2 października 2018
Za łamanie procedur konsekwencje będą surowe

W maju br. zacznie obowiązywać rozporządzenie o ochronie danych osobowych (RODO/GDPR). W mediach trwa ożywiona dyskusja na temat przygotowania polskich firm do spełnienia wymagań ustawy. Tymczasem zdaniem ekspertów, stopień przygotowania jest nadal daleki od zadowalającego. Trzeba powiedzieć sobie wprost, do maja dla wielu organizacji czasu do dostosowania swoich struktur do spełnienia wymagań RODO raczej nie wystarczy. Przedsiębiorcy niestety w niektórych przypadkach, dopiero zaczynają przyglądać się regulacjom RODO. Większość członków zarządów firm, nie zna między innymi ustaleń regulacji w kwestii konsekwencji za nie przestrzeganie artykułów ustawy. Co się na przykład stanie kiedy w wyniku ataku na systemy informatyczne wykradzione zostaną dane klientów? Według nowych przepisów konsekwencje z tego powodu będą i mogą być bardzo dotkliwe.

Czy ataki z cyberprzestrzeni mogą narazić firmę na straty? Odpowiedź jest oczywista. Jak najbardziej tak i nie jest to sytuacja abstrakcyjna. W maju 2017 roku szczególnie szerokim echem, w branży bezpieczeństwa IT, odbił się atak dwóch wirusów ransomware: Petya oraz WannaCry. Dlaczego? Atak dotarł do ponad 150 krajów. Zainfekowanych zostało ponad 300 tysięcy komputerów, ucierpiało wiele organizacji z różnych sektorów rynkowych oraz szereg instytucji publicznych, w tym placówki służby zdrowia. Skala ataku oraz jego skutki były tak duże, że mocno wstrząsnęły branżą bezpieczeństwa. W tej sytuacji pojawiła się, a właściwie wróciła dyskusja, czy ataki typu ransomware i im podobne są do uniknięcia? Czy są istnieją zabezpieczenia dające 100% pewność bezpieczeństwa? Takich rozwiązań nie ma, ale efekty zagrożenia ze strony ransomware tj. WannaCry, jak i wielu podobnych w tym późniejszych skutków i strat można istotnie ograniczyć a nawet uniknąć.

Atak na strukturę IT. Co nam grozi od maja 2018?

Trzeba spojrzeć prawdzie w oczy. Zdecydowana większość organizacji, które zostały zaatakowane przez WannaCry w zeszłym roku, w wyniku podobnego wydarzenia w maju br. będzie musiało ponieść dotkliwe kary finansowe. Maksymalna przewidziana kara wynosi aż 4% łącznych rocznych obrotów przedsiębiorstwa lub 20 mln EUR. Według nowych przepisów administrator danych osobowych będzie musiał zgłosić przypadek naruszenia ochrony danych osobowych organowi nadzorczemu w ciągu 72 godzin od jego wystąpienia. W tej sytuacji nieuniknione są dalsze konsekwencje, oprócz narażania się na wysokie sankcje finansowe dojdzie naruszenie reputacji firmy. Straty i sankcje z tego tytułu mogą mocno zachwiać firmą, a nawet doprowadzić do jej upadku.

Można się zastanawiać czy atak ransomware narusza strukturę danych? Zdaniem ekspertów z firmy Trend Micro (wpis zamieszczony na blogu firmy można przeczytać TUTAJ), może się wydawać, że zaszyfrowanie pików lub ich zniszczenie nie wpływa na naruszenie przepisów o RODO. Ale są to pozory. Zaszyfrowanie danych jakich dokonuje atak ransomware, nie prowadzi wprost do kradzieży. Analizując postanowienia rozporządzenia o RODO, pojawiają się jednak przeciwne wnioski. W art. 4, pkt. 12 regulator jasno określił warunki naruszenia danych:
(…)„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Dodatkowo art. 5, pkt. 1 precyzuje czynność przetwarzania danych:
Dane osobowe muszą być: (…) przetwarzane w sposób zapewniający [ich] odpowiednie bezpieczeństwo (…), w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Art. 32 definiuje obowiązki i odpowiedzialność administratorów i podmiotów przetwarzających dane, którzy mają obowiązek uwzględnić „stan wiedzy technicznej” w celu wdrożenia „odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”.

Jak działa atak ransomware

Wirusy wykorzystują miejsca w systemach informatycznych, odkryte przez hackerów jako tzw. luki. W przypadku WannaCry wirus „skorzystał” ze znanej luki w zabezpieczeniach, związanej z obsługą protokołu SMB w systemie Windows. Dzięki temu możliwy był dostęp do systemu i zadziałanie wirusa. Konsekwencją było zaszyfrowanie plików o 176 różnych rozszerzeniach: w tym dokumentów typu office, plików baz danych i tym podobnych. Problem z luką w zabezpieczeniach Windows, którą wykorzystał WannaCry, był znany na długo wcześniej przed atakiem. Co więcej, dostępna była „łatka” do usunięcia tego zagrożenia. Zbagatelizowanie jednak procedur bezpieczeństwa i brak wyobraźni spowodował w skali duże spustoszenie i poważne straty materialne dla ponad setek firm. Dodatkowo dodajmy, że przy obowiązywaniu przepisów ustawy RODO, firma dotknięta atakiem zostałaby ukarana z powodu dopuszczenia do „niedozwolonego lub niezgodnego z prawem przetwarzania” danych objętych regulacjami.