Artykuł ukazał się w Magazynie ODO
Autor: Justyna Głuchowska, Kamil Wojciechowski
Uznanie człowieka za najsłabsze czy też najsilniejsze ogniwo przetwarzania implikuje uznanie sprawczości jednostki oraz jej zobowiązanie dążenia do maksymalizacji standardów ochrony danych
Justyna Głuchowska
Teza postawiona w tytule niniejszego artykułu zdążyła już uzyskać wielu zwolenników oraz doczekała się już licznych publikacji, w szczególności w dziedzinie bezpieczeństwa informacji[1]. Czynnik ludzki jest postrzegany jako jedno z największych zagrożeń dla ochrony danych, a zarazem jako najsłabszy i tym samym najbardziej podatny na ataki element systemu ochrony danych. Wśród czynników wpływających na przytoczony pogląd należy wskazać niski poziom świadomości i podatność na błędy, wśród których można wymienić zarówno te występujące w toku realizowania czynności przypisanych organizacyjnie jednostce, jak i takie, które wynikają z działań zewnętrznych występujących poza daną strukturą.
Wiedzę w tym zakresie posiadają również osoby pragnące uzyskać dostęp do danych w nieuprawniony sposób, dlatego też wśród najpopularniejszych zagrożeń niezmiennie „królują” ataki kierowane właśnie na czynnik ludzki. Do takich działań należy zaliczyć choćby wskazane w najnowszym raporcie ENISA ataki malware i ransomware czy zagrożenia związane z pocztą elektroniczną[2], które mimo wykorzystania zaawansowanego oprogramowania często w pierwszej kolejności skupiają się na atakowaniu właśnie elementu personalnego, np. pracowników danej organizacji.
Ujęcie człowieka jako podstawowego zagrożenia w ramach przetwarzania danych osobowych znajduje odzwierciedlenie w raportach oraz innych opracowaniach statystycznych dotyczących aktualnych zagrożeń dla ochrony danych. Jak wynika z raportu ZFODO[3] przyczyną 83,17% spośród przeanalizowanych naruszeń było źródło wewnętrzne definiowane jako „pracownicy i współpracownicy organizacji”. Z kolei, jak wskazuje się w rocznym raporcie CERT Polska[4] za rok 2020, wśród incydentów obsłużonych przez organizację aż 73,15% stanowiły ataki phishingowe. Co istotne, celem ataków phishingowych (podatnością) jest człowiek, który przez brak zachowania odpowiedniej ostrożności, naruszając zasady cyberbezpieczeństwa może udzielić dostępu do informacji.
Należy jednak zauważyć, że pomimo częstego powoływania się na zagrożenia związane z „czynnikiem ludzkim” cały czas nie została wykształcona definicja oraz nie został wskazany zakres udziału człowieka w ochronie danych. Co więcej, ciężko jest określić granice działalności i wpływów człowieka, dlatego istotnym zagadnieniem pozostaje kwestia rozgraniczenia, gdzie kończy się sprawczość człowieka, a gdzie źródło naruszenia może zostać zredukowane do innych czynników. W zasadzie możliwe jest do przyjęcia stanowisko, jakoby wszelkie naruszenia związane chociażby nie bezpośrednio, lecz za pośrednictwem związku przyczynowo-skutkowego z aktywnością ludzką, powodowane były zagrożeniem ze strony czynnika ludzkiego.
Rolę człowieka jako czynnika generującego zagrożenie dla danych osobowych można rozpatrywać w zależności od kontekstu, na wielu poziomach funkcjonalności w ramach systemu ochrony danych osobowych. W tym zakresie zaproponować można co najmniej pięć ujęć przedmiotowego zagadnienia.
