Regularne testowanie środków bezpieczeństwa

By 27 marca, 2023 Uncategorized

Artykuł ukazał się w Magazynie ODO

Autor: Olga Legat


Po trzech latach stosowania RODO przyszedł czas na sprawdzenie, czy rekomendowane w 2018 r. rozwiązania zostały wprowadzone, czy wrodzenie ich było prawidłowe i czy działają one efektywnie. Przy okazji warto zweryfikować samą procedurę regulująca okresowe testowanie mierzenie i ocenianie skuteczności środków zabezpieczających – powinna ona określać nie tylko metody i regularność sprawdzania środków bezpieczeństwa, ale także sposoby gromadzenia dowodów.

Bezpieczeństwo danych osobowych nigdy nie wychodzi z mody, a rosnąca liczba naruszeń zgłaszanych do Prezesa Urzędu Ochrony Danych Osobowych wskazuje, że najprawdopodobniej jeszcze wiele na tym polu jest w Polsce do poprawienia (dla porównania: w 2018 r. 2446 zgłoszeń, w 2019 r. 6039, a w 2020 r. 7507 – źródło: Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych w roku 2020, s. 136). Naruszenia są także tematem poruszanym przez Europejską Radę Ochrony Danych w 2021 r. w wytycznych dotyczących zgłaszania naruszeń, gdzie przedstawiono wiele przykładów incydentów wraz z ich oceną. Od początku pandemii, kiedy na znaczeniu zyskała praca zdalna, bardzo wyraźnie wskazywano na rosnący problem phishingu i trudno spodziewać się, aby miał on stracić na znaczeniu.

Zgodnie z art. 32 ust. 1 lit. d) RODO regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest jednym ze środków, dzięki którym administrator czy podmiot przetwarzający zapewniają odpowiedni stopień bezpieczeństwa danych.

3 lata RODO – najwyższy czas na rewizję założeń

Wielu praktykom ochrony danych osobowych znane są wykresy obrazujące jak powinien wyglądać model zarządzania bezpieczeństwem informacji w organizacji:

Źródło obrazu: Europejski Inspektor Ochrony Danych, Guidance Security Measures for Personal Data Processing Article 22 of Regulation 45/2001, dostępne pod adresem: https://edps.europa.eu/sites/edp/files/publication/16-03-21_guidance_isrm_en.pdf#:~:text=In%20the%20context%20of%20processing%20personal%20data%2C%20risks,specific%20context%20in%20which%20personal%20data%20is%20processed.

W założeniu, od 2018 r. każda organizacja przetwarzająca dane osobowe powinna była przejść już etap ustalenia kontekstu, identyfikacji ryzyka, jego analizy i oceny, a następnie podjęcia środków w celu zaradzenia ryzyku, konsultacji i akceptacji ryzyka resztkowego. Obecnie, po 3 latach obowiązywania RODO, należy przejść do kolejnego etapu – czyli weryfikacji ryzyka i środków zaradczych. Jest to szczególnie istotne również dlatego, że pandemia przyniosła ze sobą zmianę intensywności dotychczas identyfikowanych ryzyk oraz nowe – które w pierwotnych analizach mogły nie być brane pod uwagę.

Temat regularnego testowania środków bezpieczeństwa był już poruszany w decyzjach administracyjnych Prezesa Urzędu Ochrony Danych Osobowych. Wnioski z nich płynące przedstawię w dalszej części artykułu.

Regularność, czyli zaplanowana rewizja i czas

Po pierwsze, regularne testowanie to proces, który powinien znaleźć swoje odzwierciedlenie w postanowieniach procedur i polityk ochrony danych osobowych. Jak zauważył Prezes Urzędu Ochrony Danych Osobowych w decyzji dotyczącej naruszenia – ataku ransomware na systemy uzdrowiska w czasie pandemii (znak  DKN.5130.2815.2020):

„Wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych.”

Podobne wnioski można wysnuć także z decyzji PUODO w sprawie Virgin Mobile (znak DKN.5112.1.2020, uchylona w październiku 2021 r.), gdzie Prezes podkreślił, że przyjęte środki bezpieczeństwa mogłyby być skuteczne, ale tylko gdyby we wdrożonych procedurach przewidziano również postanowienia dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i  organizacyjnych mających zapewnić bezpieczeństwo oraz gdyby postanowienia te były faktycznie przestrzegane.

