Administrator danych osobowych zobowiązany jest do wdrożenia i stosowania „odpowiednich” środków technicznych i organizacyjnych. Przepisy ogólnego rozporządzenia o ochronie danych osobowych są stosowane od ponad 5 lat, a mimo tego dobór odpowiednich środków bywa dla przedsiębiorców problematyczny. W niniejszym artykule zostaną przedstawione standardy bezpieczeństwa, które w okolicznościach danej sprawy mogą być uznane za właściwe.
W 1989 r. Gene Spafford, specjalista ds. bezpieczeństwa, powiedział: „Jedynym prawdziwie bezpiecznym systemem będzie ten, który pozbawimy zasilania, zatopimy w betonowym bloku i zamkniemy w ołowianym bunkrze pilnowanym przez uzbrojonych ochroniarzy. Jednak nawet w tym przypadku miałbym pewne wątpliwości…”.
Teza ta, pozostając aktualną, mimo upływu ponad 30 lat od jej postawienia, może powodować u przedsiębiorców swoisty dysonans poznawczy – czy przedsiębiorca może podjąć skuteczne działania prewencyjne dające gwarancję przestrzegania przepisów o ochronie danych osobowych, w sytuacji, gdy specjaliści od bezpieczeństwa niezmiennie na pytanie o ziszczenie się zagrożenia cyberbezpieczeństwa odpowiadają nie „czy” to nastąpi, ale „kiedy” to nastąpi.
Wskazane zagadnienie jest tym bardziej istotne, że konstrukcja przepisów o ochronie danych osobowych kreuje swoiste domniemanie winy przedsiębiorcy. Administrator jest bowiem odpowiedzialny za przestrzeganie przepisów i powinien być w stanie wykazać ich przestrzeganie. Dotyczy to również konieczności uzasadnienia stosowania odpowiednich środków technicznych i organizacyjnych.
Kilkuletnia praktyka stosowania przepisów z zakresu ochrony danych osobowych, potwierdzona orzecznictwem wojewódzkiego sądu administracyjnego w Warszawie oraz Naczelnego Sądu Administracyjnego[1], wskazuje, że odpowiedzialność administratora nie ma charakteru absolutnego. Nawet bowiem przy podjęciu adekwatnych środków bezpieczeństwa może dojść do naruszenia ochrony danych osobowych, a przedsiębiorca nie powinien być za to karany.
Należy bowiem pamiętać, że dobór odpowiednich środków technicznych i organizacyjnych powinien uwzględniać aktualny stan wiedzy technicznej, koszt wdrożenia danego rozwiązania oraz charakter, zakres, kontekst i cele przetwarzania. Wreszcie, dobór właściwych środków winien uwzględniać ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Kluczowe jest zatem przeprowadzenie analizy ryzyka, która pomoże przedsiębiorcy w podjęciu decyzji co do zastosowania danych środków. Oczywistym jest bowiem, że inne środki podejmie bank, szpital, sklep e-commerce, a inne samozatrudniony stale współpracujący z software housem.
W wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 września 2020 r., sygn. II SA/Wa 2559/19, wskazano, że „(…) koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.
Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.”
Nie ma zatem wątpliwości co do tego, że analiza ryzyka jest w procesie doboru odpowiednich środków kluczowa.
Niemniej jednak dotychczasowa praktyka orzecznicza Prezesa Urzędu Ochrony Danych Osobowych stanowi bogate źródło wiedzy o środkach bezpieczeństwa, które w dużej mierze mają lub mogą mieć charakter uniwersalny. Oznacza to, że ich wdrożenie powinno być dla organizacji, w danym kontekście przetwarzania danych, w zasadzie obowiązkowe. Warto wiedzieć, jakie środki bezpieczeństwa uchodzą za swoisty standard.
W trakcie audytów bezpieczeństwa nie bez przyczyny jak mantra pada pytanie, czy administrator korzysta wyłącznie z bieżąco aktualizowanego oprogramowania. Odkładanie w czasie aktualizacji oprogramowania lub korzystanie z oprogramowania, które nie jest już wspierane przez producenta, może prowadzić do poważnych konsekwencji. Takie nieakceptowalne sytuacje wciąż niejednokrotnie się zdarzają, o czym świadczą wydane przez PUODO decyzje administracyjne.