Po pierwsze, człowiek jako źródło naruszeń ochrony danych rozumiany jest jako pewne aktywo, występujące w procesie przetwarzania danych, którego aktywność może stwarzać potencjalne zagrożenia dla danych. Jest to najbardziej podstawowe i intuicyjne rozumienie. Człowiek jest zatem elementem składowym procesu przetwarzania danych, dlatego jego działalność generuje ryzyka wobec danych osobowych. Należy uznać, że właśnie w tym ujęciu jest rozumiany czynnik ludzki w przytoczonych raportach. Głównie należy wskazać w tej roli pracowników jednostki zajmującej się przetwarzanie danych osobowych, posiadających upoważnienie do przetwarzania danych oraz osoby świadczące usługi na rzecz podmiotu, w tym pracownicy innych jednostek.
Po drugie należy wyróżnić człowieka jako źródło swoich danych osobowych. W tym ujęciu przedmiotem zainteresowania nie jest sam proces przetwarzania oraz zachodzące w nim nieprawidłowości, lecz sam moment pozyskiwania danych. Osoba jest w tej sytuacji dysponentem informacji na swój temat. Wskazana podatność na zagrożenia nie funkcjonuje na poziomie organizacyjnym, jest natomiast kwestią jednostki udostepniającej swoje dane. W tym aspekcie warto również wspomnieć o poziomie zabezpieczeń stosowanym przez podmioty danych. Jak wynika z analiz przez CERT Polska[5], ponad połowę z ujawnionych haseł użytkowników stanowią formy zawierające mniej niż dziewięć znaków. Jak powszechnie wiadomo, to właśnie długość hasła ma kluczowe znaczenie dla stopnia bezpieczeństwa danego hasła. Świadomi tego przedsiębiorcy coraz częściej decydują się na stosowanie środków wymuszających odpowiednią ilość oraz skład znaków omawianego zabezpieczenia. Wśród kluczowych problemów występujących na tym poziomie aktywności wskazać można dosyć powszechne udostępnianie swoich danych online, brak stosowania odpowiednich zabezpieczeń oraz podatność na ataki ze strony osób wyłudzających dane osobowe.
Po trzecie, człowiek jak twórca systemu ochrony danych osobowych. Jest to ujęcie stricte organizacyjne, w którym osoba znajduje się również poza samym procesem przetwarzania, nie uczestniczy w nim aktywnie, natomiast stanowi niejako architekta stosowanych rozwiązań w ramach postępowania z danymi osobowymi. Generuje to błędy na poziomie zarządzania systemem ochrony danych, zarówno na etapie planowania jak i późniejszej funkcjonalności. Sprowadza się to do twierdzenia, że jeżeli osoba odpowiedzialna nieprawidłowo zaprojektowała i wdrożyła całokształt mechanizmów przetwarzania, to system jest podatny na błędy. Wyznaczyć w tym zakresie można również dwa rodzaje nieprawidłowości. Po pierwsze stosowanie takich konstrukcji, których funkcjonowanie samo w sobie stanowi naruszenie ochrony danych a także podatność na ewentualne naruszenia wynikająca z braku wdrożenia odpowiednich środków bezpieczeństwa.
Po czwarte, wskazać należy człowieka jak twórcę narzędzi służących do przetwarzania danych. Przede wszystkim to ujęcie powinno konotować z tworzeniem systemów informatycznych bądź innego oprogramowania. Systemy, chociaż projektowane z myślą o zapewnieniu bezpieczeństwa, zawierają błędy generujące zagrożenie dla danych. Częstokroć w tym kontekście niesłusznie wskazuje się jako przyczynę naruszenia „błąd systemu”. Oprogramowanie funkcjonuje w taki sposób, w jaki zostało utworzone i operuje tylko wyznaczonymi możliwościami. Jest to insynuowanie jakoby systemy miały możliwość autokreacji, w wyniku czego doszło do powstania nieprawidłowości. Oczywiście nie należy również wykluczać możliwości powstawania błędów w sferze informatycznej, poza działalnością człowieka. Wymagałoby to przyjęcia sztucznej inteligencji zdolnej do projektowania systemów lub operacji na danych. Zwrócić jednak należy uwagę, że ostatecznie prawo dąży do przerzucenia odpowiedzialności na twórcę lub użytkownika danego rozwiązania technologicznego.