Wydaje się, że unormowanie regularnego testowania w procedurze czy wewnętrznej polityce ochrony danych osobowych powinno zawierać co najmniej następujące elementy:

  • określenie, jakie czynniki zawsze, bez względu na upływ czasu, wyzwalają konieczność dokonania ponownej analizy ryzyka i wdrożonych środków – np. zmiana dostawcy rozwiązania do przetwarzania danych osobowych (por. karę w sprawie Virgin Mobile), wprowadzanie nowych funkcjonalności czy ulepszeń (por. karę nałożoną przez Irlandzki organ na Irish Credit Bureau, DPC Case Reference: IN-19-7-2) czy restarty systemów (por. decyzję w sprawie ID Finance, znak DKN.5130.1354.2020, częściowo uchylona w październiku 2021);
  • określenie okresu, w jakim odbywają się regularne, niezależne od powyższych wydarzeń, audyty bezpieczeństwa;
  • określenie przyjętej metody – czy regularnie badana jest cała organizacja, czy też jedynie jej części i w jaki sposób są one wybierane;
  • określenie obszarów krytycznych (np. marketing), które podlegają częstszemu sprawdzaniu i wskazanie okresu takich audytów;
  • funkcje odpowiedzialne za przeprowadzenie audytów, ich nadzór, przyjęcie wniosków i pieczę nad wdrażaniem nowych środków bezpieczeństwa.

Nasuwa się oczywiście pytanie, jak należy rozumieć w kontekście art. 32 ust. 1 lit. d) RODO regularność. Oczywiście będzie to oznaczało, że testowanie i mierzenie musi odbywać się w określonych i powtarzających się odstępach czasu, ale jakie powinny to być okresy? Virgin Mobile, podejmując działania zaradcze po naruszeniu ochrony danych zdeklarowała, że będzie testować zgodność z poszczególnymi normami ISO – co roku. To krótki okres czasu, jednak jest przyjmowany przez organizacje, które przetwarzają dużą ilość danych osobowych, dla przykładu w imieniu swoich klientów – roczny okres sprawdzenia jest stosowany na przykład do audytów SOC 2.

Irish Credit Bureau we wspomnianym wyżej postępowaniu zdeklarował się, że będzie dokonywać weryfikacji swojej zgodności z normą ISO 27001 co dwa lata. Jest to również okres odpowiadający okresowi dostosowawczemu pomiędzy przyjęciem a wejściem w życie RODO oraz okres aktualizacji wytycznych przyjętych przez TeleTrustIT i ENISA – IT Security Act (Germany) and EU General Data Protection Regulation. Guideline „State of the art”. Technical and organisational measures 2021. Okres dwuletni wydaje się również mniej obciążający organizacyjnie i finansowo dla organizacji niż okres roczny, a jednocześnie dość krótki, aby móc nadążyć za obecnym tempem zmian technicznych i zmian w praktyce orzeczniczej organów nadzorczych.

Bardzo ciekawym podejściem stosowanym przez wiele organizacji jest metoda stopniowego testowania organizacji w częściach – tj. losowania jednostek organizacyjnych administratora do sprawdzenia i prowadzenie tego rodzaju audytów w sposób ciągły. Jest to metoda stosowana przez wiele grup kapitałowych i ma wiele zalet. Po pierwsze, poziom bezpieczeństwa może zostać zwiększony poprzez fakt, że każda jednostka w każdej chwili (o ile nie została niedawno sprawdzona) może spodziewać się audytu. Po drugie, wyrywkowe sprawdzanie działów powoduje, że całość organizacji nie jest nagle i w sposób nadmierny obciążona – audyt obejmuje jej część i trwa znacznie krócej niż sprawdzenie całości organizacji. Po trzecie – możliwe jest zapewnienie zrównoważonego systemu pracy dla zespołu audytowego, który może działać w sposób ciągły a nie w okresowych sprintach. Wprowadzenie takiego modelu testowania nie powinno jednak pomijać konieczności częstszego testowania newralgicznych działów oraz testowania w sytuacjach wyjątkowych.

Dodatkowo, niektóre czynniki muszą być monitorowane w sposób stały. Najbardziej chyba znanym przykładem jest konieczność monitorowania ruchu sieciowego w sposób ciągły – o czym przekonało się Morele.net (decyzja PUODO znak ZSPR.421.2.2019, utrzymana wyrokiem WSA sygn. II SA/Wa 2559/19).

