Powrót

INCYDENTY BEZPIECZEŃSTWA - ARTYKUŁ

Incydenty bezpieczeństwa dotyczące ochrony danych w kontekście RODO

– jak sobie z nimi poradzić.

 

   Większość hotelarzy w obliczu olbrzymich kar wynikających z przepisów dotyczących ochrony danych osobowych dostosowała się do nich wdrażając RODO w 2018 roku. Wielu hotelarzom wdrożenie otworzyło oczy na potrzebę stworzenia odpowiednich procedur w tym zakresie, przeprowadzenia szkoleń, czy zwiększenia wydatków na obsługę IT w celu odpowiedniego zabezpieczenia danych, oraz tworzenia kopii bezpieczeństwa.
 

Jednak spora grupa potraktowała wdrożenie jako kolejny obowiązek do odhaczenia na długiej liście wymogów prawnych stawianych hotelom. Stworzono dokumentację która powędrowała na półkę, a wiedza nabyta podczas szkoleń powoli odeszła w zapomnienie.

Wszystko jest dobrze dopóki nic się nie wydarzy i nie dojdzie do incydentu bezpieczeństwa z którym trzeba się zmierzyć i znaleźć szybko rozwiązanie w sytuacji kryzysowej.
 

Do incydentów dochodzi coraz częściej czego dowodem jest fakt, że w ciągu ostatniego roku w hotelach z którymi stale współpracuję odnotowałem ponad dwadzieścia incydentów różnej wagi.  

W Polsce w okresie 12 miesięcy od wprowadzenia RODO, do PUODO wpłynęło ponad 4500 zgłoszeń incydentów bezpieczeństwa oraz ponad 8000 skarg.
 

Pierwsze pytanie które należy sobie zadać, to czym tak naprawdę jest incydent bezpieczeństwa?

Incydentem bezpieczeństwa ochrony danych nazywamy przypadkowe lub celowe działanie doprowadzające do naruszenia danych osobowych.

 

Możemy wyróżnić trzy podstawowe typy naruszeń danych:

- naruszenie poufności, (udostepnienie informacji osobie nieupoważnionej);

- naruszenie dostępności (brak dostępu do danych);

- naruszenie integralności, (zamiana danych).  


Do naruszenia poufności dochodzi kiedy zostaną udostępnione informacje osobie nieupoważnionej.

 

Przykład nr 1: Udostępnienie informacji o planowanej rezerwacji lub pobycie gościa (również o osobach jej towarzyszących czy też wykorzystanych usługach w hotelu) osobie trzeciej. Do takich incydentów najczęściej dochodzi gdy recepcjoniści (często odpowiednio zmanipulowani przez osobę trzecią) udzielają telefonicznie lub osobiście informacje o gościach hotelowych. 

 

Przykład nr 2: Pracownik działu marketingu wysyła mailem do gości hotelowych menu oraz plan zabawy Sylwestrowej. Niestety zamiast UDW (ukryte do wiadomości), wysyła DW czyli widoczny dla wszystkich odbiorców mailingu. Wśród adresów mailowych znajdują się adresy mailowe identyfikujące inne osoby.

 

Przykład nr 3:  Pracownik recepcji wykrada numery kart kredytowych do których ma dostęp (numer karty gościa, daty jej ważności, oraz numeru CVV2 /CVC2)

 

Przykład nr 4: Następuje zagubienie lub kradzież niezabezpieczonego służbowego laptopa lub smartfona, zawierającego dane osobowe gości, dane o rezerwacjach lub choćby służbową pocztę mailową.

 

Przykład nr 5: Hotel udostępnił dane osobowe podmiotowi przetwarzającemu z którym nie zawarł umowy powierzenia.

 

Drugim typem incydentu co do częstotliwości występowania jest naruszenie dostępności do danych.

Dochodzi do niego gdy hotel traci czasowy lub całkowity dostęp do danych. Przyczyna może być zupełnie prozaiczna w postaci awarii zasilania energetycznego, czy awarii dostawy internetu. Negatywne skutki takiej awarii szczególnie odczują użytkownicy rozwiązań chmurowych, ale w takich wypadkach można się zabezpieczyć drukując co kilka godzin zestawienie planowanych przyjazdów i wyjazdów gości.
 

Jednak prawdziwe niebezpieczeństwo kryje się w ataku hakerskim i zaszyfrowaniu danych. Jeśli hotel nie posiada backupu danych i nie potrafi ich szybko przywrócić, spotyka się z dużym problemem. Byłem świadkiem sytuacji gdy w wyniku ataku hakerskiego hotel utracił wszystkie dane, zarówno na serwerze jak i na dysku do archiwizacji. Goście schodzili rano do recepcji, chcieli się rozliczyć za pobyt i  nikt z obsługi nie wiedział ile i za co należy powinni zapłacić.

Można w takiej sytuacji zapłacić okup hakerowi, ale niestety nie ma żadnej gwarancji że odzyska się dane.
 

 UWAGA: Jeżeli zgłoszenie naruszenia dotyczy podejrzanych załączników, phishingu, szantażu czy działania złośliwego oprogramowania, należy rozważyć zgłoszenie zdarzenia do CERT Polska pod adresem https://incydent.cert.pl/. O fakcie zgłoszenia incydentu do CERT Polska należy poinformować  Prezesa UODO w zgłoszeniu naruszenia ochrony danych, podając datę zgłoszenia, jego numer oraz ewentualnie informacje na temat incydentu otrzymane od CERT Polska.
 

