Co prawda koniec roku to bardzo pracowity czas, ale jednak trudno nie odnieść się do sprawy Morele.net i kary, jaką spółka otrzymała za… szereg nieścisłości. Bo to nie było jedno działanie czy zaniechanie. Pierwszy artykuł jaki napisałem na ten temat to 4 strony o audycie bezpieczeństwa, jego celu i pomieszaniu z poplątaniem. Sam nie wiem do końca czyim – Prezesa Urzędu Ochrony Danych (PUODO), czy Spółki. Długość artykułu jak i fakt, że audyt powinien być ostatnim z działań spowodował, że zostawię ten “smaczek” na koniec.
Pomieszanie z poplątaniem, czyli zagubiony cel(e) działania(ń)
Zarzutem ze strony PUODO jest to, że analiza ryzyka była robiona doraźnie dla poszczególnych procesów, w sposób niesformalizowany (pkt 18, strona 4/21 według wydruku)
A odpowiedź… ta jest piękna. I w pewien sposób obnażająca to i owo (wskażę tylko kilka konkretnych, związanych z ryzykiem).
- Pkt 1 – str. 5. “A my się nie zgadzamy”. W sumie nie ma co tutaj wykazywać pomieszania.
- Pkt 3, “A my się nie zgadzamy”
Pkt 4 – BANG!
Spółka na bieżąco dokonywała analizy ryzyka występujących zagrożeń i wdrażała nowe i aktualne metody zapewnienia bezpieczeństwa danych z uwzględnieniem warunków określonych w art 24 i 32 RODO.
Analiza ryzyka występujących zagrożeń…
Naprawdę dobrze, że dziś piątek. Człowiek mógłby się po tym nie pozbierać. Poniżej grafika z normy PN-I-13335:1-1999 wskazująca i układająca (dla mniej doświadczonych bezpieczników) to, gdzie są zagrożenia, co to jest ryzyko i czym jest jeszcze podatność. Żeby nie było za łatwo. Na rozbicie na czynniki zdania ze stanowiska Spółki ja się nie silę.
Natomiast silę się na to jakie… androny są napisane. Otóż prostując:
Monitorujemy przede wszystkim zagrożenia
Jeśli zdarzenie miało miejsce i zagrożenie się zmaterializowało to co do zasady jest to NARUSZENIE OCHRONY DANYCH. Bo zagrożenie na coś oddziałuje. Zgodnie z najprostszą definicją (nie ma jej w RODO) – zagrożenie jest to coś, co wykorzystuje słabość zasobu lub procesu. Nieważne czy naruszyło zasób podstawowy (dane osobowe), czy naruszyło zasoby przeznaczone do ochrony (środki ochrony), czy procesy w których te zasoby są wykorzystane. Wystąpiło, naruszyło, więc mamy naruszenie.
Jeśli zagrożenie się materializuje, a jednak nic dalej nie idzie z nim, to w tym momencie mamy zdarzenie (bądź incydent), który nie doprowadził do naruszenia ochrony danych. Bo… np zadziałały zabezpieczenia. Dziś na szkoleniu z zarządzania incydentami o tym mówiłem. Żeby to rejestrować, szczególnie pod RODO (o ile jest szansa), bo w ten sposób mamy dane o tym, że nasze zabezpieczenia PRZED ZAGROŻENIAMI są skuteczne. No i mamy drugą daną do ryzyka. Mamy prawdopodobieństwo wystąpienia zagrożenia, więc blisko nam do działań planowanych.
Morele
Tu na chwilę skieruję swój wywód do Morele.net i tego, że widać z pisma że o czymś zapomnieli. Otóż informacje do naszego systemu w którym monitorujemy zagrożenia pochodzić powinny ze źródeł wewnętrznych i zewnętrznych. A te pisały zarówno o phishingu jak i o skutkach ataków.
Innymi słowy na bazie danych o nasilających się atakach należało przyjąć, że zwiększa się PRAWDOPODOBIEŃSTWO zagrożenia. Czy należy się tym zająć – wystarczyło dodać POTENCJALNE skutki, jakie można było wyszacować z artykułów.
Rozumiecie już o co chodzi PUODO? Bo ja tak. Choć bardziej bym rzekł, że wiem o co zaangażowanemu specjaliście chodziło, bo to chyba on jest źródłem wielu tez sformułowanych przez urzędnika. O ryzyku w Morele zaraz po wprowadzeniu w tematykę.
Ryzyko
Słowo wytrych, mylone na potęgę w RODO (w samej treści też, co było nawet podstawą jego aktualizacji przed rozpoczęciem obowiązywania). Otóż ryzyko naruszenia praw i wolności to jest to, co będzie skutkiem NARUSZENIA ochrony danych oraz ŁĄCZNIE prawdopodobieństwo wystąpienia tego skutku. I skoro Spółka nie miała wcześniej naruszeń, to co miała monitorować? Bo tak, skutki naruszenia (czyli materializacji zagrożenia) też można monitorować. Otóż można np. otworzyć kanał komunikacji dla osób, których dotyczyło naruszenie w celu zgłaszania wykorzystania bądź podejrzenia wykorzystania danych. Dzięki temu dane byłyby ze źródła (osób, których dane dotyczą), a skutki (siłę i skalę) można by na bieżąco szacować. Ale to jak mamy naruszenie.