Po piąte, wskazać należy człowieka jako źródło regulacji prawnej dotyczących ochrony danych. W tym ujęciu należy rozumieć człowieka jako członka organu legislacyjnego, wprowadzającego rozwiązania prawne z zakresu bezpieczeństwa danych. Należy uznać, że niedostatki legislacyjne również mogą być przyczyną wielu nieprawidłowości. Prawo wyznacza minimalne standardy ochrony danych, a jeżeli ten standard jest wyznaczony na niskim poziomie, w konsekwencji poziom jego faktycznego funkcjonowania jest również zagrożony. Brak motywacji w postaci regulacji prawnej nakazującej czy przewidującej sankcje za niedopełnienie obowiązków miałby negatywny wpływ na poziom ochrony danych.
Wskazane sfery aktywności, z pewnością nie są kompletnym wyliczeniem form uczestnictwa systemie ochrony danych, w których działalność człowieka może generować ryzyka dla ochrony danych. Przedstawione przykłady zorientowane są wokół funkcji, jakie człowiek może pełnić w ramach ochrony danych. Powyższe wyróżnienie ma za zdanie unaocznić, jak rozległa i wielopoziomowa jest działalność człowieka w ochronie danych. W konsekwencji głównym zagrożeniem dla bezpieczeństwa danych jest właśnie występowanie błędów ludzkich, których pełne wykluczenie jest oczywiście niemożliwe. Aktywność człowieka nie ogranicza się jedynie do działań podejmowanych przez osobę bezpośrednio przetwarzającą dane osobowe, np. pracownika organizacji, istnieje natomiast wiele kluczowych poziomów funkcjonowania jednostki, które są potencjalne narażone na nieprawidłowości. Nieuniknioność błędów związana jest z ich brakiem intencjonalności. Jak wynika z raportu ZFODO za 2021 rok, w 92,23% przypadkach źródłem naruszeń były działania nieumyślne. W tym przedmiocie wypowiadał się również Prezes UODO wskazując na konieczność uwzględnienia czynnika ludzkiego w analizie ryzyka oraz rozróżniając możliwe działania szkodliwe na lekkomyślność oraz niedbalstwo będące formami winy nieumyślnej[6]. Powyższe wskazuje na potrzebę edukacji i podjęcia prób wzmożenia świadomości społecznej w zakresie bezpieczeństwa danych osobowych.
Wyróżnić również należy trzy podstawowe stadia kompetencji ludzkich, których kolejne spełnienie prowadzić będzie do zmniejszenia podatności czynnika ludzkiego na zagrożenia, a należą do nich: świadomość, wiedza i umiejętność. Świadomość oznacza stan, w którym jednostka zdaje sobie sprawę, że ma styczność z danymi osobowymi oraz, że podlegają one pewnemu reżimowi bezpieczeństwa, chociaż niekoniecznie potrafi go zapewnić. Kolejna jest wiedza, zatem taki stan, w którym jednostka nie dość, że jest świadoma względem ochrony danych, to posiada również informacje, w jaki sposób powinna się zachować, aby zapewnić odpowiedni poziom tej ochrony. Ostatnim etapem jest umiejętność, zatem sytuacja, w której osoba spełnia wcześniejsze warunki oraz dodatkowo potrafi praktycznie zastosować posiadaną wiedzę.
Przedstawione ujęcie zasadza się na strukturze ludzkiej niedoskonałości, w związku z czym, nie jest możliwa eliminacji nieprawidłowości, a jedynie ich minimalizacja. Za niesłuszne należy uznać próby wykluczenia odpowiedzialności człowieka. Jako estetyczny akcent, wieńczący powyższe rozważania oraz przedstawiający ich istotę, pozwolę sobie przytoczyć słowa Williama Shakespeare’a z dramatu Juliusz Cezar – „To nasza tylko, nie gwiazd naszych wina”[7].
