GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Jakie są odpowiednie zabezpieczenia przy ataku ransomware według norweskiego organu nadzoru?

Zabezpieczenia przy ataku ransomware analiza ryzyka

Zabezpieczenia przy ataku ransomware

Ataki ransomware to szczególnie niebezpieczny rodzaj zagrożenia naruszeniem ochrony danych osobowych. W celu przeciwdziałania, organizacje szczególnie narażone powinny wdrażać odpowiednie zabezpieczenia organizacyjne i techniczne. Norweski organ nadzoru (Datatilsynet) nałożył administracyjną karę pieniężną w wysokości 4 000 000 koron norweskich za brak takich zabezpieczeń  na jedną z gmin.

Ransomware

Atak ransomware na systemy IT gminy Østre Toten został odkryty w nocy, gdy pracownicy gminy nie mogli uzyskać dostępu do systemu informatycznego. W wyniku ataku skradzione zostały dane osobowe mieszkańców gminy – ponad 30 tys. dokumentów. Zawierały one m.in. dane osobowe dzieci oraz dane szczególnej kategorii w tym dane o stanie zdrowia. W następstwie incydentu systemy IT gminy były sparaliżowane przez kilka miesięcy.

Ocena organu nadzoru

Organ nadzoru w wyniku prowadzonego postępowania przeprowadził analizę zabezpieczeń wdrożonych przez gminę. Organ wskazał w nich wiele braków.

Niedociągnięcia dotyczyły zarówno prowadzenia logów systemowych, jak i ich analizy, zabezpieczania kopii zapasowych oraz braku uwierzytelniania dwuskładnikowego lub podobnych środków bezpieczeństwa. Świadczyło to o słabości zarówno w zakresie zdolności gminy do identyfikowania ataków hakerskich, jak i niedostatecznego bezpieczeństwa informacji w systemie, co samo w sobie stanowiło naruszenie wymogów bezpieczeństwa danych osobowych określonych w art. 32 i 24 RODO.

Kara rekordowej wysokości za naruszenie przepisów RODO?

Organ wskazał, że brak zabezpieczenia kopii zapasowych przez gminę przed celowym lub niezamierzonym usunięciem, manipulacją i odczytem stanowił istotne niedociągnięcie w gminnym systemie zarządzania bezpieczeństwem informacji i danych osobowych.

Organ podkreślił, że zarówno konfiguracja firewalli, jak i topografia sieci (nieodpowiednia segmentacja sieci) stanowiły fundamentalne słabości w bezpieczeństwie informacji gminy, które prowadzą do naruszenia art. 32 i 24 RODO. W wyniku nieodpowiednich środków bezpieczeństwa, w połączeniu z brakiem świadomości kierownictwa i pracowników o możliwych zagrożeniach bezpieczeństwa i atakach na dane, gmina naruszyła podstawową zasadę obowiązku zachowania poufności i integralności informacji z art. 5 ust. 1 lit. f RODO.

W związku z tymi naruszeniami RODO organ nadzoru nałożył administracyjną karę pieniężną w wysokości 4 mln koron norweskich (ponad półtora miliona złotych). Od tej decyzji gmina odwołała się do Norweskiej Rady Odwoławczej ds. Prywatności (Personvernnemnda).

Argumenty gminy

Gmina w swoim odwołaniu wskazywała, że atak ransomware jest czymś, przed czym trudno się całkowicie obronić. Wedle gminy wdrożenie środków chroniących w zupełności przed atakiem ransomware nie było możliwe z uwagi na koszty. Gmina musiała priorytetyzować niektóre obszary swoich działań. Musi bowiem postrzegać swoją działalność jako całość pod kątem kosztów i jest to również okoliczność, którą przewidują art. 24 i 32 RODO. Działania gminy nie można było zatem uznać za niedopełnienie obowiązków wynikających z RODO.

Jak wskazuje gmina, logi systemowe byłyby ważne dla późniejszej oceny zakresu incydentu, ale nie byłyby w stanie zmniejszyć jego skutków. Zaś co do kopii zapasowych, organizacja wskazuje, że posiadała zabezpieczone kopie bezpieczeństwa, ale niestety nie wytrzymały one ataku. Ponadto gmina podnosiła, że uwierzytelnianie dwuskładnikowe nie było w jej ocenie konieczne, gdyż stosowała inne środki zabezpieczające przed nieuprawnionym dostępem.

Norweska Rada Odwoławcza ds. Prywatności odrzuciła odwołanie gminy i nie podzieliła jej argumentacji. Wedle Rady środki wdrożone przez gminę nie były adekwatne i nie były w stanie nawet utrudnić działania hakerów.

Odpowiednie zabezpieczenia

Wdrożenie odpowiednich środków technicznych nie jest łatwe. Organizacje w razie ataku ransomware powinny mieć narzędzia, dzięki którym mogą ocenić, jak i kiedy atak nastąpił i w jaki sposób można się zabezpieczyć. W przypadku gminy nie dość, że organizacja znacząco lekceważyła zagrożenie atakiem, to jeszcze nieodpowiednio zabezpieczyła kopię zapasową. Takie kopie powinny być bowiem przechowywane w wydzielonych systemach lub na zabezpieczonych fizycznych nośnikach. Paraliż działań organizacji przez kilka miesięcy powinien być wystarczającą przestrogą.

Na koniec warto podkreślić, że opisywana decyzja dotyczy norweskiej gminy, która z pewnością posiada więcej środków niż jej polski odpowiednik, ale też być może była bardziej narażona na ataki ransomware. Wnioski dotyczące zabezpieczeń pozostają jednak aktualne i na naszym rodzimym gruncie.

Źródło:

https://pvn.no/pvn-2022-13