#RODOwarsztatIncydenty i naruszenia

Ryzyko w RODO – analiza BOW-TIE

By Grzegorz Krzeminski

Analiza BOW-TIE obrazuje związku zagrożeń, prowadzących do tzw. zdarzenia szczytowego (materializacji zagrożenia) oraz skutków jakie ono niesie dla podmiotu ochrony. Jest wykorzystywana w wielu różnych branżach i sektorach. W odniesieniu do ochrony danych osobowych i oceny ryzyka, Urząd Ochrony Danych Osobowych wspomina ją w 2 części poradnika “Jak stosować podejście oparte na ryzyku”. 

Konstrukcja analizy

Analiza BOW-TIE z webinaru: “Analiza BOW-TIE w ochronie danych”

Analiza składa się z trzech obszarów:

  • Identyfikacji zagrożeń i ich źródeł oraz kombinacji, jakie muszą zaistnieć żeby doszło do tzw. zdarzenia szczytowego. Analiza ta może być prowadzona w oparciu o tzw. analizę znormalizowaną drzewem niezdatności (FTA – fault tree analysis), w oparciu o normę PN-EN 61025 – analiza drzewa niezdatności (FTA). W niektórych opracowaniach analiza nazywana jest analizą drzewa błędów. 
  • Zdarzenia szczytowego, które znajduje się pośrodku grafiki obrazującej analizę.
  • Identyfikacji zdarzeń wynikających ze zdarzenia szczytowego, wykonywanych w formie drzewa zdarzeń. Tu również można zastosować analizę znormalizowaną (ETA – event tree analysis), wykonywaną w oparciu o normę PN-EN 62502 – Techniki analizy niezawodności – analiza drzewa zdarzeń (ETA).

Nazwa analizy pochodzi z zobrazowania, które wygląda jak muszka. Z języka angielskiego bowtie to muszka. 

Wykonanie analizy

Wyżej wspomniane normy są nieco inaczej opisane. O ile drzewo zdarzeń (prawa strona muszki, skutki) jest opisana dość dokładnie co do procesu, o tyle drzewo błędów (niezdatności) jest opisane bardziej z punktu widzenia inżynierskiego i nieco trudniej jest ją wykorzystać. Niemniej w RODO nie ma obowiązku stosowania dokładnie norm, dlatego analiza może zostać zmodyfikowana.

UWAGA: zgodnie z ostatnimi wskazówkami, zawartymi w artykule dotyczącym własnej oceny ryzyka, pamiętać należy, że jeśli stosujemy analizy zmodyfikowane i dostosowane do organizacji, powinniśmy wskazać co i jak zostało zmienione oraz dlaczego.

Zdarzenie szczytowe (top event)

Kluczem wykonania analizy jest prawidłowe określenie zdarzenia szczytowego. W RODO przyjąć można dwa podejścia:

  • Zdarzenie szczytowe jako skutek opisany w art 32 (do analizy ryzyka) lub art 34 (w przypadku wykorzystania w dynamicznej ocenie naruszenia ochrony);
  • Zdarzenie szczytowe jako utrata atrybutów bezpieczeństwa lub przetwarzanie z naruszeniem przepisów. 
Sugestia

W wykonywanych analizach wykorzystywałem podejście z utratą atrybutów i/lub naruszeniem przepisów. Wynikało to z literalnego czytania definicji naruszenia ochrony danych. 

„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

Oznacza to, że zdarzenie, klasyfikowane jako naruszenie prowadzi do skutków takich jak nieuprawnione ujawnienie, czy dostęp, zniszczenie, utracenie, etc. Oczywiście można użyć jako zdarzenia szczytowego wskazanych skutków w postaci właśnie ujawnienia, zniszczenia, czy utraty. Niemniej za klasyfikacją opartą o naruszenie przemawiają dwa argumenty:

  • Spójność skutków – nie mamy różnego podejścia w dwóch działaniach, w których BOW-TIE może być wykorzystane. A więc inaczej w szacowaniu i ocenie ryzyka a inaczej w naruszeniu ochrony danych;
  • Szybkość obsługi naruszenia – w przypadku jednolitości w analizach, do estymowania potencjalnego skutku naruszenia, jakie wystąpiło w pierwszej kolejności podstawiamy skutki, jakie wcześniej już oszacowaliśmy. Dzięki temu uzyskujemy po pierwsze szybkość, a po drugie mamy od razu zaplanowane środki mitygujące ryzyko. 

Drzewo niezdatności (drzewo błędów) 

Po tej stronie wykonujemy analizę zagrożeń (lewa strona muszki). Czyli rozważamy, jakie przyczyny i ich kombinacje mogą doprowadzić do:

  • Utraty dostępności;
  • Utraty poufności;
  • Utraty integralności (przetwarzania nieprawidłowych danych);
  • Przetwarzania niezgodnie z przepisami. 