Kamil Wojciechowski
Kiedy czytam o czynniku ludzkim w kontekstach ochrony danych osobowych i bezpieczeństwa informacji, najczęściej trafiam na szereg argumentów mających na celu wykazanie, że człowiek jest w nich najsłabszym ogniwem. Często przywoływane są słowa znanego hakera Kevina Mitnicka, które zdają się potwierdzać powyższe przekonanie. Wtórują temu także inni specjaliści oraz eksperci. Faktycznie, przyjęcie paradygmatu w postaci „człowiek, najsłabsze ogniwo w ochronie danych osobowych” wydaje się mieć mocne uzasadnienie, szczególnie gdy weźmiemy pod uwagę raporty oraz statystyki ukazujące skalę naruszeń oraz incydentów spowodowanych działalnością człowieka w obszarze bezpieczeństwa danych osobowych, a także doniesienia o wydarzeniach, które występują tak w sferze biznesowej, jak i w administracji publicznej na całym świecie. Najczęściej występujące zdarzenia negatywne powiązane są pośrednio lub bezpośrednio z różnego rodzaju błędami człowieka – występującego w wielu rolach, kontekstach oraz na dowolnych poziomach organizacyjnych. Ochrona danych osobowych wywodzi się z prawa do prywatności, a jej rozwój i rozkwit można datować na czasy po II wojnie światowej. Ten szczególny czas wywarł znaczący wpływ na kształtowanie się praw człowieka, w tym prawa do prywatności oraz ochrony danych osobowych. Od tego czasu można wskazać wiele inicjatyw mających na celu regulowanie sfery ochrony danych osobowych, ale też nadawanie jej znaczącej rangi. Można wymienić tutaj Powszechną Deklarację Praw Człowieka (1948), Europejską Konwencja Praw Człowieka (1950), Międzynarodowy Pakt Praw Obywatelskich i Politycznych (1966), Rezolucję 22 oraz 29 Rady Europy (1973, 1974), Konwencja 108 (1981), Dyrektywę 95/46/WE (1995), Karta Praw Podstawowych UE (2000), ale także Amerykańską ustawę o prywatności – The Privacy Act of 1974. Ponadto kwestie ochrony danych oraz prawa do prywatności uwzględnione zostały w Traktacie o Funkcjonowaniu Unii Europejskiej.
Biorąc pod uwagę wskazane wyżej dokumenty, szereg działań podejmowanych przez różnorakie państwa i organizacje międzynarodowe, a także przywołując najnowszy dorobek prawa ochrony danych osobowych w postaci Rozporządzenia 2016/679 i kształtującego się na jego kanwie orzecznictwa można stwierdzić, że człowiek (w dowolnej roli: podmiotu danych, administratora, podmiotu przetwarzającego, odbiorcy danych; oraz kontekście: pracodawca, pracownik, przedsiębiorca, funkcjonariusz administracji, audytor, inspektor ochrony danych, konsument, dziecko) jest kluczowym elementem systemu ochrony danych osobowych oraz praw w ramach tego systemu stanowionych. Czy zatem przenikające się wiązki regulacji w tak wielu aktach prawa, standardy, normy, wytyczne, rosnąca rola cyberbezpieczeństwa i potrzeba kompleksowego podejścia do obszaru ochrony danych osobowych i zapewnienia bezpieczeństwa informacji może spokojnie funkcjonować przy jednoczesnym, powtarzanym jak mantra twierdzeniu, że człowiek jest najsłabszym ogniwem w tej materii? Problem ten jest złożony i wieloaspektowy, a na rolę człowieka w systemie ochrony danych można spojrzeć co najmniej dwojako. Problem „najsłabszego ogniwa” wynika przede wszystkim z rozumowania, w którym człowieka osadza się w określonych rolach – najczęściej jako konsumenta/użytkownika, pracownika, ewentualnie osoby decyzyjnej (managera, dyrektora, prezesa, kierownika). Wielość