Atak cyberprzestępców stanowi olbrzymie ryzyko i wyzwanie dla przedsiębiorstwa. Nierzadko wiąże się on z utratą istotnych danych, w tym danych osobowych. Co więcej, po naruszeniu bezpieczeństwa informacji organizacji może przyjść się zmierzyć z postępowaniem administracyjnym przed Urzędem Ochrony Danych Osobowych, o czym przekonała się jedna z polskich spółek medycznych.

A tak ransomware – według Europejskiej Agencji ds. Cyberbezpieczeństwa (ENISA) – to w ostatniej dekadzie najbardziej niszczycielski rodzaj cyberataku. Sposobów jego przeprowadzenia jest wiele, lecz najczęściej rozpoczyna się od rozsyłania złośliwego oprogramowania za pomocą niechcianych maili. Te zawierają zazwyczaj zawirusowane załączniki lub linki do zainfekowanych stron internetowych. Na skutek otwarcia pliku/łącza dochodzi do blokady lub zaszyfrowania plików znajdujących się na urządzeniu. Ten sposób ataku jest – jak sama nazwa wskazuje (ang. ransom – okup) – związany z szantażem i żądaniem okupu na rzecz cyberprzestępców, którzy dopuścili się ataku. W przypadku braku zapłaty grożą oni całkowitą utratą dostępu do danych, opublikowaniem wykradzionych informacji lub poinformowaniem partnerów biznesowych o dokonanym ataku, co narazi na szwank reputację firmy.

Tło postępowania

Z atakiem tego rodzaju musiała się zmierzyć w 2021 r. spółka American Heart of Poland, zarządzająca grupą ponad 20 ośrodków medycznych w Polsce. Na skutek działania przestępców doszło do naruszenia ochrony danych. Spółka dokonała więc – zgodnie z art. 33 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (rodo) – zgłoszenia tego naruszenia do Urzędu Ochrony Danych Osobowych. Z przekazanych dokumentów wynikało, że naruszenie ochrony danych osobowych polegało na uzyskaniu nieuprawnionego dostępu przez grupę hakerską do zasobów informatycznych (dysków sieciowych) spółki oraz na zainstalowaniu w systemie informatycznym oprogramowania typu ransomware. W wyniku ataku doszło do utraty dostępności oraz poufności danych osobowych przetwarzanych przez spółkę. Firma uzyskała potwierdzenie naruszenia poufności danych za sprawą adresu podanego przez cyberprzestępców. Na wskazanej stronie w tzw. darknecie rozpowszechniona została próbka danych osobowych pracowników organiazcji, co potwierdziło prawdziwość informacji przekazanych przez hakerów. Treść strony zawierała sugestię, że może dojść do dalszego rozpowszechniania danych w razie braku kontaktu ze strony poszkodowanej organizacji. Hakerzy dali jednocześnie do zrozumienia, że w przypadku uiszczenia okupu w kwocie 3 milionów dol. zaniechają dalszych szkodliwych działań.

Istotna waga naruszenia

W omawianej sprawie utrata poufności polegała na rozpowszechnieniu danych osobowych przez cyberprzestępców. Według doniesień prasowych wyciek miał objąć blisko 21 tysięcy osób – przede wszystkim pacjentów, lecz także pracowników spółki. Naruszeniu ochrony uległy dane takich kategorii jak: nazwisko, imię, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwa użytkownika lub hasło, dane dotyczące zarobków lub posiadanego majątku, informacje dotyczące zdrowia, nazwisko rodowe matki, seria i numer dowodu osobistego oraz numer telefonu. Oprócz bardzo dużego wolumenu skradzionych danych należy zauważyć, że wśród informacji, które zostały ujawnione w sposób nieuprawniony, znalazły się także dane wrażliwe w rozumieniu art. 9 rodo, w tym te dotyczące zdrowia pacjentów. Fakt, że administrator prowadził działalność leczniczą, determinował zakres przetwarzanych danych. Ujawnienie tego rodzaju informacji może wyrządzać szczególne szkody osobom, których one dotyczą. Co więcej, dane przetwarzane przez spółkę stanowią tajemnicę lekarską. Te elementy sprawiały, że naruszenie poufności miało bardzo poważny charakter i znaczną wagę, również w kontekście wszczętego wobec spółki postępowania administracyjnego.

