Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
W sądzie zgubili 2 nieszyfrowane pendrajwy. Na pendrajwach były projekty orzeczeń i uzasadnień, zawierające dane osobowe (za okres 2004 -> 2020). Kara z RODO – 30 000 zł
O sprawie donosi Rzeczpospolita, a szczegóły decyzji UODO można zobaczyć tutaj: Środki organizacyjne i techniczne powinny się uzupełniać.
Zaczęło się od zgłoszenia zagubienia dwóch nieszyfrowanych / prywatnych pendriveów przez pracowników Sądu Rejonowego Szczecin-Centrum. Sprawa była analizowana przez UODO, a teraz mamy decyzję – 30 000 zł kary:
Zgłoszone przez administratora naruszenie ochrony danych osobowych polegało na zaginięciu z pomieszczania, w którym X wykonywał pracę, saszetki zawierającej trzy nośniki danych, jeden szyfrowany i dwa nieszyfrowane. Pomimo przeprowadzonych w Sądzie poszukiwań nie odnaleziono nośników danych
Warto zaznaczyć, że problem przenoszenia wrażliwych danych na prywatnych / nieszyfrowanych nośnikach USB został dostrzeżony w trakcie realizacji analizy ryzyka / audytów oraz uwzględniony w stosownych procedurach. A jak wiadomo w Polsce – „mamy procedury, to automatycznie jesteśmy zgodni z RODO” ;-). UODO ma jednak inne zdanie:
Podczas prowadzonego postępowania ustalono wieloletnie korzystanie na służbowym sprzęcie komputerowym z prywatnych nośników, niezabezpieczonych i niezweryfikowanych przez dział IT szczecińskiego sądu.
Ponadto okazało się, że administrator pomimo istniejących procedur dotyczących zakazu użytkowania prywatnych nośników danych nie prowadził nadzoru nad tym, czy pracownicy sądu stosowali się do wewnętrznych uregulowań.
W ocenie organu, gdyby administrator zweryfikował sposób realizacji środka organizacyjnego w postaci zakazu użytkowania prywatnych nośników danych, to wówczas znacząco obniżyłby ryzyko wystąpienia naruszenia albo nawet doprowadziłby do całkowitego jego wyeliminowania.
Warto zaznaczyć, że Sąd podjął działania związane z ograniczeniem ryzyka w omawianym obszarze, ale wydaje się, że z było to realizowane z flegmą, charakterystyczną dla wielu organizacji administracji publicznej w Polsce…:
Należy także podkreślić, że Administrator już od grudnia 2019 r. dysponował programem umożliwiającym blokowanie portów USB, tj. programem o nazwie N . Taka blokada została wprowadzona w Sądzie jednak dopiero w październiku 2020 r., właśnie za pomocą programu N (umożliwiającego Działowi IT kontrolowanie nośników zewnętrznych oraz blokowanie stacji roboczych przed podłączeniem nieautoryzowanego sprzętu). Działanie wynikające z przeprowadzonej analizy ryzyka, mające na celu zminimalizowanie ryzyka zrealizowania się zidentyfikowanego zagrożenia związanego z możliwością użycia do przetwarzania danych osobowych prywatnego nośnika pamięci, zostało zatem podjęte po około 11 miesiącach od momentu zakupu ww. programu i przeprowadzenia analizy ryzyka (a dwa miesiące po zmaterializowaniu się zagrożenia). Podkreślenia również wymaga, iż po każdym z przeprowadzonych w Sądzie audytów, osoby je przeprowadzające identyfikowały ww. podatność i artykułowały zalecenia zablokowania portów USB dla zwiększenia bezpieczeństwa danych, w celu uniemożliwienia korzystania w Sądzie z prywatnych nośników danych.
Warto też zaznaczyć, że osoba która zgubiła nośnik była szkolona z ochrony danych osobowych, a nawet podpisała stosowne oświadczenie, gdzie zobowiązała się do:
nieprzesyłania danych na prywatne nośniki danych
TLDR: „no ten tego, trzeba odbębnić szkolenie RODO i podpisać jakieś kwity, no niech będzie”.
Na koniec pro tip od nas – OK, jeśli pracownicy będą przenosić wrażliwe dane na szyfrowanych pendrajwach, ale będą te dane kopiować na nieszyfrowane, prywatne laptopy… to wszystko na nic.
PS
Jeśli ktoś chciałby tanim kosztem szyfrować pendrivey – polecamy np. Bitlockera czy Veracrypt.
