Blog

Środki zaradcze zapobiegające naruszeniu odo, wg. Wytycznych EROD 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń

Erod wydał niniejszy dokument jako uzupełnienie Wytycznych WP 250. W celu przybliżenia administratorom jak oceniać ryzyko wynikające z naruszenia odo dla praw lub wolności osoby, której dane dotyczą, Erod omówił kilkanaście przypadków naruszeń i ocenił czy naruszenie takie podlega zgłoszeniu do organu nadzorczego czy również zawiadomieniu osoby. Ponadto Erod podał w sumie kilkadziesiąt środków zaradczych mitygujących wystąpienie naruszenia w przyszłości. Poniżej lista z podziałem na kategorie.

Oprogramowanie szantażujące

  1. aktualizowanie oprogramowania układowego, systemu operacyjnego i oprogramowania użytkowego na serwerach, komputerach klienckich, aktywnych składnikach sieci i wszelkich innych urządzeniach w tej samej sieci LAN (w tym urządzeniach Wi-Fi). Zapewnienie odpowiednich środków bezpieczeństwa informatycznego, upewnienie się, że są one skuteczne oraz ich regularne aktualizowanie w przypadku zmiany lub rozwoju procesów lub okoliczności. Obejmuje to prowadzenie szczegółowych dzienników, w których zapisywane są informacje o tym, jakie poprawki zastosowano w danym znaczniku czasu;
  2. projektowanie i organizowanie systemów przetwarzania i infrastruktury w celu segmentacji lub izolacji systemów danych i sieci, aby uniknąć rozprzestrzeniania się złośliwego oprogramowania wewnątrz organizacji i do systemów zewnętrznych;
  3. istnienie aktualnej, bezpiecznej i sprawdzonej procedury tworzenia kopii zapasowych. Nośniki do średnio- i długoterminowego tworzenia kopii zapasowych powinny być przechowywane oddzielnie od magazynu danych operacyjnych i poza zasięgiem osób trzecich, nawet w przypadku udanego ataku (np. codzienna przyrostowa kopia zapasowa i cotygodniowa pełna kopia zapasowa);
  4. posiadanie/uzyskanie odpowiedniego, aktualnego, skutecznego i zintegrowanego programu chroniącego przed złośliwym oprogramowaniem;
  5. posiadanie odpowiedniej, aktualnej, skutecznej i zintegrowanej zapory sieciowej oraz systemu wykrywania włamań i zapobiegania im. Kierowanie ruchu sieciowego przez zaporę sieciową / system wykrywania włamań, nawet w przypadku pracy z domu lub pracy mobilnej (np. poprzez korzystanie z połączeń VPN z organizacyjnymi mechanizmami bezpieczeństwa podczas łączenia się z internetem);
  6. szkolenie pracowników w zakresie metod rozpoznawania ataków informatycznych i zapobiegania tym atakom. Administrator powinien zapewnić środki pozwalające ustalić, czy wiadomości e-mail i wiadomości otrzymane za pomocą innych środków komunikacji są autentyczne i godne zaufania. Pracownicy powinni zostać przeszkoleni w zakresie rozpoznawania, kiedy doszło do takiego ataku, sposobów umieszczenia punktu końcowego poza siecią oraz obowiązku natychmiastowego zgłoszenia tego faktu specjaliście ds. zabezpieczeń;
  7. podkreślenie potrzeby identyfikacji typu złośliwego kodu w celu poznania konsekwencji ataku i znalezienia odpowiednich środków zmniejszających ryzyko. Jeśli atak za pomocą oprogramowania szantażującego się powiódł i nie ma kopii zapasowej, w celu odzyskania danych można skorzystać z dostępnych narzędzi, takich jak te opracowane w ramach projektu „no more ransom” (nomoreransom.org). Jeśli jednak dostępna jest bezpieczna kopia zapasowa, zalecane jest przywrócenie danych z tej kopii;
  8. przekazywanie lub replikacja wszystkich dzienników do centralnego serwera dzienników (z ewentualnym podpisywaniem lub kryptograficznym znakowaniem czasowym wpisów dzienników);
  9. silne szyfrowanie i uwierzytelnianie wielopoziomowe, w szczególności w przypadku dostępu administracyjnego do systemów informatycznych, odpowiednie zarządzanie kluczami i hasłami;
  10. regularne testowanie podatności na zagrożenia i testy penetracyjne;
  11. powołanie w organizacji zespołu reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) lub zespołu reagowania na incydenty komputerowe (CERT) albo przyłączenie się do zbiorowego CSIRT/CERT. Opracowanie planu reagowania na incydenty, planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej oraz planu ciągłości działania i upewnienie się, że są one dokładnie przetestowane;
  12. przy ocenie środków zaradczych – analiza ryzyka powinna podlegać przeglądowi, być testowana i aktualizowana.

Ataki hakerów

  1. najnowocześniejsze szyfrowanie i zarządzanie kluczami, zwłaszcza w przypadku przetwarzania haseł, danych wrażliwych lub finansowych. W przypadku informacji tajnych (haseł) zawsze preferowane jest kryptograficzne haszowanie i dodawanie ciągu inicjującego, a nie szyfrowanie haseł. Preferowane jest stosowanie metod uwierzytelniania, które eliminują konieczność przetwarzania haseł po stronie serwera;
  2. aktualizowanie systemu (oprogramowania komputerowego i oprogramowania układowego). Zapewnienie wszystkich środków bezpieczeństwa informatycznego, upewnienie się, że są one skuteczne oraz ich regularne aktualizowanie w przypadku zmiany lub rozwoju procesów lub okoliczności. Aby móc wykazać zgodność z art. 5 ust. 1 lit. f) zgodnie z art. 5 ust. 2 RODO, administrator powinien prowadzić rejestr wszystkich przeprowadzonych aktualizacji, w tym również czasu, w którym zostały one zastosowane;
  3. stosowanie silnych metod uwierzytelniania, takich jak uwierzytelnianie dwuskładnikowe i serwery uwierzytelniania, uzupełnionych aktualną polityką haseł;
  4. standardy bezpiecznego rozwoju obejmują filtrowanie danych wprowadzanych przez użytkownika (w miarę możliwości z wykorzystaniem białych list), anulowanie danych wprowadzanych przez użytkownika oraz środki zapobiegania atakom siłowym (takie jak ograniczanie maksymalnej liczby ponownych prób). W skutecznym stosowaniu tej techniki mogą pomóc „zapory aplikacji internetowej”;
  5. wdrożenie rygorystycznej polityki zarządzania uprawnieniami użytkowników i kontrolą dostępu;
  6. stosowanie odpowiedniej, aktualnej, skutecznej i zintegrowanej zapory sieciowej, systemu wykrywania włamań oraz innych systemów ochrony obwodowej;
  7. systematyczne audyty bezpieczeństwa informatycznego i ocena luk w zabezpieczeniach (testy penetracyjne);
  8. regularne przeglądy i testowanie w celu zagwarantowania, że kopie zapasowe mogą być wykorzystane do przywrócenia danych, których integralność lub dostępność została naruszona;
  9. brak identyfikatora sesji w adresie URL w postaci zwykłego tekstu.

Ryzyko ludzkie

  1. okresowe wdrażanie programów szkoleniowych, edukacyjnych i poszerzających wiedzę dla pracowników w zakresie ich obowiązków dotyczących prywatności i bezpieczeństwa oraz wykrywania i zgłaszania zagrożeń dla bezpieczeństwa danych osobowych26. Opracowanie programu poszerzającego wiedzę pracowników w zakresie najczęstszych błędów prowadzących do naruszenia ochrony danych osobowych i sposobów ich unikania;
  2. ustanowienie solidnych i skutecznych praktyk, procedur i systemów w zakresie ochrony danych i prywatności27;
  3. ocena praktyk, procedur i systemów ochrony prywatności w celu zapewnienia ich ciągłej skuteczności;
  4. tworzenie odpowiednich zasad kontroli dostępu i wymaganie od użytkowników przestrzegania tych zasad;
  5. wdrażanie technik wymuszania uwierzytelniania użytkownika w przypadku dostępu do wrażliwych danych osobowych;
  6. wyłączenie konta służbowego użytkownika, gdy tylko odejdzie on z przedsiębiorstwa;
  7. sprawdzanie nietypowych przepływów danych między serwerem plików a stacjami roboczymi pracowników;
  8. ustawienie zabezpieczeń interfejsów wejścia/wyjścia w systemie BIOS lub za pomocą oprogramowania kontrolującego korzystanie z interfejsów komputerowych (blokowanie lub odblokowywanie np. USB/CD/DVD itp.);
  9. weryfikacja polityki dostępu pracowników (np. rejestrowanie dostępu do danych wrażliwych i wymaganie od użytkownika podania powodu biznesowego, tak aby było to dostępne podczas audytu);
  10. wyłączenie otwartych usług w chmurze;
  11. zakazanie i uniemożliwienie dostępu do znanych otwartych usług pocztowych;
  12. wyłączenie funkcji „print screen” w systemie operacyjnym;
  13. egzekwowanie polityki czystego biurka;
  14. automatyczne blokowanie wszystkich komputerów po określonym czasie bezczynności;
  15. wykorzystanie mechanizmów (np. (bezprzewodowego) tokena do logowania/otwierania zablokowanych kont) do szybkiego przełączania użytkowników w środowiskach współdzielonych;
  16. wykorzystanie specjalnych systemów do zarządzania danymi osobowymi, które stosują odpowiednie mechanizmy kontroli dostępu i zapobiegają błędom ludzkim, takim jak wysyłanie wiadomości do niewłaściwych osób. Korzystanie z arkuszy kalkulacyjnych i innych dokumentów biurowych nie jest właściwym sposobem zarządzania danymi klientów

