Nieuprawniony dostęp do danych pracowników
To czwarty artykuł z serii, w której poruszamy kwestię obowiązków administratorów danych w zakresie naruszeń ochrony danych osobowych w kontekście pracowniczym – wspierając się wytycznymi 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętymi 14 grudnia 2021 r. (wersja 2.0) opublikowanych przez Europejską Radę Ochrony Danych (EROD).
Przykład 4. Eksfiltracja poczty elektronicznej
Sieć hipermarketów wykryła trzy miesiące po konfiguracji, że niektóre konta poczty elektronicznej zostały zmienione i stworzono reguły, zgodnie z którymi każda wiadomość e-mail zawierająca określone wyrażenia (np. „faktura”, „płatność”, „przelew bankowy”, „uwierzytelnienie karty kredytowej”, „dane rachunku bankowego”) była przenoszona do nieużywanego folderu i przekazywana na zewnętrzny adres e-mail. Ponadto do tego czasu przeprowadzono już atak socjotechniczny, tzn. sprawca ataku, podając się za dostawcę, zmienił dane rachunku bankowego dostawcy na swoje własne. Ponadto wysłano już kilka fałszywych faktur zawierających nowe dane rachunku bankowego.
System monitorujący platformy poczty elektronicznej wydał ostrzeżenie dotyczące folderów. Przedsiębiorstwo nie było w stanie wykryć, w jaki sposób sprawca ataku uzyskał dostęp do kont pocztowych, ale przypuszczało, że winę za udzielenie dostępu grupie użytkowników odpowiedzialnych za płatności ponosiła zainfekowana wiadomość e-mail. Dzięki przekazywaniu wiadomości e-mail opartych na słowach kluczowych atakujący uzyskał informacje o 99 pracownikach: imię i nazwisko oraz wynagrodzenie w danym miesiącu w odniesieniu do 89 osób, których dane dotyczą; imię i nazwisko, stan cywilny, liczba dzieci, wynagrodzenie, godziny pracy i pozostałe informacje o otrzymywanym wynagrodzeniu 10 pracowników, z którymi umowy zostały rozwiązane. Administrator powiadomił tylko 10 pracowników należących do tej ostatniej grupy (patrz s. 36 Wytycznych).
Ocena ryzyka dla osób dotkniętych naruszeniem
EROD uznała, że w omawianym przykładzie ryzyko naruszenia praw lub wolności osób, których dane osobowe zapisane były na kontach poczty elektronicznej, jest wysokie – w związku z tym administrator (pracodawca) musi poinformować o naruszeniu organ nadzoru, zawiadomić osoby, których naruszenie dotyczy, oraz odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze. Przy ocenie ryzyka EROD stwierdza m.in., że (patrz s. 36 Wytycznych):
Nawet jeśli sprawca ataku prawdopodobnie nie miał na celu gromadzenia danych osobowych, ponieważ naruszenie może prowadzić zarówno do szkód materialnych (np. strat finansowych), jak i niematerialnych (np. kradzieży tożsamości lub oszustwa), lub dane mogą zostać wykorzystane do ułatwienia innych ataków (np. phishingu), naruszenie ochrony danych osobowych prawdopodobnie spowoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych. Dlatego o naruszeniu należy poinformować wszystkich 99 pracowników, a nie tylko 10 pracowników, których informacje o wynagrodzeniach zostały ujawnione.
Omawiany przykład z perspektywy polskiej
Gdyby omawiane naruszenie dotyczyło polskiego pracodawcy, powyższy wniosek EROD także byłby uprawniony, tj. pracodawca byłby zobowiązany poinformować o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych, zawiadomić osoby, których naruszenie dotyczy (wszystkich 99 pracowników, których dotyczy naruszenie), oraz odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze.
Warto pamiętać, że Prezes Urzędu Ochrony Danych Osobowych opublikował poradnik dotyczący obowiązków administratorów związanych z naruszeniami ochrony danych osobowych, w którym szczegółowo określił, w jaki sposób administrator powinien opisać w zawiadomieniu podmiotu danych możliwe konsekwencje naruszenia dla podmiotu danych i możliwe do zastosowania przez podmiot danych środki minimalizujące negatywne skutki naruszenia. Zdarza się, że administratorzy danych nie chcą „straszyć” podmiotów danych i nie zamieszczają w zawiadomieniach opisów rekomendowanych przez urząd, co w praktyce często prowadzi do konieczności ponawiania zawiadomień, z uwagi na zastrzeżenia organu nadzoru co do ich treści.
Środki zaradcze
Zdaniem EROD po takim naruszeniu należałoby wdrożyć następujące środki w celu minimalizacji skutków i ryzyka wystąpienia podobnego naruszenia w przyszłości (patrz s. 36 i 37 Wytycznych):
- zmienić hasła do zagrożonych kont,
- zablokować wysyłanie wiadomości e-mail na konto poczty elektronicznej atakującego,
- powiadomić dostawcę usług poczty elektronicznej używanej przez atakującego o jego działaniach,
- usunąć regułę ustanowioną przez atakującego,
- udoskonalić alerty systemu monitorowania, tak aby alert był wysyłany natychmiast po utworzeniu automatycznej reguły,
- alternatywnie – odebrać użytkownikom prawa do ustalania reguł przekierowania, z wymaganiem, aby zespół obsługi informatycznej robił to tylko na żądanie, lub wprowadzić zasady, że użytkownicy powinni sprawdzać i zgłaszać reguły ustawione na ich kontach raz w tygodniu lub częściej w obszarach, w których przetwarzane są dane finansowe,
- zrobić ogólny przegląd i ulepszyć system bezpieczeństwa, np. zrobić przegląd automatyzacji i kontrolę zmian oraz ulepszyć lub wdrożyć środki wykrywania incydentów.
Dodatkowo, choć EROD nie wspomina o tym w Wytycznych, wskazane wydawałoby się przeprowadzenie wśród pracowników szkolenia uwrażliwiającego na zjawiska phishingu, social engineering fraud i podobne ataki z uwagi na fakt, że przyczyną naruszenia mogła być zainfekowana wiadomość e-mail.
Na marginesie, w omawianym przypadku organ nadzoru mógłby dojść do wniosku, że system bezpieczeństwa funkcjonujący u administratora okazał się na tyle złej jakości, że wdrożone przez administratora środki organizacyjne i techniczne ochrony danych nie odpowiadały wymogom art. 32 RODO, co z kolei naraziłoby administratora na ryzyko odpowiedzialności z tytułu naruszenia art. 32 RODO, np. w postaci kary pieniężnej.
Karolina Romanowska, Łukasz Rutkowski