Wyciek danych osobowych – co robić?

PrzezMichał Świnoga
wyciek-danych

Niedobrze, dane osobowe naszych klientów wyciekły (albo mogły wyciec, ale pewni nie jesteśmy, o czym za chwilę) – co teraz? Konsekwencje mogą być paskudne, w praktyce najczęściej wcale nie prawne, o ile nie doszło do fatalnych zaniedbań, ale straty wizerunkowe już są trudne do oszacowania. Na szczęście jest szereg dosyć prostych praktyk, które mogą nas uchronić przed koniecznością ujawniania wycieku, a sam proces zgłaszania nie jest wcale tak straszny, jak może się wydawać.

Wyciek danych osobowych – co to właściwie jest?

Po pierwsze, wcale nie musimy mieć pewności, że dane wyciekły, żeby powstała konieczność zgłoszenia do odpowiednich urzędów. Żeby sytuacja była uznana za incydent z punktu widzenia RODO wystarczy:

  • Przyznanie uprawnień do danych osobie, która autoryzowana być nie powinna (np. z zewnętrznego podmiotu)
  • Wykrycie publicznie dostępnego katalogu z danymi osobowymi
  • Przesłanie danych w mailu do błędnego adresata
  • Wykrycie luki w zabezpieczeniach, która pozwalała na dostęp do danych z zewnątrz (szczególnie, jeśli system nie miał odpowiednich logów dostępu)
  • Podzielenie się danymi ze sztuczną inteligencją w prompcie (więcej tutaj)
  • Zniszczenie danych (np. fizyczne spalenie pendrive)
  • Utrata danych (np. kradzież niezaszyfrowanego nośnika)
  • Błędna modyfikacja (przez co dane klienta czy pracownika są niepoprawne)

Pierwsze 5 przykładów jest z kategorii „ujawnienie” i „dostęp”, które potocznie często nazywamy właśnie wyciekiem – i to na nich się skupimy w tym artykule.

Jak wykryć wyciek?

Niestety nie zawsze w ogóle wiemy, że dane zostały ujawnione lub ktoś nieuprawiony uzyskał do nich dostęp. Znane są sytuacje w której dane były bezszelestnie pozyskiwane miesiącami – ale wynika to z reguły z niedopatrzeń, nie z nadludzkich umiejętności przestępców. Jak można się więc dowiedzieć o wycieku?

  • Przyznać się do błędu – np. wysłania maila do błędnego adresata, lub co gorsza do całej grupy adresatów (znana i nielubiana pomyłka DW zamiast UDW)
  • Znajdując anomalię w logach audytowych – np. gdy dany użytkownik przejawia podejrzane wzorce zachowania przeglądając nader dużo danych, szczególnie jeśli ciężko powiedzieć, czemu w ogóle miał do nich dostęp
  • Gdy znajdziemy (a niestety raczej ktoś inny znajdzie) nasze dane na sprzedaż na czarnym rynku
  • Od samych przestępców, jeśli zgłoszą się po okup
  • W ustawieniach pliku czy folderu sieciowego, jeśli niechcący był publiczny, niezaszyfrowany i bez hasła
  • Dzięki narzędziom monitorującym ruch sieciowy
  • Od klientów, jeśli wielu z nich zgłosi, że nie mają ochoty na nową kolekcje garnków, a ciągle dostają nowe telefony i próby phishingu
  • Dzięki audytowi, w tym testom penetracyjnym

Gdzie zgłosić wyciek danych osobowych

Możemy wskazać dwie głównie kategorie – urzędy i poszkodowanych.

UODO

Do UODO zgłaszać musimy naruszenia RODO, czyli wszelkie zdarzenia opisanie w pierwszym akapicie. Na stronie dostępny jest formularz, a o tym jakie szczegóły powinniśmy podać i najlepiej mieć przygotowane przed incydentem. Mamy na to 72 godziny (od wykrycia/podejrzenia, nie wystąpienia) – więc naprawdę warto mieć pod ręką informacje o zabezpieczeniach. I tak będzie gorąco. Za tydzień powiemy więcej na temat tego co przesłać należy. Natomiast pamiętajmy że przytłaczająca większość zgłoszeń nie kończy się karami!

CSIRT

Zespół reagowania na incydenty bezpieczeństwa, w Polsce reprezentuje CERT Polska. Na stronie cert.pl możemy zgłaszać ataki hakerskie czy złośliwe oprogramowanie. Błędnego wysłania maila raczej nie ma po co zgłaszać do tego urzędu.

Ubezpieczyciel

Ubezpieczenie może pokrywać koszty na przykład poinformowania użytkowników, odtworzenia danych czy związane z karami administracyjnymi. Warto sprawdzić czy obecny pakiet obejmuje właśnie incydenty cybernetyczne.

Użytkownicy/Klienci/Pracownicy

Tutaj robi się najbardziej niebezpiecznie. Komunikat, który trafi do konsumentów, zarówno zbiorczy jak i indywidualny, może zaważyć na reputacji. Oczywiście sam fakt wycieku będzie miał nieuchronne negatywne konsekwencje wizerunkowe, ale treścią ogłoszenia możemy nieco załagodzić lub jeszcze pogorszyć sytuację. Warto trzymać się kilku zasad:

  • Im mniej tym lepiej – zbędne szczegóły o wycieku danych to więcej pytań, a użytkownicy interesują się bezpieczeństwem swoich danych
  • Nie snujmy domysłów, jeśli nie mamy dowodów, mogą się zemścić
  • Wiele kanałów komunikacji to wiele okazji do niespójnych przekazów. Warto założyć np. dedykowaną stronę z informacjami o incydencie
  • Język musi być precyzyjny (na przykład w kwestii daty) i nie dawać pola do interpretacji
  • Warto odpowiadać zarówno na wiadomości od mediów jak i samych poszkodowanych. Komunikacja wzbudza zaufanie.
  • Ostatnie i najważniejsze – trzeba przeprosić. Zwalanie winy na inne podmioty to może być bardzo dobry pomysł w komunikacji z urzędem, ale nie klientem. Klient lepiej zniesie skruchę.

Jak się uchronić?

Szczegóły potraktujemy szerzej niedługo, ale najprostszym rozwiązaniem jest szyfrowanie danych. Dotyczy to zarówno baz danych, komunikacji jak i lokalnych dysków, w komputerach i przenośnych. Jeśli zgubimy np. pendrive z danymi klientów, a są one zaszyfrowane, nie musimy ich powiadamiać (ale serio, nie trzymajmy danych klientów na pendrive’ach).

Dużo więcej dowiecie się na szkoleniu:

Jak chronić swoje dane?