0.00 zł

Brak produktów w koszyku.

NSA vs UODO w sprawie Morele

#RODOedu#RODOwarsztatHOT!Setka!
By RODOmaniak
12 min. read

W artykule:

  • Znajomość procesu szacowania i oceny ryzyka nie oznacza posiadania wiedzy fachowej z zakresu zagrożeń i stosowanych zabezpieczeń.
  • Zagrożenia, podatności oraz zabezpieczenia i ich ocena to rola osób specjalizujących się w tej dziedzinie, często posiadających uprawnienia państwowe.
  • Ocena systemu polega na sprawdzeniu poprawności implementacji procesu zarządzania ryzykiem, a nie na ocenie obszarów, w których inspektor, audytor czy kontroler nie mogą wykazać się wiedzą fachową. 

Wprowadzenie

Głośny wyrok NSA w sprawie Morele, w którym wskazano, że urzędnicy Urzędu Ochrony Danych Osobowych mogą nie mieć stosownej wiedzy rozszedł się echem nawet większym niż dyskusja o tym, czy numery rejestracyjne są danymi osobowymi. W dzisiejszym artykule postaram się przybliżyć na czym polega szacowanie i ocena ryzyka oraz o co może chodzić NSA (raczej wiem, ale to w podsumowaniu).

Dokonam tego opisu na podstawie „Poradnika – jak stosować podejście oparte na ryzyku – cz. 2” wydanego przez Urząd Ochrony Danych Osobowych w 2018 roku.

Strona 21 przedstawia grafikę nazwaną w Poradniku „Czynniki wpływające na ryzyko i związki między nimi. Wg PN-I-13335:1999”. W oryginale ta grafika w normie ma tytuł: „związki w zarzadzaniu ryzykiem”.

W publikacji tej Urząd pominął kolejne grafiki, które są kluczowe dla zrozumienia procesu szacowania i oceny ryzyka (nie analizy).

Są to:

Widok od strony zagrożenia:

Obrazuje on w jaki sposób oddziałują zagrożenia. Oddziałują bezpośrednio na zasoby i stanowią wymagania w zakresie ochrony. Proszę zwrócić uwagę, że w tej grafice zacienione (nie ma nazwy w polu) jest ryzyko. Wynika to z tego, że już same zagrożenia wskazują na wymagania w zakresie stosowanej ochrony, co nieco wyprzedzając jest istotą sporu między NSA i UODO.

Widok od strony podatności:

Podatności to drugi aspekt, który podobnie jak zagrożenia wskazuje na wymagania w zakresie ochrony, również pomijając na chwilę obecną ryzyko.

A co na to RODO?

Tu należy się zatrzymać na chwilę. Wiele osób zajmujących się RODO i komentujących wymagania wskazuje, że w RODO należy stosować podejście oparte o ryzyko. W tym ujęciu podejścia od zagrożeń i podatności oraz wartości (za chwilę o tym) wymaga pełnego procesu szacowania i oceny ryzyka. A więc również zagrożeń i podatności.

Jest jeszcze drugi aspekt. RODO w swoim podejściu nie zezwala na zdarzenia (incydenty i naruszenia) ochrony danych osobowych, które w pierwszym skutku powodują utratę atrybutów (poufność, dostępność czy integralność).

A więc tym bardziej zagrożenia oraz podatności powinny być rozważane, tym bardziej że są to działania, które później należy wykazywać przy zgłoszeniu naruszeń (działania podjęte, aby do naruszenia nie doszło).

Widok od strony wpływu:

Wracając do wpływu i ryzyka. Prosty przykład – utrata 5 złotych vs utrata 500.000 złotych. Zasób warty 500.00 generuje większe ryzyko. Ujęcie finansowe pokazuję, ponieważ UODO w swoim poradniku (str. 8) wskazał składowe dla administratora (sic!) zamiast dla osoby, której dane dotyczą.

Poprawne wartościowanie (bo o tym mowa) polega na ocenie na podstawie kontekstu przetwarzania oraz zakresu danych osobowych (co najmniej) istotności tych danych z punktu widzenia osoby, której dane dotyczą. RODO zawiera już wstępne wartościowanie dzieląc dane na dane zwykłych kategorii (niewyrażone formalnie), dane szczególnych kategorii (opisane w art. 9) oraz dane, które potocznie nazywam – „super-szczególnych kategorii”, a więc dane o skazaniach i naruszeniach prawa. Oprócz tego wartościowania należy również pochylić się nad zestawami danych przetwarzanych do różnych celów (wcześniej w różnych zbiorach), ponieważ jako zestaw mogą być dla osoby bardziej lub mniej wartościowe.