W decyzji administracyjnej z dnia 23 czerwca 2022 r., sygn. DKN.5131.11.2022, wskazano, że:
„Administrator nie przewidział jednak zastępowania systemów operacyjnych ani innych systemów wykorzystywanych do przetwarzania danych osobowych, które utraciły już wsparcia ich producenta, systemami, które takie wsparcie posiadają z dokonanych ustaleń wynika, że to właśnie poprzez nieposiadający wsparcia producenta system operacyjny urządzenia służącego do wydawania kluczy (e-dozorca), tj.[…], nastąpiło przełamanie zabezpieczeń przez złośliwe oprogramowanie”.
Z dalszej treści decyzji wynika, że administrator danych osobowych zaniedbał aktualizacji nie tylko jednego oprogramowania: „W raporcie wskazano też na błędy, które przyczyniły się do wystąpienia naruszenia, tj.: na „podpięciu e-dozorcy do głównego vlanu sieci LAN Urzędu Miasta O. (…)” oraz „przy zakupie rozwiązania e-dozorcy nie sprawdzono specyfikacji produktu (można było wymusić na producencie aktualizację systemu operacyjnego oraz instalację systemu antywirusowego)”. Wskazać należy, że ww. system utracił podstawowe wsparcie producenta w dniu […] stycznia 2011 r., natomiast świadczenie usługi wsparcia rozszerzonego dobiegło końca w dniu […] stycznia 2016 r. W toku postępowania ustalono jednak, że system […] nie był jedynym systemem informatycznym używanym przez Administratora, który nie posiadał wsparcia jego producenta. Kolejnym oprogramowaniem stosowanym w Urzędzie Miasta O. bez takiego wsparcia był system operacyjny […]. Wskazać należy, że ww. system stracił wsparcie producenta w dniu […] stycznia 2020 r. ([…]). Oznacza to, że od dnia […] stycznia 2016 r. (w przypadku systemu […]) i od dnia […] stycznia 2020 r. (w przypadku systemu […]), zgodnie z informacjami podanymi przez producenta oprogramowania, dla tych systemów nie były wydawane aktualizacje oprogramowania oraz aktualizacje zabezpieczeń i poprawek.”
Z kolei w decyzji administracyjnej z dnia 11 stycznia 2021 r., sygn. DKN.5130.2815.2020, wskazano, że: „(…) stwierdzono, że do pracy wykorzystywano system operacyjny E, dla którego zgodnie z informacją podaną na stronie producenta termin wsparcia technicznego zakończył się […] stycznia 2020 r. (https:// […]) oraz system baz danych B, dla którego wsparcie techniczne zakończono […] lipca 2019 r. (https:// […]). Oznacza to, że od tego momentu zgodnie z informacjami podanymi przez producenta oprogramowania dla ww. systemów nie były wydawane aktualizacje oprogramowania oraz aktualizacje zabezpieczeń i poprawek. Wobec braku zastosowania przez administratora danych innych środków technicznych i organizacyjnych mających na celu zminimalizowanie ryzyka naruszenia bezpieczeństwa danych w związku z zakończeniem wsparcia przez producenta oprogramowania używanego przez Spółkę do przetwarzania danych osobowych, stwierdzić należy, że Spółka nie zapewniła odpowiedniego zabezpieczenia danych przetwarzanych przy ich użyciu”.
Powyższe przykłady potwierdzają, że podstawą bezpieczeństwa niezmiennie pozostaje używanie aktualnego oprogramowania dla wszystkich elementów infrastruktury teleinformatycznej.
Korzystanie z systemów operacyjnych, w tym z tych najpopularniejszych, które były przedmiotem decyzji, oraz systemów informatycznych służących do przetwarzania danych osobowych po zakończeniu wsparcia technicznego przez ich producenta w sposób istotny obniża ich poziom bezpieczeństwa, zwiększając podatność na cyberataki. Brak wbudowanych oraz aktualizowanych zabezpieczeń zwiększa w szczególności ryzyko infekcji za pomocą złośliwego oprogramowania oraz ataków poprzez powstawanie nowych luk w zabezpieczeniach.
