Ataki ransomware – podczas których dochodzi do zablokowania części danych przynależnych danemu podmiotowi do czasu uzyskania okupu – stają się coraz bardziej powszechnym zjawiskiem. Raport „Barometr cyberbezpieczeństwa 2022” opublikowany przez KPMG ujawnia, że prawie dwie trzecie przebadanych organizacji odnotowało incydenty naruszenia bezpieczeństwa, a blisko jedna trzecia z nich przyznała się do padnięcia ofiarą ataku ransomware w przeszłości. Oprócz oczywistego zagrożenia dla samej firmy, podatność systemu na tego typu ataki może prowadzić do naruszenia obowiązków dotyczących zabezpieczania danych osobowych i skutkować odpowiedzialnością administratora.
Sprawdź jak wdrożyć RODO w twojej organizacji
Dwie niedawno nałożone kary administracyjne, wydane przez Prezesa Urzędu Ochrony Danych Osobowych, dotyczyły sytuacji, w których doszło do skutecznych ataków ransomware. W pierwszym przypadku, spółka zajmująca się ochroną osób i mienia padła ofiarą ataku ransomware, co spowodowało utratę dostępu do danych osobowych przechowywanych na serwerach. Dane te obejmowały wszystkich pracowników oraz osoby świadczące usługi na rzecz spółki w ramach umów cywilnoprawnych. Pomimo zachowania kopii papierowych tych danych, spółka musiała zwrócić się do urzędów o pomoc w procesie ich odzyskania. Mimo że spółka nie zgłosiła tego incydentu do PUODO zgodnie z art. 33 RODO, twierdzono, że nie doszło do naruszenia danych osobowych, ponieważ nie zostały one utracone, ujawnione, zmodyfikowane ani zniszczone. Analiza systemu wykazała, że nie doszło do wycieku danych, lecz jedynie do zablokowania dostępu do serwera, przy jednoczesnym oczekiwaniu na odzyskanie danych. PUODO dowiedział się o naruszeniu od strony trzeciej, która zgłosiła utratę licencji koncesyjnej przez administratora (co uniemożliwiło mu dostęp do danych zawierających wskazaną licencję).
Niedostateczne Środki Ochrony i Zaniedbania Administratora
Urząd, podczas badania sprawy, zauważył brak przeprowadzonej przez spółkę analizy ryzyka, która uzasadniałaby zakres wdrażanych środków zabezpieczających dane. Przede wszystkim, PUODO nie otrzymał informacji o tym, kto, kiedy i w jaki sposób dokonywał na zlecenie administratora testów, pomiarów i oceny skuteczności środków technicznych i organizacyjnych przed wystąpieniem naruszenia (oraz jakie konkretnie środki były tymi testami objęte). Spółka jedynie stwierdziła, że takie testy były przeprowadzane, jednak nie przedstawiła szczegółów ani dokumentacji dotyczącej tych działań. Z tego powodu nie udowodniono należytej staranności ani wykonania obowiązku wynikającego z art. 32 RODO.
Spółka również nie potwierdziła, że atak nie spowodował wycieku danych. Choć logi wskazywały na brak takiego dostępu, brak było prezentacji tych logów i potwierdzenia braku utraty. W związku z tym, PUODO zauważył, że utrata dostępu do danych w formie elektronicznej stanowiła naruszenie ochrony danych zgodnie z art. 4 ust. 12, co potwierdziła Grupa Robocza art. 29. Obok utraty dostępu do danych, co samo w sobie narusza prawo dostępu, PUODO zwrócił uwagę na fakt, że administrator nie mógł być pewny, czy nieupoważnione osoby nie miały dostępu do zablokowanych danych.
Ponadto, w innej analogicznej sprawie dotyczącej ataku ransomware, PUODO wskazał na konkretny element związany z brakiem odpowiednich środków ochrony danych stosowanych przez administratora – mianowicie, brak aktualizacji systemów informatycznych. Badany podmiot nie aktualizował swojego programu od roku 2020 (atak miał miejsce w połowie 2022 roku), co stworzyło podatność systemu informatycznego, wykorzystaną w skutecznym ataku ransomware. Administrator nie podjął działań, aby zapewnić aktualizację po zakończeniu wsparcia ze strony producenta.
Warto również zwrócić uwagę, że w obydwu opisanych przypadkach podmioty wdrożyły wewnętrzne polityki i procedury uwzględniające odpowiednie środki bezpieczeństwa, wymieniające konkretne elementy, których brak został zidentyfikowany przez PUODO lub których istnienie nie zostało udowodnione. Pomimo tego faktu, środki te nie zostały wdrożone lub ich wdrożenie nie było odpowiednio monitorowane i udokumentowane. W obu przypadkach istotne jest praktyczne wdrożenie rozwiązań chroniących sieć, a nie tylko ich uwzględnienie w dokumentacji. Brak praktycznego wdrożenia środków ochrony wielokrotnie został podkreślony przez PUODO.
Brak Adekwatności Środków Ochrony Danych
Kary za podatność systemu na ataki ransomware nie ograniczają się jedynie do obszaru Polski. Na przykład, w 2021 roku Norweski Urząd Ochrony Danych nałożył karę na podmiot samorządowy, który w wyniku ataku ransomware stracił dane mieszkańców, a te dane później zostały ujawnione. Urząd zauważył, że atak wynikał z zaniedbań administratora, który nie wdrożył dwuskładnikowego logowania ani nie odpowiednio zabezpieczył kopii zapasowych. Norweski organ uznał, że takie niedociągnięcia w ochronie danych były związane z odpowiedzialnością administratora i nałożył stosowną karę, którą później podtrzymał w procedurze odwoławczej.
Należy jednak pamiętać, że nie każdy skuteczny atak ransomware prowadzi do odpowiedzialności administratora. W wyżej opisanych przypadkach odpowiedzialność nie wynikała z samego faktu ataku, lecz z braku wdrożenia odpowiednich środków ochrony danych przez administratora. To nie atak samo w sobie jest kluczowym elementem odpowiedzialności, lecz zaniedbanie obowiązków administratora. Warto również podkreślić, że zablokowanie dostępu do danych stanowi naruszenie ochrony danych, które powinno zostać zgłoszone do PUODO zgodnie z art. 33 RODO.