W erze zaawansowanych cyberataków i złośliwego oprogramowania, skupiamy się na hakerach, ransomware i drogich firewallach. Tymczasem, jak pokazują liczne incydenty i decyzje Prezesa Urzędu Ochrony Danych Osobowych (UODO), najbardziej niebezpiecznym źródłem wycieku danych jest nie supernowoczesny wirus, lecz mały, niepozorny gadżet: pendrive. Zgubiony, nieszyfrowany nośnik to dziś jeden z najczęstszych powodów gigantycznych kar nakładanych na polskie firmy i instytucje. Dlaczego? Bo stanowi on kwintesencję złamania zasad bezpieczeństwa i poufności, na które nakłada nacisk RODO.
Wycieki danych są wynikiem działania cyberprzestępców, ale dużo częściej to wynik zwykłego pecha, zbiegów okoliczności lub bezmyślności. Poniższe case study pokazują, jak UODO ocenia ryzyko i karze za brak podstawowych zabezpieczeń. Zacznijmy od fatum sądowego pendrive’a. W głośnym przypadku Sąd Rejonowy Szczecin-Centrum został ukarany przez UODO karą w wysokości 30 tys. zł za zagubienie trzech nośników danych: jednego służbowego szyfrowanego oraz dwóch prywatnych, nieszyfrowanych. W ten sposób pracownik doprowadził do wycieku projektów orzeczeń i uzasadnień z okresu 16 lat. Kara została nałożona za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapobiegających użytkowaniu prywatnych, niezweryfikowanych i niezabezpieczonych nośników. Świadomość zagrożenia i sam zakaz nie wystarczą. Sąd Rejonowy Szczecin-Centrum przekonał się, że procedury muszą być skuteczne. Pomińmy milczeniem zasadność przetwarzania dokumentów z 16 lat. Zapewne, jak zawsze, miały się przydać kiedyś. Na jeszcze większe straty finansowe naraził swojego pracodawcę pracownik dużej firmy gastronomicznej, który zgubił jednego pendrive’a z niezaszyfrowanymi plikami. Koszt 240 000 zł za niepoprawnie przeprowadzoną analizę ryzyka. ADO założył, że nośniki mogą być skradzione lub zniszczone, ale nie wziął pod uwagę, że można je po prostu zgubić bez złych intencji. To dowód, że sama „dobra wola” nie obroni przed karą finansową. Pendrive stał również u podstaw naruszenia, które skończyło się 1,5 tys. poszkodowanych i karami dla trzech Spółek. Zgubienie nieszyfrowanego pendrive’a z danymi osobowymi około 1,5 tys. osób poskutkowało karami dla dwóch miejskich spółek w Kutnie (MOPS, MOSiR) oraz spółki zewnętrznej zajmującej się transferem danych. Zgubiony zakres danych: zarobki, urlopy, zwolnienia lekarskie, historia zatrudnienia, dane o dzieciach pracowników.
Jak uchronić firmę przed karą? Wszystkie powyższe incydenty sprowadzają się do jednego: brak implementacji adekwatnych środków technicznych (szyfrowanie) i organizacyjnych (audyt procedur) w myśl art. 32 RODO. Jeżeli Twoja organizacja wciąż używa pendrive’ów, natychmiast wdróż poniższe zasady:
- ZERO TOLERANCJI DLA PRYWATNYCH NOŚNIKÓW – natychmiastowy zakażmy używania prywatnych, niezweryfikowanych nośników danych na sprzęcie służbowym. Służbowe porty USB powinny być blokowane dla nieautoryzowanych urządzeń.
- KRYPTOGRAFIA JEST OBOWIĄZKOWA – wdrażajmy szyfrowanie domyślne (np. BitLocker, VeraCrypt) dla wszystkich służbowych nośników przenośnych oraz twardych dysków laptopów.
- ZWERYFIKUJMY ANALIZĘ RYZYKA – upewnijmy się, że analiza ryzyka obejmuje scenariusz „zagubienia nośnika bez złych intencji”, a nie tylko kradzież lub awarię.
- PAMIĘTAJMY, ŻE SZKOLENIA TO PROCES, NIE FILM – przeprowadzajmy cykliczne i obowiązkowe szkolenia, a następnie weryfikujmy wiedzę i postawy pracowników. Sam instruktaż w formie wideo to za mało.
- ZGŁASZAJMY NATYCHMIAST przypadki utraty nośnika, natychmiast zgłośmy incydent przełożonemu i Inspektorowi Ochrony Danych (IOD). Szybka reakcja może zminimalizować skutki i wpłynąć na ostateczny wymiar kary.
W świecie cyfrowej pracy, gdzie dane są „żyłą złota”, najsłabszym ogniwem rzadko bywa technologia. Największe zagrożenie często tkwi w prostych, codziennych nawykach użytkowników. Użycie nieszyfrowanego pendrive’a to akt bezmyślności proceduralnej, który w oczach UODO oznacza niedopełnienie obowiązków Administratora i może kosztować Twoją firmę nawet ćwierć miliona złotych i więcej.