Co do zasady tego typu analizy w organizacji już powinny istnieć. Powinna być wykonana analiza zagrożeń pożarem lub innym zdarzeniem miejscowym. Analiza w zakresie ochrony fizycznej, związana z zagrożeniem kradzieżą, dewastacją, czy dostępem osób nieuprawnionych. W przypadku jeśli nie istnieją takie analizy, należy je wykonać, aby wiedzieć co może doprowadzić do czterech wymienionych wyżej skutków, zarówno w przypadku zagrożeń jednoźródłowych jak i wieloźródłowych (kombinacja zdarzeń, prowadząca do zdarzenia szczytowego). 

Drzewo zdarzeń (prawa strona muszki)

Z tej strony (prawa strona muszki) mamy już do czynienia z nową jakością ochrony danych osobowych. O ile analizę zagrożeń do zdarzenia szczytowego powinniśmy prowadzić już w oparciu o przepisy Ustawy o ochronie danych osobowych z 1997 roku, aby wykazać zgodność z art 36 (ochrona odpowiednia do zagrożeń) o tyle RODO wprowadziło szacowanie ryzyka dla osób których dane dotyczą. Dla skutków, czyli analizy drzewem zdarzeń mamy już wskazany w normie przebieg:

  • Identyfikacja procesu bądź aktywności, która będzie poddana analizie (przetwarzanie danych osobowych);
  • Identyfikacja zdarzeń, które mogą doprowadzić do skutków czyli przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – w preferowanym przeze mnie podejściu zdarzeniem będzie utrata atrybutów lub przetwarzanie niezgodne z przepisami;
  • Identyfikacja czynników łagodzących (mitigation factors), czyli środków łagodzących skutki. WAŻNE! To jest ogromna zaleta analizy, bo wskazuje wprost na działania, jaki organ nadzorczy wymaga. W wielu przypadkach w opisach wymaganego działania organy “zapominają”, że ryzyko jest kombinacją prawdopodobieństwa i skutku i wskazują na konieczność łagodzenia (mitygacji) ryzyka. Wskazanie opisu w tej strukturze jest działaniem potwierdzającym rozważenie po stronie administratora czy procesora działań, w modelu wymaganym przez organ. 
  • Definiowanie sekwencji zdarzeń i ich kwantyfikacja. UWAGA NA CZERWONO, bo to jest ideą ROOD. Skutki muszą być oszacowane w konkretnych sekwencjach, czyli następujących po sobie kolejnych skutkach. Oznacza to, że szacowania i oceny ryzyka nie kończymy na stwierdzeniu “zniszczenie danych”, ale musimy kontynuować sekwencję w celu zidentyfikowania skutku dla osoby której dane dotyczą. Dla niej ważny jest SKUTEK zniszczenia danych, a więc następuje kolejny krok w sekwencji, aż do zidentyfikowania naruszenia praw i wolności. Kwantyfikacja natomiast jest tym, co w RODO jest określane “poważnością” ryzyka, czyli tym, czy są to poważne ryzyka naruszenia praw i wolności. Co ważne, aby dobrze zrealizować analizę drzewem zdarzeń warto mieć przygotowany katalog praw i wolności, które pojawią się na końcu sekwencji. Źródłem katalogu może być Konstytucja i prawa i wolności w niej zawarte, czy katalog wskazany w motywie 75 RODO. 
  • Analiza danych wyjściowych. W tym etapie, już nie na grafice, a w materiałach pomocniczych oceniamy, czy środki łagodzące są wystarczające do zaradzenia potencjalnym skutkom. 
  • Wykorzystanie analizy – na tym etapie następuje wprowadzenie działań. W postępowaniu z ryzykiem może to być oparte o plan postępowania z ryzykiem, w innych modelach będzie to strategia bezpieczeństwa, rozpisująca działania niezbędne do podjęcia, aby zmitygować ryzyko, z planem wdrożenia (przecież nikt nie dysponuje nieograniczonym budżetem, a pracę trzeba wykonać). 

Przykład:

Grafika tytułowa pochodzi z ostatniego webinaru z wykorzystania analizy BOW-TIE. Nie jest w żaden sposób poprawiana, ani doskonalona, jest to efekt dyskusji grupy. Celem takiego przedstawienia modelu pracy jest wskazanie zasad pracy z ryzykiem, czy naruszeniami:

  • Nigdy za pierwszym razem nie uzyskasz ostatecznego efektu;
  • Opis wszystko, nawet jeśli nie wygląda to sensownie. Potem może zacząć;
  • Notuj etapy, nigdy NIE NADPISUJ!!! Może się okazać, że kolejna sesja szacowania i oceny ryzyka, wykaże, że poszliście złą drogą i trzeba wrócić o krok. Przy czym “powrót” może odbyć się nawet po kilku tygodniach, czy miesiącach (np. zmiana stanowiska GR 29, PUODO, czy wytycznych branżowych). 

