W dniu 29 maja w sieci opublikowany został plik zawierający dane logowania polskich internautów do wielu niepowiązanych ze sobą serwisów www. Plik ten zawierał adresy stron logowania oraz loginy i hasła użytkowników. Dane zostały wykradzione z komputerów użytkowników z pomocą złośliwego oprogramowania typu stealer. Oprogramowanie to wykradało dane wpisywane i zapisywane w przeglądarkach internetowych. Z dużym prawdopodobieństwem można założyć, że ujawniona baza (chociaż była potężna) nie zawiera wszystkich wykradzionych z komputerów danych.
Wielu z administratorów zastanawia się co zrobić, gdy posiadamy informację, że ujawnione zostały dane umożliwiające narażenie na ryzyka nie tylko nas, jako organizację, ale również naszych klientów, gdy wyciek nastąpił po stronie przez nas nie zarządzanej (klient). Jak powinniśmy się w tej sytuacji zachować? Czy powinniśmy podjąć jakieś działania? Jeśli tak to jakie?
Mając to na uwadze zwróciliśmy się jako portal z pytaniem do UODO, poniżej odpowiedź urzędu, która mamy nadzieję będzie pomocna w podjęciu właściwych działań przez administratorów danych.
Z odpowiedzi udzielonej nam przez rzecznika prasowego Pana Adama Sanockiego wynikają następujące wnioski:
Każdy Administrator, którego dane widnieją w udostępnionej bazie (również dane logowania klientów) powinien dokładnie przeanalizować zaistniałą sytuację, jako incydent bezpieczeństwa przetwarzania danych osobowych pod kątem wystąpienia naruszenia, a w analizie powinien uwzględnić następujące czynniki:
- czy wyciek nastąpił z jego zasobów (zarówno z urządzeń bezpośrednio przez niego zarządzanych, jak również prywatnych urządzeń pracowników np. podczas pracy zdalnej) np. służbowe dane logowania,
- kto był dysponentem loginu i hasła – upoważniony pracownik, czy np. klient, kontrahent,
- czy w wyniku zaistniałej sytuacji zidentyfikowano w systemach informatycznych administratora nieuprawnione działania osób trzecich.
Podczas oceny incydentu bezwzględnie należy wykonać ocenę skutków dla osoby fizycznej!
Naruszenie do UODO należy zgłosić w przypadku, gdy prawdopodobieństwo szkodliwego działania na osobę fizyczną jest wyższe niż małe/niskie. W szczególności, gdy zachodzi ryzyko kradzieży tożsamości, starty finansowej lub naruszania tajemnic chronionych. Jeśli ryzyko jest wysokie to oprócz UODO Administrator powinien zawiadomić osoby, których te dane dotyczą.
Takie sytuacje mogę mieć miejsce, gdy dane logowanie umożliwiają wgląd do danych widniejących w dowodach tożsamości np. numer dowodu osobistego, PESEL itp.
Rzecznik UODO wskazuje, „że celem zgłoszenia naruszenia w ciągu 72 godzin jest dokonanie przez organ nadzorczy oceny, czy administrator prawidłowo wypełnił obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą, o ile faktycznie wystąpiła sytuacja, w której ma obowiązek to zrobić, czy podjął też odpowiednie działania w celu zminimalizowania ryzyka wystąpienia podobnego naruszenia w przyszłości.”
W przypadku poważnych naruszeń, ważny jest czas reakcji, gdyby Administrator podjął decyzję o nie powiadamianiu osób dotkniętych wyciekiem danych, to Urząd szybko może wskazać mu taką konieczność. Szybkie powiadomienie osób fizycznych o możliwych dla nich skutkach, daję im szansę na podjęcie indywidualnych kroków minimalizujących ryzyko np. zastrzeżenie dokumentów, założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej, zwiększyć uwagę na oszustwa drogą telefoniczną, jak i mailową.
W komunikatach przekazywanych do klienta warto zawrzeć informację o podstawowych zasadach bezpieczeństwa, dostępnych między innymi na stronach www UODO, jak również CERT-NASK.
Podsumowując zaistniałą sytuację Administratorzy Danych Osobowych powinni każdą tego typu sytuację traktować jako potencjalne naruszenie, nie ważne jest, kto przyczynił się do jej wystąpienia. Trzeba mieć na uwadze wywiązanie się z obowiązków zapewnienia rzetelnej ochrony przetwarzanych przez ADO danych osobowych i rozliczalność tegoż działania.