp.

„Nie zamiataj problemów pod dywan”

Nie ma obecnie tygodnia, aby polskie i zagraniczne serwisy informacyjne oraz te traktujące o bezpieczeństwie IT (np. Niebezpiecznik, Zaufana trzecia strona, Sekurak), nie umieszczały informacji o kolejnych podmiotach, które padły ofiarami wycieku danych. W początkowej fazie problemów wiele firm ukrywało takie sytuacje, ale jest to niebezpieczne, bo w przypadku odkrycia trudno będzie to wytłumaczyć, a organizacja ucierpi. Należy pamiętać, że każda organizacja przetwarzająca dane osobowe, która określa cele i sposoby przetwarzania tych danych, automatycznie staje się ich administratorem. Do jej obowiązków należy m.in. zapewnienie odpowiednich środków technicznych, operacyjnych oraz fizycznych, mających na celu ochronę danych osobowych. Wiele osób mając na myśli RODO, ma skłonność do myślenia o wycieku danych tylko w kontekście danych osobowych, a przecież każdy wyciek firmowych danych, w konsekwencji powiązany będzie z wyciekiem danych osobowych i w ten sposób należy go rozpatrywać. Jeśli wiesz, że doszło do wycieku danych dokonaj analizy czy wyciek danych stanowi incydent czy też naruszenie ochrony danych osobowych. Pamiętaj, że naruszenie należy zgłosić do Urzędu Ochrony Danych Osobowych.

Po wycieku danych skup się na odpowiedniej reakcji

Najczęściej i jednocześnie najgorzej chronionymi kategoriami danych są imiona i nazwiska (44%), adresy e-mail (20%), dane pracownicze (9%), dane finansowe (17%). Wśród takich danych często znajdują się numery PESEL, które wbrew rozpowszechnianym informacjom, nie są danymi sensytywnymi, ale w połączeniu z innymi danymi, mogą skutkować ograniczeniem praw i wolności osób fizycznych. Urząd Ochrony Danych Osobowych w przypadku powzięcia informacji o wycieku danych w postaniu PESEL nie dopuszcza możliwości niezgłoszenia takiego naruszenia. Skoro wiesz, że masz naruszenie oceń ryzyko naruszenia praw i wolności osób dotkniętych zdarzeniem. Pamiętaj, że jeśli ocena wyszła pozytywna to poza zgłoszeniem do UODO należy powiadomić osoby których dane dotyczą. Wyciek danych osobowych lub inne naruszenie RODO to koszmar dla każdego przedsiębiorcy. Niestety takie sytuacje się zdarzają i niezwykle ciężko im zaradzić. Czasami dzieją się przez przypadek, a czasem można paść ofiarą celowego ataku cyberprzestępców.

Postaw na działania prewencyjne

Niestety tak jest, że za większość wycieków danych odpowiadają Twoi pracownicy. Ty jako szef organizacji powinieneś to przewidzieć. Pamiętaj, że Twoją rolą jest nie tylko odpowiednie zabezpieczenie systemów informatycznych, ale także edukowanie swoich pracowników. Szkolenia z zakresu ochrony danych osobowych powinny stać się obowiązkowym elementem wdrażania i utrzymywania systemu ochrony danych. Powołanie w struktury organizacji Inspektora Ochrony Danych (nawet, jeżeli nie ciąży na Tobie taki obowiązek) to również jeden z elementów dający większe gwarancję na to, że administrowane przez Ciebie dane będą bezpieczne. Kradzież bądź przypadkowy wyciek danych może spowodować osłabienie reputacji firmy oraz utratę zaufania ze strony klientów. Art. 24 i 32 RODO podpowiadają jakie można zastosować zabezpieczenia, aby obronić się przed potencjalnym wyciekiem danych. Działań prewencyjnych możesz zastosować znacznie więcej. Poza IOD-em warto zatrudnić również osobę w charakterze Administratora Systemów Informatycznych (ASI). To taka osoba, która ma właściwą wiedzę informatyczną i będzie wiedziała jakie stosować narzędzia, aby wspierać bezpieczeństwo IT organizacji. Na pewno w ramach prewencji można zastosować rozwiązania DLP. Te rozwiązania na pewno pomogą w ochronie przed przypadkowym lub celowym wyciekiem danych. Technologicznie mogą również pomóc rozwiązania na gruncie zarządzania hasłami, dostępami i innymi.

Warto postawić na sprawdzone zasady bezpieczeństwa

Podsumowując, wyciek danych osobowych jest na pewno dużą stratą dla organizacji. Stratą, która niesie za sobą wiele zagrożeń. Zatrudnienie specjalisty na gruncie ochrony danych osobowych oraz właściwego informatyka może ułatwić proces zabezpieczenia się przed tego typu zdarzeniami. Warto postawić na sprawdzone przez praktyków, proste w zrozumieniu hasła i wdrożyć je w swoich organizacjach. Takimi hasłami mogą być np.:

  • Dbaj o regularne szkolenia pracowników;
  • Przetrzymuj dokumenty w bezpiecznym miejscu, niedostępnym dla osób niepowołanych;
  • Chroń dostęp do kluczowych systemów i usług stosując podwójna autentykację;
  • Niszcz stare dokumenty firmowe;
  • Chroń ważne dane hasłem;
  • Klucze licencyjne zawsze przechowuj w bezpiecznym miejscu.
  • Stosuj dedykowane rozwiązania bezpieczeństwa IT;
  • Stosuj szyfrowanie, anonimizację i pseudonimizację.

Jeśli postąpisz właściwie Twoja organizacja będzie chroniona. Nie można zapominać o właściwym podejściu do zapewnienia cyberbezpieczeństwa. Polega ono na zagwarantowaniu bezpieczeństwa danych elektronicznych oraz procesów ich przetwarzania w systemach informatycznych. Warto stosować „szyte na miarę” rozwiązania technologiczne wspierające organizację przed wyciekami danych.