Działania sprawdzające

 

Wydaje się, że rok 2018 i pośpieszne wdrożenia RODO w wielu organizacjach mogą nieść za sobą konsekwencje różnego rodzaju, w tym m.in.:

– brak realnego wdrożenia polityk i procedur w organizacjach – w praktyce częstą sytuacją jest, że przekazany przez doradcę zestaw procedur nie został uzupełniony o niezbędne informacje (do tej pory w niektórych politykach prywatności można odnaleźć fragmenty „do uzupełnienia przez Spółkę”) i zestaw taki nie został prawidłowo przyjęty i ogłoszony w organizacji, a więc realnie nie działa;

– brak uwzględnienia praktycznych postanowień dotyczących regularnej rewizji przyjętych polityk i procedur.

Na obecnym etapie więc nowy cykl analizy ryzyka przetwarzania danych osobowych w organizacjach warto rozpocząć od sprawdzenia, czy środki organizacyjne i techniczne w ogóle zostały wdrożone i czy działają.

Nie należy też zapominać o innych podstawowych sprawach, o czym przypomina cytowana wyżej decyzja PUODO w sprawie zaatakowanego ransomware uzdrowiska (znak DKN.5130.2815.2020): „brak technicznego wsparcia producenta stanowi podatność w odniesieniu do poziomu bezpieczeństwa wykorzystywanego oprogramowania, a co za tym idzie stwarza wysokie zagrożenie w postaci zmniejszenia odporności systemu m.in. na działanie złośliwego oprogramowania. Kontrola licencji i aktualności oprogramowania jest obszarem, który powinien być sprawdzany regularnie i możliwie często.”

W procesie rewizji, jak to jest widoczne na grafie umieszczonym na wstępie, konieczne jest ponowne przejście wszystkich elementów analizy ryzyka:

  • ustalenia kontekstu;
  • identyfikacji czynników ryzyka;
  • analizy tych czynników;
  • oceny związanego z nimi ryzyka;
  • wprowadzenia środków zaradczych;
  • akceptacji ryzyka resztkowego.

Przy ustaleniu kontekstu konieczne jest ponowne dokonanie oceny, jak wdrożone już środki zabezpieczające mają się do obecnie obowiązującego na rynku standardu. ENISA i Teletrust w dokumencie: “IT Security Act (Germany) and EU General Data Protection Regulation. Guideline <State of the art>. Technical and organisational measures 2021” wskazują, jak środki bezpieczeństwa stopniowo zmieniają się i w jaki sposób wpływa to na kwestię, co w danym momencie jest tzw. środkiem „state of the art”. Z biegiem czasu rozwiązania, które były wcześniej środkami bezpieczeństwa stosowanymi wyłącznie jako rozwiązania silnie innowacyjne i wdrażające najnowsze osiągnięcia techniczne, a nie cieszyły się walorem ogólnego uznania i nie były sprawdzone w praktyce są stosowane w coraz większej liczbie organizacji. W ten sposób stają się dobrze sprawdzonymi środkami i zyskują uznanie. „State of the art” w zakresie środków zabezpieczających to poziom wykraczający ponad to, co dobrze znane i powszechne, ale jednocześnie nie wymagający wdrażania niesprawdzonych, bardzo innowacyjnych rozwiązań. Odpowiada to również konieczności uwzględnienia kontekstu i kosztów wdrożenia, o czym mowa w art. 32 ust. 1 RODO.

W ramach identyfikacji czynników ryzyka warto ponownie zwrócić uwagę na ich zmianę wywołaną pandemią COVID-19. Czynniki ryzyka, które zmieniły swoją wagę to nie tylko ryzyko związane z nieuprawnionym dostępem do danych w czasie pracy zdalnej i wprowadzeniem nowych rozwiązań technicznych, w tym chmurowych, ale także nasilone ryzyko związane z dużym wzrostem rotacji kadry. Nie można także pominąć czynników ryzyka wyzwalanych zmianami w obowiązkach wynikających ze zmieniających się przepisów – jak choćby z digitalizacji teczek pracowniczych czy wprowadzenia  systemów zgłaszania niezgodności i ochrony sygnalistów. Wreszcie duża skala pracy zdalnej i rotacyjnej przyniosła ze sobą zmianę w układzie i rozplanowaniu biur i całych budynków, co również może wpływać na zmianę zidentyfikowanych i zarządzonych przed pandemią czynników ryzyka.

Pics or it didn’t happen

Bardzo ważnym elementem procedury regularnego testowania jest także określenie, w jaki sposób będą zapewniane dowody na przeprowadzone sprawdzenia, pomiary i wprowadzone środki zaradcze. W tym zakresie przydatna w mojej ocenie jest analogia do procesu budowlanego i dziennika budowy. Dokumentowanie, choćby skrótowe, wszystkich działań w procesie może wydawać się żmudne, ale okazuje się zawsze nieocenione w przypadku sporu.