Luki w systemie

Na skutek zgłoszenia naruszenia prezes UODO objął przedsiębiorstwo kontrolą w celu oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych. W postępowaniu toczącym się przed UODO przeprowadzono szczegółową analizę przyczyn ataku oraz tego, jak doszło do utraty poufności danych osobowych. Jednoznacznej przyczyny nie udało się ustalić, lecz stwierdzono kilka kluczowych elementów, które wobec ataku ransomware pozwoliły na wyciek. W toku kontroli wykazano m.in. następujące nieprawidłowości w zastosowanych przez spółkę (jako administratora) środkach technicznych:

• brak aktualizacji oprogramowania urządzeń brzegowych, pozwalający na ich przejęcie;
• stosowanie zbyt słabych haseł przez użytkowników, co zwiększało możliwość nieuprawnionego pozyskania danych autoryzacyjnych przez osoby trzecie (standard na dzień kontroli wynosił 12 znaków, a stosowane hasła były krótsze);
• wykorzystywanie serwerów z systemem, który nie miał aktualnego wsparcia technicznego producenta (przez około rok do momentu wystąpienia incydentu), a tym samym zwiększenie ryzyka zaistnienia i wykorzystania przez osoby nieuprawnione pojawiających się podatności w systemie informatycznym;
• ƒbrak regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania, w wyniku czego zwiększyło się ryzyko wystąpienia ww. nieprawidłowości i brak możliwości zidentyfikowania ich występowania przez spółkę przed wystąpieniem naruszenia ochrony danych osobowych.

UODO za krytyczne podatności uznał przede wszystkim brak aktualizacji oprogramowania urządzeń brzegowych. Jest to niezgodne z najlepszymi praktykami stosowanymi na dzień kontroli w branży informatycznej i wytycznymi Europejskiej Rady Ochrony Danych (EROD). Powyższe uchybienia prawdopodobnie umożliwiły przełamanie zabezpieczeń wskazanych wyżej urządzeń i w dalszej kolejności uzyskanie dostępu do infrastruktury teleinformatycznej spółki i przetwarzanych w niej danych osobowych.

Co istotne dla niniejszej sprawy, organ ustalił na podstawie zebranego materiału dowodowego, że administrator miał świadomość co najmniej części z występujących nieprawidłowości, np. braku aktualizacji oprogramowania systemowego.

Dokumentacja nie chroni

Warto odnotować, że w spółce występowała obszerna dokumentacja związana z bezpieczeństwem przetwarzania danych osobowych. U administratora obowiązywała bowiem polityka bezpieczeństwa sporządzona z uwzględnieniem wdrożonej w spółce normy ISO/IEC 27001:2013. Zastosowano także inne dokumenty regulujące kwestie związane z ochroną danych osobowych, a w firmie istniał zintegrowany system zarządzania bezpieczeństwem. Dodatkowo administrator co najmniej od 2018 r. – w zasadzie corocznie – prowadził analizy ryzyka.

UODO zarzuciło jednak spółce brak rzetelnej oceny ryzyka. Firma dopiero po wystąpieniu naruszenia ochrony danych spowodowanego atakiem ransomware stworzyła bowiem raport z analizy stanu bezpieczeństwa, stanowiący część szacowania ryzyka w organizacji. Z jednej strony w dokumentacji wśród zidentyfikowanych potencjalnych wektorów ataku wymieniono przełamanie zabezpieczeń urządzeń brzegowych spowodowane brakiem aktualizacji oprogramowania tych urządzeń. Spółka po zaistnieniu zdarzenia sama zdiagnozowała zatem co najmniej w części jego przyczyny. Jednocześnie, w ramach analizy ryzyka, określono jego poziom przy większości czynności i celów przetwarzania jako „mały” lub „minimalny”. W ocenie organu firma nie doszacowała ryzyka związanego z dalszym korzystaniem przez nią z oprogramowania bez wsparcia producenta. Przy czym uczyniono to pomimo braku w organizacji szczegółowej procedury testowania, mierzenia i oceniania skuteczności środków zabezpieczających. Brak takiej procedury sam w sobie powodował w opinii UODO niemożność regularnego testowania, mierzenia i oceniania środków służących ochronie danych.

Dodatkowo kolejnym z elementów obciążających spółkę w ocenie UODO okazał się fakt, że administrator sam nie stosował się do części z przyjętych założeń, a dane osobowe były przechowywane w systemie informatycznym w sposób sprzeczny z wewnętrznymi procedurami. Zgodnie z przyjętymi przez spółkę zasadami wykradzione dane miały być magazynowane w specjalnym systemie przeznaczonym do przetwarzania danych zdrowotnych. Nie powinny w ogóle trafiać na stacje robocze i dyski sieciowe. W toku kontroli prowadzonej przez UODO potwierdzono jednak nieprzestrzeganie przez spółkę własnych zaleceń bezpieczeństwa. Informacje o wynikach testów na COVID-19 przechowywała ona bowiem na dyskach sieciowych.

Zważywszy na powyższe powody, dla UODO istotną okolicznością był także fakt, że administrator na dzień kontroli, która, co należy podkreślić, nastąpiła już po ataku ransomware, miał świadomość występowania nieprawidłowości, a mimo to nie przedsięwziął działań mających na celu ich wyeliminowanie.

Surowy wymiar kary

W wyniku przeprowadzonej kontroli prezes UODO stwierdził decyzją z 20 maja 2024 r. (sygn. akt DKN.5112.35.2021) szereg naruszeń przepisów rodo popełnionych przez spółkę. Wskazano, że doszło do naruszenia art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rodo poprzez niewdrożenie:

• ƒodpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych;
• odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, skutkującego naruszeniem zasady integralności i poufności oraz zasady rozliczalności.

W związku ze zdiagnozowanymi uchybieniami UODO nakazał administratorowi:

• wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych;
• wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków mających zapewnić bezpieczeństwo przetwarzania.

Ponadto prezes UODO nałożył na spółkę administracyjną karę pieniężną w wysokości 1 440 549 złotych.

Należy podkreślić, że nałożona grzywna nie jest karą za sam udany charakter ataku, ale za niedbałość polegającą m.in. na używaniu przestarzałego oprogramowania, niestosowaniu się do własnych zasad oraz braku rzetelnego testowania bezpieczeństwa informatycznego. Niezależnie od faktu, czy wskazane przez UODO uchybienia miały bezpośredni wpływ na wystąpienie naruszenia ochrony danych osobowych, czy też nie – zgodnie ze stanowiskiem orzecznictwa administracyjnego jednostka ponosi odpowiedzialność za delikt administracyjny, a nie za czyn zawiniony, polegający na zachowaniu albo zaniechaniu. Jednostka nie podlega karze za nielegalne działanie osoby trzeciej (np. hakera). Sam nieuprawniony dostęp do danych nie jest zatem karany. Kara może być jednak nałożona za dopuszczenie do tego dostępu w związku z nieodpowiednim poziomem stosowanych zabezpieczeń. Jest to oczywiste, gdyż sama okoliczność nieuprawnionego dostępu do danych może zaistnieć nawet przy dochowaniu najwyższego poziomu zabezpieczeń.

Jednoznaczne orzecznictwo

Podejście, jakie zaprezentował prezes UODO w omawianej decyzji, z pewnością nie jest odosobnione. Podobne stanowisko zajmował tak prezes UODO, jak i Trybunał Sprawiedliwości Unii Europejskiej w innych sprawach prowadzonych po naruszeniach poufności na skutek ataków hakerskich. Tytułem przykładu można przywołać sprawę, w której decyzją z 13 czerwca 2024 r. (sygn. akt DKN.5131.57.2022) prezes UODO nałożył na Samodzielny Publiczny ZOZ w Pajęcznie karę 40 tys. złotych. W wyniku ataku hakerskiego placówka straciła dostęp do danych pacjentów i pracowników. Dane osobowe w tym wypadku stały się niedostępne dla administratora, gdyż zostały zaszyfrowane. Oczywiście fakt, że nie ma śladu wycieku danych, nie jest jednoznaczny z tym, że hakerzy tych danych sobie nie skopiowali – potencjalne ryzyko wycieku danych dalej ciąży nad administratorem.