Wartościowe – oznacza, że ich ujawnienie dla przykładu, może powodować skutek, który już będzie w kategorii naruszenia praw i wolności.

To były fundamenty procesu szacowania i oceny ryzyka, czas przejść do wyjaśnienia kolejnych etapów i odpowiedzieć sobie, kto i za co odpowiada. A w kontekście ostatnich niesnasek wyjaśnić może nie tyle, kto ma rację, ale gdzie jest największy problem w szacowaniu i ocenie ryzyka w RODO.

Proces szacowania i oceny ryzyka

W Poradniku znajdziemy niemalże pełny proces szacowania i oceny ryzyka. Jest to struktura rozdziału 3 (grafika)

W tym procesie brakuje rozbicia w ryzyku poziomu prawdopodobieństwa i skutku. Cytat z RODO (art. 24 i 32):

ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia

Dziś w ryzyko dla osoby wchodzić nie będziemy za bardzo, ponieważ nie tego dotyczy pewna niezgodność między organem a sądem. Samo logowanie osoby i możliwość przejęcia konta, w tym logowanie z wykorzystaniem prosty metod logowania (bez 2FA czy MFA) jest zagrożeniem.

W RODO jest opisane jako „nieuprawniony dostęp”. Z nieuprawnionego dostępu (jako zagrożenia) wystąpić mogą skutki, zależne od:

  • Podatności zasobów na działanie osoby nieuprawnionej (utrata poufności, dostępności i integralności – ponieważ nikt z włamujących się nie wypełnia oświadczenia, że chce się tylko zapoznać).
  • Wartości zasobów z punktu widzenia ryzyka – tu szacowane dla osób których dane dotyczą (nie jak błędnie wskazał Poradnik, o czym napisałem wyżej).

Rozpatrując więc zagrożenie, należy wrócić do grafiki wskazującej związki ryzyka z zagrożeniem, a następnie podatnościami i rozważyć. Zakres tego działania UODO również opisał w Poradniku:

Posiadając listy aktywów informacyjnych, wykaz zidentyfikowanych zagrożeń oraz zastosowanych zabezpieczeń, można przeprowadzić identyfikację podatności na urzeczywistnienie się określonych zagrożeń. Istotne jest to, że istnienie podatności nie powoduje jeszcze żadnej szkody. Może ona powstać dopiero po zmaterializowaniu się zagrożenia, które wykorzysta daną podatność.

Istota sporu

Zagrożenia w Polsce stanowią podstawę wielu systemów, które z RODO są powiązane. Powódź, pożar, włamanie (celowe działanie człowieka), zwarcie instalacji technicznych to nie domena RODO, a stosownych przepisów. Specjaliści, dalej zwani branżystami odpowiadają za swoje działania w organizacjach, budując swoje systemy zarządzania ochroną. Są to między innymi:

  • Ochrona przeciwpożarowa, która z definicji zawiera ochronę przed pożarem oraz innym zagrożeniem miejscowym (w tym powodzie nie będące klęskami żywiołowymi, zalania, osuwiska, intensywne opady, ekstremalne temperatury i zjawiska pogodowe np. wiatr).
  • Ochrona osób i mienia, które zadaniem jest ochrona przed przestępstwami, wykroczeniami przeciwko mieniu i osobom oraz przed nieuprawnionym wejściem. Dane osobowe są na nośnikach danych, same nie występują, co oznacza, że ocena zagrożenia zniszczenia danych wiąże się z oceną zniszczenia, utraty (w wyniku kradzieży) nośnika (komputera, akt).
  • Ochrona przed przepięciami i zwarciami (pojawiło się w poradniku) to zadania służb utrzymania ruchu lub zarządzających budynkami (facility management). W tym kwestia odpowiednich pomiarów w okresach wskazanych prawem.
  • Stan budynku, jako pełny (instalacje, struktura) to z kolei Prawo budowlane i warunki dopuszczenia budynku do użytkowania.
  • Bezpieczeństwo IT – wyłączę na koniec, do szczegółowego omówienia.