informacji o naruszeniach bezpieczeństwa i ochrony danych – włamaniach, kradzieżach informacji, wyciekach danych, fatalnych w skutkach atakach socjotechnicznych, których przyczyną są przejawy niefrasobliwości, lekkomyślności czy niewystarczającej wiedzy ludzi powoduje, że łatwo skategoryzować niedoskonałego człowieka i przypisać mu odpowiedzialność za większość tych zdarzeń. Kolejne elementy rzutujące na „najsłabsze ogniwo” to: źle rozumiana optymalizacja procesów, „drogi na skróty”, nieprzemyślane ułatwianie pracy, braki kompetencyjne, brak należytego poczucia odpowiedzialności, lekceważenie ustalonych zasad, procedur, regulaminów, instrukcji czy polityk w obszarze bezpieczeństwa, brak aktualizowania oraz utrwalania wiedzy, niezrozumienie istoty rzeczy, wreszcie celowe działania szkodzące organizacji oraz podmiotom danych. Jak widać na budowanie przeświadczenia o słabości człowieka w systemie ochrony danych wpływają różnorodne czynniki. Czy można coś z tym zrobić i czy jest w ogóle taka potrzeba?
W mojej ocenie warto zmienić postrzeganie człowieka i budować paradygmat najsilniejszego ogniwa, wywodząc to między innymi z wcześniejszych rozważań. Przywołując także idee przyświecające powstaniu i rozwojowi systemów ochrony danych osobowych i ochrony prywatności, a także biorąc pod uwagę fakt, że człowiek jest fundamentem, twórcą i beneficjentem tych systemów. Zauważając, że wszelkie regulacje prawne czy dobre praktyki tworzone są przez człowieka i to człowiek ma w rękach wszelkie narzędzia, aby kształtować materię bezpieczeństwa danych. I przecież wielu ludzi to właśnie robi każdego dnia. Zmiana kontekstu spojrzenia na człowieka może przynieść wymierne korzyści i przyczynić się do wzmocnienia ochrony praw i wolności osób, a także uszczelnienia systemu bezpieczeństwa informacji. Administratorzy, jak i podmioty danych powinni postrzegać swoją rolę i cechy inaczej, aniżeli „najsłabsze ogniwo”.
Wyartykułować trzeba także efekt „błędnego koła” w systemie ochrony danych osobowych. Polega na tym, że człowiek jest jednocześnie instancją przyczyny (może doprowadzić do wystąpienia incydentu, bądź naruszenia poprzez swoja działania) oraz beneficjentem skutku zdarzeń (naruszenie dotyczy danych osobowych). Stąd też wywodzić można dwoistości oceny jego ról.
Aby móc mówić o człowieku jako najsilniejszym ogniwie nie można pominąć istotnych aspektów, jakimi są procesy dążenia do osiągnięcia tego stanu. Potrzebne są środki i zasoby umożliwiające z jednej strony zarządzanie personalne, a z drugiej odpowiednią organizację. Nieodzownym narzędziem są tutaj różnego rodzaju metody oraz procedury rozumiane szeroko, a więc odnoszące się do warstw: prawnej, organizacyjnej, społecznej oraz technicznej, a także ich otoczenia.
Warstwa prawna dotyczy sfery ogółu przepisów prawa dotyczących ochrony danych osobowych, a także referencji do innych aktów prawnych. Funkcjonalnie warstwa ta odnosi się do posiadania przez uczestników procesów przetwarzania danych odpowiedniej, aktualnej wiedzy w obszarze obowiązującego prawa oraz jego wykładni i zastosowania w praktyce. Warstwa ta w szerszej mierze dotyczy administratorów danych jako podmiotów decydujących o celach i sposobach przetwarzania danych oraz podmiotów przetwarzających dane osobowe na polecenie administratorów. Na obie te grupy nałożone są związane z tym obowiązki.
