Koniec ostatniego tygodnia przyniósł informację o kolejnym wycieku danych osobowych w Polsce. Musimy mieć świadomość, że do naruszeń dochodzi codziennie, a dane osobowe każdego polaka gdzieś już zapewne wyciekły. Incydent ten mógłby przejść bez większego echa, gdyby nie dwa czynniki – dotyczył on jednej z największych uczelni w Polsce, która popełniła wszystkie możliwe podstawowe błędy. A zaczęło się od prozaicznego zdarzenia jakim była kradzież prywatnego laptopa jednego z pracowników SGGW.

Kradzież urządzenia

Kradzież służbowego lub prywatnego komputera, tabletu czy telefonu nie jest zdarzeniem niecodziennym. Może być wynikiem włamania, rozboju czy zwykłej niefrasobliwości, gdy nie będziemy zwracać uwagi na nasze rzeczy lub przez nieuwagę gdzieś je zostawimy. Takie rzeczy się zdarzają i będą zdarzać, dlatego przed skutkami kradzieży urządzenia musimy się zabezpieczać w inny sposób. A dane osobowe to prawdopodobnie nie są jedyne cenne dla Twojej firmy dane, które na takim laptopie mogą się znajdować.

Z komunikatu umieszczonego na stronach uczelni dowiadujemy się, że zbiór danych, które były przetwarzane na laptopie pracownika SGGW był bardzo obszerny.

Na dysku komputera znajdowały się dane osobowe kandydatów obejmujące m.in.: dane identyfikacyjne - imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega.

Komunikat SGGW

Uczelnia, po stwierdzeniu naruszenia postępowała zgodnie z nałożonym na nią obowiązkiem wynikającym z artykułu 34 RODO. Poinformowała ona o tym fakcie potencjalnie poszkodowane osoby. My postarajmy się z jej błędów wyciągnąć odpowiednie wnioski.

Szyfruj każdy nośnik danych

Choć informacji tej nie ma w komunikacie, to wszystko wskazuje na to, że dysk twardy w skradzionym komputerze nie był zaszyfrowany. Jest też możliwość, że laptop pracownika SGGW w chwili kradzieży był włączony lub tylko uśpiony. Jest to jednak mniej prawdopodobne. Gdyby dane zapisane na dysku były zaszyfrowane, najprawdopodobniej nie byłoby konieczności informowania o tym i zgłaszania incydentu do UODO. Pisałem o tym szerzej w artykule „Naruszenie ochrony danych – nie panikuj, tylko się przygotuj„. Jeżeli pamięć dowolnego urządzenia byłaby zaszyfrowana, a samo urządzenie wyłączone lub w stanie hibernacji, to dane byłyby bezpieczne i niemożliwe do odczytania przez złodzieja.

Najlepiej, aby szyfrowanie dysków było włączone na każdym urządzeniu, za pomocą którego pracownik ma dostęp do danych firmowych. Tę dobrą praktykę należy stosować zawsze. Postępuj tak, gdy za pomocą urządzenia uzyskuje on dostęp do danych osobowych. Nie zapominaj o innych cennych dla Twojej firmy dokumentów a nawet poczcie elektronicznej.  Dostęp do nich także powinien obywać się z urządzenia z włączonym szyfrowaniem. Jeżeli chcesz wiedzieć jak je włączyć w systemie Windows, zapraszam do lipcowego artykułu na portalu. Znajdziesz w nim instrukcję krok po kroku jak postępować. Nie zapomnij także, aby szyfrować wszelkie dyski zewnętrzne czy pamięci typu pendrive.

Kontroluj i monitoruj dostęp do plików

Tak poważnego incydentu można byłoby uniknąć także poprzez odpowiednią kontrolę i rejestrację dostępu do plików, w których zapisane były dane osobowe. Nie traktuj jednak tego mechanizmu jako alternatywę dla szyfrowania, gdyż ma ono swoje ograniczenia.