Każde działanie obejmujące wdrożenie nowych środków, audyt istniejących środków, analizę ryzyka, akceptację ryzyka resztkowego i inne powiązane działania – powinno być udokumentowane. Korzystnym jest, aby format i sposób dokumentowania takich działań był choć ogólnikowo opisany w procedurze dotyczącej testowania środków lub polityce ochrony danych osobowych. Format dowodów nie musi być wyszukany, notatki służbowe również mogą być przydatnym dowodem i są dopuszczalne jak dowód w postępowaniu administracyjnym.

Ważne jednak, aby opracowywane dowody miały walor wiarygodności. Każdy dowód – czy to raport z testów zabezpieczeń, czy decyzja zarządu o akceptacji ryzyka resztkowego, powinien zawierać co najmniej datę i informację o autorze. Dokumenty takie nie powinny być archiwizowane w formie edytowalnej, gdyż znacząco obniża to ich wiarygodność w postępowaniu.

O konsekwencjach braku wiarygodności dowodów przekonało się SGGW (decyzja PUODO znak ZSOŚS.421.25.2019):

„We wszczęciu postępowania administracyjnego Prezes UODO wskazał, że przedstawiona analiza ryzyka budzi wątpliwości co do prawidłowości jej sporządzenia (rzetelności danych w niej zawartych), nie zawiera metodologii jej przeprowadzenia, nie pozwala na jednoznaczne stwierdzenie, że została wykonana we wskazanym dniu oraz, że nie wynika z niej, kto konkretnie i na czyje polecenie przeprowadził i sporządził przedmiotową analizę oraz przez kogo została zaakceptowana”.

Podsumowując, w ramach świętowania kolejnego dnia ochrony danych osobowych czy kolejnej rocznicy wejścia w życie RODO warto rozważyć rewizję zarówno wdrożonych w swojej organizacji technicznych i organizacyjnych środków bezpieczeństwa, jak i samej procedury regulującej to, w jaki sposób zapewniane jest regularne testowanie. Szczególną uwagę warto zwrócić na to, aby procedura taka (i) jasno określała metodę i okres, w jakim będzie dokonywane testowanie; (ii) wskazywała osoby odpowiedzialne za dokonywanie testów, ich nadzór i odebranie ich wyników, a także wdrożenie środków zaradczych; (iii) opisywała sposób gromadzenia dowodów, który zapewni ich wiarygodność. Wiele badań dokonywanych w ramach audytów powdrożeniowych, ale także tak prostych sprawdzeń jak w przypadku due diligence pokazuje, że często rekomendacje i zestawy procedur przekazane przez doradców przy wdrożeniach RODO zostały wdrożone pobieżnie, a pracownicy mogą nie mieć świadomości ich istnienia czy tego, w jaki sposób należy je stosować. Dotyczy to nie tylko organizacji małych, ale także dużych jednostek organizacyjnych, w których liczba kadry uniemożliwiła przeprowadzenie dokładnych szkoleń wszystkich pracowników. Sprawdzenie realnego działania procedur i innych środków zabezpieczających powinno być elementem regularnego testowania i warto dokonać tego jak najprędzej.


Zgłoszenia

    Dane osoby składającej zamówienie:

    Dane do faktury:

    Imię i nazwisko

    Nazwa firmy / instytucji (Nie dotyczy osób fizycznych)

    Telefon

    Ulica

    Adres email

    Miasto

    Kod pocztowy

    NIP (Nie dotyczy osób fizycznych)

    Rodzaj faktury

    Czy konferencja będzie finansowana w min. 70% ze środków publicznych a w związku z tym obowiązuje zwolnienie z podatku VAT?

    Ilość uczestników:

    Dane uczestników:

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Dodatkowe uwagi:

    Źródło informacji o konferencji:

    Social media (Facebook, Linkedin, etc)NewsletterKontakt telefonicznyInne

    Upoważniam Wydawnictwo MRM Witold Jarzyński do wystawienia faktury bez podpisu odbiorcy.

    Wyrażam zgodę na przesyłanie przez MRM Witold Jarzyński informacji handlowych na podany przez ze mnie adres e-mail.

    Wyrażam zgodę na kontakt telefoniczny (na podany nr telefonu) przez MRM Witold Jarzyński w celu marketingu bezpośredniego.

    ×
    Szkolenia, webinary i konferencje