Ostatni typ incydentu to utrata integralności danych.

Przykład 6:  Pracownik recepcji podczas przepisywania (CtrlC / CtrlV)  do swojego PMSa (!?!), z extranetu bookingu numerów kart kredytowych należących do gości hotelowych którzy wykonali rezerwację, pomylił okienka i omyłkowo przyporządkował numer karty kredytowej do innego gościa. W efekcie hotel dokonał blokady środków na karcie zupełnie innej osoby.

W sytuacji kiedy jednak dojdzie już do incydentu rodzi się pytanie co AD powinien zrobić aby działać zgodnie z prawem?

  1. Powinien ustalić wielkość incydentu i zapobiec jego powiększeniu.
  2. Ustalić faktyczne rozmiary incydentu ( ilość osób których dane dotyczą, czas powstania, inne okoliczności), oraz czy incydent miał charakter przypadkowy czy też może jest wynikiem czyjegoś umyślnego działania. Jeśli doszło do ataku hakerskiego należy dodatkowo powiadomić CERT Polska.
  3. Ustalić jak doszło do powstania incydentu i wprowadzić procedury, lub zabezpieczenia aby w przyszłości nie powtórzyła się taka sytuacja.
  4. Przeprowadzić analizę prawdopodobieństwa ryzyka naruszenia praw i wolności osób których dane dotyczą. UODO zaleca aby analiza została wykonana w oparciu o zalecenia Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA).

Przeprowadzając analizę należy wziąć pod uwagę następujące czynniki:

- rodzaj naruszenia (integralność, dostępność poufność);
- charakter, wrażliwość i ilość danych osobowych (zakres danych);
- łatwość identyfikacji osób fizycznych;
- wagę konsekwencji dla osób fizycznych;
- cechy szczególne danej osoby fizycznej;
- liczbę osób fizycznych, na które naruszenie wywiera wpływ.

Metoda oceny wagi naruszenia wg ENISA sprowadza się do algorytmu: WN = KPD * PI + ON

 

(WN Waga Naruszenia, KPD Kontekst Przetwarzania Danych, PI Prawdopodobieństwo Identyfikacji,

ON Okoliczności Naruszenia) 

 

  1. Powiadomić osoby których dane dotyczą indywidualnie lub w sposób ogólnodostępny (jeśli nie jest możliwe dotarcie w sposób indywidualny) o zajściu incydentu, jego skali i wynikających dla nich zagrożeniach lub możliwych konsekwencjach. Informacja powinna być przekazana w sposób jasny i łatwo zrozumiały dla jej odbiorców.  Dodatkowo zawiadomienie powinno zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji.
  1. Powiadomić organ nadzorczy za pomocą specjalnego formularza.
Formularz jest dostępny na stronie internetowej https://www.biznes.gov.pl/pl/e-uslugi/00_0889_00

Formularz należy wypełnić i złożyć przez ePUAP, lub przesłać tradycyjną pocztą listem poleconym.

 

  1. Wprowadzić informacje o zaistniałym incydencie do wewnętrznej ewidencji naruszeń.

   Należy pamiętać że zgodnie z RODO AD powinien zgłosić naruszenie ochrony danych osobowych natychmiast po jego stwierdzeniu, bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
 

   Ze względu na ograniczoną ilość miejsca w artykule skupiłem się tylko na danych gości hotelowych, należy jednak pamiętać że incydentem bezpieczeństwa mogą zostać objęte wszystkie dane osobowe przetwarzane w przedsiębiorstwie (dane kandydatów do pracy, dane pracowników, dane partnerów handlowych, itp.)
 

Oczywiście wszyscy myślimy życzeniowo mając nadzieję że taka sytuacja może zdarzyć się każdemu tylko nie mnie. Jednak zapewniam Państwa że prędzej czy później będziecie musieli zmierzyć się z jakimś incydentem związanym z ochroną danych. Dlatego warto poświęcać uwagę na zapobieganie im niż gaszenie pożaru.
 

Dla osób zainteresowanych szczegółowymi informacjami zapraszam w marcu na webinarium dotyczące obsługi incydentów bezpieczeństwa.

Więcej informacji znajdziecie Państwo na www.odowhotelu.pl

 

Specjalista ds. ochrony danych osobowych w hotelach 

Maciej Kopeć

 

Skróty użyte w tekście: 

AD – Administrator Danych

UODO – Urząd Ochrony Danych Osobowych (Polski organ nadzorczy powołany do ochrony danych osobowych)

PUODO – Prezes Urzędu Ochrony Danych Osobowych 

ENISA - Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji

CERT Polska to pierwszy powstały w Polsce zespół reagowania na incydenty bezpieczeństwa informatycznego, CERT Polska działa w strukturach NASK (Naukowej i Akademickiej Sieci Komputerowej) – instytutu badawczego prowadzącego działalność naukową, krajowy rejestr domen.pl i dostarczającego zaawansowane usługi teleinformatyczne.

Tekst ukazał się w Hotelarzu nr 02/2020.
 



design by : LEMONPIXEL.pl