Utrata lub kradzież urządzeń

  1. włączenie szyfrowania urządzenia (takiego jak Bitlocker, Veracrypt lub DM-Crypt);
  2. używanie kodu/hasła na wszystkich urządzeniach. Szyfrowanie wszystkich przenośnych urządzeń elektronicznych w sposób, który wymaga wprowadzenia złożonego hasła w celu ich odszyfrowania;
  3. stosowanie uwierzytelniania wieloskładnikowego;
  4. włączenie w urządzeniach mobilnych funkcji umożliwiających ich lokalizację w przypadku utraty lub zgubienia;
  5. stosowanie oprogramowania/aplikacji MDM (zarządzanie urządzeniami mobilnymi) i lokalizacji. Stosowanie filtrów antyodblaskowych. Wyłączanie wszelkich urządzeń pozostawionych bez nadzoru;
  6. jeżeli to możliwe i właściwe dla danego przetwarzania danych – zapisanie danych osobowych nie na urządzeniu mobilnym, ale na centralnym serwerze wewnętrznym;
  7. jeżeli stacja robocza jest podłączona do firmowej sieci LAN – wykonanie automatycznej kopii zapasowej z folderów roboczych, o ile nie da się uniknąć przechowywania w nich danych osobowych;
  8. używanie bezpiecznej sieci VPN (np. takiej, która wymaga osobnego klucza uwierzytelniania drugiego składnika w celu ustanowienia bezpiecznego połączenia) do łączenia urządzeń mobilnych z serwerami wewnętrznymi;
  9. udostępnienie pracownikom fizycznych blokad, aby umożliwić im fizyczne zabezpieczenie urządzeń mobilnych, z których korzystają, gdy pozostają one bez nadzoru;
  10. właściwe uregulowanie kwestii korzystania z urządzeń poza przedsiębiorstwem;
  11. właściwe uregulowanie kwestii korzystania z urządzeń wewnątrz przedsiębiorstwa;
  12. stosowanie oprogramowania/aplikacji MDM (zarządzanie urządzeniami mobilnymi) i włączenie funkcji zdalnego czyszczenia danych;
  13. stosowanie scentralizowanego zarządzania urządzeniami z minimalnymi uprawnieniami użytkowników końcowych do instalowania oprogramowania;
  14. zainstalowanie fizycznej kontroli dostępu;
  15. unikanie przechowywania informacji szczególnie chronionych na urządzeniach mobilnych i na dyskach twardych. Jeżeli istnieje potrzeba dostępu do wewnętrznego systemu przedsiębiorstwa, należy korzystać z bezpiecznych kanałów, takich jak opisane wcześniej.

Błędne przesyłanie wiadomości

  1. ustalenie dokładnych standardów – bez możliwości interpretacji – wysyłania listów / wiadomości e-mail;
  2. odpowiednie szkolenie personelu w zakresie wysyłania listów / wiadomości e-mail;
  3. w przypadku wysyłania wiadomości e-mail do wielu odbiorców są oni domyślnie wymieniani w polu „UDW”;
  4. w przypadku wysyłania wiadomości e-mail do wielu odbiorców wymagane jest dodatkowe potwierdzenie gdy nie są oni wymienieni w polu „UDW”;
  5. zastosowanie zasady „czworga oczu”;
  6. automatyczne adresowanie zamiast ręcznego, z danymi pobranymi z dostępnej i aktualnej bazy danych; system automatycznego adresowania powinien być regularnie poddawany przeglądowi w celu sprawdzenia, czy nie ma w nim ukrytych błędów i nieprawidłowych ustawień;
  7. stosowanie opóźnienia w wysyłaniu wiadomości (np. możliwość usunięcia/edytowania w określonym czasie po kliknięciu przycisku „wyślij”);
  8. wyłączenie autouzupełniania podczas wpisywania adresów e-mail;
  9. sesje poszerzające wiedzę na temat najczęstszych błędów prowadzących do naruszenia ochrony danych osobowych;
  10. szkolenia i instrukcje dotyczące postępowania w przypadku incydentów prowadzących do naruszenia ochrony danych osobowych oraz tego, kogo należy o tym poinformować (zaangażować inspektora ochrony danych).