Tytuł: Najczęściej spotykane incydenty
Chciałbym dziś opisać Państwu najczęściej występujące incydenty, z którymi spotykamy się na co dzień wykonując swoją pracę. Należy pamiętać, że jeżeli powodują one duże prawdopodobieństwo naruszenia praw lub wolności osób fizycznych, to wtedy stają się naruszeniem (należy niezwłocznie się do tego przyznać poprzez zgłoszenie takiego zdarzenia do organu nadzorczego oraz poinformować osoby poszkodowane). Aby stwierdzić naruszenie należy wykonać ocenę naruszenia (rekomendacje zawarte w publikacji European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches.
Dla klientów, których obsługujemy jako IOD oraz korzystających z systemu RODO-ONLINE.EU – dostępna zakładka w systemie – https://panel.rodo-online.eu/incydenty.
Do najczęściej występujących incydentów u naszych klientów można zaliczyć:
- Zdarzenia losowe wewnętrzne (awaria komputera/serwera/dysku twardego/oprogramowania, pomyłki informatyków, utrata danych)
- Umyślne incydenty (kradzież danych i sprzętu zawierającego dane osobowe, włamanie do systemu informatycznego lub pomieszczeń)
- Zdarzenia losowe zewnętrzne (utrata zasilania, utrata łączności)
- Nieprawidłowo zaadresowana korespondencja elektroniczna bądź papierowa zawierająca dane osobowe
- Smartfony, laptopy, przenośne dyski czy teczki z papierowymi dokumentami są nośnikami danych osobowych. Ich utrata, czyli kradzież lub zgubienie należy zakwalifikować jako incydent w ochronie danych osobowych, w zależności od ilości i wagi danych taki incydent często staje się naruszeniem
- Często w firmach pracownicy niszczą dokumenty w wersji papierowej poprzez ich ręczne zniszczenie (pogięcie, podarcie) i wyrzucenie do kosza na śmieci. Wbrew pozorom tego typu dokumenty można łatwo odzyskać. W celu prawidłowego usunięcia danych osobowych, należy skorzystać z niszczarki. W przypadku elektronicznych nośników należy skorzystać ze specjalistycznego oprogramowania do usuwania danych (nie wystarczy tylko same formatowanie)
- Sprawdzenie przed rozpoczęciem korzystania z usług konkretnej firmy utylizującej dokumenty, czy np. nie wyrzucają ich do przydrożnego lasu (powinny być spalone lub zniszczone)
- Fizyczną obecność w budynku lub pomieszczeniach, w których przetwarzane są dane osobowe osób nieuprawnionych, które nie wpisały się do rejestru osób nieupoważnionych
- Otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe
- Nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania informacji (otwarte regały, biurka, szafy w pomieszczeniach w strefach bezpieczeństwa) na nośnikach np. na papierze (wydruki), zdjęcia, płyty CD, pendrive, dyski, karty pamięci, karty do czytników w formie niezabezpieczonej
- Aktywne konta systemowe i mailowe byłych pracowników, którym powinien być już dawno odebrany dostęp, a który nie raz przydzielany był bezterminowo
- Niewylogowywanie się przed opuszczeniem stanowiska pracy, pozostawienie wydruków na drukarce, ksero, nie zamykanie pomieszczeń z komputerem
- Niewykonywanie w określonym terminie kopii bezpieczeństwa oraz nie sprawdzanie możliwości jej odtworzenia
- Ustawienie monitorów na sekretariacie i w punkcie obsługi klientów pozwalające na wgląd do danych osobowych osobom postronnym (sam wgląd jest już przetwarzaniem)
- Wynoszenie danych osobowych na zewnątrz organizacji w formie papierowej lub elektronicznej bez upoważnienia
- Udostępnianie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej lub ustnej
- Incydenty związane z nieaktualizowanym oprogramowaniem lub błędną konfiguracją – wykorzystanie ujawnionej podatności
- Uniemożliwienie prawidłowego działania systemów lub usług sieciowych poprzez zajęcie wszystkich dostępnych zasobów
- Telefoniczne próby wyłudzania danych osobowych bez właściwej weryfikacji rozmówcy
- Maile zachęcające do ujawnienia identyfikatora lub hasła do systemu/programu/bankowości
- Pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów
- Przechowywanie haseł do systemu/programów w pobliżu komputera
- Zdarzenia losowe takie jak awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników
- Podszywanie się hakerów pod znane firmy wysyłające wiadomości zawierające złośliwe załączniki, które po kliknięciu w załącznik lub link szyfrują dane w taki sposób, że nie można uzyskać dostępu do nich bez użycia klucza, który należy odkupić od hakerów (lub przywrócić kopie bezpieczeństwa). Dużym zagrożeniem ciągle pozostają cyberataki, w szczególności te z wykorzystaniem phishingu i ransomware
- Naruszenia integralności danych, polegające na nieuprawnionej modyfikacji danych z powodu niewłaściwego zabezpieczenia konta użytkownika lub przekazania dostępu do haseł nieograniczonej liczbie osób poprzez pozostawienie ich w widocznym miejscu.
Naruszeniem ochrony danych osobowych nie będzie zatem każde zdarzenie, które uznamy za incydent bezpieczeństwa informacji, lecz tylko takie, które będzie się wiązało z naruszeniem poufności, dostępności lub integralności danych i będzie wywierało niekorzystny wpływ na osobę, której dane dotyczą (duże prawdopodobieństwo naruszenia praw lub wolności osób fizycznych). Pamiętać należy, że integralność danych może być także zagrożona przez wirusy komputerowe lub umyśle działanie pracowników firmy.