Jakie wykonać kroki gdy z firmy zostały wykradzione dane?

Wyciek danych lub kradzież danych to nieprzyjemne i stresogenne zdarzenia. Bardzo ważne jest jednak, by nie panikować, lecz podejść do sprawy na chłodno, a zarazem na poważnie. Prawo jasno mówi, co należy w takiej sytuacji robić. Dokładna analiza, (ewentualne) złożenie zawiadomienia i wdrożenie środków zaradczych – oto prawidłowa reakcja.

Prawidłowa reakcja na wyciek danych lub kradzież danych zależy od tego, z jakiego typu incydentem (lub podejrzeniem) mierzy się firma. Brak jakiejkolwiek reakcji zawsze będzie jednak błędem. Warto wiedzieć, jakie są obowiązki pracodawcy oraz administratora danych w tym zakresie.

Gdy firma dowie się, że doszło (lub mogło dojść) do wycieku lub kradzieży danych, jej przedstawiciele powinni podjąć kroki tak szybko, jak to możliwe. Obowiązujące prawo daje organizacji 72 godziny (od stwierdzenia naruszenia) na zgłoszenie tego zdarzenia organowi nadzorczemu. Jest nim Prezes Urzędu Ochrony Danych Osobowych (PUODO). Zgłoszenie nie zawsze jednak jest obowiązkowe – ostateczna decyzja należy do administratora danych i właściciela firmy, którzy powinni podjąć ją po analizie stopnia zagrożenia i zakresu naruszenia. Krótko mówiąc: nie ma obowiązku zgłoszenia ataku, jeśli mało prawdopodobne jest zagrożenie danych osobowych.

W kontekście limitu czasowego warto wiedzieć, że w przypadku, gdy organizacja nie zgłosi zdarzenia w ciągu 72 godzin, musi złożyć wyjaśnienia w tej sprawie. Z niedopilnowaniem tego terminu mogą wiązać się konsekwencje.

Dalsza część artykułu pod materiałem wideo

Oprócz zawiadomienia PUODO pracodawca powinien również poinformować o wycieku danych pracowników, partnerów oraz klientów – słowem: wszystkich, których prywatność mogła zostać naruszona w wyniku takiego zdarzenia. Zwykle wystarczy publiczny komunikat, bezpośrednia informacja wymaga jest jedynie w przypadku bardzo dużego ryzyka lub niezastosowania żadnych środków ostrożności (takich jak na przykład szyfrowanie bazy danych z informacjami osobistymi).

Po pierwsze: nie należy panikować. Zamiast tego dobrze jest zacząć od dokonania analizy. Jej wynikiem powinna być odpowiedź na pytanie o to, czy w firmie doszło do niegroźnego incydentu czy też do poważnego naruszenia ochrony danych osobowych. Pod to ostatnie kwalifikują się takie zdarzenia jak:

• utrata dostępu do danych,
• nieuprawnione ujawnienie danych,
• udostępnienie danych osobie nieupoważnionej.

Następnie należy ocenić ryzyko i skalę naruszenia. Tutaj dochodzimy do odpowiedzi na kluczowe pytanie, które często zadają sobie właściciele firmy, czyli: zgłaszać czy nie zgłaszać. Odpowiedź nie

jest prosta, bo niepotrzebne zgłoszenie może mieć nieprzewidziane konsekwencje (takie jak podjęcie przez Urząd szczegółowej analizy bezpieczeństwa firmowych systemów informatycznych). Z drugiej strony: niezgłoszenie naruszenia, które kwalifikuje się do podjęcia działania, może wiązać się z dotkliwymi karami finansowymi. W obu sytuacjach istnieje również ryzyko strat wizerunkowych (choć mających inne podłoże).

Jak ocenić ryzyko? Jest ono niższe, kiedy na przykład dane osobowe w bazie zostały zabezpieczone kryptograficznie (wówczas nawet dostanie się do bazy nie oznacza od razu kradzieży samych danych). Ryzyko nie jest też duże, gdy wyciekły jedynie loginy czy adresy e-mail (co innego, gdy cyberprzestępcy dostali się do prawdziwych nazwisk, numerów PESEL czy danych adresowych). Wreszcie, trudno mówić o poważnym naruszeniu, gdy pomimo twierdzeń domniemanych sprawców, nie ma dowodów na faktyczną kradzież.

W przypadku podjęcia decyzji o zgłoszeniu naruszenia, należy pamiętać, że termin wynosi 72 godziny od momentu uzyskania informacji o jego wystąpieniu. Urząd Ochrony Danych Osobowych, którego Prezes jest tym, do kogo powinna trafić informacja, udostępnia na swojej stronie specjalny formularz zgłoszeniowy. PUODO może zwrócić się z prośbą o dostarczenie dodatkowej dokumentacji – obowiązek jej rejestrowania ciąży na administratorze danych w firmie.

Jednak PUODO nie jest jedyną osobą, która powinna zostać powiadomiona o wycieku lub kradzieży danych. Gdy nieupilnowane zostały wrażliwe dane jakiejś osoby (PESEL, numer i seria dowodu osobistego, informacje bankowe) – należy niezwłocznie poinformować także ją. Wynika to z faktu, że realne staje się między innymi ryzyko kradzieży tożsamości i pieniędzy.

Niezależnie od skali i wagi incydentu, każdej ofierze przysługuje szereg praw. Przede wszystkim może ona żądać wyjaśnień, a więc odpowiedzi na pytania:

• czy była to kradzież czy wyciek?
• czy incydent był umyślny czy przypadkowy?
• czy zawinił człowiek czy system?
• czy znany jest sprawca?
• czy incydent został zgłoszony do PUODO?
• jaki był zakres incydentu?
• czy zostały podjęte działania naprawcze?
• czy zostały podjęte działanie prewencyjne na przyszłość?

Administrator danych w firmie ma z kolei obowiązek udzielenia odpowiedzi na każde z tych pytań.

Choć może to brzmieć nieprawdopodobnie, statystyki pokazują, że za większość wycieków w firmach odpowiadają ich pracownicy. Najczęściej zupełnie przypadkowo – winny jest brak ostrożności, a czasem też brak świadomości potencjalnych zagrożeń. Dlatego tak ważne jest organizowanie szkoleń z zakresu cyberbezpieczeństwa i ochrony danych.

Należy też zadbać o odpowiednie zabezpieczenia informatyczne. Ponadto warto korzystać z aktualnego systemu operacyjnego i sprawdzonego oprogramowania antywirusowego, stosować szyfrowanie danych i uwierzytelnianie dwuskładnikowe, a także korzystać z VPN-ów i uniemożliwiać przetwarzanie wrażliwych informacji na prywatnych urządzeniach pracowników. Stan zabezpieczeń i infrastruktury pomagają ocenić niezależne audyty bezpieczeństwa IT – warto zlecać je regularnie.