Suma kar nałożonych przez UODO z tytułu RODO przekroczyła już równowartość 2 mln euro. Najwyższa do tej pory kara to ponad 600 tys., a średnia to 79 tys. euro. W 35% przypadków przyczyną były nieodpowiednie zabezpieczenia, powodujące lub mogące spowodować wyciek, a w przypadku kolejnych 8% niepoinformowanie UODO o zdarzeniu. Do wycieku może dojść nie tylko w wyniku ataku, ale i przypadkowo, np. w trakcie serwisowania systemu. Dlatego zabezpieczenia trzeba regularnie testować.
RODO radykalnie zmieniło podejście do ochrony danych osobowych. Jesteśmy bardziej świadomi swoich praw i nie wahamy się ich bronić. Wystarczy spojrzeć na liczbę skarg zgłoszonych do Urzędu Ochrony Danych Osobowych (UODO) od wejścia w życie unijnego rozporządzenia (ponad 20 tys. od maja 2018 r. do końca 2020 r., na postawie analizy raportów rocznych UODO: https://uodo.gov.pl/pl/437). Tylko w roku, kiedy zaczęło obowiązywać RODO, liczba zgłaszanych skarg wzrosła czterokrotnie! I wysoka liczba zgłaszanych nieprawidłowości nadal jest duża – w 2020 r. do urzędu wpływało średnio ponad 530 skarg miesięcznie. W zeszłym zapewne było podobnie.
– Wraz ze ściślejszą kontrolą pojawiły się też i kary, których łączna wartość przekroczyła już 2 mln euro. 35% z nich nałożono za brak odpowiedniego zabezpieczenia danych, czego skutkiem w większości przypadków był wyciek. Tak było w przypadku najwyższej do tej pory kary w wysokości ponad 600 tys. euro, nałożonej w związku z atakiem hakerskim na sklep internetowy. Warto jednak pamiętać, że kradzież rekordów z serwerów firmy to tylko jeden typ ataku mającego na celu pozyskanie danych osobowych. Czasem możemy też sami niechcący upublicznić dane w wyniku błędu, np. w trakcie aktualizacji oprogramowania. Dlatego bazy danych trzeba szczególnie chronić, zawsze szyfrować, a najlepiej przetwarzać je w odrębnych systemach – radzi Patrycja Tatara, ekspert ds. cyberbezpieczeństwa w Sprint S.A.
Jak może dojść do wycieku?
Większości z nas naruszenie danych osobowych kojarzy się dziś z atakiem hakerskim, wdarciem się do firmowych serwerów i baz danych. Jednak nadal dochodzi też do „fizycznych” zdarzeń, jak kradzież komputera z danymi (z tym musiała zmierzyć się jedna z polskich uczelni) czy zgubienie przenośnej pamięci USB (zdarzyło się to pracownikowi jednego z sądów okręgowych). Skupmy się jednak na sytuacjach „cyfrowych”.
Oto 3 typy zdarzeń, na które firmy powinny zwracać szczególną uwagę:
1. Przypadkowe upublicznienie danych
Wbrew pozorom do tego typu sytuacji, spotykających się z reakcją UODO, dochodzi całkiem często. I nie mówimy tu o świadomym zamieszczeniu informacji na stronie, jak to uczyniło jedno polskie stowarzyszenie sportowe. Chodzi o zdarzenia nieumyślne. Powołując się znów na rodzimy przykład – w trakcie restartu serwerów jednej firmy wystąpił błąd, przez który publiczne stały się dane ich klientów, ponad 140 tys. osób. Niestety zostało to wychwycone przez przestępców, którzy skopiowali dane i usunęli je z firmowej bazy. Potem wystąpili o okup. Kara od UODO przekroczyła równowartość 200 tys. euro.
2. Atak na stronę www, aplikacje webowe
Choć do tego w Polsce jeszcze nie doszło, to biorąc pod uwagę dynamicznie rosnącą częstotliwość ataków hakerskich, nie jest to wykluczone. Przyjrzyjmy się zatem przykładom zagranicznym. Jednym z nich jest sprawa linii lotniczych British Airways. Ruch z ich oficjalnego serwisu był przekierowywany na fałszywą stronę, która zbierała dane osobowe. Liczba poszkodowanych – pół miliona. Kara – 20 mln euro. Z kolei brytyjski Ticketmaster korzystał z „dziurawego” chatbota, co umożliwiało dostęp do danych finansowych klientów. Na szczęście nie doszło do wycieku, ale kara i tak przekroczyła 1 mln euro.
3. „Klasyczny” wyciek w wyniku ataku na bazy danych
Na koniec, nie możemy zapominać też o bezpośrednich atakach na firmowe serwery i bazy danych. UODO podchodzi do nich wyjątkowo surowo. Zwłaszcza, jeśli ofiara ataku nie wypełni obowiązku informacyjnego związanego z atakiem. Tak stało się właśnie w przypadku najwyższej polskie kary (644 780 euro) – przedsiębiorca początkowo zaprzeczał, że do wycieku doszło i nie poinformował potencjalnych poszkodowanych.
– Obecnie podstawowym pytaniem jest nie „czy mnie zaatakują?”, a „kiedy?”. Dlatego bezpieczeństwo systemów IT i gromadzonych w nich danych osobowych powinno być oczkiem w głowie każdego przedsiębiorcy. Sam zakup odpowiednich rozwiązań z zakresu cyberbezpieczeństwa i wdrożenie rygorystycznych procedur to jednak tylko połowa sukcesu. Ich sprawność i skuteczność należy regularnie testować, przeprowadzając symulowane ataki, koniecznie z wykorzystaniem socjotechniki, weryfikując luki, a także sprawdzając reakcje pracowników na skuteczny atak. Co więcej, każdy audyt bezpieczeństwa, trzeba „podwójnie sprawdzić”, czyli upewnić się, że wszystkie wynikające z niego zalecenia zostały wprowadzone w życie – dodaje Patrycja Tatara ze Sprint S.A.
Licytuj naszą aukcję dla WOŚP – Zaproszenie do udziału w programie “IT Reseller TV – Liderzy Branży”
