Prezes UODO wylicza błędy Politechniki Warszawskiej

W opublikowanej decyzji Prezesa Urzędu Ochrony Danych Osobowych znajduje się bardzo dużo wartościowych wskazówek dla wszystkich administratorów danych.

W przedmiotowej decyzji Prezes UODO nałożył na Politechnikę Warszawską pieniężną karę administracyjną w wysokości 45 000 zł.

To co legło u podstaw takiego stanowiska organu nadzorczego dotyczyło nieuprawnionego dostępu do bazy danych administratora:

Jak sama Uczelnia wskazała, ww. środki okazały się nieskuteczne w przypadku zastosowanego złośliwego narzędzia (plik typu backdoor), które nieuprawnionej osobie umożliwiło uzyskanie dostępu do danych osobowych.

Organ nadzorczy wskazał:

wdrożenie odpowiednich zabezpieczeń stanowi obowiązek będący przejawem realizacji ogólnej zasady przetwarzania danych – zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, zgodnie z którą dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

W piśmie z dnia […] maja 2020 r. Prezes UODO zwrócił się do Uczelni o wskazanie działań, jakie administrator podjął w celu oceny przyczyn niewykrycia niepożądanych działań ingerujących w poufność danych, które miały miejsce w styczniu i kwietniu 2020 r.  W  wyjaśnieniach z […] czerwca 2020 r. Administrator wskazał, że „[s]cenariusz działania sprawcy wykroczył poza schemat przyjęty w ocenie ryzyka”. Mimo tak formułowanych tez, Administrator na żadnym etapie postępowania nie przedstawił żadnych dowodów mających uzasadnić adekwatność stosowanych zabezpieczeń do ryzyka. Opisał jedynie zabezpieczenia infrastruktury informatycznej, które w jego ocenie były najlepsze w stosunku do oczekiwań, doświadczeń i jego możliwości finansowych, a nie w kontekście ryzyk dla danych przetwarzanych w ramach procesu objętego naruszeniem.

Bardzo interesującym fragmentem decyzji jest wskazanie jak mogło dojść do naruszenia ochrony danych osobowych:

Jak sama Uczelnia wskazała, ww. środki okazały się nieskuteczne w przypadku zastosowanego złośliwego narzędzia (plik typu backdoor), które nieuprawnionej osobie umożliwiło uzyskanie dostępu do danych osobowych. Ponadto, w piśmie z […] stycznia 2021 r., Uczelnia wskazała, że prawdopodobnie dane logowania użyte do umieszczenia plików typu backdoor, pozyskano z systemu […], wykorzystywanego do wewnętrznej wymiany kodów oprogramowania tworzonego przez pracowników, doktorantów oraz wybranych studentów. Powyższe wyjaśnienia, jak i ustalony stan faktyczny bezsprzecznie, w ocenie Prezesa UODO, wskazują, że administrator skupił swoją uwagę na zagrożeniach związanych z funkcjonowaniem infrastruktury informatycznej, a nie związanych z funkcjonowaniem aplikacji stworzonej przez pracowników Uczelni. Dotyczy to w szczególności obszaru funkcjonalności umożliwiającej wgrywanie plików, która z punktu widzenia bezpieczeństwa systemów informatycznych i dobrych praktyk, jest funkcjonalnością krytyczną. Ma to szczególne znaczenie w przypadku świadomości, że pliki mogą pochodzić z niezaufanych źródeł. W interesie każdego administratora jest weryfikacja, czy taka funkcjonalność jest odpowiednio zabezpieczona chociażby przed możliwością manipulowania ścieżkami, pod którymi zostaną zapisane, a same pliki są odpowiednio walidowane pod kątem zagrożeń dla przetwarzanych danych osobowych.

 

Nie można bowiem uzasadniać wskazywanych zabezpieczeń jako adekwatnych do ryzyka, wskazując na scenariusz działania sprawcy wykraczający poza schemat przyjęty w ocenie ryzyka, nie przedstawiając ku temu żadnych dowodów (analiza ryzyka). Trudno mówić o przyjmowaniu pewnych założeń dotyczących zagrożeń, nie przeprowadzając pełnego formalnego audytu systemu, w tym testów penetracyjnych, nie mając tym samym świadomości, jakie możliwości ma osoba uzyskująca nieuprawniony dostęp do systemu informatycznego. Należy wyraźnie podkreślić, że analizując ryzyko, w przyjmowanych scenariuszach (wektorach potencjalnego ataku), należy mieć świadomość, jakie realne możliwości ma atakujący, uwzględniając m.in. metody socjotechniczne, stan wiedzy technicznej, fizyczne aspekty bezpieczeństwa, w tym bezpieczeństwa teleinformatycznego, przy czym wspomnianego atakującego należy rozpatrywać zarówno z punktu widzenia osoby nieznającej organizacji administratora oraz jej infrastruktury informatycznej, jak również osoby, która wiedzę tę posiada.

W nawiązaniu do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, Uczelnia obok wskazania, że stosuje oprogramowanie do wyszukiwania podatności aplikacji na zagrożenia, wskazała, iż nie dokonuje analizy wewnętrznych logów systemu (wyjaśnienia z […] września 2020 r.). Jak wynika z wyjaśnień administratora oraz ze Wstępnej analizy powłamaniowej, konfiguracja serwera, na którym znajdowała się aplikacja […], powodowała kasowanie logów (dzienników systemowych) po 4 tygodniach, a analiza zasadności przyjęcia takiego okresu przechowywania logów nie była wykonywana. Ponadto z ww. Wstępnej analizy wynika, iż sama aplikacja obsługująca system […] nie posiadała na tyle szczegółowego dziennika zdarzeń, by zidentyfikować jakiekolwiek ślady pochodzenia pierwszego pliku, który posłużył nieznanej i nieuprawnionej osobie do dostępu do bazy danych.