Wspomniana placówka działania naprawcze podjęła dopiero po fakcie wystąpienia incydentu. Wcześniej nikt nie przeprowadził tam analizy ryzyka dla danych osobowych. To ten ostatni element stał się przyczyną nałożenia kary. Brak przeprowadzenia analizy ryzyka dla danych sprawia, że administrator nie mógł skutecznie ich chronić. Gdyby specjalista IT sporządził rzetelną analizę, wiedziałby, że problemem jest nie tylko wyciek danych, ale i to, że pacjenci tracą dostęp do informacji dotyczących zdrowia. W efekcie prawidłowa kwalifikacja ryzyka powinna skłonić podmiot do wprowadzenia lepszych zabezpieczeń.

Niedawno zbliżone zagadnienia rozstrzygał także Trybunał Sprawiedliwości Unii Europejskiej. W orzeczeniu wydanym 14 grudnia 2023 r. w sprawie pod sygn. akt C-340/21 TSUE oceniał, czy bezprawny dostęp do danych osobowych wskutek ataku hakerskiego prowadzi do odpowiedzialności administratora danych i do szkody niemajątkowej, za którą może zostać przyznane odszkodowanie. Jednym z wniosków płynących z przywołanego orzeczenia było to, że jeżeli naruszenia ochrony danych osobowych dopuścili się cyberprzestępcy – czyli osoby trzecie – to za takie naruszenie administrator nie ponosi winy. Sytuacja będzie go jednak obciążać, jeśli umożliwił skuteczne przeprowadzenie takiego ataku, nie dopełniając obowiązków przewidzianych w rodo, a w szczególności obowiązków ochrony danych wynikających z art. 5, 24 i 32 rodo. Warto odnotować, że to właśnie wskazane przez TSUE przepisy były podstawą do nałożenia kary administracyjnej na spółkę American Heart of Poland przez prezesa UODO.

W praktyce szkoda wynikająca z ataku hakerskiego może być de facto następstwem braku przyjęcia przez administratora racjonalnych i odpowiednich do rodzaju przetwarzanych danych środków technicznych i organizacyjnych. Administrator w celu zwolnienia się z odpowiedzialności za atak cybernetyczny powinien wykazać, że uczynił wszystko, co możliwe, aby odpowiednio zabezpieczyć dane osobowe, a następnie niezwłocznie przywrócić ich dostępność. Należy zatem raz jeszcze podkreślić, że to nie sam atak cybernetyczny staje się podstawą do nałożenia kary administracyjnej przez właściwe organy. Ostatecznie przyczynę stanowi brak spełniania wymogów wynikających z rodo – w szczególności tych obligujących do prowadzenia regularnej i rzetelnej analizy ryzyka oraz wdrażania środków technicznych i organizacyjnych, które mogłyby skutkom ataków zapobiegać.

Środki zaradcze

Liczba orzeczeń związanych z kontrolami na skutek ataków cybernetycznych, w szczególności z wykorzystaniem ransomware’u, pokazuje, jak powszechny jest to problem. Należy go brać pod uwagę w prowadzonych przez organizację analizach ryzyka. Jednocześnie warto zwrócić uwagę na to, jak ustrzec się przed atakiem oraz jego skutkami. Najpowszechniejszymi środkami ochrony przed ransomware’em są:

• regularnie wykonywane kopie zapasowe danych przechowywanych na komputerze – należy pamiętać o zachowywaniu co najmniej jednej kopii offline; backupy stanowią najbardziej skuteczną metodę niwelowania skutków ataku typu ransomware;
• stosowanie programów antywirusowych na wykorzystywanych w organizacji urządzeniach;
• regularne aktualizacje – ataki wykorzystują bardzo często istniejące luki w oprogramowaniu;
• wzmożona czujność podczas korzystania z internetu – nie powinno się pobierać załączników z e-maili od nieznanych nadawców ani otwierać podejrzanych linków, a tym bardziej instalować oprogramowania z niepewnych źródeł;
• duża ostrożność w trakcie korzystania z publicznych sieci Wi-Fi.