Wszystkie wyżej wskazane obszary realizują osoby, które posiadają uprawnienia w zakresie realizacji zadań organizacji ochrony w danych obszarach. Państwowe uprawnienia. A w ramach zadań wykonują:

  • Analizę zagrożeń w swoich zakresach
  • Dobór środków ochrony, aby do zdarzenia nie doszło
  • Ryzyko szczątkowe – ocena (dla ryzyka branżowego) czyli co jeszcze może się zadziać po wdrożeniu zabezpieczeń

Środki ochrony obejmują:

  • Działania człowieka (czyli procedury, instrukcje czy polityki, zmierzające do wykrycia, ujawnienia, reakcji na zagrożenie).
  • Zabezpieczenia technicznego – mechanicznego w postaci urządzeń i narzędzi minimalizujących zagrożenie (czy to możliwość, czy to jego siłę, czy opór).
  • Zabezpieczenia elektronicznego (systemów monitorowania, wykrywania, stawiania oporu)
  • Zabezpieczeń budowlanych (najczęściej w ochronie ppoż, jako oddzielenie ppoż serwerowni, archiwum etc.).

W gestii tych specjalistów jest również ocena skuteczności stosowania zabezpieczeń.

A gdzie jest tutaj ochrona danych osobowych?

Jest odbiorcą tych informacji. Zadaniem jest przyporządkowanie miejsc, skali zagrożenia, możliwości wystąpienia do miejsc, w których przetwarzane są dane (w tym przechowywane). Do tego celu konieczne jest rozpatrzenie środowiska fizycznego jako elementu kontekstu przetwarzania i środowiska IT. Środowisko fizyczne i IT jest już obowiązkowe w cyberbezpieczeństwie, a w nowej dyrektywie NIS 2 jeszcze bardziej podkreślone.

A jak to jest w bezpieczeństwie IT?

Można powiedzieć sloganem – każdy zna się na IT. Dziś:

każdy zna się na cyberbezpieczeństwie.

Może jednak nie każdy? Czym jest działanie „bezpieczników” od IT?

Podobnie jak w przypadku powyższych osób, przy czym tutaj bardziej występuje rola, nie konkretne wymaganie. W wielu organizacjach zarządzanie IT i jego bezpieczeństwem jest outsourcowane. Zasady są dokładnie takie same.

Postawiona jest sieć, systemy, urządzenia. Ktoś je zbudował (jak budynek w przypadku bezpieczeństwa fizycznego). Określając wstępne wymagania bezpieczeństwa oraz tym administruje.

Czy jest to ta sama osoba, która analizuje zagrożenia dla systemów, sieci, urządzeń, aplikacji?

Zdecydowanie nie, bo tych aplikacji, systemów, rozwiązań jest wiele. To jakby wiele budynków w jednym. Poniżej przykładowa lista systemów (nawet nie sieci), które tworzą środowisko IT. Nie jest pełna, jest przykładowa:

  • Strona internetowa
  • Usługi pocztowe
  • Repozytoria plików
  • System kadrowo-płacowy
  • Systemy wymiany informacji

Stron internetowa – krótkie kompendium

W krótkim artykule nie jestem w stanie napisać wszystkich obszarów związanych z bezpieczeństwem strony internetowej, systemów, na których jest oparta. Nie o tym jest to też artykuł, raczej ma być wprowadzeniem. Poniżej kilka kategorii związanych z zagrożeniami i tym, gdzie oceniać podatność i co jeszcze oceniać. Dodam też role czy też funkcje (wymagania) niezbędne do oszacowania i oceny ryzyka dla danych osobowych, nadal w obszarze analizy zagrożeń.

Środowisko IT:

  • Serwer – maszyna. Zagrożenia fizyczne (z kategorii wyżej wymienionych czyli fizyczne, zasilanie, pożar, włamanie, dostęp do systemu za pomocą laptopa nawet – tak, też powinno być rozważone).

Wymagania: specjalista ds. bezpieczeństwa urządzenia, postawienia go w szafie w serwerowni czy wynajęcia usługi chmurowej. We współpracy z „bezpiecznikami” od fizycznej, ppoż, utrzymania budynku, zasilania.

  • Serwer – aplikacja. Apache2, Nginx coś od Microsoft. To są struktury plików, uruchamiane procesy, otwarte porty. Ale również dostępność serwera z miejsca, w którym ma być dostępny.

Wymagania: administrator serwera (jako „aplikacji”), administrator sieci (konfiguracja routerów, switchy, portów). Specjalista ds. bezpieczeństwa serwerów i sieci (skanowanie, monitorowanie usług, etc.)

  • Strona WWW – system plików, który odpowiada za to co widzimy w ujęciu wizualnym oraz baza danych, która odpowiada za treść „ubraną” w wygląd (to naprawdę w skrócie).

