Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Pracownik zgubił pendrive z danymi osobowymi / finansowymi jednego pracownika. Kara z RODO: ~240 000 zł.
O zdarzeniu poinformowała UODO sama firma – Res-Gastro M. Gaweł Sp. k. z Kolbuszowej (firma w szczególności prowadzi kilka lokali McDonalds). Poniżej kilka fragmentów z informacji przekazanych przez UODO:
❌ „Pracownik tej firmy zgubił pendrive’a, na którym znajdowały się niezaszyfrowane pliki zawierające dane osobowe innego pracownika, a mianowicie:
imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Na pendrive’ie znajdowały się też zaszyfrowane pliki z danymi finansowymi.”
❌ „O tym, jak szyfrować pliki, firma informowała pracowników na filmie instruktażowym. A to, jak zauważył UODO, przerzucało na nich odpowiedzialność za sposób przetwarzania danych.”
❌ „Prezes UODO ustalił, że firma źle oceniła ryzyko dla danych. Założono, że nośniki danych mogą być skradzione albo zniszczone – nie wzięto jednak pod uwagę tego, że nośnik można po prostu zgubić bez złych intencji.”
❌ „Firma nie dopełniła obowiązku regularnego mierzenia, testowania i oceniania skuteczności zastosowanych środków bezpieczeństwa.”
Swoją drogą, nawet biorąc pod uwagę przychody firmy, kara wydaje się być spora (szczególnie biorąc pod uwagę, że firma sama zgłosiła incydent; warto też pamiętać że kara może być ustalona na podstawie przychodów danej firmy). Co o tym myślicie?
Kilka rad na koniec:
- Pendrive-y można szyfrować np. Bitlockerem (dostępny w Windows Pro). Można też utworzyć archiwum (np. 7zip). Z odpowiednio bezpiecznym hasłem
- Pamiętaj o odpowiednio silnym haśle do szyfrowania pendrive-a (minimalnie > 12 znaków, idealnie >= 15 znaków; 3-4 sklejone ze sobą losowe słowa wystarczą). Hasło możesz zapisać w managerze haseł.
- Nie używaj prywatnych pendriveów do przenoszenia danych firmowych
- Nie korzystaj prywatnej skrzynki pocztowej (prywatnego google drive czy podobnych mechanizmów) do przechowywania danych (maili) firmowych ( taki „pendrive w chmurze”)
- Jeśli zauważyłeś jakieś wrażliwe dane na pendrive (nieszyfrowane), to można je usunąć za pomocą „pełnego formatowania” (prawy przycisk myszy na ikonie pendrive-a; domyślnie zaznaczone jest „szybkie formatowanie” – które nie usuwa danych)
- Od strony administracyjnej (IT) – można rozważyć całkowite zablokowanie portów USB
- Warto też od czasu do czasu testować czy wiemy jak postępować z danymi wrażliwymi (np. jak w bezpieczny sposób przesłać e-maila do kontrahenta, jak dostarczyć mu dane osobowe wymagane do realizacji umowy, etc).
~ms
1. Macie jakieś bezpańskie „Moż” na wyliczance.
2. Czy pełne formatowanie pena faktycznie nadpisze dane?
3. A w ogóle to UODO oszalało.
Co do tych „kilku rad na koniec”, to miałbym zastrzeżenia:
„Pendrive-y można szyfrować np. Bitlockerem (dostępny w Windows Pro). Można też utworzyć archiwum (np. 7zip). Z odpowiednio bezpiecznym hasłem”
Otóż, można szyfrować także md-crypt/LUKS na systemach UNIXopodobnych (UNIX, Linux, BSD, Android, MacOS X) oraz VeraCrypt który jest na wszystkie powyższe i na Windows. BitLocker typowo Windowsowy, jest tylko jedną z możliwości;
„Jeśli zauważyłeś jakieś wrażliwe dane na pendrive (nieszyfrowane), to można je usunąć za pomocą „pełnego formatowania” (prawy przycisk myszy na ikonie pendrive-a; domyślnie zaznaczone jest „szybkie formatowanie” – które nie usuwa danych)”
To już brzmi bardzo dziwnie. Bo od kiedy to formatowanie usuwa bezpowrotnie dane? Metodami informatyki śledczej można przecież takie dane odzyskać. Żeby dane usunąć bezpowrotnie, czyli naprawdę bezpiecznie, trzeba je zamazać a nie sformatować nośnik. Dodam że inaczej się zamazuje dane na nośnikach magnetycznych, a inaczej na pendrive’ach i dyskach SSD, ze względu na ich budowę i sposób zapisu danych.