Co prawda decyzja z dnia 10 września 2019 r., sygn. ZSPR.421.2.2019, dotycząca spółki Morele, została uchylona przez NSA w bieżącym roku, to bez wątpienia zawarte w niej tezy odnoszące się do adekwatnego standardu bezpieczeństwa pozostają aktualne. Była to bowiem pierwsze decyzja, w której PUODO wprost wskazał, jaki punkt odniesienia należy przyjąć w kontekście doboru adekwatnych środków bezpieczeństwa, ale również jak należy ograniczyć dostęp do baz danych, w których przetwarzane są dane osobowe. Przedstawiając środki bezpieczeństwa oczami PUODO, nie można pominąć tej decyzji, która jawi się jako kanon.
W rzeczonej decyzji PUODO wskazał m.in., że: „kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa, na którą wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06.
Wskazówek konkretyzujących w tym przedmiocie dostarczają obowiązujące standardy i normy, w szczególności normy ISO, które ulegają również ciągłym przeglądom i zmianom warunkowanym postępem technologicznym.
Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) w swoich wytycznych dotyczących bezpieczeństwa przetwarzania danych osobowych wydanych w 2016 r.[1] z uwzględnieniem ww. normy (w wersji z 2013 r.) oraz przepisów rozporządzenia 2016/679, w ramach kontroli dostępu i uwierzytelniania rekomenduje stosowanie mechanizmu uwierzytelnia dwuetapowego dla systemów obejmujących dostęp do danych osobowych.”
W dalszej części rozstrzygnięcia organ nadzorczy uwypuklił znaczenie wieloskładnikowego uwierzytelnienia oraz potwierdził znaczenie takich standardów bezpieczeństwa jak OWASP czy NIST: „Fundacja OWASP, międzynarodowa organizacja non-profit, której celem jest opracowywanie i szerzenie dobrych praktyk kierowanych do twórców oprogramowania, w swoim dokumencie „OWASP Top 10 – 2017”[2], przedstawia listę największych zagrożeń dla aplikacji internetowych wraz z metodami zapobiegania im. Jednym z nich jest przełamanie środka uwierzytelniającego (najczęściej jednoetapowego). Jako środek zapobiegawczy rekomendowane jest stosowanie wieloetapowego uwierzytelniania jako sposób na znaczne zminimalizowanie ryzyka przełamania zabezpieczeń. (…) Również ten dokument, jak i przytoczona wyżej norma odwołują się do opracowania amerykańskiej agencji federalnej – Narodowego Instytutu Standaryzacji i Technologii (ang. National Institute of Standards and Technology, NIST) dokumentu – „NIST 800-63B: Wytyczne dotyczące tożsamości cyfrowej: uwierzytelnianie i zarządzanie cyklem życia aplikacji” (ang. Digital Identity Guidelines: Authentication and Lifecycle Management)”.
Choć decyzja odnosiła się do uwierzytelnienia przy dostępie do baz danych, to z pewnością administratorzy danych osobowych powinni stosować lub co najmniej rozważyć stosowanie dwuskładnikowego uwierzytelniania również w innych przypadkach takich jak: logowanie do poczty służbowej, logowanie do wewnętrznych komunikatorów, umożliwienie swoim użytkownikom dwuskładnikowego uwierzytelnienia do kont w podmiotach e-commerce.
Dotychczas wydane decyzje administracyjne zawierają także wskazówki co do tego, jakich algorytmów nie należy stosować w kontekście dodatkowego zabezpieczania haseł. W decyzji z 9 grudnia 2021 r., sygn. DKN.5130.2559.2020, Prezes Urzędu Ochrony Danych osobowych stwierdził, że: „Zastosowanie funkcji skrótu opartej na algorytmie MD5 (bez dodatkowych technik zabezpieczających) oraz ograniczenie złożoności zabezpieczanego w ten sposób hasła (…) stanowi niewystarczający środek techniczny, co stanowi o naruszeniu art. 32 ust. 1 rozporządzenia 2016/679. Słabość algorytmu MD5 jest powszechnie znana, a jego stosowanie w obecnych systemach teleinformatycznych niezalecane. Dodatkowo, mimo stosowania złożoności hasła w ww. zakresie, zastosowany algorytm wpływa na obniżenie czasochłonności uzyskania pierwotnej treści hasła.”
Podobnie orzekł francuski organ nadzorczy, uznając, że przechowywanie haseł do kont w bazie produkcyjnej w formie zaszyfrowanej za pomocą funkcji MD5 nie jest akceptowalne.
Korzystanie z tego typu funkcji jest zatem obarczone dużym ryzykiem.
PUODO w swoich materiałach edukacyjnych wskazuje również, że zmiana haseł w świetle aktualnych standardów bezpieczeństwa, nie jest wskazana[2]. Takie podejście zgodne jest ze stanem aktualnej wiedzy potwierdzanym przez różnego rodzaju instytucje i organizacje zajmujące się bezpieczeństwem. W tym kontekście warto przywołać rekomendacje CERT Polska dotyczące zasad uwierzytelniania użytkownika, które obejmują m.in. zasady tworzenia i (braku) zmiany haseł[3].
Zawierają one m.in. rekomendacje stosowania bezpiecznego algorytmu hashującego do przechowywania haseł (np. Argon2, Bcrypt), brak wymuszania okresowej zmiany haseł użytkowników (chyba że zachodzi podejrzenie, że aktualne hasło zostało przejęte lub upublicznione), minimalną długość hasła na co najmniej 12 znaków, zalecenie wsparcia dla uwierzytelnienia dwuskładnikowego oraz wyświetlenie użytkownikowi wskaźnika szacującego siłę nowo tworzonego hasła.
Stosowanie opisanych rekomendacji w odniesieniu do mechanizmów uwierzytelnienia z pewnością powinno być coraz bardziej powszechne.
Praktycznym problemem, z jakim zmagają się przedsiębiorcy, nie tylko z branży IT, jest to, jakie zasady należy stosować przy zbieraniu logów, a przede wszystkim czas ich przechowywania. Jest to istotne zagadnienie, ponieważ logi umożliwiają ustalenie tego, jakie działania nastąpiły w systemie informatycznym, a przede wszystkim to, który użytkownik wykonał daną akcję. Ustalenie tego nie tylko może być przydatne w przypadku wystąpienia naruszenia ochrony danych, ale wręcz jest wymagane jako element rozliczalności.
Przedsiębiorcy nie są skłonni do nadmiernego przechowywania logów, bo zajmują one bardzo wiele przestrzeni dyskowej, a jej utrzymywanie jest kosztogenne.
W tym kontekście pewną wskazówką może być decyzja z dnia 9 grudnia 2021 r., sygn. DKN.5130.2559.2020, gdzie wskazano, że: „W niektórych przypadkach ustalenie, czy doszło do ujawnienia danych osobowych, może wymagać czasu. Biorąc pod uwagę okoliczności, w jakich Administrator dowiedział się o naruszeniu (informacja od podmiotu trzeciego) oraz zebrany materiał dowodowy i ustalony na jego podstawie stan faktyczny, nie można stwierdzić, iż administrator wdrożył odpowiednie środki techniczne i organizacyjne pozwalające na szybkie wykrycie i zbadanie incydentu w celu ustalenia, czy faktycznie i w jaki sposób doszło do naruszenia ochrony danych osobowych, a jeżeli tak – podjąć działania zaradcze i, w razie konieczności, zgłosić naruszenie i zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych. Uprawniona nawet wydaje się konstatacja, że administrator nie dokonałby stwierdzenia naruszenia bez sygnału od podmiotu trzeciego, a niektóre ustalenia dokonane we Wstępnej analizie powłamaniowej byłyby niemożliwe, chociażby przez nieprzeanalizowanie zasadności 4-tygodniowego przechowywania logów (dzienników zdarzeń) maszyny wirtualnej. Dopiero po naruszeniu, w wyniku rekomendacji zawartej w ww. analizie, administrator zmienił dotychczasową praktykę i wydłużył okres przechowywania logów do […] tygodni.”
