Zawężenie pojęcia bezpieczeństwa informatycznego tylko do rozwiązań technologicznych jest najczęściej popełnianym błędem przy zarządzaniu organizacją w przypadku wystąpienia incydentów bezpieczeństwa.
Incydentów rozumianych jako utrata poufności danych w sytuacji ujawnienia informacji osobom nieupoważnionym, czy utrata dostępności danych, gdy system zostaje zainfekowany wirusem i nie jesteśmy w stanie odtworzyć danych osobowych.
Jednym z głównych obszarów, na którym należy się skoncentrować tworząc skuteczny mechanizm obsługi tych zdarzeń są ciągłe działania podnoszące świadomości osób użytkujących systemy. Jednak sama wiedza pozwalająca na rozpoznanie niebezpiecznego zdarzenia jest niewystarczająca. Pracownicy powinni wiedzieć kogo powiadomić o swoich obserwacjach oraz jakie informacje w pierwszej fazie procesu będą musieli przekazać i na jakie pytania będą musieli odpowiedzieć. Bezzwłoczna reakcja w zakresie obsługi incydentu od strony informatycznej może znacznie ograniczyć skutki ataku, a szybkie przekazanie informacji pozwoli ocenić, czy należy zgłosić incydent do Urzędu Ochrony Danych Osobowych (UODO). Należy pamiętać, że zgłoszenie naruszenia powinno nastąpić w ciągu 72 godzin od jego wykrycia.
Bezpieczni dostawcy usług
Ze względu na częste korzystanie z usług firm zewnętrznych wspierających Państwa działalność, m.in. w kwestiach informatycznych, stworzenie skutecznego mechanizmu reagowania na incydenty może wymagać dodatkowych działań.
Istotne jest ustalenie obowiązków poszczególnych podmiotów biorących udział w obsłudze incydentu, a w szczególności zasad komunikacji. W trakcie wystąpienia incydentu za późno będzie na przeglądanie umów w poszukiwaniu odpowiednich danych kontaktowych. Proponujemy, żeby wszystkie dane zostały wcześniej umieszczone w rejestrze umów powierzenia.
Jeśli w umowie nie został podany kontakt do Inspektora Danych Osobowych podmiotu, któremu powierzyli Państwo dane, będą je Państwo mogli uzupełnić na podstawie otrzymanej od podmiotu przetwarzającego „Tabeli zgodności podmiotu przetwarzającego z RODO”. Dodatkowo dane zabrane na podstawie tabeli umożliwią uzyskanie informacji o sposobach zabezpieczeń jakich użył Państwa kontrahent, co będzie niezbędne w przypadku zgłoszenia naruszenia, które nastąpiło u procesora.
Szybki kontakt
Chcąc zapewnić odpowiednio szybkie przekazywanie właściwych informacji sugerujemy również wyznaczenie osób kontaktowych – zarówno po Państwa stronie, jak i po stronie dostawcy usług.
Zalecane jest, by były to osoby, które dotychczas kontaktowały się ze sobą w przypadku wystąpienia problemów informatycznych. Najprawdopodobniej o problemie w pierwszej kolejności dowiedzą się informatycy. Jeśli posiadają Państwo wewnętrzne wsparcie informatyczne, to wyznaczenie takiego pracownika jako osoby kontaktowej może negatywnie wpłynąć na obsługę incydentu. W takich sytuacjach personel informatyczny powinien w pierwszej kolejności podjąć działania mające na celu ograniczenie zdarzenia oraz działania naprawcze.
Zbieramy potrzebne informacje
Osoba kontaktowa powinna zbierać informacje, które pozwolą określić czy incydent kwalifikuje się do zgłoszenia UODO oraz czy należy poinformować osoby, których dane dotyczą. W początkowym etapie szczególnie istotne jest zgromadzenie informacji dotyczących:
- daty i godziny wystąpienia zdarzenia (kiedy miało miejsce?),
- daty i godziny zaobserwowania zdarzenia (kiedy je Państwo odkryli?),
- kategorii danych, których dotyczy (imiona, nazwiska, adresy, stan zdrowia, inne – jakie?),
- skali naruszenia (ile osób dotknął wyciek?).
Przekazanie powyższych danych Inspektorowi Danych Osobowych umożliwi przeprowadzenie analizy i podjęcie decyzji dotyczącej zawiadomienia UODO. W celu wypełnienia zgłoszenia wymagane będzie posiadanie kolejnych informacji, a w szczególności:
- daty usunięcia naruszenia (kiedy ukończono działania naprawcze?),
- przyczyn zajścia incydentu (jakie podatności zostały wykorzystane?),
- przebiegu incydentu (w jaki sposób się zmaterializował, jakich systemów dotknął),
- podjętych działań naprawczych (jakie działania zastosowano, aby usunąć naruszenie oraz jakich środków użyto w tym celu).
Jak zgłosić naruszenie do UODO?
Jeśli udzielili Państwo innemu podmiotowi pełnomocnictwa m.in. do wysłania zawiadomień o naruszeniu, po otrzymaniu od Państwa wszystkich powyższych danych, może on w Państwa imieniu zawiadomić UODO o naruszeniu.
W przypadku braku pełnomocnictwa to Państwo, jako Administrator Danych Osobowych, muszą zgłosić naruszenie. Do złożenia zawiadomienia wymagane jest posiadanie Profilu Zaufanego lub podpisu kwalifikowanego. Więcej informacji o sposobie zawiadomienia dostępnych jest na stronie internetowej Urzędu Ochrony Danych Osobowych (https://uodo.gov.pl/) w sekcji „Zgłoszenie naruszenia ochrony danych osobowych”.
Przydatne dokumenty
Dobrą praktyką jest umieszczenie wzorów dokumentów przydatnych przy zgłoszeniu naruszenia ochrony danych osobowych w miejscu, które będzie ogólnodostępne dla wszystkich pracowników biorących udział w procesie obsługi naruszenia oraz poinformowanie ich o miejscu przechowywania tych dokumentów. Mogą to być dokumenty takie, jak:
- „Tabela form naruszenia” – zawierająca listę najczęściej występujących form naruszeń wraz z opisem sposobu postępowania,
- „Rejestr naruszeń ochrony danych” – tabela umożliwiająca zbieranie właściwych danych o naruszeniu,
- „Zgłoszenie naruszenia” – wzór dokumentu, z pomocą którego zgłasza się naruszenia ochrony danych osobowych do Inspektora Ochrony Danych.
Sugerujemy jednak, aby do wypełnionych dokumentów („Rejestr naruszeń ochrony danych”, „Zgłoszenie naruszenia”) dostęp miała tylko osoba koordynująca działania oraz Administrator Danych Osobowych.