Do nieuprawnionego dostępu do bazy danych KSSiP doszło 21 lutego bieżącego roku. Tym niemniej Szkoła dowiedziała się o tym dopiero 7 kwietnia… od policji, mimo że w pewnych serwisach internetowych (również zagranicznych) dane były obecne podobno już 2 kwietnia. Pojawiające się w mediach wypowiedzi sędziów i prokuratorów wskazują, że maile z zawiadomieniem o naruszeniu otrzymali oni od KSSiP w Wielką Sobotę w godzinach wieczornych (11 kwietnia). Przypomnijmy, że na gruncie art. 34 ust. 1 RODO, 1. jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest do niezwłocznego powiadomienia o tym tych osób, co miało miejsce w omawianej sprawie. 

Zobacz procedurę w LEX: Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych >

Czytaj: Z bazy szkoleniowej KSSiP wyciekły dane sędziów, prokuratorów, referendarzy>>

Przedmiotowe dane, które pojawiły się w internecie obejmowały imiona i nazwiska, numery telefonów, adresy e-mail, adresy zamieszkania, miejsca pracy oraz ich adresy, hasła i numery różnego rodzaju komunikatorów. Co więcej, dyrektor KSSiP nie wyklucza, że w grę wchodzi również ujawnienie numerów PESEL, jednak ta kwestia jest wciąż weryfikowana. Przyczyną incydentu najprawdopodobniej jest nieodpowiednio przeprowadzona migracja systemu platformy szkoleniowej. Za realizację tego procesu odpowiedzialny był zewnętrzny podmiot, z którym Szkoła współpracowała w zakresie zarządzania zasobami serwerowymi.

Czytaj w LEX: RODO w IT: atak hakerski i co dalej? >

Czy między stronami doszło do zawarcia odpowiedniej umowy powierzenia przetwarzania danych osobowych? Nie wiadomo. Z komunikatów KSSiP wynika, że organizacja nie czuje się odpowiedzialna za zaistniałe naruszenie, a wręcz przeciwnie – ocenia obecnie swój status jako pokrzywdzonego. Ówczesny dyrektor jednostki – obecnie I prezes SN Małgorzata Manowska - w jednym z oficjalnych komunikatów stwierdziła, że Szkoła jest podmiotem, który zawsze podejmuje wszelkie działania z dbałością o ochronę danych osobowych, jednak skuteczność tych działań nie zależy tylko od niej.

Czytaj w LEX: Zawiadamianie osoby której dane dotyczą o naruszeniu ochrony danych >

Czy takie stanowisko można uznać za słuszne? Zważywszy, że Krajowa Szkoła Sądownictwa i Prokuratury, będąc w świetle RODO administratorem udostępnionych danych osobowych, odpowiada za wybór i weryfikację podmiotów, którym powierza dane, na powyższe pytanie należy odpowiedzieć negatywnie. Prezes UODO będzie mógł nałożyć na Szkołę sankcje przewidziane dla administratorów przez Rozporządzenie. 

Czytaj w LEX: Kontrole sektorowe 2019 - sposób prowadzenia rejestru czynności przetwarzania danych osobowych i sposób dokumentowania przez administratora danych naruszeń ochrony danych osobowych >

Zaufany podmiot przetwarzający?

Warto pochylić się nad dotychczasowym działaniem systemu ochrony danych osobowych w KSSiP. Wydawać by się mogło, że administrator dołożył należytej staranności, przynajmniej w zakresie kontroli i przeaudytowania systemu informatycznego oraz bezpieczeństwa informacji. Audyt bezpieczeństwa tych właśnie obszarów jesienią ubiegłego roku Szkoła zleciła wrocławskiej spółce Test Army Group. Celem audytu miała być identyfikacja potencjalnych zagrożeń i nieprawidłowości, jak również bezpieczeństwa przetwarzania danych i zgodności z aktualnie obowiązującymi przepisami. Potwierdziła to sama spółka, zastrzegając jednak, że dokonanej przez nią kontroli nie podlegała materia migracji danych.  

Odnosząc się zaś do wykonawcy hostingu serwerów, szefowa KSSiP wskazywała, że został wybrany w przetargu publicznym, dodając, że również ta firma przeszła audyt oraz została odpowiednio sprawdzona przed uzyskaniem dostępu do systemów Szkoły. 

Kwestią bezdyskusyjną jest, że nieuprawniony dostęp i bezpodstawne upublicznienie danych osobowych jest naruszeniem plasującym się w czołówce rankingu niebezpieczeństwa potencjalnych konsekwencji zagrażających osobom fizycznym. Nie sposób jednak zaprzeczyć, że inna jest skala wycieku danych użytkowników serwisu społecznościowego czy sklepu internetowego, a inna sędziów i prokuratorów, którzy – delikatnie mówiąc – nie cieszą się sympatią wśród, niejednokrotnie groźnych, przestępców. A zatem, poza typowymi dla tego rodzaju incydentów zagrożeniami związanymi  z wykorzystaniem danych osób fizycznych, m.in: uzyskiwaniem pożyczek w instytucjach pozabankowych, otrzymaniem wglądu do danych o stanie zdrowia, zawarciem umów cywilnoprawnych czy zakładaniem kont na mediach społecznościowych – zaistniałe naruszenie może stanowić realne niebezpieczeństwo dla zdrowia oraz życia nie tylko wskazanych prawników, ale również ich najbliższych.  