Wymagania: administrator strony, odpowiadający za poprawną konfigurację strony oraz administrator baz danych (choćby proste kodowanie bazy, które może spowodować krzaki), specjalista ds. bezpieczeństwa aplikacji, w języku w jakim strona stoi (najczęściej PHP), spec ds. bezpieczeństwa baz danych (tu również przeważa SQL).

Na tym zakończę, choć jeszcze jest SSL i jego poprawna implementacja, jest jeszcze kwestia wtyczek i analizy kodu i całej masy innych rzeczy, które powodują, że zagrożenia mogą się zmaterializować. Każda wtyczka, aktualizacja, łata może coś innego otworzyć.

Audytor, kontroler, inspektor

Gdybyśmy przyjęli założenie, że osoba kontrolująca, audytująca czy wykonująca inspekcję może dyskutować o wynikach analizy zagrożeń i wdrożonych środkach ochrony i oceniać, że są właściwe czy nie, to musielibyśmy przyjąć, że ma wiedzę i doświadczenie w zakresach oceny zagrożeń, doboru i oceny zabezpieczeń w obszarach:

Środowiska fizycznego i jego bezpieczeństwie i ochronie (fizyczne bezpieczeństwo strony)

  • Ochrona przed pożarem – zagrożenia, podatności, wdrożone zabezpieczenia, ryzyko resztkowe
  • Ochrona przed innym zagrożeniem miejscowym – j.w. – nie będę powtarzał.
  • Ochrona przed kradzieżą, włamaniem, zniszczeniem – niezależnie od tego, kto tego dokonuje
  • Ochroną przez zagrożeniami pochodzącymi z techniki (instalacje i urządzenia), z uwzględnieniem specyficznych wymagań (zasilanie, HVAC, Internet

PS nie wrzucałem tu środowiska fizycznego i zagrożeń związanych z miejscem, z którego pracują admini.

Środowiska IT i bezpieczeństwie w sieci (nie do końca jest to cyberbezpieczeństwo, a formalnie cyberochrony)

  • Ochrona serwera WWW – zagrożenia, podatności, wdrożone zabezpieczenia, ryzyko rezydualne (tu się inaczej nazywa, ale to jest to samo)
  • Ochrona serwera bazodanowego (o tym nie pisałem, ale wrzucam. Podobnie jak serwer WWW)
  • Ochrona bazy danych (tej konkretnej)
  • Ochrona aplikacji, na której stoi strona

Idea biegłego

Cała treść powyżej ma na celu wskazanie tego, co NSA wyraził w swoim wyroku. Gdy oceniający (audytor, inspektor, kontroler) w zakresie swojej ogólnej wiedzy widzi, że coś mu nie gra powołuje:

  • W audycie – eksperta technicznego,
  • W Kontroli, inspekcji, postępowaniu sądowym – biegłego.

Jak więc kontrolować, audytować czy wykonywać inspekcje?

Zacznijmy od tego, że audytor, inspektor, kontroler nie musi posiadać uprawnień do wykonywania czynności jak powyżej. Nie realizuje tych zadań, a jedynie sprawdza ich poprawność.

Sprawdza poprawność – to jest najważniejsza fraza. Istotą oceny nie jest to, czy zgadzamy się z jej wynikami czy nie. Czas pracy w organizacji kontrolerów, inspektorów czy audytorów jest zbyt krótki, aby poznać organizację, zrozumieć jej procesy na tyle dobrze, aby oceniać. Standardowy czas szacowania i oceny ryzyka, wynikający z doświadczenia w bezpieczeństwie fizycznym, ochronie informacji, RODO, pożarówce czy ATEX to około 2-3 miesiące. To czas na zgromadzenie informacji, czasem pozyskanie ich z zewnątrz.

Na koniec

Znajomość procesu szacowania i oceny ryzyka nie oznacza wiedzy fachowej i merytorycznej w zakresie zagrożeń, wymagań dla zabezpieczeń, skuteczności zabezpieczeń ich podatności na zagrożenia (zabezpieczenia też się ocenia z pkt. widzenia podatności).

Znajomość procesu oznacza tylko o AŻ tyle, że wiem co sprawdzić. Na co poszukać dowodów. A tam, gdzie brakuje mi wiedzy fachowej – poszukać eksperta.

I o to moim zdaniem chodziło Naczelnemu Sądowi Administracyjnemu.

 

 

 

 

Najnowsze

Podobne artykuły

© RODOmaniacy by Grzegorz Krzemiński | Polityka prywatności | kontakt: info(małpka)rodomaniacy.pl