A jak nie mamy naruszenia – Morele.net?
To mamy ZONK jak to było kiedyś w rozrywkowym programie. Tym bardziej, że jak twierdzi PUODO “ryzyko było robione” szczątkowo, dla wybranych procesów, w sposób niesformalizowany. Oznacza to, że nie mamy możliwości “zestawić” zagrożenia z potencjalnym skutkiem (bo sobie go globalnie i całościowo nie zrobiliśmy). A więc FORMALNIE brakuje nam możliwości nawet właściwego obsłużenia naruszenia ochrony danych, bo brakuje nam tej części o potencjalnym ryzyku dla osób, których dane dotyczą. Musimy na bieżąco dorabiać.
A o co chodziło PUODO w tym zakresie? Otóż jak nie mamy tegoż ryzyka, to do czego środki minimalizujące? W ryzyku też ŁĄCZNIE mamy prawdopodobieństwo, więc możemy próbować je zmniejszyć. Np. poprzez współpracę z osobami, których dane dotyczyły i puszczeniem poradnika “zastrzeż swój dowód”. Prawdopodobieństwo wykorzystania dowodu spadnie. Niestety, na sam skutek ja nie widzę tak na szybko żadnego zabezpieczenia. A czy wykonano to? Raczej nie, bo… skoro nie wyszacowano ryzyka, to na co oddziaływać?
A jak go nie mamy oszacowanych skutków? To co z ryzykiem?
To jest taka zasada, że przeglądy ryzyka są raz w roku (co najmniej) a nie na bieżąco, jak pisze Spółka!!! Bo jeśli są robione zgodnie ze sztuką to jest to ogromna praca i wysiłek organizacyjny. Dlatego jeśli jest taka możliwość, to rozkłada się to na jakiś okres czasu. Druga rzecz, czy ryzyko często się materializuje? Odsyłam do części o zagrożeniach.
A dlaczego nie monitorujemy naszego ryzyka? Bo jak nie zaistnieje zagrożenie, to nie będzie materializacji ryzyka. Bo bez materializacji zagrożenia nie dochodzi do naruszenia. Chyba, że czegoś nie wiemy.
Widać już jak sprytnie RODO zostało ułożone? Musi zmaterializować się zagrożenie, które skutkuje naruszeniem ochrony danych, do którego uruchamiamy mechanizmy do tej pory “uśpione”, czyli wyjmujemy z szafy oszacowane wcześniej skutki z ich prawdopodobieństwem (ryzyko naruszenia praw i wolności) i typujemy że takie będą lub widzimy, że będzie “mocniej”. Kombinujemy od razu co zrobić, aby ich nie było (też powinno być choć w zarysie opisane) i … voila (znaczy “włala”). Oczywiście jak napisałem, po wystąpieniu naruszenia już monitorujemy (ryzyko naruszenia dla praw i wolności), czy:
- Te nasze skutki występują tak (nie)licznie jak sobie radośnie opisaliśmy (prawdopodobieństwo);
- Te nasze skutki występują z tą siłą jaką zapisaliśmy (maksymalne z wniosków, to np. kredyty na dane z wniosków);
I druga rzecz, możemy, a nawet powinniśmy monitorować (choć raczej inaczej bym to nazwał, bo monitorowanie to u nas) ryzyko i zdarzenia jakie istnieją w otoczeniu. Podobne. Zasilające nasze analizy danymi zewnętrznymi. Do nich należy podchodzić z większym dystansem, bo dane z reguły są już przefiltrowane.
Podsumuję, bo miało być krótko
Takiej ilości zapewnień o tym, że w firmie jest OK nie widziałem jeszcze nigdy. Wydaje mi się, że ktoś to pisał na zasadzie, a może uwierzą? Wszak 1000 razy powtórzyć to się samemu uwierzy…
Niestety zarówno te kilka punktów, jak i pozostałe jakie są ze strony Spółki wskazują, że jest to już raczej myślenie życzeniowe. A działania były ad-hoc, a nie zgodne z RODO. Bo… jeśli nie mamy szacowania i oceny ryzyka (audyt nie jest od tego, ale to na innych dzień) to nie mamy podstaw do ustanowienia systemu. Sam art 24 i 32 RODO mówią, że ma być ODPOWIEDNIO do…
I smaczek na koniec. Zastanawiam się, czy Morele.net korzystał z firmy zewnętrznej. Może w kontekście samych odszkodowań warto skorzystać z Kodeksu Cywilnego i art 429? Może to by nieco “naprostowało” branżę i odsiało “ekspertów” z 2 letnim stażem?