W okolicznościach niniejszej sprawy istotnym było to, że przedsiębiorca nie tylko nie monitorował logów, ale także przechowywał je przez zbyt krótki czas. Wyprowadzanie uniwersalnych, daleko idących wniosków, na kanwie opisanej sprawy byłoby zbyt dalekim uproszczeniem, niemniej jednak odnotować należy, że z decyzji wynika konieczność przeprowadzenia wnikliwej analizy zasadności przechowywania logów przez okres dłuższy niż 4 tygodnie.
Przepisy ogólnego rozporządzenia dotyczącego ochrony danych osobowych nie zawierają kanonu środków bezpieczeństwa. Nie wynika z nich również wprost i bezpośrednio obowiązek szkolenia własnych pracowników. Taki obowiązek jednak istnieje, a wyprowadzić go można z ogólnych obowiązków administratorów, co potwierdza praktyka orzecznicza.
Potwierdzenie powyższego znaleźć można w decyzji PUODO z 1 czerwca 2022 r., sygn. DKN.5131.2.2022, gdzie wskazano, iż „Przeprowadzanie szkoleń z zakresu ochrony danych osobowych, aby mogło zostać uznane za adekwatny środek bezpieczeństwa, musi bowiem być realizowane w sposób cykliczny, co zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem”. Organ nadzorczy nie tylko potwierdził, że szkolenie jest istotnym środkiem zwiększającym bezpieczeństwo przetwarzanych danych, ale także podkreślił konieczność podejmowania w tym zakresie cyklicznych działań.
Interesujący wniosek płynie również z decyzji PUODO z dnia 9 grudnia 2021 r., sygn. DKN.5130.2559.2020, w której stwierdzono, że: „Nie można bowiem uzasadniać wskazywanych zabezpieczeń jako adekwatnych do ryzyka, wskazując na scenariusz działania sprawcy wykraczający poza schemat przyjęty w ocenie ryzyka, nie przedstawiając ku temu żadnych dowodów (analiza ryzyka). Trudno mówić o przyjmowaniu pewnych założeń dotyczących zagrożeń, nie przeprowadzając pełnego formalnego audytu systemu, w tym testów penetracyjnych, nie mając tym samym świadomości, jakie możliwości ma osoba uzyskująca nieuprawniony dostęp do systemu informatycznego. Należy wyraźnie podkreślić, że analizując ryzyko, w przyjmowanych scenariuszach (wektorach potencjalnego ataku), należy mieć świadomość, jakie realne możliwości ma atakujący, uwzględniając m.in. metody socjotechniczne, stan wiedzy technicznej, fizyczne aspekty bezpieczeństwa, w tym bezpieczeństwa teleinformatycznego, przy czym wspomnianego atakującego należy rozpatrywać zarówno z punktu widzenia osoby nieznającej organizacji administratora oraz jej infrastruktury informatycznej, jak również osoby, która wiedzę tę posiada”.
Organ zasugerował bowiem, że w pewnych przypadkach przeprowadzenie testów penetracyjnych nie powinno być traktowane w kategoriach zbędnego kosztu, a wręcz powinno mieć charakter obowiązkowy.
Dotychczas wydane decyzje administracyjne zawierają kompendium wiedzy co do akceptowalnego w danym kontekście przetwarzania danych osobowych zakresu możliwych do zastosowania środków technicznych i organizacyjnych. I choć nie można zapominać, że w okolicznościach danej sprawy zawsze istotne jest przeprowadzenie analizy ryzyka, to szereg wniosków płynących z przywołanych w artykule decyzji można traktować w kategoriach istotnego punktu odniesienia.
[1] Wyrok NSA z dnia 9 lutego 2023 r., sygn. akt III OSK 3945/21 w sprawie Morele czy wyrok WSA w Warszawie w sprawie Virgin Mobile (II SA/Wa 272/21 – Wyrok WSA w Warszawie).
[2] https://techinfo.uodo.gov.pl/hasla-praktyczne-wskazowki-czy-naprawde-trzeba-zmienic-haslo-co-30-dni/
[3] https://cert.pl/posts/2022/01/rekomendacje-techniczne-systemow-uwierzytelniania/
