Ocena oraz testowanie zabezpieczeń technicznych w świetle RODO

  • 24.02.2021

  • Autor: Wiesław Krawczyński

  • RODO w IT

Czy wiesz, że przez brak regularnego testowania zabezpieczeń narażasz się na karę lub utratę swoich danych?

Media donoszą o coraz częstszych incydentach na skutek włamań hakerów i związanych z nimi decyzjach Prezesa UODO nakazujących zapłatę wysokich kar, z tytułu nieprzestrzegania przepisów w zakresie ochrony danych osobowych. Zgodnie z art. 32 ust. 1 litera d) Rozporządzenia RODO, administrator oraz podmiot przetwarzający dane osobowe powinni zapewnić regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania  danych osobowych.

Przez dość długi czas od wejścia w życie RODO, przepis ten nie był „uważany” za szczególnie istotny. Wielu inspektorów ochrony danych osobowych koncentrowało swoją uwagę  głównie na dokumentacji przetwarzania danych osobowych. Większość z nich, w tym także osoby zajmujące się bezpieczeństwem informacji,  zdawało się nie zauważać istnienia obowiązku regularnego testowania skuteczności środków technicznych. Przeważała opinia, że jeśli zakupiono i wdrożono nowoczesne systemy bezpieczeństwa to dane są bezpieczne i w ten sposób podmiot spełnia ustawowy obowiązek. Tymczasem, nawet najnowocześniejsze systemy zapobiegające włamaniom lub  wyciekom danych nie zapewniają właściwego bezpieczeństwa jeśli nie są właściwie eksploatowane i nie zadbamy o bezpieczeństwo w sposób bardziej kompleksowy.

Coraz więcej decyzji Prezesa UODO o nałożeniu sankcji (kary pieniężnej lub innej) z powodu ujawnienia danych osobowych,  jako powód wymienia właśnie brak regularnego testowania, mierzenia i oceniania skuteczności użytych środków technicznych (np. decyzja DKN.5130.1354.2020) lub brak należytej staranności przy tych działaniach (decyzja DKN.5130.2815.2020 ). Jeśli do incydentu doszło w wyniku cyberataku argument, że posiadamy  i wdrożyliśmy najnowocześniejsze systemy ochrony już nie wystarcza.
W kilku przypadkach kara została nałożona nawet w przypadku, gdy kontrolowany podmiot wykazał, że przeprowadza okresowe audyty i testy. Prezes UODO uznał jednak, że wykazane testy nie były prowadzone regularnie i nie były kompleksowe. W przypadku testów przeprowadzanych w przypadku zmian organizacyjnych lub prawnych (spóła wykazała, że takie testy były wykonywane przynajmniej raz na rok) uznał, że były to testy „okazjonalne” a nie regularne. (np. decyzja DKN.5112.1.2020 )

Dlaczego testowanie i ocena zabezpieczeń powinna być regularna?

Zacznijmy od tego, że nie istnieją zabezpieczenia w 100% skuteczne i niezawodne. Nawet najlepsze urządzenia czy oprogramowanie służące podniesieniu bezpieczeństwa może zostać źle skonfigurowane w konkretnym środowisku. Stale zmieniające się zagrożenia oraz wykrywane codziennie nowe błędy i podatności powodują, że wszystkie zabezpieczenia należy regularnie aktualizować i testować. Eksploatowane systemy biznesowe i inne oprogramowanie posiadane w firmie, także muszą podlegać okresowej ocenie pod kątem bezpieczeństwa. Regularne testowanie i mierzenie skuteczności zabezpieczeń to obecnie jedno z najważniejszych zadań dla służb odpowiedzialnych za bezpieczeństwo danych, w tym także danych osobowych. Codziennie odkrywane są dziesiątki[i] nowych błędów (podatności) w istniejących i wdrożonych systemach informatycznych. Każdego dnia, na świecie powstają tysiące[ii] odmian nowego szkodliwego oprogramowania (ang. malware). Przy tak zmieniającym się oraz stale rosnącym zagrożeniu nie możemy zachowywać się bezczynnie. Nawet najlepsze systemy zabezpieczeń skuteczne przed rokiem, mogą nie być skuteczne wobec zagrożeń, które pojawiły się w ostatnich 12 miesiącach.

Dlaczego testowanie powinno być kompleksowe?

