Analiza ryzyka

czyli jakie środki zabezpieczające wybrać?

RODO nakłada na administratora danych osobowych wdrożenie „odpowiednich” środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem. Unijny ustawodawca przyznaje administratorom danych osobowych dowolność w zakresie doboru środków, przy czym ta dowolność nie może być łączona z obojętnością. Wybór środków musi być poprzedzony dokonaną analizą ryzyka.

Po co przeprowadzać analizę ryzyka?

Analiza ryzyka po pierwsze określi nam co może się złego wydarzyć. A prościej, jakie niebezpieczeństwa czyhają na nas za rogiem w związku z określonym procesem przetwarzaniem danych osobowych. Analiza ryzyka ma pomóc przy wyborze odpowiednich dla danego rodzaju ryzyka środków bezpieczeństwa.  

Przykładowe środki organizacyjne, techniczne i prawne:

Środki prawne: upoważnienie do przetwarzania danych osobowych, umowa powierzenia przetwarzania danych osobowych, umowa o współadministrowaniu danymi osobowymi, klauzule informacyjne, polityki prywatności.

Środki organizacyjne: prowadzenie rejestru czynności przetwarzania, prowadzenie rejestru kategorii czynności przetwarzania, dokonanie analizy ryzyka, opracowanie i wdrożenie polityki bezpieczeństwa, prowadzenie ewidencji osób upoważnionych do przetwarzania danych, regularne przeglądy polityk i instrukcji, wyznaczenie Inspektora Ochrony Danych (IOD), ocena skuteczności zastosowanych środków.

Środki techniczne: szyfrowanie, pseudonimizacja, mocne hasła zmieniane regularnie, antywirus na komputerze, certyfikat SSL, wykonywanie kopii zapasowych, ale także regularne sprawdzanie, testowanie, mierzenie, a także drzwi antywłamaniowe, system antywłamaniowy, niszczarka, kraty w oknach czy monitoring wizyjny.

Przed podjęciem decyzji o zastosowaniu odpowiedniego środka musimy uwzględnić obecny stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania, przepisy prawa, a także ryzyko naruszenia praw wolności osób, których dane osobowe będziemy przetwarzać.

Jak widać wybór środka nie może być „pierwszy z brzegu”. Powinien być on uzależniony od poziomu ryzyka, które najpierw trzeba oszacować. Zasada rozliczalności nakłada na administratora obowiązek wykazania, że proces szacowania ryzyka został przeprowadzony.

Metod szacowania ryzyka jest wiele i różnią się od siebie. Dodatkowo nie ma zestawienia, które wskazywałoby, że ta metoda jest lepsza dla mniejszych, a ta – dla większych organizacji.

 Niemniej jednak zaprezentuję Wam jedną z najprostszych metod szacowania ryzyka, która polega na zdefiniowaniu poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu.

RYZYKO = Prawdopodobieństwo x Skutek


Krok 1: Kontekst organizacji. Zasoby i aktywa

Za nim jednak zaczniemy szacować ryzyko musimy spojrzeć na swoją działalność (aktywność) jak na organizację (działalność, firmę, przedsięwzięcie). Określić jej profil. Musimy wiedzieć z jakich narzędzi i podmiotów korzystamy, jakie dane osobowe przetwarzamy, w jakim celu, jak wygląda cały proces przetwarzania danych osobowych itd.

Przykład: Zasobem będzie strona www, na której prowadzisz sklep online



Krok 2: Identyfikacja zagrożenia

Najprostszy podział, to podział na zagrożenia zewnętrzne i wewnętrzne.

Zagrożenia zewnętrzne: atak hakerski, pożar, włamanie, wirus na komputerze

Zagrożenia wewnętrzne: awaria systemu spowodowana brakiem zasilania, błąd pracownika

Przykład: Zagrożeniem dla naszego zasobu (strony www) może być atak hakerski umożliwiający całkowite przejęcie kontroli nad Twoją stroną internetową, na której umożliwiasz swoim klientom założenie konta do sklepu internetowego.


Krok 3: Identyfikacja podatności

Podatność, czyli słabość danego aktywu, rozumianego jako wykorzystywane narzędzie do przetwarzania danych osobowych, na dane zagrożenie.

Przykład: Podatnością może być luka w wykorzystywanej wtyczce www umożliwiająca nieuprawniony dostęp do danych osobowych.


Krok 4: Prawdopodobieństwo

Aby oszacować prawdopodobieństwo wystąpienia danego zdarzenia, które negatywnie wpłynie na naszą organizację, a dokładnie na nasze przetwarzanie danych osobowych należy wziąć pod uwagę takie czynniki jak: statystyczne informacje dotyczące podobnych zdarzeń, czynniki środowiskowe, rodzaje podatności, istniejące zabezpieczenia.

