Brytyjskie GIODO kra za brak dostosowania systemów do aktualnej wiedzy technicznej

Kwestia dostosowania zabezpieczeń danych osobowych do aktualnej wiedzy technicznej ujęta w RODO pozostawia ekspertom i praktykom ochrony danych osobowych szerokie pole do interpretacji. Przykład kary wymierzonej przez Brytyjskie GIODO pokazuje, jak tę kwestię mogą interpretować w przyszłości organy kontrolujące dostosowanie firm do RODO.

W lipcu 2014 roku, ofiarą ataku grupy Anonymous, stał się jeden z brytyjskich urzędów. Jak wykazało postępowanie ICO, doszło do niego wskutek zaniedbań zewnętrznych firm IT, które mimo wykrycia luki w systemach, nie naprawiły jej. Spowodowało to utratę danych osobowych pracowników, w tym ich danych wrażliwych. ICO wydało już decyzję o nałożeniu kary.

Wystarczyło trochę nieuwagi

7 kwietnia 2014 roku, upubliczniona została informacja o luce w zabezpieczeniach protokołu OpenSSL, nazwanej „Heartbleed”. Protokoły OpenSSL wykorzystywane są w celu zabezpieczenia internetowej komunikacji pomiędzy serwerami, a komputerami podłączonymi do sieci. Wydawałoby się, że administratorzy zareagowali na to wystarczająco szybko. Jeszcze tego samego dnia luka została naprawiona. Administratorzy, niestety, w porę nie zorientowali się, że jedno z urządzeń wciąż działa wadliwie. Na początku maja 2014 r., w związku z przejęciem obowiązków przez nową firmę IT, o konieczności załatania niebezpiecznej luki zapomniano.

22 lipca 2014, urzędnicy poinformowani zostali drogą mailową, że konta części załogi, znajdujące się na portalu Twitter, zostały zaatakowane. Była to jedynie zapowiedź tego, co nadeszło później.

reklama

Wadliwe zabezpieczenia zostały wykorzystane przez grupę Anonymous, znaną między innymi z tego, że wykradła od NASA, rzekome dowody na istnienie obcych. 22 lipca 2014 roku Grupa zaatakowała sieć brytyjskiego urzędu miasta Gloucester, wskutek czego uzyskała dostęp do kilkunastu skrzynek mailowych pracowników. Znajdowało się w nich ponad 30 tysiące maili – część z nich zawierała dane wrażliwe pracowników.

Bezprecedensowa reakcja ICO

Na urząd miasta Gloucester, nałożona została kara w wysokości 100 tysięcy funtów brytyjskich. Brytyjski ICO, odpowiednik polskiego GIODO, ostrzegał w swoich komunikatach o zagrożeniu atakiem. Informacja ta udostępniana była również w mediach. Dla ICO, stanowiło to jedynie okoliczność zaostrzającą odpowiedzialność urzędu. Dochodzenie pokazało, że urząd nie zapewnił wymaganych aktualizacji systemu.

Aktualnie, na stronach ICO, znajdują się publikacje o zagrożeniach związanych z atakami z użyciem oprogramowania typu ransomware. Zalecenia brytyjskiego organu mają pomóc przedsiębiorcom w Wielkiej Brytanii w podniesieniu poziomu ochrony danych.

Jaki z tego wniosek?

Wykrycie przez urząd luki było niemal natychmiastowe, dopiero późniejsze zaniedbania zaowocowały udanym atakiem grupy Anonymous. Nie było mowy o spektakularnych zaniedbaniach w zakresie ochrony danych, a o jednorazowym incydencie.

Powyższe wydarzenie rzuca nowe światło na to, w jakim kierunku będzie szła interpretacja postanowienia GDPR o „aktualnej wiedzy technicznej”, której sprostać musi administrator, by zapewnić zgodność firmy z GDPR. Zdaje się, że będą oni musieli sprostać jeszcze bardziej wyśrubowanym wymaganiom, skupiając się między innymi na tym, aby od chwili wykrycia nieprawidłowości, do reakcji, upłynął jak najkrótszy czas.

Więcjej o RODO/ GDPR na szkoleaniach Omni Modo:

Ochrona danych osobowych i ogólne rozporządzenie unijne

Praktycznie o RODO/GDPR– unijna reforma ochrony danych osobowych

Ochrona danych osobowych i RODO w administracji publicznej

Dziś ABI jutro DPO – warsztaty

Źródła:

  1. http://www.komputerswiat.pl/artykuly/redakcyjne/2014/04/heartbleed-nowe-powazne-zagrozenie.aspx

  2. https://www.o2.pl/artykul/anonymous-donosi-nasa-chce-oglosic-ze-ufo-istnieje-6137524731029633a

  3. https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/06/gloucester-city-council-fined-by-ico-for-leaving-personal-information-vulnerable-to-attack/

  4. http://economia.icaew.com/en/news/june-2017/firms-face-fines-for-failing-to-comply-with-gdpr