Incydent w SGGW – studium przypadku
Incydent w SGGW – studium przypadku
Musimy mieć świadomość, że do naruszeń dochodzi codziennie, a dane osobowe każdego Polaka gdzieś już zapewne wyciekły. W tym artykule omówimy sobie incydent, który miał miejsce w 2019 r. i w konsekwencji którego w sierpniu 2020 r. PUODO nałożył karę administracyjną w wysokości 50 tys zł. Incydent ten mógłby przejść bez większego echa, gdyby nie dwa czynniki – dotyczył on jednej z największych uczelni w Polsce, i po drugie – popełniono tu wszystkie możliwe podstawowe błędy związane z ochrona danych osobowych. A zaczęło się od prozaicznego zdarzenia jakim była kradzież prywatnego laptopa jednego z pracowników SGGW.
Kradzież urządzenia zawierającego dane osobowe
Kradzież służbowego lub prywatnego komputera, tabletu czy telefonu nie jest zdarzeniem niecodziennym. Może być wynikiem włamania, rozboju czy zwykłej niefrasobliwości, gdy nie będziemy zwracać uwagi na nasze rzeczy lub przez nieuwagę gdzieś je zostawimy. Takie rzeczy się zdarzają i będą zdarzać, dlatego przed skutkami kradzieży urządzenia musimy się zabezpieczać w inny sposób. A dane osobowe to prawdopodobnie nie są jedyne cenne dla Twojej firmy dane, które na takim laptopie mogą się znajdować.
Z komunikatu umieszczonego na stronach uczelni dowiadujemy się, że zbiór danych, które były przetwarzane na laptopie pracownika SGGW był bardzo obszerny.
Na dysku komputera znajdowały się dane osobowe kandydatów obejmujące m.in.: dane identyfikacyjne – imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega.
Uczelnia, po stwierdzeniu naruszenia postępowała zgodnie z nałożonym na nią obowiązkiem wynikającym z artykułu 34 RODO. Poinformowała ona o tym fakcie potencjalnie poszkodowane osoby. Jednak my postarajmy się z jej błędów wyciągnąć odpowiednie wnioski.
Niezaszyfrowany nośnik danych osobowych
Choć informacji tej nie ma w komunikacie, to wszystko wskazuje na to, że dysk twardy w skradzionym komputerze nie był zaszyfrowany. Jest też możliwość, że laptop pracownika SGGW w chwili kradzieży był włączony lub tylko uśpiony. Jest to jednak mniej prawdopodobne. Gdyby dane zapisane na dysku były zaszyfrowane, najprawdopodobniej nie byłoby konieczności informowania o tym i zgłaszania incydentu do UODO. Pisałam o tym szerzej w artykule „Naruszenie ochrony danych – nie panikuj, tylko się przygotuj„. Jeżeli pamięć dowolnego urządzenia byłaby zaszyfrowana, a samo urządzenie wyłączone lub w stanie hibernacji, to dane byłyby bezpieczne i niemożliwe do odczytania przez złodzieja.
Najlepiej, aby szyfrowanie dysków było włączone na każdym urządzeniu, za pomocą którego pracownik ma dostęp do danych firmowych. Tę dobrą praktykę należy stosować zawsze. Postępuj tak, gdy za pomocą urządzenia uzyskuje on dostęp do danych osobowych. Nie zapominaj o innych cennych dla Twojej firmy dokumentów a nawet poczcie elektronicznej. Dostęp do nich także powinien obywać się z urządzenia z włączonym szyfrowaniem. Nie zapomnij także, aby szyfrować wszelkie dyski zewnętrzne czy pamięci typu pendrive.
Brak kontroli i monitoringu dostępu do plików
Tak poważnego incydentu można byłoby uniknąć także poprzez odpowiednią kontrolę i rejestrację dostępu do plików, w których zapisane były dane osobowe. Nie traktuj jednak tego mechanizmu jako alternatywę dla szyfrowania, gdyż ma ono swoje ograniczenia.