PUODO zaprezentował przykładowe prawdopodobieństwo wystąpienia zdarzenia:

Źródło: „Jak stosować podejście oparte na ryzyku”, s. 23, kwiecień 2018, Poradnik GIODO link: https://uodo.gov.pl/pl/file/707, 10.06.2020r.

Przykład: Co do zasady prawdopodobieństwo wystąpienia ataku hakerskiego na naszą stronę internetową jest prawdopodobne prawie pewne, jednak mając na uwadze obecnie stosowane zabezpieczenia tj. certyfikat SSL, wykonywanie kopii zapasowych, stosowanie sprawdzonych wtyczek. Zatem ogólne bezpieczeństwo wystąpienia zdarzenia możliwe (poziom 3).


Krok 5: Identyfikacja skutków

Dzięki wykonaniu kroków 1-2 jesteś w stanie określić ewentualne skutki w przypadku wystąpienia zagrożenia. Pamiętaj, że sama podatność nie powoduje żadnej szkody. Jednak zmaterializowanie zagrożenia z uwagi na istniejącą słabość już tak.

Przykładowe skutki: nałożenie kar finansowych przez PUODO, powstanie strat biznesowych, w tym reputacji, wystąpienie z roszczeniami ze strony osoby, której dane osobowe zostały ujawnione

Identyfikacja skutków powinna odbywać się przez udzielenie odpowiedzi na pytanie „Co się stanie, gdy…”. Bardzo często wykorzystywane są także scenariusze incydentów, czyli niepożądanych działań. Identyfikacja skutków powinna być dokonana zarówno z punktu danej organizacji, jak i osób, które dane osobowe przetwarza dana organizacja.

Pamiętaj jednak, że RODO stoi na straży bezpieczeństwa osób, które dane osobowe przetwarzasz.

Taka identyfikacja skutków jeszcze nam nie wystarczy.

Musimy, bowiem ustalić skalę skutków. Nie jest to łatwe i dla każdej organizacji będzie inne.

Najpopularniejsza jest skala 5-stopniowa:

1-bardzo niski (pomijalny)

2- niski

3-średni

4-wysoki

5-bardzo wysoki (maksymalny)

Motyw 76 zdanie 1 RODO
Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych.

Warto w ramach 5 stopniowej skali należy opisać, co rozumiemy przez danych stopień.

Przykładowe skutki z punktu widzenia osoby, które dane osobowe przetwarza nasza organizacja zostały określone w motywie 85 RODO i należy do nich zaliczyć powstanie uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych:

  • utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw
  • dyskryminacja
  • kradzież lub sfałszowanie tożsamości
  • strata finansowa
  • nieuprawnione odwrócenie pseudonimizacji
  • naruszenie dobrego imienia
  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową
  • wszelkie inne znaczne szkody gospodarcze lub społeczne

Inne skutki:

  • naruszenie przepisów o:
    • ochronie danych osobowych
    •  karnych
    • tajemnicy zawodowej
    • innych
  • strat finansowych:
    • które zostaną pokryte przez posiadane ubezpieczenie
    • które nie zostaną pokryte przez posiadane ubezpieczenie

lub kwotowo

  • do 100 tysięcy euro
    • powyżej 100 tysięcy euro
  • wizerunkowe:
    • nie ma wpływu na wizerunek organizacji
    • wpływa na wizerunek organizacji, lecz ma charakter znikomy
    • znacząco wpływa na wizerunek organizacji
    • bardzo negatywny wpływ na wizerunek organizacji, z którym konieczne będzie podjęcie działań w celu odbudowania wizerunku

Przykład:

Wracając do naszego przykładu, gdzie zagrożeniem dla naszego zasobu (strony www) może być atak hakerski z uwagi na lukę w stosowanej wtyczce umożliwiający całkowite przejęcie kontroli nad Twoją stroną internetową, na której umożliwiasz założenie konta do sklepu internetowego. Dane osobowe na koncie klienta: imię i nazwisko, adres zamieszkania, PESEL lub NIP, adres e-mail, dane dotyczące płatności, historia transakcji z klientem, adres IP, dane lokalizacyjne, nazwa i dane urządzenia, z którego korzysta klient, historia przeglądania strony.

Skutkiem wystąpienia zagrożenia w naszym przykładzie będzie:

  • Z punktu widzenia osoby, której dane osobowe przetwarzamy:

utrata kontroli nad danymi osobowymi przez osobę, prawdopodobieństwo sfałszowania tożsamości, istnieje możliwość powstania szkody majątkowej i niemajątkowej w późniejszym okresie czasu.

