Cyberbezpieczeństwo w kancelarii i spółce – wymogi RODO a ataki ransomware
Kilka minut wystarczy, aby zaszyfrowane zostały akta spraw, dokumenty korporacyjne, dane klientów i firmowe serwery. Jeszcze większym zagrożeniem od samej blokady systemów bywa jednak wyciek poufnych informacji oraz obowiązki, które uruchamiają przepisy RODO. Ransomware od lat pozostaje jednym z najgroźniejszych rodzajów cyberataków, a jego skutki mogą dotknąć zarówno kancelarie prawne, jak i spółki przechowujące wrażliwe dane. Sprawdź, jak rozpoznać ryzyko, jakie działania podjąć po wykryciu incydentu i jak skutecznie ograniczyć konsekwencje prawne oraz organizacyjne cyberataku.
Dlaczego ataki ransomware stanowią jedno z największych zagrożeń dla kancelarii i spółek?
Czy wiesz, że pojedynczy atak ransomware może jednocześnie doprowadzić do utraty dostępu do dokumentów, naruszenia przepisów RODO oraz ujawnienia poufnych informacji biznesowych? Dla kancelarii prawnych i spółek konsekwencje takiego incydentu bywają szczególnie dotkliwe, ponieważ każdego dnia przetwarzają dane osobowe, dokumentację korporacyjną, informacje finansowe, umowy handlowe, pełnomocnictwa, akta spraw, dane pracowników oraz materiały objęte tajemnicą zawodową. Cyberprzestępcy doskonale zdają sobie sprawę z wartości takich zasobów.
Coraz częściej wykorzystują model określany jako double extortion, czyli podwójne wymuszenie. Najpierw uzyskują nieautoryzowany dostęp do systemów i kopiują pliki, a następnie szyfrują dane oraz żądają okupu nie tylko za ich odszyfrowanie, lecz również za niepublikowanie skradzionych dokumentów. Nawet odzyskanie dostępu do plików nie eliminuje zagrożenia, ponieważ kopie danych mogą nadal pozostawać w rękach sprawców. Jeżeli prowadzisz gotowe spółki z historią, powinieneś uwzględnić, że dokumentacja rejestrowa, dane wspólników, informacje o beneficjentach rzeczywistych czy dokumenty korporacyjne należą do informacji szczególnie atrakcyjnych dla cyberprzestępców.
Jakie obowiązki wynikające z art. 32 RODO musisz spełnić, aby właściwie chronić dane?
Rozporządzenie RODO nie wymaga wdrożenia jednego, z góry określonego zestawu zabezpieczeń. Art. 32 nakłada natomiast obowiązek zastosowania środków technicznych i organizacyjnych odpowiednich do poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych. Oznacza to konieczność przeanalizowania rodzaju przetwarzanych informacji, liczby osób, których dane znajdują się w systemach, możliwych skutków naruszenia oraz podatności wykorzystywanej infrastruktury informatycznej. Administrator danych powinien zadbać między innymi o szyfrowanie danych, kontrolę dostępu do systemów, uwierzytelnianie wieloskładnikowe (MFA), regularne aktualizacje oprogramowania, tworzenie kopii zapasowych oraz okresowe testowanie skuteczności wdrożonych zabezpieczeń.
RODO wskazuje również na obowiązek zapewnienia poufności, integralności, dostępności i odporności systemów przetwarzania danych, a także możliwości szybkiego odtworzenia danych po incydencie bezpieczeństwa. Jeżeli prowadzisz gotowe spółki z historią, analiza ryzyka powinna obejmować również bezpieczeństwo dokumentacji korporacyjnej, repozytoriów elektronicznych, poczty służbowej oraz systemów wykorzystywanych podczas obsługi klientów.
Jakie działania należy podjąć natychmiast po wykryciu ataku ransomware?
Pierwsze godziny po wykryciu incydentu mają ogromne znaczenie dla ograniczenia skali szkód oraz prawidłowego wykonania obowiązków wynikających z RODO. Wiele organizacji popełnia błąd, koncentrując się wyłącznie na przywróceniu działania systemów, pomijając zabezpieczenie materiału dowodowego i analizę naruszenia ochrony danych osobowych.
CERT Polska rekomenduje, aby po wykryciu ransomware jak najszybciej odizolować zainfekowane urządzenia od sieci, zachować zaszyfrowane pliki oraz notatkę z żądaniem okupu, ponieważ materiały te mogą pomóc specjalistom podczas identyfikacji rodzaju złośliwego oprogramowania. Jeżeli prowadzisz gotowe spółki z historią, równolegle powinieneś zabezpieczyć dokumentację klientów oraz ustalić, czy atak objął wyłącznie szyfrowanie danych, czy również ich wcześniejsze skopiowanie przez sprawców. Nie warto podejmować pochopnych prób przywracania systemów, dopóki nie zostanie ustalona skala incydentu.
Najważniejsze czynności obejmują:
-
odłączenie zainfekowanych urządzeń od sieci lokalnej i Internetu,
-
zabezpieczenie logów systemowych, zaszyfrowanych plików oraz komunikatu z żądaniem okupu,
-
sprawdzenie, czy istnieją aktualne kopie zapasowe i czy nie zostały również zaszyfrowane,
-
ustalenie, czy doszło do wycieku danych osobowych lub dokumentów firmowych,
-
zgłoszenie incydentu do CSIRT NASK, zgodnie z rekomendacjami CERT Polska,
-
rozpoczęcie dokumentowania wszystkich działań podejmowanych od momentu wykrycia incydentu,
-
przeprowadzenie analizy, czy naruszenie wymaga zgłoszenia Prezesowi UODO oraz poinformowania osób, których dane dotyczą.
Każda z tych czynności zwiększa szanse na ograniczenie skutków incydentu oraz ułatwia wykazanie, że administrator danych zachował należytą staranność podczas reagowania na zagrożenie.
Kiedy atak ransomware trzeba zgłosić do Prezesa UODO i poinformować osoby, których dane dotyczą?
Nie każdy incydent informatyczny wymaga zgłoszenia organowi nadzorczemu, jednak każdy przypadek ransomware powinien zostać szczegółowo przeanalizowany pod kątem przepisów RODO. Zgodnie z art. 33 RODO, jeżeli naruszenie ochrony danych osobowych może powodować ryzyko naruszenia praw lub wolności osób fizycznych, administrator ma obowiązek zgłoszenia incydentu Prezesowi UODO bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od momentu jego stwierdzenia. Nie musisz znać wszystkich szczegółów technicznych ataku w chwili wysyłania zgłoszenia. Rozporządzenie dopuszcza przekazywanie kolejnych informacji po zakończeniu analizy incydentu. Znacznie ważniejsze jest udokumentowanie momentu wykrycia naruszenia, zakresu podjętych działań oraz sposobu oceny ryzyka.
Jeżeli Twoja działalność obejmuje gotowe spółki z historią, analiza powinna uwzględniać między innymi dokumenty rejestrowe, dane wspólników, członków zarządu, beneficjentów rzeczywistych, pełnomocnictwa oraz dokumentację transakcyjną. Brak dostępu do danych, ich zaszyfrowanie, a także nieuprawnione skopiowanie dokumentów mogą stanowić naruszenie ochrony danych osobowych. Jeżeli ocena wykaże wysokie ryzyko dla osób, których dane dotyczą, zastosowanie znajduje również art. 34 RODO, nakładający obowiązek przekazania im jasnej informacji o incydencie, jego możliwych konsekwencjach oraz działaniach ograniczających ryzyko wykorzystania danych przez osoby nieuprawnione.