Ataki ransomware to szczególnie niebezpieczny rodzaj zagrożenia naruszeniem ochrony danych osobowych. W celu przeciwdziałania, organizacje szczególnie narażone powinny wdrażać odpowiednie zabezpieczenia organizacyjne i techniczne. Norweski organ nadzoru (Datatilsynet) nałożył administracyjną karę pieniężną w wysokości 4 000 000 koron norweskich za brak takich zabezpieczeń na jedną z gmin.
Ransomware
Atak ransomware na systemy IT gminy Østre Toten został odkryty w nocy, gdy pracownicy gminy nie mogli uzyskać dostępu do systemu informatycznego. W wyniku ataku skradzione zostały dane osobowe mieszkańców gminy – ponad 30 tys. dokumentów. Zawierały one m.in. dane osobowe dzieci oraz dane szczególnej kategorii w tym dane o stanie zdrowia. W następstwie incydentu systemy IT gminy były sparaliżowane przez kilka miesięcy.
Ocena organu nadzoru
Organ nadzoru w wyniku prowadzonego postępowania przeprowadził analizę zabezpieczeń wdrożonych przez gminę. Organ wskazał w nich wiele braków.
Niedociągnięcia dotyczyły zarówno prowadzenia logów systemowych, jak i ich analizy, zabezpieczania kopii zapasowych oraz braku uwierzytelniania dwuskładnikowego lub podobnych środków bezpieczeństwa. Świadczyło to o słabości zarówno w zakresie zdolności gminy do identyfikowania ataków hakerskich, jak i niedostatecznego bezpieczeństwa informacji w systemie, co samo w sobie stanowiło naruszenie wymogów bezpieczeństwa danych osobowych określonych w art. 32 i 24 RODO.
Organ wskazał, że brak zabezpieczenia kopii zapasowych przez gminę przed celowym lub niezamierzonym usunięciem, manipulacją i odczytem stanowił istotne niedociągnięcie w gminnym systemie zarządzania bezpieczeństwem informacji i danych osobowych.
Organ podkreślił, że zarówno konfiguracja firewalli, jak i topografia sieci (nieodpowiednia segmentacja sieci) stanowiły fundamentalne słabości w bezpieczeństwie informacji gminy, które prowadzą do naruszenia art. 32 i 24 RODO. W wyniku nieodpowiednich środków bezpieczeństwa, w połączeniu z brakiem świadomości kierownictwa i pracowników o możliwych zagrożeniach bezpieczeństwa i atakach na dane, gmina naruszyła podstawową zasadę obowiązku zachowania poufności i integralności informacji z art. 5 ust. 1 lit. f RODO.
W związku z tymi naruszeniami RODO organ nadzoru nałożył administracyjną karę pieniężną w wysokości 4 mln koron norweskich (ponad półtora miliona złotych). Od tej decyzji gmina odwołała się do Norweskiej Rady Odwoławczej ds. Prywatności (Personvernnemnda).
Argumenty gminy
Gmina w swoim odwołaniu wskazywała, że atak ransomware jest czymś, przed czym trudno się całkowicie obronić. Wedle gminy wdrożenie środków chroniących w zupełności przed atakiem ransomware nie było możliwe z uwagi na koszty. Gmina musiała priorytetyzować niektóre obszary swoich działań. Musi bowiem postrzegać swoją działalność jako całość pod kątem kosztów i jest to również okoliczność, którą przewidują art. 24 i 32 RODO. Działania gminy nie można było zatem uznać za niedopełnienie obowiązków wynikających z RODO.
Jak wskazuje gmina, logi systemowe byłyby ważne dla późniejszej oceny zakresu incydentu, ale nie byłyby w stanie zmniejszyć jego skutków. Zaś co do kopii zapasowych, organizacja wskazuje, że posiadała zabezpieczone kopie bezpieczeństwa, ale niestety nie wytrzymały one ataku. Ponadto gmina podnosiła, że uwierzytelnianie dwuskładnikowe nie było w jej ocenie konieczne, gdyż stosowała inne środki zabezpieczające przed nieuprawnionym dostępem.
Norweska Rada Odwoławcza ds. Prywatności odrzuciła odwołanie gminy i nie podzieliła jej argumentacji. Wedle Rady środki wdrożone przez gminę nie były adekwatne i nie były w stanie nawet utrudnić działania hakerów.
Odpowiednie zabezpieczenia
Wdrożenie odpowiednich środków technicznych nie jest łatwe. Organizacje w razie ataku ransomware powinny mieć narzędzia, dzięki którym mogą ocenić, jak i kiedy atak nastąpił i w jaki sposób można się zabezpieczyć. W przypadku gminy nie dość, że organizacja znacząco lekceważyła zagrożenie atakiem, to jeszcze nieodpowiednio zabezpieczyła kopię zapasową. Takie kopie powinny być bowiem przechowywane w wydzielonych systemach lub na zabezpieczonych fizycznych nośnikach. Paraliż działań organizacji przez kilka miesięcy powinien być wystarczającą przestrogą.
Na koniec warto podkreślić, że opisywana decyzja dotyczy norweskiej gminy, która z pewnością posiada więcej środków niż jej polski odpowiednik, ale też być może była bardziej narażona na ataki ransomware. Wnioski dotyczące zabezpieczeń pozostają jednak aktualne i na naszym rodzimym gruncie.
Źródło:
