Szanowni Państwo,
W związku z tym, że jak donoszą branżowe media (serwis odo24.pl) w 2024 roku gwałtownie wzrosła liczba incydentów związanych z bezpieczeństwem danych osobowych, a skala naruszeń dotyczyła milionów osób i obejmowała zarówno podmioty publiczne, jak i sektor prywatny, a przedmiotem ataków były tak istotne zasoby jak bazy danych klientów czy potencjalnych klientów – pragniemy zwrócić Państwa uwagę na potrzebę odpowiedniej ochrony danych osobowych.
Jak donosi serwis odo24.pl „(…) analiza incydentów oraz przypadków ujawnionych w trakcie audytów wskazuje, że większość naruszeń była wynikiem ataków wykorzystujących łatwo dostępne luki w zabezpieczeniach. Cyberprzestępcy posługiwali się powtarzalnymi, schematycznymi metodami, opartymi na niedociągnięciach organizacyjnych i technicznych. Dlatego, jak wskazuje serwis, tradycyjne zabezpieczenia perymetryczne – skoncentrowane na ochronie na obrzeżach systemu – przestają być wystarczające. Konieczne jest wdrożenie podejścia warstwowego, znanego jako „obrona w głąb” (defense in depth), które uwzględnia możliwość, że intruz znajdzie się wewnątrz systemu.” Powyższe podejście polega m. in. na stosowaniu następujących środków ochrony:
• uwierzytelnianie wieloskładnikowe (MFA),
• segmentacja dostępu na podstawie ról,
• rejestrowanie i analizę ruchu wychodzącego,
• wykrywanie nietypowych zachowań w systemie (np. masowego eksportu danych poza godzinami pracy).
Wskazuje się, że zarówno administratorzy danych, jak i podmioty przetwarzające powinni wdrożyć rozwiązania umożliwiające: bieżące śledzenie działań użytkowników i aplikacji w systemie, analizę alertów w czasie zbliżonym do rzeczywistego (near real-time), pozyskiwanie danych dowodowych w razie incydentu, dokumentowanie prób nadużyć i nietypowych aktywności.
W systemach oferujących możliwość eksportowania danych, zwłaszcza w trybie masowym, warto stosować dodatkowe zabezpieczenia ograniczające potencjalny zakres informacji, które mogłyby zostać przejęte przez osobę nieuprawnioną. Takie zabezpieczenia powinny obejmować: limity liczby zapytań (per użytkownik, per aplikacja, per okres czasu), ograniczenia objętości danych możliwych do jednorazowego pobrania, ścisłą kontrolę nad ruchem wychodzącym z systemu – zwłaszcza tam, gdzie dane trafiają poza wewnętrzne środowisko organizacji.
Jak wskazuje serwis, zaleca się projektowanie architektury logowania zgodnie z poniższymi zasadami:
• Separacja systemu logowania – dzienniki zdarzeń powinny być gromadzone niezależnie od głównego środowiska przetwarzania danych (np. w odizolowanym systemie zapisu logów, tzw. log sink), co chroni je przed manipulacją i utratą.
• Celowe i selektywne logowanie – zamiast zapisywać wszystko, warto skupić się na danych przydatnych do analizy bezpieczeństwa, np. na działaniach uprzywilejowanych użytkowników, dostępie do danych wrażliwych, próbach logowania czy manipulacjach przy uprawnieniach.
• Dostosowanie do kontekstu technicznego – zakres logowanych zdarzeń powinien uwzględniać typy urządzeń i komponentów systemu, m.in. stacje robocze, zapory sieciowe, serwery aplikacyjne, systemy bazodanowe czy API.
Nie należy również zapominać o czynniku ludzkim, jako potencjalnym (i w praktyce częstym) źródle naruszeń ochrony danych osobowych. Dlatego równie istotne jak zabezpieczenia informatyczne/techniczne, są działania edukacyjne – regularne szkolenia, kampanie uświadamiające i instruktaże skierowane do użytkowników systemów. Poziom i zakres tych działań edukacyjnych powinien być dostosowane do profilu uczestników. Innych bowiem informacji potrzebują pracownicy operacyjni, innych – programiści, jeszcze innych – kadra zarządzająca czy podwykonawcy. Wskazuje się, że szkolenia powinny skupiać się na: identyfikowaniu najczęstszych błędów, które prowadzą do naruszeń danych (np. używanie tych samych haseł, ignorowanie komunikatów systemowych, otwieranie podejrzanych załączników), pokazaniu realnych przykładów ataków, takich jak phishing czy złośliwe oprogramowanie wykradające dane logowania (infostealery), wdrażaniu procedur bezpiecznego korzystania z systemów i reagowania na incydenty. Nie chodzi tu więc stricte o szkolenia z zakresu przepisów RODO i obowiązków z nich wynikających (chociaż takie oczywiście również powinny się odbywać), ale o regularne szkolenia praktyczne skupione bardziej na wymiarze informatycznych/technicznych zabezpieczeń, obowiązku i sposobu ich stosowania, czy wskazówkach jak identyfikować potencjalne zagrożenia i jak minimalizować ich negatywne konsekwencje.
W razie pytań, służymy wsparciem.
Zespół Kulczycki, Puławska Kancelaria Prawnicza s.c.