  • Z punktu widzenia organizacji:

Nadszarpnięcie dobrego imienia, kopia zapasowa jest wykonana, więc dane osobowe nie zostaną utracone, kontrola PUODO, ewentualne roszczenia z uwagi na powstanie szkody majątkowej lub niemajątkowej, liczba naszych klientów na tym etapie jest mała (do 10 osób, a przetwarzane dane osobowe zostały ograniczone do minimum)

Nasza ocena skutku – niski (poziom 2).


Krok 6: Szacowanie ryzyka

Kiedy mamy już ustalone poziomy prawdopodobieństwa wystąpienia danego zagrożenia oraz skalę skutków możemy zacząć szacować ryzyko.

Motyw 76 zdanie drugie RODO

Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

Do tego celu wykorzystuje się tzw. macierz ryzyka. Przykładowa macierz została zaprezentowana przez PUODO.

Obraz zawierający zrzut ekranu Opis wygenerowany automatycznie

Źródło: „Jak stosować podejście oparte na ryzyku”, s. 23, kwiecień 2018, Poradnik GIODO link: https://uodo.gov.pl/pl/file/707, 10.06.2020r.

Prawdopodobieństwo wystąpienia: Możliwe (poziom 3).

Skutek Niski (poziom 2).

Ryzyko: Średnie

Jak widać poziom ryzyka jest obecnie nieakceptowalny, choć działania mogą zostać przesunięte w czasie. Niemniej jednak wymaga to od Ciebie stałego monitorowania procesu przetwarzania danych osobowych.

I co teraz?

Jak administrator sam decydujesz, co dalej zrobić z tym ryzykiem.

Możesz:

  • zaakceptować ryzyko – i w razie jego wystąpienia ponieść jego skutki
  • unikać ryzyka – np.zrezygnować z rozwiązania, z którym związane jest wysokie lub krytyczne ryzyko, a koszt wdrożenia rozwiązania jest zbyt wysoki
  • przenieść ryzyko – np. poprzez wykupienie ubezpieczenia od jakiegoś zdarzenia lub w umowie przenieść skutki wystąpienia danego ryzyka na podwykonawcę. Pamiętaj jednak, że wykupienie ubezpieczenia nie wyeliminuje ryzyka działania niezgodnego z RODO, zaś jako administrator ponosisz odpowiedzialność za wybór podwykonawcy
  • zmodyfikować ryzyko – np. poprzez stosowanie dodatkowych zabezpieczeń, zmianę podwykonawcy, zmiana wtyczki

Motyw 83 RODO

W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z RODO administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Decyzja: zastosować dodatkowe środki bezpieczeństwa w postaci:

  • cyklicznego skanowania strony pod względem antywirusów
  • stosowanie bezpiecznych skryptów oraz zabezpieczone hasłami katalogi
  • zabezpieczone łącze internetowe
  • silne hasło zmieniane raz w miesiącu
  • zabezpieczony komputer
  • zainstalowanie reCAPTCHA
  •  weryfikacja ilości danych zbieranych przy założeniu konta
  • dodatkowe ubezpieczenie
  • weryfikacja podmiotu świadczącego usługi hostingu strony internetowej i ewentualna zmiana dostawcy, który zapewnia większą ilość zabezpieczeń
  • analiza stosowanych wtyczek stosowanych na stronie www
 

Prawdopodobieństwo wystąpienia po zastosowaniu dodatkowych zabezpieczeń: Rzadkie (poziom – 1)

Skutek: Niski (poziom – 2)

Ryzyko: Niskie

Poziom ryzyka akceptowalny. Działania podejmowane w zależności od wymaganych nakładów.

Pamiętaj, że gdy na etapie szacowania i oceny ryzyka zostanie ustalona wartość wysoka, to zgodnie z art. 35 RODO wymagane jest przeprowadzenie dla danego procesu przetwarzania oceny skutków w zakresie ochrony praw i wolności osób, których dane są przetwarzane.

Powyższy sposób analizy i szacowania ryzyka ma jedynie charakter przykładowy. RODO nie wskazuje metody analizy ryzyka. Istnieją różne metody szacowania ryzyka – ilościowe, jakościowe, mieszane; mniej lub bardziej skomplikowane. Możesz sam stworzyć skalę – poziomy prawdopodobieństwa wystąpienia zagrożenia, poziomy ryzyka oraz skalę skutków. Ważne jednak, by w ostatecznym rozrachunku wybrać zabezpieczenia odpowiednie do Twojej organizacji, charakteru przetwarzania, by chroniły osobę, której dane osobowe przetwarzasz.

Źródła:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1 ze zm.)

  2. „Jak stosować podejście oparte na ryzyku”, Poradnik GIODO link: https://uodo.gov.pl/pl/file/707, 10.06.2020 r.