~ms
Prawnicy to dość specyficzna kategoria zawodowa. Dla przykładu sytuacja sprzed tygodnia. Warszawa, kancelaria radcowska. Obsługa prawna w powództwie cywilnym, kancelaria wyśle dokumenty mailem – ok, czekamy. Przychodzi mail z pdf zaszyfrowanym hasłem, ale zaznaczają, że
„Z uwagi na bezpieczeństwo oraz ochronę danych osobowych, plik zabezpieczony jest hasłem. Hasło zostanie przesłane w kolejnej wiadomości e-mail. W razie jakichkolwiek problemów z dostępem do pliku proszę o informację. ”
Hasło przychodzi osobnym mailem w tym samym wątku… Odnoszę podpisany dokument do kancelarii, mówię, dlaczego wysyłanie hasła tym samym medium to zły (w zasadzie głupi) pomysł, tym bardziej, że mają do dyspozycji nr telefonu klienta. Ok, chyba zrozumieli.
Kilka dni później przesyłają mailem kolejny zahasłowany dokument. Hasło ponownie wysłane w tym samym wątku, na dodatek takie samo, jak poprzednio :)
Serio, generalizujesz poprzez to zdarzenie cała kategorię zawodową? Takie sytuacje zdarzają się w każdej kategorii zawodowej. Zastanów się nad swoim postrzeganiem rzeczywistości.
Adwokacina?
Zajmuję się zawodowa IT 20 lat, cyber z 8 i wiem jedno, prawnicy to straszne betony w tym temacie. Każdy pracownik dowolnej firmy czy organizacji czy nawet jednoosobowej działalności powinien oddzielić sprzęt i dane służbowe od prywatnego – tak to kosztuje, ale jest tego warte. Zwykła higiena. Jednak tłumaczyć prawnikom już dawno przestałem, bo oni zawsze „wiedzą lepiej”. Muszą się chyba nauczyć na własnych błędach i zapłacić kary.
Potwierdzam, dokładnie tak jest.
Kilka lat temu pracowałem w SR (inne województwo) i dostęp do nośników był blokowany na komputerach wpiętych w wewnętrzną sieć (blokada przez ESET NOD), a pracownicy którzy musieli korzystać z penów mieli zapewnione sprzętowo szyfrowane nośniki.
Jakieś pliki były przyniesione na penie? Trzeba go było przynieść do mnie, wpinałem pena w dedykowanego, odpiętego od sieci laptopa, skanowałem AV, sprawdzałem, czy nie ma jakiegoś makra itp, wypalałem na płytę (tak wiem, marnotrawstwo, ekologia) i pena czyściłem a potem go odsyłaliśmy. Laptop był czyszczony i system stawiany na nowo z obrazu pod wieczór (tak, wiem, najlepiej od razu, ale nie było zazwyczaj czasu).
Moja apelacja była na to bardzo cięta i wszystkie polityki bezpieczeństwa były narzucane z góry.
Ale przedmiotowa sprawa dotyczy ukarania za brak ochrony d.o. a nie samego faktu używania penów. Prawo chyba nie zabrania podpinania prywatnych penów do kompa służbowego, tak samo jak nie zabrania korzystania z prywatnej poczty.
To by chyba trzeba mieć osobne wirtualki albo dual boot do rozdzielenia prywatnych i służbowych danych, a o to prawników nie posądzam. Raczej realia są takie, że prawnicy to też ludzie, często przepracowani i przez to korzystają z dobrodziejstw technologii, które nie zawsze są kupowane przez pracodawcę, a które usprawniają im robotę. I w tym scenariuszu dobry, techniczny iodo jest w stanie znaleźć coś niemal zawsze, bo regulacje dotyczące przetwarzania danych osobowych (i nie tylko te) bardzo ingerują w zawartość danych na urządzeniach.
Swoją drogą jakiego softu używacie w swoich organizacjach do blokowania prywatnych nośników?
Ja używam axence nvision z modułem dataguard
Państwowa instytucja przyznaje 30 000 zł kary innej państwowej instytucji.
Serio?
I tak płacą podatnicy 😂
Najlepsze jest to, że prywatna firma dostanie pewnie 30 000, ale euro….
Skoro państwowa – państwowej to podatnicy nic nie tracą, bilans dalej jest na 0.
ktoś wie co to za program o nazwie N?
To teraz zamiast wpinać prywatne pendrive-y będą projekty orzeczeń wysyłać prywatną pocztą, przynajmniej nic nie zginie
A kto kontroluje UODO? Ile pendrive i laptopów tam zginęło? Czy departament IT podsłuchuje swoich pracowników? Czy gdzieś jest to udokumentowane?Czy używa/ używało się w tej organizacji laptopów czy komórek czy pendriwów prywatnych?