Warstwa organizacyjna dotyczy systemu zarządzania ochroną danych i bezpieczeństwem informacji w organizacji i obejmuje wszelkie niezbędne polityki, procedury czy zasady składające się na dokumentację systemu. Od jakości, przystępności i adekwatności opracowanej oraz utrzymywanej dokumentacji zależy w dużej mierze kształtowanie się podejścia do całego systemu przez osoby, które w nim uczestniczą. Rzutuje to także na postrzeganie ochrony danych szerzej, w kontekście zewnętrznym. Temat warstwy organizacyjnej jest na tyle złożony, że jego omówienie wymagałoby osobnego opracowania.
Warstwa społeczna odnosi się do socjologicznych uwarunkowań funkcjonowania człowieka w systemie ochrony danych osobowych oraz oddziaływań międzyludzkich rzutujących na występujące procesy i zachowania.
Warstwa techniczna dotyczy rozwiązań fizycznych i logicznych odnoszących się do zarządzania systemami bezpieczeństwa informacji oraz ochrony danych osobowych. Z perspektywy człowieka chodzi o odpowiednią selekcję, wdrażanie, eksploatację, utrzymanie oraz rozwój wszelkiego typu zasobów technicznych w zgodzie z obowiązującym stanem wiedzy i możliwości.
Zorganizowanie oraz odpowiednie nadawanie priorytetów poszczególnym procesom w wymienionych wyżej warstwach daje możliwość budowania solidnego i poprawnie funkcjonującego systemu ochrony danych osobowych i bezpieczeństwa informacji, w którym podstawą i najmocniejszym ogniwem będzie człowiek.
Powyżej przedstawione stanowiska, mimo różnych perspektyw oglądu na ludzką aktywność prowadzą w konsekwencji do jednolitych wniosków w postaci przyjęcia koncepcji egzystencjalistycznej odpowiedzialności człowieka za zapewnienie prawidłowości postępowania z danymi osobowymi. Każde z zaprezentowanych stanowisk, a zatem uznanie człowieka za najsłabsze czy też najsilniejsze ogniwo przetwarzania implikuje uznanie sprawczości jednostki oraz jej zobowiązanie dążenia do maksymalizacji standardów ochrony danych.
[1] Por. Skulska J.,Pławińska W. Człowiek jako najsłabsze ogniwo bezpieczeństwa informacyjnego. Nowoczesne Systemy Zarządzania. 2021;16(1):97-119. doi:10.37055/nsz/134812.
Grobel-Kijanka A., Czynnik ludzki jako kluczowy element systemów bezpieczeństwa informacji
Nobles C. Botching Human Factors in Cybersecurity in Business Organizations
[2] ENISA Threat Landscape 2021 https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021 (dostęp 27.03.2022 r.)
[3] https://www.zfodo.org.pl/typ/raporty/ (dostęp 27.03.2022 r.)
[4] https://cert.pl/raporty-roczne/ (dostęp 27.03.2022 r.)
[5] https://cert.pl/posts/2022/01/co-wycieki-danych-mowia-o-haslach/ (dostęp 28.03.2022 r.)
[6] Decyzja UODO DKN.5101.25.2020 https://uodo.gov.pl/decyzje/DKN.5101.25.2020 (dostęp 28.03.2022 r.)
[7] W. Shakespeare, Juliusz Cezar s. 10 https://wolnelektury.pl/media/book/pdf/juliusz-cezar.pdf (dostęp 28.03.2022 r.)
- Szukasz szkoleń prawniczych? Sprawdź nasz kalendarz wydarzeń >>>
- Abonament szkoleniowy. Sprawdź ile zaoszczędzisz >>>