Regularne testowanie i związana z tym aktualizacja posiadanych środków  technicznych nie powinna ograniczać się tylko do systemów bezpieczeństwa. Niewiele nam pomogą solidne drzwi wejściowe, jeśli od podwórka złodziej może wejść bez żadnych przeszkód. Nasze systemy biznesowe także należy regularnie aktualizować i testować ich odporność na zagrożenia. Najlepsze zabezpieczenia nie pomogą jeśli nasze systemy biznesowe i oprogramowanie systemowe nie jest uaktualniane i sprawdzane pod kątem ewentualnych błędów. Oczywiście, nie wszystkie elementy systemów informatycznych musimy testować z jednakową częstotliwością.  Częściej powinniśmy testować te zasoby, które są udostępniane bezpośrednio do Internetu (np. sklep, formularze online, etc).   Nieco rzadziej powinno się testować moduły z tymi zasobami współpracujące. Najrzadziej możemy wykonywać  testy tych systemów, które są odseparowane od styku z siecią zewnętrzną. Pamiętajmy jednak, że co pewien czas (np.  raz na kwartał) należy przeprowadzać testy kompleksowe wszystkich zasobów informatycznych.

Jak często powinny być wykonywane testy zabezpieczeń?

Przepisy RODO nie określają jak często należy przeprowadzać testy aby można było je uznać za  „regularne”.  W decyzji  DKN.5130.2815.2020 Prezes UODO podkreślił, że „(…) testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (…) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych.”   Częstotliwość prowadzonych testów powinna wynikać z prowadzonej w firmie analizy ryzyka.
W małej firmie, nie udostępniającej swoich zasobów informatycznych w sieci, sprawdzenie zabezpieczeń i dostępnych aktualizacji oprogramowania raz na kwartał będzie w zupełności wystarczające. Zupełnie inaczej wygląda sytuacja w dużych podmiotach świadczących usługi online w sposób ciągły. Do tej drugiej grupy zaliczyłbym np. banki, platformy e-commerce a także operatorów telekomunikacyjnych. W tych oraz podobnych podmiotach, testy i badanie zabezpieczeń należy wykonywać dużo częściej. Mogą wystąpić sytuacje, że nawet codziennie. Szczególnie dotyczy to elementów istotnych, z punktu widzenia ciągłości świadczenia usług biznesowych.

Kto powinien być odpowiedzialny za testowanie zabezpieczeń?

Prowadzenia testów i oceny stosowanych zabezpieczeń nie powinno powierzać się osobom, które za te zabezpieczenia odpowiadają. Nie zlecajmy, osobom odpowiedzialnym za utrzymanie właściwego poziomu zabezpieczenia, działań kontrolnych jakimi są testy bezpieczeństwa. Czynności te powinny być prowadzone przez osoby niezależne od działów informatycznych. Odpowiedzialność za prowadzenie oceny stanu zabezpieczeń spoczywa przede wszystkim na działach odpowiedzialnych za bezpieczeństwo, nadzorujących działalność pracowników pod kątem zgodności z prawem i wewnętrznymi procedurami lub audyt wewnętrzny. W przypadku, gdy podmiot nie dysponuje takimi jednostkami , zadania te można zlecić osobom z np. biura prawnego. Nie znaczy to oczywiście, że zespoły te mają realizować testy samodzielnie. Jeśli nie mają własnych wykwalifikowanych zasobów, zalecam zakup takiej usługi w zewnętrznej firmie.

Regularnie testuję i co dalej?

Każdą przeprowadzoną ocenę zabezpieczeń i przeprowadzone testy należy dokumentować.  Zauważone błędy i podatności powinny być regularnie usuwane, a jeśli to niemożliwe wdrażane inne środki zaradcze. Dokumentację z testów oraz z prowadzonych działań naprawczych i zaradczych  należy przechowywać na okoliczność ewentualnej kontroli UODO lub też wystąpienia ewentualnego incydentu bezpieczeństwa.

[i] wg bazy cve.mitre.org w roku 2020 opublikowano 18.353 podatności, czyli ponad 50 dziennie

[ii] wg AV-test Institute obecnie na świecie powstaje ok. 350 tys. szkodliwego lub też niepożądanego oprogramowania

Autor

Wiesław Krawczyński

Certyfikowany Audytor Systemu Zarządzania Bezpieczeństwem Informacji wg normy ISO 27001. Posiada doświadczenie w projektowaniu i audycie systemów z zakresu ISO 22301 oraz regulacji prawnych np. RODO, ustawy o krajowym systemie cyberbezpieczeństwa czy rozporządzeniu w sprawie Krajowych Ram Interoperacyjności.

Posiada między innymi certyfikaty: Prince2 Foundation oraz Practitioner, ISO 27001 Auditor, TOGAF 9 Certification, ISTQB Certified Tester, ITIL Certification in Service Management oraz REQB Certified Professional for Requirements Engineering Professional.