Kontrola i monitoring dostępu do plików są dzisiaj o wiele bardziej rozbudowane niż jeszcze parę lat temu. Ten skok był możliwy między innymi dzięki temu, że co raz więcej usług realizujemy w tzw. chmurze. Nie na własnych serwerach a jako usługę, którą kupujesz od zewnętrznej firmy. Jedną z nich jest choćby usługa przechowywania plików Microsoft OneDrive, która jest składnikiem pakietu Microsoft Office 365. Odpowiednia ochrona nie ogranicza się jednak tylko do plików zapisanych na OneDrive. Wykorzystasz ją chroniąc dowolne pliki znajdujące się na komputerach.
Usługa ta to Azure Information Protection, a jej licencja kosztuje 1,70 EUR miesięcznie dla każdego użytkownika. Jest to moim zdaniem bardzo niska cena za zaawansowane narzędzie. Jej działanie polega w skrócie na tym, że do każdego pliku możemy przypisać odpowiednią etykietę. Z tą etykietą powiązana jest polityka, w której zdefiniowanych jest wiele atrybutów bezpieczeństwa. Opcję pozwalającą na skonfigurowanie, co ile dni muszą być odświeżane uprawnienia do pliku. Dzieje się to przez połączenie z centralnym serwerem usługi za pośrednictwem sieci Internet. Sprawdzenie odbywa się automatycznie, o ile uprawniony użytkownik jest zalogowany.
Funkcjonalność pozwalającą na skonfigurowanie swego rodzaju terminu ważności dokumentu. Możemy go ustawić w postaci konkretnej daty lub liczby dni. Gdy tak skonfigurowana ważność dokumentu wygaśnie nikt nie będzie w stanie odczytać jego zawartości.
Oprócz wymuszania samej kontroli administratorzy dostają możliwość śledzenia i raportowania kto i kiedy otwierał wskazany plik. Pozwala to na ocenę, czy nieuprawniony dostęp do danych osobowych z dużym prawdopodobieństwem nastąpił, czy nie.
Zasada minimalizacji w RODO
Pamiętasz o zasadzie minimalizacji? Mówi ona, że administrator nie powinien przetwarzać więcej danych osobowych, niż jest to niezbędne do osiągnięcia celu przetwarzania. Podobnie postępuj, jeżeli chodzi o ilość danych, do których Ty i Twoi pracownicy macie w danej chwili dostęp. Z komunikatu SGGW wynika, że skradziono prywatny laptop, na który dane zostały skopiowane w sposób nieuprawniony. Odpowiednie korzystanie z narzędzi opisanych w poprzednim akapicie powinno pozwolić administratorom wykryć taką sytuację i zapobiec wynoszeniu danych. Przed takim wyzwaniem stoją wszyscy przedsiębiorcy pozwalający na dostęp do firmowych zasobów z prywatnych urządzeń.
Ochrona powinna odbywać się zarówno w warstwie technicznej, jak i przez wdrożenie odpowiednich polityk i procedur w firmie. Twój zespół powinien mieć dostęp jedynie do tych danych, które są niezbędne do wykonania stojącego przed nim zadania. Załóżmy, że pracownikowi SGGW skradziono nie prywatny laptop, na który kopiował dane w sposób nieuprawniony, a służbowy komputer, który wykorzystywał do codziennej pracy.
Jeżeli był on odpowiedzialny za proces rekrutacji na rok akademicki 2019/2020 to raczej nie powinien mieć już dostępu do danych kandydatów z lat ubiegłych, a już na pewno nie do tak szerokiego zbioru danych. Napisanie i wdrożenie odpowiednich polityk i regulaminów to skomplikowane zadanie spoczywające na barkach zarówno administratora danych, jak i zespołu IT. Konieczne są też wartościowe i regularne szkolenia dla osób, które mają dostęp do przetwarzanych danych osobowych.
Przeczytaj też Double opt-in przy zbieraniu zgód
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo