System monitorujący platformy poczty elektronicznej wydał ostrzeżenie dotyczące folderów. Przedsiębiorstwo nie było w stanie wykryć, w jaki sposób sprawca ataku uzyskał dostęp do kont pocztowych, ale przypuszczało, że winę za udzielenie dostępu grupie użytkowników odpowiedzialnych za płatności ponosiła zainfekowana wiadomość e-mail. Dzięki przekazywaniu wiadomości e-mail opartych na słowach kluczowych atakujący uzyskał informacje o 99 pracownikach: imię i nazwisko oraz wynagrodzenie w danym miesiącu w odniesieniu do 89 osób, których dane dotyczą; imię i nazwisko, stan cywilny, liczba dzieci, wynagrodzenie, godziny pracy i pozostałe informacje o otrzymywanym wynagrodzeniu 10 pracowników, z którymi umowy zostały rozwiązane. Administrator powiadomił tylko 10 pracowników należących do tej ostatniej grupy (patrz s. 36 Wytycznych).

Ocena ryzyka dla osób dotkniętych naruszeniem

EROD uznała, że w omawianym przykładzie ryzyko naruszenia praw lub wolności osób, których dane osobowe zapisane były na kontach poczty elektronicznej, jest wysokie – w związku z tym administrator (pracodawca) musi poinformować o naruszeniu organ nadzoru, zawiadomić osoby, których naruszenie dotyczy, oraz odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze. Przy ocenie ryzyka EROD stwierdza m.in., że (patrz s. 36 Wytycznych):

Nawet jeśli sprawca ataku prawdopodobnie nie miał na celu gromadzenia danych osobowych, ponieważ naruszenie może prowadzić zarówno do szkód materialnych (np. strat finansowych), jak i niematerialnych (np. kradzieży tożsamości lub oszustwa), lub dane mogą zostać wykorzystane do ułatwienia innych ataków (np. phishingu), naruszenie ochrony danych osobowych prawdopodobnie spowoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych. Dlatego o naruszeniu należy poinformować wszystkich 99 pracowników, a nie tylko 10 pracowników, których informacje o wynagrodzeniach zostały ujawnione.

Omawiany przykład z perspektywy polskiej

Gdyby omawiane naruszenie dotyczyło polskiego pracodawcy, powyższy wniosek EROD także byłby uprawniony, tj. pracodawca byłby zobowiązany poinformować o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych, zawiadomić osoby, których naruszenie dotyczy (wszystkich 99 pracowników, których dotyczy naruszenie), oraz odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze.

Warto pamiętać, że Prezes Urzędu Ochrony Danych Osobowych opublikował poradnik dotyczący obowiązków administratorów związanych z naruszeniami ochrony danych osobowych, w którym szczegółowo określił, w jaki sposób administrator powinien opisać w zawiadomieniu podmiotu danych możliwe konsekwencje naruszenia dla podmiotu danych i możliwe do zastosowania przez podmiot danych środki minimalizujące negatywne skutki naruszenia. Zdarza się, że administratorzy danych nie chcą „straszyć” podmiotów danych i nie zamieszczają w zawiadomieniach opisów rekomendowanych przez urząd, co w praktyce często prowadzi do konieczności ponawiania zawiadomień, z uwagi na zastrzeżenia organu nadzoru co do ich treści.

Środki zaradcze

Zdaniem EROD po takim naruszeniu należałoby wdrożyć następujące środki w celu minimalizacji skutków i ryzyka wystąpienia podobnego naruszenia w przyszłości (patrz s. 36 i 37 Wytycznych):

• zmienić hasła do zagrożonych kont,
• zablokować wysyłanie wiadomości e-mail na konto poczty elektronicznej atakującego,
• powiadomić dostawcę usług poczty elektronicznej używanej przez atakującego o jego działaniach,
• usunąć regułę ustanowioną przez atakującego,
• udoskonalić alerty systemu monitorowania, tak aby alert był wysyłany natychmiast po utworzeniu automatycznej reguły,
• alternatywnie – odebrać użytkownikom prawa do ustalania reguł przekierowania, z wymaganiem, aby zespół obsługi informatycznej robił to tylko na żądanie, lub wprowadzić zasady, że użytkownicy powinni sprawdzać i zgłaszać reguły ustawione na ich kontach raz w tygodniu lub częściej w obszarach, w których przetwarzane są dane finansowe,
• zrobić ogólny przegląd i ulepszyć system bezpieczeństwa, np. zrobić przegląd automatyzacji i kontrolę zmian oraz ulepszyć lub wdrożyć środki wykrywania incydentów.

Dodatkowo, choć EROD nie wspomina o tym w Wytycznych, wskazane wydawałoby się przeprowadzenie wśród pracowników szkolenia uwrażliwiającego na zjawiska phishingu, social engineering fraud i podobne ataki z uwagi na fakt, że przyczyną naruszenia mogła być zainfekowana wiadomość e-mail.

Na marginesie, w omawianym przypadku organ nadzoru mógłby dojść do wniosku, że system bezpieczeństwa funkcjonujący u administratora okazał się na tyle złej jakości, że wdrożone przez administratora środki organizacyjne i techniczne ochrony danych nie odpowiadały wymogom art. 32 RODO, co z kolei naraziłoby administratora na ryzyko odpowiedzialności z tytułu naruszenia art. 32 RODO, np. w postaci kary pieniężnej.

Karolina Romanowska, Łukasz Rutkowski