Opis:

Zdarzenie szczytowe dotyczy utraty danych przechowywanych w firmowym archiwum. Zniszczeniu uległy:

  • W pierwszym wariancie ćwiczenia – w wyniku zalania
  • W drugim wariancie ćwiczenia – w wyniku nieprawidłowych parametrów środowiskowych dla archiwum tradycyjnego

Sekwencja wskazywana będzie kolejnymi numeratorami.

Przyczyny (drzewo błędów/niezdatności)

Zła lokalizacja 

  • Błąd człowieka
    • Brak wiedzy co do wymagań
  • Siły natury (podtopienie)
    • Brak wiedzy co do zagrożeń
      • Brak eksperta w zespole na etapie analizy zagrożeń dla lokalizacji. 

Nieprawidłowe parametry środowiskowe (temperatura, wilgotność, oświetlenie)

  • Brak wiedzy
    • Błąd człowieka
  • Awaria techniczna
    • Zła konserwacja
      • Błąd człowieka (brak wiedzy)
    • Brak przeglądów
      • Zły wybór dostawcy usług
        • Błąd człowieka
    • Brak wymagań dla archiwum
      • Błąd człowieka (brak wiedzy)

Zabezpieczeń na zagrożenia w tym artykule już nie będziemy mapować ze względu na jego objętość. Zabezpieczeniom poświęcimy odrębny artykuł. 

Skutki (drzewo zdarzeń)

Utrata należnych świadczeń (wypracowanych, poprzez brak możliwości potwierdzenia okresów składkowych)

  • Obniżone środki finansowe
    • Problem z regulacją płatności
      • Utrata lokalu (eksmisja)
    • Problem z zakupoem leków (uwaga – ważny jest KONTEKST przetwarzania!!! A więc również otoczenie, w jakim dochodzi do skutku, w tym kwestie związane ze zmianami w lekach refundowanych). 
      • Utrata zdrowia
  • Żal (tak, jak najbardziej), jako skutek pozafinansowy, w kategorii psychicznych skutków.
    • Obniżona samoocena

WAŻNE! W wielu przypadkach oceny skutków analitycy szacują odczucia osobiste osób, kwestie związane z obniżeniem dochodu np. o 100 pln w odniesieniu do SWOJEJ sytuacji. Jest to istotny błąd, bo ocena powinna odnosić się do osób, których dane dotyczą, kontekstu przetwarzania, etc. 

Podobnie jak w obszarze zagrożeń (drzewo błędów/niezdatności) środki łagodzące (mitygujące) skutki opiszemy w artykule dedykowanym. 

Zastosowanie analizy

Analizę BOW-TIE możemy stosować do:

  • Oceny ryzyka związanego z przetwarzaniem danych osobowych
  • Analizy DPIA (realnej, nie mieszanej analizy naruszenia ochrony danych z naruszeniem prywatności, jak ma miejsce przy stosowaniu PIA – PRIVACY impact assessment do DPIA – data PROTECTION impact assessment). 
  • Wsparcia obsługi w naruszeniach ochrony danych

Podsumowanie

Model BOW-TIE, nawet jeśli nie jest wykonany jako analiza, a jako wsparcie w zakresie mapowania, pozwala na spojrzenie na ochronę danych osobowych z bardzo szerokiej perspektywy. Pozwala na prezentację najważniejszym osobom (zarządzającym podmiotem) na zależności między danymi osobowymi, procesami, zagrożeniami, podatnościami, z efektami jakie mogą nastąpić. 

Grzegorz Krzeminski
Grzegorz Krzeminski
Od ponad 22 lat związany z ochroną danych osobowych. Zaczynał od administracji rządowej i samorządowej. Od 2007 roku na rynku komercyjnym w Polsce i Wielkiej Brytanii. Doświadczony audytor, doradca, wdrożeniowiec i trener. Pracował dla firm dużych i małych, krajowych i międzynarodowych również tych, których działanie związane było z transferem danych do państw trzecich. Rozwija Metodykę Audytu Bezpieczeństwa oraz standardy związane z oceną ryzyka. Wyszkolił ponad 200 osób do pracy jako Inspektor Ochrony Danych.
Poprzedni artykuł
Własny system analizy ryzyka w RODO?
Następny artykuł
#STOPRÓZGOM! – życzenia świąteczne

Ostatnio dodane

Przeczytaj koniecznie!

RODOmaniacy - strona marki zarządzanej przez Instytut Bezpieczeństwa i Informacji sp. z o.o. Więcej inforamcji znajdzesz w zakładce kontakt.

Ważne strony

Na skróty

Najnowsze na stronie

© RODOmaniacy. Od 2018 roku.