Piąta rada urywa się na „Moż”… To było pisane na kolanie? Co to ma być? xD
Nie mogę się zgodzić co do punktu drugiego Twojej odpowiedzi. Pełne formatowanie, czyli formatowanie z odznaczoną opcją „szybkie” nadpisuje wszystkie dane zerami. Podczas gdy talerzowe dyski twarde osiągały rozmiary megabajtów, możliwe było w niektórych przypadkach odzyskanie danych – w miejscach gdzie była jedynka pozostawał słabszy magnetyczny ślad po nadpisaniu ich. W obecnych czasach ze względu na gęstość upakowania na dyskach twardych odzyskanie nawet po jednokrotnym nadpisaniu (nie jest ważne czy zerami za pomocą pełnego formatowania, czy też losowymi jedynkami przez zmyślny algorytm) dane są niemożliwe do odzyskania. Podobnie jest z danymi na dyskach flash – pendrive, karty pamięci, wszelkie dyski ssd – z tym, że elektroniczne komórki pamięci nie mają pozostawionego śladu po danych jak to może mieć miejsce w przypadku dysków twardych. Nadpisanie zerami czyści całkowicie pamięć. Ponadto warto zwrócić uwagę na wykorzystanie funkcji TRIM w dyskach SSD – sprawia ona, że dane które zostały usunięte z dysku automatycznie są nadpisywane zerami, także nawet takich danych nie ma możliwości z nich odzyskać.
Część osób pewnie nie przeczyta decyzji, więc warto zwrócić uwagę, że 240 000 zł to nie jest kara za jednorazowe zgubienie pendrive’a.
Kara jest nałożona za to, że firma była świadoma zagrożenia, ale zamiast wdrażać zabezpieczenia, przerzuciła odpowiedzialność na kogo innego i udawała, że wszystko gra. Sytuacja typowa: monit wysłany, ticket odhaczony, więc problemu nie ma.
Co do wysokości kary: 0.21% rocznego przychodu ze sprzedaży. Kara jest na poziomie takim, jakby osoba zarabiająca minimalną krajową dostała 80 zł mandatu.
Kara niesprawiedliwa. Wysokość kary za duża. Firma postąpiła uczciwie i sama zgłosiła naruszenie. Super zachęta dla innych. Wygląda to jak typowe wyrobienie sobie normy kar. Może powinni zacząć od karanie urzędników, którzy w takich przypadkach są bezkarni, bo rodo na nich nie działa.
240k zł kary za dane jednej osoby podczas gdy np. Morele zapłaciło promocyjne 1,27zł za każdą z 2.2mln osób.
„Trele” morele dzięki dobrym papugom się wyślizgało.
Pisali o tym niebezpieczniki
https://niebezpiecznik.pl/post/morele-wyrok-nsa-uodo-65000/
A mogli nic się nie przyznawać, palić głupa i czekać aż pracownik dostanie telefony ze spamem. No i zmienić nazwę firmy na morele…
To jest chore.
Za dane jednej osoby 240k pln a tymczasem z różnych serwisów wyciekają gigabajty jak nie terabajty, dane setek tysięcy jak nie milionów osób i nikt tym sobie głowy nie zaprząta.
Urząd lepiej by się skupił na wytycznych jak konkretnie postępować, niż na karaniu na podstawie predykcji wstecznej (że skoro dane wyciekły, to znaczy że analiza ryzyka była niewłaściwa i trzeba było zrobić inaczej niż firma zrobiła). Bo tak, to przypomina tzw grę w kruche ciasteczka, w której niezależnie od wysiłku nie da się wygrać z prowadzącym grę.
Urząd jest od tego, żeby karać. Reszta będzie się bała i podejmie kroki, żeby nie zostać ukaranym. Można też karać prewencyjnie, co pewnie było praktykowane 30-70 lat temu.
Przesada 10000 pln wystarczyłoby. Tymczasem jak sklep sprzdaje alkohol czy papierosy dzieciom, to kara jest max 2000pln. Gdzie tu jakiś balans.