Bezpieczeństwo IT niesłusznie pomijane

Doświadczenia wielu firm doradczych z obszaru IT jednoznacznie wskazują, że w procesie wdrażania, utrzymania i rozwoju systemów informatycznych, tematyka ogólnie rozumianego bezpieczeństwa IT jest nadal lekceważona lub wręcz całkowicie pomijana. Czy w czasach, kiedy wprowadzane są coraz to nowsze i bardziej restrykcyjne regulacje dotyczące ochrony informacji, organizacje mogą pozwolić sobie na pomijanie tego aspektu? Informacji, która jest kapitałem, jednym z ważniejszych pośród wszystkich aktywów i bez wątpienia niezbędnym do prowadzenia działalności. 

Wyciek danych, czy niedostępność systemu świadczącego usługi krytyczne dla biznesu, bez względu na formę, zawsze będzie przyczyniał się do powstawania poważnych problemów w organizacji, a nawet do upadłości firmy. Dlatego niezwykle ważne jest zapewnienie odpowiednio wysokiego poziomu bezpieczeństwa, który wynikać będzie z analizy ryzyka związanego z budowanym lub rozwijanym systemem oraz prawdopodobieństwem jego urzeczywistnienia się.

Zobacz szkolenie w LEX: Analiza ryzyka w RODO a koronawirus >

Jak minimalizować ryzyko utraty danych?

Każde ryzyko może zostać wyliczone, posiada ono swoją wartość, którą organizacja traktująca priorytetowo bezpieczeństwo powinna uwzględnić w prowadzonej działalności. W praktyce oznacza to, że koszt zarządzania ryzykiem i ewentualnych strat w przypadku jego urzeczywistnienia się powinien zostać porównany z możliwościami finansowymi organizacji. Ponadto, w zależności od wyniku, powinna powstać dedykowana strategia.

Czynnikami, które definiują bezpieczne systemy są:

• dostępność,
• integralność,
• poufność,
• rozliczalność i niezaprzeczalność

Oczywiście czynniki te należy rozpatrywać indywidualnie dla każdego wdrażanego czy utrzymywanego systemu. To właśnie z analizy ryzyka wynikać będzie, jakie koszty są do zapewnienia dostępności czy poufności danego systemu na wymaganym poziomie. W tym miejscu jednak kończy się teoria. Wymiernych korzyści nie przyniesie nawet najlepiej zorganizowany system zarządzania bezpieczeństwem informacji, z metodycznym systemem zarządzania ryzykiem, jeśli organizacja nie będzie faktycznie realizować celów, jakie sobie wyznaczyła powołując ten system do życia. Niezwykle często działania podejmowane przez firmy dla realizacji założeń systemu zarządzania bezpieczeństwem postrzegane są negatywnie, ponieważ wpływają na płynność procesów, wydajność oraz koszty wdrażania nowych rozwiązań. W efekcie dochodzi do wybierania drogi na skróty, omijania procedur i urzeczywistniania się ryzyka, którego prawdopodobieństwo wystąpienia w normalnych okolicznościach było niewielkie. Dlatego należy położyć szczególny nacisk na fakt, by polityki i procedury bezpieczeństwa tworzące SZBI, a przez to sam system, były monitorowane, przeglądane, utrzymywane i stale doskonalone w kontekście prowadzonej działalności i dotyczącego jej ryzyka.

Czytaj w LEX: RODO w IT: chmurowe przetwarzanie danych osobowych - typy chmur oraz ich wady i zalety >

Załóżmy, że wewnętrzne systemy zarządzania bezpieczeństwem informacji nie dadzą organizacji pewności, że posiadane aktywa będą miały wysoki poziom bezpieczeństwa – nie da się za ich pomocą przewidzieć intencji dostawcy realizującego usługi, np. migracji systemu, a tym bardziej podczas testowej migracji. Analizując przypadek ostatniej migracji w KSSIP dojdziemy do wniosku, że poprawnie utrzymywany i stale rozwijany system bezpieczeństwa informacji dałby kilkukrotnie wyższe szanse na zminimalizowanie ryzyka, że podczas tego procesu dojdzie do niepożądanego i niezaplanowanego zdarzenia. Oto kilka czynności minimalizujących ryzyko wycieku:

• dane przetwarzane w migrowanej aplikacji mogłyby być zanonimizowane,
• testowa migracja nie odbywałaby się z użyciem danych produkcyjnych,
• sam proces migracji odbywałby się w środowisku bez dostępu do internetu,
• proces migracji byłby dokładnie przeanalizowany w systemie zarządzania zmianą, a następnie realizowany krok po kroku pod nadzorem pracownika KSSIP.

Czytaj w LEX: Czy w przypadku przesyłania danych przedsiębiorców z Chin do przedsiębiorców w Polsce należy uzyskać zgody na transfer danych? >

Być może wystarczyłaby sama świadomość, jakie dane są przetwarzane w migrowanym systemie, aby zostały one wyłączone z zakresu zleconego firmie zewnętrznej. Fakt, że dostawca „legitymował się najwyższymi certyfikatami bezpieczeństwa”, jak to miało miejsce w przypadku KSSIP, dowodzi, że transfer ryzyka na inny podmiot, nie jest prawidłowym działaniem dla niepoprawnie zidentyfikowanego ryzyka.

Tak długo, jak tworzone przez lata standardy bezpieczeństwa informacji pozostaną standardami tylko na papierze i nie będą uwzględniane przy budowie i rozwoju systemów IT, tak długo będziemy świadkami coraz bardziej spektakularnych wycieków informacji, których konsekwencje trudno przewidzieć.

Radca prawny Joanna Ożóg jest specjalistą ds. ochrony danych w ODO 24 sp. z o.o.
Cezary Bartsch to konsultant ds. bezpieczeństwa IT w jtendo sp. z o.o.