Kontrola i monitoring dostępu do plików są dzisiaj o wiele bardziej rozbudowane niż jeszcze parę lat temu. Ten skok był możliwy między innymi dzięki temu, że co raz więcej usług realizujemy w tzw. chmurze. Nie na własnych serwerach a jako usługę którą kupujesz od zewnętrznej firmy. Jedną z nich jest choćby usługa przechowywania plików Microsoft OneDrive, która jest składnikiem pakietu Microsoft Office 365. Odpowiednia ochrona nie ogranicza się jednak tylko do plików zapisanych na OneDrive. Wykorzystasz ją chroniąc dowolne pliki znajdujące się na komputerach. 

Usługa ta to Azure Information Protection, a jej licencja kosztuje 1,70 EUR miesięcznie dla każdego użytkownika. Jest to moim zdaniem bardzo niska cena za zaawansowane narzędzie. Jej działanie polega w skrócie na tym, że do każdego pliku możemy przypisać odpowiednią etykietę. Z tą etykietą powiązana jest polityka, w której zdefiniowanych jest wiele atrybutów bezpieczeństwa. Wśród nich znajdziemy na przykład:

Opcję pozwalającą na skonfigurowanie, co ile dni muszą być odświeżane uprawnienia do pliku. Dzieje się to przez połączenie z centralnym serwerem usługi za pośrednictwem sieci Internet. Sprawdzenie odbywa się automatycznie, o ile uprawniony użytkownik jest zalogowany. ​

Funkcjonalność pozwalającą na skonfigurowanie swego rodzaju terminu ważności dokumentu. Możemy go ustawić w postaci konkretnej daty lub liczby dni. Gdy tak skonfigurowana ważność dokumentu wygaśnie nikt nie będzie w stanie odczytać jego zawartości.

Oprócz wymuszania samej kontroli administratorzy dostają możliwość śledzenia i raportowania kto i kiedy otwierał wskazany plik. Pozwala to na ocenę, czy nieuprawniony dostęp do danych osobowych z dużym prawdopodobieństwem nastąpił, czy nie.

Minimalizuj dostęp do danych

Pamiętasz o zasadzie minimalizacji? Mówi ona, że administrator nie powinien przetwarzać więcej danych osobowych, niż jest to niezbędne do osiągnięcia celu przetwarzania. Podobnie postępuj, jeżeli chodzi o ilość danych, do których Ty i Twoi pracownicy macie w danej chwili dostęp. Z komunikatu SGGW wynika, że skradziono prywatny laptop, na który dane zostały skopiowane w sposób nieuprawniony. Odpowiednie wykorzystanie z narzędzi opisanych w poprzednim akapicie powinno pozwolić administratorom wykryć taką sytuację i zapobiec wynoszeniu danych. Przed takim wyzwaniem stoją wszyscy przedsiębiorcy pozwalający na dostęp do firmowych zasobów z prywatnych urządzeń.

Ochrona powinna odbywać się zarówno w warstwie technicznej, jak i przez wdrożenie odpowiednich polityk i procedur w firmie. Twój zespół powinien mieć dostęp jedynie do tych danych, które są niezbędne do wykonania stojącego przed nim zadania. Załóżmy, że pracownikowi SGGW skradziono nie prywatny laptop, na który kopiował dane w sposób nieuprawniony, a służbowy komputer, który wykorzystywał do codziennej pracy. Jeżeli był on odpowiedzialny za proces rekrutacji na rok akademicki 2019/2020 to raczej nie powinien mieć już dostępu do danych kandydatów z lat ubiegłych, a już na pewno nie do tak szerokiego zbioru danych. Napisanie i wdrożenie odpowiednich polityk i regulaminów to skomplikowane zadanie spoczywające na barkach zarówno administratora danych, jak i zespołu IT. Konieczne są też wartościowe i regularne szkolenia dla osób, które mają dostęp do przetwarzanych danych osobowych.

Chcesz uniknąć wpadek jak opisana w tym artykule? Nie wiesz nadal jak dostosować swoją firmę do RODO? Nie wiesz jak efektywnie wykorzystać nowoczesne narzędzia IT dostępne nawet dla małych przedsiębiorców? Napisz do mnie! Chętnie Ci pomogę!
Konsultacje

Wyślij mi e-book i informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.pl, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO