Audyt czy kontrola? Morele.net cz II

[stm_post_details]

Czytając dalej decyzję Prezesa UODO (PUODO) w sprawie Morele.net dotarłem do ciekawego kawałka tłumaczenia po stronie Spółki. Strona 5/21:

Reklama

Spółka nie zgadza się z zarzutem, że nie dokonywała na bieżąco ani nie monitorowała potencjalnych zagrożeń dla praw i wolności osób, których dane przetwarza, albowiem Spółka od wielu lat regularnie prowadzi badania, weryfikuje zagrożenia, wynajmuje firmy zewnętrzne w celu przeprowadzenia audytów bezpieczeństwa. Na tę okoliczność Spółka w toku kontroli przekazała szereg dowodów (…)

Zacznę od końca. Jako, że w pozostałych “nie zgadzam się” Spółki, a dotyczy to zagrożeń oraz wynikających z nich ryzyk nie ma słowa o “szeregu dowodów”, typuję że owe dostarczone dowody dotyczyły audytów. 

Druga kwestia, która jest niebywale istotna, to błąd logiczny. Monitorowanie na bieżąco nie jest regularnym badaniem. I nie jest audytem. Zarówno badanie, weryfikacja zagrożeń czy audyt to działania CYKLICZNE, ale z pewnością nie bieżące. Chyba, że znów ktoś kreatywnie dopisał do audytu nowe “formy”. Które tak naprawdę nie są działaniami audytowym, a POAUDYTOWYMI. W ramach działań poaudytowych, o ile nie naruszy to niezależności audytorów można pomóc wdrożyć rekomendacje. Można wytypować i wydelegować NOWY zespół. Można wiele. Ale audyt zaczyna się i kończy. A nie trwa. Więc nie jest bieżący.   

Czym jest audyt?

Definicji jest wiele. Dlatego pozwolę czytelnikowi samodzielnie dotrzeć do swojej definicji, nie narzucając formułek, choć w podsumowaniu podam własną. Zacznę od celu audytu:

Po co robimy audyt bezpieczeństwa?

Żeby wiedzieć, czy jesteśmy bezpieczni. Krótka i treściwa odpowiedź. Ale aby odpowiedzieć na to pytanie musimy wiedzieć, co to znaczy “być bezpiecznym”. A żeby to wiedzieć, trzeba by mieć jaką definicję bezpieczeństwa… Robi się skomplikowanie prawda? Tak, bo audyt nie jest to prosta kontrola na zasadzie, czy ktoś mi się włamie do systemu bo mam taki system logowania a nie inny i na dziś to się włamywali tak, a nie inaczej. Więc sobie sprawdzę (skontroluję) i radośnie nazwę to audytem. 

Tak na marginesie i przytykiem do PUODO. Za siłę zabezpieczenia odpowiada nie tylko dostawca aplikacji, ale też i użytkownik. To tak, jakby za zabicie się na autostradzie po dzwonie w filar ukarać producenta i dilera auta, bo sprzedał auto jadące 230 km/h. 

Wróćmy do naszego “skomplikowania” audytu. Otóż doszliśmy już do wniosku, że aby audytować bezpieczeństwo musimy mieć jego (bezpieczeństwa) parametry. Żeby powiedzieć, że jest bezpiecznie, albo powiedzieć że bezpiecznie nie jest. 

Skąd te parametry? 

Tu się zaczyna trzeci poziom skomplikowania. Może krótka definicja bezpieczeństwa, nazwijmy ją “robocza”:

Bezpieczeństwo jest to stan wolny od zagrożeń (niezagrożenia) bądź rozpoznanych i “zaopiekowanych” zagrożeń. 

Czyli musimy mieć zidentyfikowane i zagrożenia ze swoimi parametrami, a więc prawdopodobieństwem i siłą. W RODO również powinniśmy zastanowić się jakie skutki dla praw i wolności mogą nastąpić po tym zagrożeniu i jakie jest prawdopodobieństwo ich wystąpienia, a więc oszacować też ryzyko. Czyli parametry bezpieczeństwa, czy też definicję poszerzyłbym:

Bezpieczeństwo jest to stan wolny od zagrożeń (niezagrożenia) bądź rozpoznanych i “zaopiekowanych” zagrożeń oraz rozpoznanych ryzyk i przygotowanych działań zmniejszających je (ryzyka).

Definicja się poszerza. Zwróćmy też uwagę na to, że w decyzji PUODO jest też mowa o braku wypełnieniu przepisu art 24 RODO. 

Dlaczego? 

Otóż przepisy regulujące ochronę naszych praw i wolności, nie tylko RODO zawierają w sobie tzw. minimalne wymagania dla systemów bezpieczeństwa. Są to wymagania, które należy spełnić, aby osoba, czy grupa osób była bezpieczna. Podobnie do RODO skonstruowane są przepisy BHP, ochrony przeciwpożarowej, kwestie bezpieczeństwa farmacji, czy żywności (HACCP). Regulator narzuca swoje rozwiązania, ale nakazuje też analizę, czy to wystarczy. Innymi słowy:

Ochrona danych osobowych ma być nie mniejsza niż wymagania RODO. A modyfikacja (podwyższenie poziomu) ma wynikać z analizy zagrożeń i wynikających z nich ryzyk. 

Tu może mała historyczna dygresja. Większość z działań, które obecnie są traktowane jako “rewolucja RODO” były zapisane w poprzedniej ustawie. Art. 36 mówił, że ochrona danych ma być odpowiednia do zagrożeń, kategorii przetwarzanych danych i rodzaju operacji. Także w tym kontekście warto spojrzeć na decyzję PUODO i zakres badania. Różnica jaka istnieje między poprzednią regulacją a obecną to ryzyko. 

Wracając do naszej definicji bezpieczeństwa w RODO, dodać musimy wymagania zgodnie z art 24. Zdefiniowałbym bezpieczeństwo jako:

Bezpieczeństwo jest to stan wolny od zagrożeń (niezagrożenia) bądź rozpoznanych i “zaopiekowanych” zagrożeń oraz rozpoznanych ryzyk i przygotowanych działań zmniejszających je (ryzyka), nie mniejszych niż regulacje zawarte w RODO (i innych przepisach). 

Po co tak komplikować?

Pierwszym działaniem realizacji audytu jest określenie jego zakresu.

Drugim – identyfikacja kryteriów, czyli zbiorów wymagań. Wymaganie, to jest po prostu to, co trzeba spełnić aby uzyskać zgodność. Działanie, dokument, etc. 

Kryteria audytu w RODO

Jak wynika z naszej definicji, kryteria audytu w RODO są w trzech grupach:

  • Wymaganie prawne (RODO i przepisy krajowe)
  • Wymagania z zagrożeń (podpowiem, nakierowane na obniżenie podatności, prawdopodobieństwa wystąpienia lub ograniczenie siły zagrożenia)
  • Wymagania z ryzyka (podpowiem, nakierowane na obniżenie prawdopodobieństwa, zminimalizowanie skutku lub ograniczenie zasięgu, czyli osób których dotyczy). 

Rodzaje audytów, czy fazy?

Wielu specjalistów w branży tworzy ciekawe pomysły na audyty, nazywając je audytami wdrożeniowymi, zerowymi (gdzie naprawdę jest rozpoznanie prac do wykonania), czy compliance. W swojej pracy raczej dzielę audyt na fazy, przy czym każda z tych faz może być odrębnym działaniem. Niżej wiodący będzie podział na “rodzaje” audytów z informacją w nawiasie, która to jest faza). 

Audyt zgodności z prawem (faza I audytu, ocena zgodności dokumentacji)

Wydaje się być bardzo prosty. Bierzemy przepis, wypisujemy wymagania, potem sprawdzamy czy dokumenty są i… Nie do końca. W ten sposób możemy wpaść w pułapkę quasi-compliance (pozornej zgodności) w której zidentyfikowane zostanie działanie, ale nie będzie zgodne z RODO. 

Najczęściej występującą pozorną zgodnością jest zgodność z art 32. Przytoczę treść:

Uwzględniając (…) administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku,

Czego dotyczy wymaganie? Opracowania analizy zagrożeń? Oszacowania ryzyka? A może wdrożeniu środków? 

Czy może zapewnieniu bezpieczeństwa w stopniu odpowiadającym ryzyku? (właściwa odpowiedź).

Co do przepisów o charakterze “instrukcyjnym” (weź i tak zrób) audyt zgodności będzie oczywiście dużo łatwiejszy. Np. art 30 i prowadzenie rejestrów. Pytania dychotomiczne, TAK-NIE, a nawet banalna lista kontrolna wystarczą do oceny stopnia spełnienia wymagania. 

Podsumowaniem tej fazy audytu jest ocena stopnia spełnienia wszystkich wymagań zawartych w przepisie prawa. Przy czym wymaganie takie jak art 32, czy podobne do nich wymagania poszerzone w aktach wykonawczych (np. rozporządzeniach do ustawy), ocenione zostaną dopiero po fazie II audytu. W tym miejscu w projekcie raportu pozostaje “dziura”, która zawsze mam nadzieję, że nie będzie czarna. 

Niezgodności i potencjał

Na tym etapie pojawiają się już niezgodności, czyli niespełnienie wymagań. Jeśli poziom niezgodności jest zbyt wysoki audytor (wiodący) z reguły odstępuje od fazy II, bo… do czego ma audytować? Do niezgodnego z prawem lub niepełnego systemu zarządzania bezpieczeństwem?

Audyt, wdrożenia, audyt realizacji (faza II audytu, ocena stopnia realizacji założeń)

Będąc wyposażonym już w wiedzę, jak system ochrony danych (system zarządzania ochroną danych) jest zaprojektowany w danej firmie można udać się do niej, w celu zgromadzenia dowodów DZIAŁANIA tego systemu. Innymi słowy sprawdzamy, czy to co sobie zapisano w dokumentach jest życzeniem, czy jednak funkcjonuje. 

Z tego powodu ta część audytu bywa nazywana audytem wdrożeniowym, dlatego że przy zastosowaniu odpowiednich druków, jesteśmy w stanie oszacować nawet procentowo stopień wdrożenia systemu. 

Druki udostępniamy za darmo uczestnikom webinaru: Audyt RODO (26  września) i Audyt RODO II (29 października)

Ważne

Częstym błędem w realizacji audytu wdrożeniowego jest pominięcie fazy I audytu. Może to w skrajnych przypadkach doprowadzić do błędnego uznania zgodności systemu z przepisami prawa, jeśli podstawy zostały źle przygotowane. 

A może compliance?

Ten audyt bywa również nazywany audytem zgodności (compliance), przy czym w tym przypadku zgodność rozumiana jest jako zgodność z wymaganiami systemu zarządzania ochroną danych, co wskazuje na zgodność z przepisami prawa. 

PYTANIE ZASADNICZE

Czy audyt doprowadzony do tego etapu wskazuje nam na zgodność z RODO?

Odpowiem ulubionym stwierdzeniem konsultantów – “co do zasady to zależy”. Jeśli np. dostarczone zostaną wyniki testów o których mowa w art 32, a audytor będzie miał możliwość przeprowadzić wywiady bądź zapoznać się z zapisami można uznać, że audyt wskazuje na skuteczność systemu. A na pewno potwierdza zgodność z instrukcjami RODO. Ale czy potwierdza zgodność z RODO? 

Audyt bezpieczeństwa (wnioskowanie i rekomendacje)

Najtrudniejszą fazą w audycie jest opracowanie jego raportu. Bo to co zrobiliśmy jak do tej pory jeszcze nie jest… audytem (lub nie zawsze jest). Bardziej nazwałbym to KONTROLĄ. Chyba że…

Audyt jako narzędzie zarządcze

Audyt bezpieczeństwa, czy dokładniej – systemu zarządzania ochroną danych, bo to tak naprawdę robimy, jest narzędziem zarządczym. Ma za zadanie dostarczyć wiedzy w dwóch aspektach:

  • Czy w dniu (czasie) realizacji audytu działamy zgodnie z prawem i skutecznie? 
  • Czy jutro też… i pojutrze. I za miesiąc…

To drugie pytanie jest kluczowe i zawsze je stawiam przed rozpoczęciem szkoleń i audytów

Czy system zarządzania gwarantuje swoją skuteczność 

Nie… wcale nie dziś, wczoraj, czy jutro. Czy gwarantuje swoją skuteczność i KROPKA. 

Jak?

Krótka instrukcja:

  • Weź zgromadzone materiały fazy I i II (to są nasze DOWODY z audytu)
  • Sprawdź czy są skuteczne na dziś
  • Poszukaj mechanizmów AKTUALIZACJI i BYCIA NA BIEŻĄCO. W zarządzaniu nazywa się to dostosowywaniem systemu do otoczenia.

RODO

RODO wymaga bycia na bieżąco. Zapewnienia ciągłego bezpieczeństwa danych osobowych, a nie zapewnienia bezpieczeństwa danych w dniu wykonania audytu. Oznacza to, że aby audyt ten wykonać skutecznie, musimy przedstawić informację zleceniodawcy czy jego wdrożony system “jest na bieżąco”. 

Przykłady

Do art 24 – czy wdrożony został system monitorowania zmian prawnych, identyfikacji różnic (gap analisys), opracowania i implementacji zmian.

Przykład: Pani Krysia (kryptonim operacyjny) co pierwszy poniedziałek miesiąca ma zapisane w kalendarzu sprawdzić czy coś się zmieniło (podane ma listy stron do sprawdzenia). Jak się zmienia, idzie do szefa na kawę i referuje. Potem siadają razem i zmieniają zapisy w instrukcjach. W audycie szukamy dowodu, że tak się dzieje. Jak nie mieliśmy jeszcze zmian, to wywiad. A jak były zmiany – prosimy również o okazanie zapisów (maile, notatki, etc). 

Do art 32 – czy poziom zagrożeń się zmienił. 

Przykład: Pisałem już w piątek o tym, nie będę się powtarzał co do szczegółów. Ale mając aplikacje webowe dodajemy sobie kanał RSS (czytniki darmowe lub np. w Outlook) strony, na których autorzy piszą o nowych atakach, formach, etc. A tutaj.. już mamy materiał badawczy. Bo tych zdarzeń ciągle dużo, też w kontekście zagrożeń jak w Morele. Ciągle się dzieje. Adam pisze, Piotr pisze. Łukasz pisze. Borys pisze… Artur też dość entuzjastycznie nawet. 

Podsumowanie

Już na koniec lektury całkowicie niezgodnej z kanonami publikacji internetowej (ilość znaków, zawartość materiału, etc) pewna myśl. Otóż mam nieprzeparte wrażenie, że w przypadku Spółki, audyt na “tu i teraz” zawężony do aplikacji internetowych został nazwany audytem bezpieczeństwa. Można i tak, ale z zastrzeżeniem (pisałem na początku o zakresie). Otóż nazwałbym to “ocena bezpieczeństwa aplikacji webowych na znane metody ataku”.

Bo żeby to był audyt bezpieczeństwa aplikacji w kontekście np. RODO, to… poszukałbym: 

  • dowodu istnienia mechanizmów identyfikacji i rozpoznawania nowych ataków (źródła danych), 
  • dowodu modyfikacji poziomu zagrożeń (jak to PUODO w decyzji nazywa ryzyka), które mogą się zmieniać poprzez zmianę parametru prawdopodobieństwa;
  • inne nie ujęte…

Podsumowanie 2

Naprawdę ta cała jazda wyżej może być włożona w “bieżące monitorowanie”? Chyba, że znów jakieś inne działanie nazywamy audytem…

O autorze

Bo Redakcja kazała dodać. Audytuję od 2000 roku. Bezpieczeństwo danych osobowych (zacząłem w Inspekcji Celnej), informacji (niejawne), bezpieczeństwo fizyczne. W 2007 doszło bezpieczeństwo obiektów szczególnie ważnych dla obronności i zwiększone i duże ryzyko poważnej awarii przemysłowej. 2010 pojawiło się ISO 27001, tajemnica przedsiębiorstwa i inne tajemnice oraz pożarówka. 2012 – bezpieczeństwo żywności (HACCP, BRC, ISO 22000), BHP i ATEX. 

Od 2007 roku pracuję nad własną metodyką, która skróciła audyty średnio z 30 dni nawet do 7 dni roboczych (listy kontrolne, wywiady, ankiety). 

Szkoliłem i szkolę. Wyszkoliłem już dobrze ponad 1000 audytorów różnych branż. Zapraszam do ESSA – Europejska Akademia Bezpieczeństwa i Ochrony na pełne szkolenia.

[stm_post_about_author]

#RODOmaniacy na blogu

[stm_news loop=”size:6|post_type:post|categories:114″ posts_per_row=”3″]

1 KOMENTARZ

Comments are closed.