Powyższe rekomendacje to dobre praktyki, które można znaleźć chociażby na stronach rządowych. Wiedzę warto uzupełniać także o wytyczne Europejskiej Rady Ochrony Danych – organu, którego celem jest zapewnienie spójnego stosowania rodo. Przydatne wskazówki można znaleźć chociażby w wytycznych EROD 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętych 14 grudnia 2021 r. EROD sformułowała w nich chociażby następujące zalecenia: „Fakt, że atak za pomocą oprogramowania szantażującego mógł mieć miejsce, jest zwykle oznaką istnienia co najmniej jednej luki w systemie administratora. Dotyczy to również przypadków oprogramowania szantażującego, w których dane osobowe zostały zaszyfrowane, ale nie uległy eksfiltracji. Niezależnie od wyniku i konsekwencji ataku nie sposób przecenić znaczenia kompleksowej oceny systemu bezpieczeństwa danych – ze szczególnym uwzględnieniem bezpieczeństwa informatycznego. Zidentyfikowane słabości i luki w zabezpieczeniach należy udokumentować i bezzwłocznie usunąć”.

Ponadto EROD wskazał szereg zalecanych środków, które stanowić mogą sposoby zapobiegania atakom. Wytyczne raz jeszcze podkreślają istotną rolę aktualizowania oprogramowania układowego, systemu operacyjnego i narzędzi użytkowych na serwerach, komputerach klienckich, aktywnych składnikach sieci i wszelkich innych urządzeniach w tej samej sieci LAN (w tym urządzeniach wykorzystujących Wi-Fi). Poza tym podkreślono wagę projektowania i organizowania systemów przetwarzania i infrastruktury w sposób, który pozwala na segmentację lub izolację systemów danych i sieci, aby uniknąć rozprzestrzeniania się złośliwego oprogramowania wewnątrz organizacji, a także do systemów zewnętrznych. Firma powinna również zapewniać regularne testy podatności na zagrożenia.

Nieoceniona jest wreszcie edukacja pracowników w zakresie metod rozpoznawania i zapobiegania atakom informatycznym. Administrator powinien zapewniać swoim podwładnym środki, które pozwolą ustalić, czy wiadomości e-mail są autentyczne i godne zaufania. Pracownicy powinni zostać przeszkoleni w zakresie rozpoznawania, kiedy doszło do takiego ataku, oraz sposobu zgłaszania takich zdarzeń. Zgłoszenia powinny oczywiście następować w sposób natychmiastowy. Dobrym pomysłem – w zależności od rodzaju organizacji – może okazać się też powołanie zespołu reagowania na naruszenia bezpieczeństwa komputerowego oraz opracowanie planów reagowania na incydenty, w tym planu przywrócenia gotowości do pracy i ciągłości działania.

Sprawa spółki American Heart of Poland podkreśla istotność odpowiednich zabezpieczeń w przetwarzaniu danych osobowych, a przede wszystkim danych wrażliwych. Administrator powinien upewniać się, że wdrożone środki są skuteczne i regularnie je aktualizować, w szczególności w sytuacji zmiany procesów lub okoliczności. W przypadku zaistnienia ataku cybernetycznego, chociażby takiego jak atak ransomware, w obowiązku administratora jest zgłoszenie incydentu do Urzędu Ochrony Danych Osobowych. Organizacja musi wówczas liczyć się z możliwością zaistnienia kontroli ze strony wspomnianego wyżej organu. Jeśli wykaże ona niezgodności z przepisami rodo, w tym nieprawidłowości w zabezpieczeniach danych osobowych, które umożliwiły skuteczny atak lub wyciek danych, na administratora mogą zostać nałożone sankcje.

Autor

Paweł Dymek

Autor jest radcą prawnym w kancelarii Głowacki i Wspólnicy. Specjalizuje się w zakresie prawa nowych technologii, w szczególności umów IT oraz ochrony danych osobowych.