Naruszenie ochrony danych osobowych w rządowych instytucjach.
W połowie lipca doszło do wycieku danych 65 tysięcy pracowników Holenderskiego Ministerstwa Sprawiedliwości, a wszystko to w wyniku skopiowania jednego pliku na przenośny dysk twardy.
Wyobraźmy sobie sytuację, mamy gorszy dzień w pracy, kiepsko nam idzie realizowanie kolejnych zaplanowanych na dany dzień projektów, przygotowywanie pism czy odpisywanie na maile. Jednakże poczuwając się do odpowiedzialności za swoją pracę, postanawiamy wziąć ze sobą do domu laptop lub na pendrive zgrywamy dokumenty i pliki, które jeszcze chcemy przejrzeć w spokoju, w wygodnych dresach i z herbatą w ulubionym kubku z Gwiezdnych Wojen. Normalna sytuacja, prawda?
Tak. Dokładnie w ten sam sposób postąpił pracownik zewnętrznej firmy audytorskiej, którego zadaniem było przeprowadzenie kontroli jakości usług dostępu w holenderskim Ministerstwie Sprawiedliwości. Dla własnej wygody skopiował na swój zewnętrzny dysk twardy plik zawierający 65 tysięcy danych pracowników Ministerstwa, zawierający imiona, nazwiska, datę urodzenia, rodzaj zatrudnienia, czy nawet numer paszportu danego pracownika. Na tym jednak nie koniec, skopiowaniu uległy również dane pracowników holenderskiej prokuratury oraz centrali publicznych przychodni.
Wciąż nie jest znana liczba osób, których dane wyciekły w wyniku nieuprawnionego skopiowania przez audytora.
Znamienne w całej tej sytuacji jest to, że wystarczyło zaniedbanie jednej osoby, by doszło do jednego z większych wycieków wrażliwych danych osobowych w historii Holandii. Jakkolwiek niepokojąca może być wizja, w której jedna osoba może wyrządzić tyle potencjalnych szkód, to zawsze istnieje możliwość minimalizowania ryzyka i strat poniesionych w wyniku takiego zdarzenia.
Możliwe jest wprowadzenie odpowiednich procedur, korzystanie z firewalli, programów antywirusowych, sieci VPN by zapobiec wszelkiego rodzaju naruszeniom bezpieczeństwa sieci lub systemu komputerowego. Jednakże, nieustannie rosnący arsenał złośliwego oprogramowania, botów, czy coraz bardziej przebiegli cyber-przestępcy i hackerzy sprawiają, że nie zawsze środki te dają 100% ochronę. Na wypadek, gdyby zawiodły lub do incydentu cybernetycznego doszłoby w wyniku ludzkiego błędu niezbędne będzie ubezpieczenie od ryzyk cybernetycznych, nazwane powszechnie ubezpieczeniem CYBER.
Przyglądając się casusowi wycieku danych z holenderskiego Ministerstwa Sprawiedliwości, należy wyodrębnić zdarzenia/kategorie zdarzeń:
- Naruszenie bezpieczeństwa sieci/systemu komputerowego – poprzez wprowadzenie do niego nieautoryzowanego urządzenia do przenoszenia danych,
- Umyślne/nieumyślne działanie podwykonawcy/osoby trzeciej,
- Nieuprawnione skopiowanie wrażliwych danych osobowych przez osobę nie mającą autoryzacji do dokonywania takich czynności,
- Wyciek wrażliwych danych osobowych dziesiątek tysięcy pracowników administracji państwowej – w wyniku, którego naruszone zostały przepisy dyrektywy RODO, narażające na sankcje podmiot, z którego dane wyciekły, ale i podmiot, którego audytor był pracownikiem
Zatem jaką ochronę i przed czym zapewnia ubezpieczenie Cyber? Czy możliwe jest ubezpieczenie się od takich samych lub analogicznych zdarzeń, które prowadzić mogą do szkód wyrządzonych danemu podmiotowi i/lub osobom trzecim?
Co do zasady tak, ubezpieczenia Cyber przede wszystkim chronią przed sytuacjami, w których nieuprawniona osoba, lub osoba przekraczająca swoje uprawnienia uzyskuje dostęp do systemu komputerowego, w wyniku którego dochodzi do naruszenia ochrony danych osobowych lub naruszenia bezpieczeństwa tego systemu. Ubezpieczenie to pokrywa w takich przypadkach koszty związane z przeciwdziałaniem naruszeniom m.in. koszty specjalistów IT, śledczych, prawników, firm PR, koszty zarządzania kryzysowego związanego z incydentem.
Dodatkowo, jeżeli w wyniku konkretnego zdarzenia, ataku lub naruszenia bezpieczeństwa systemów dojdzie do wycieku i udostępnienia danych osobowych osób fizycznych, ale także wrażliwych danych kontrahentów lub klientów nie będących osobami fizycznymi, ubezpieczenie Cyber zapewni pokrycie kosztów związanych z wynajęciem specjalistów, którzy reprezentowaliby przed właściwymi organami lub przed Prezesem Urzędu Ochrony Danych Osobowych podmiot, z którego wyciekły dane. Wiąże się to ponownie z pokryciem kosztów wynajęcia prawników, biegłych informatyków, specjalistów od zarządzania siecią, bezpieczeństwa, ale także specjalistów z zakresu ochrony danych osobowych i kontaktów z organami nadzorczymi.
Ponadto, ubezpieczenie Cyber oferuje wsparcie w postaci Incident Managera, jest to zazwyczaj podmiot specjalizujący się w zarządzaniu kryzysowym w przypadku zdarzeń cybernetycznych oraz ataków cyber na podmioty gospodarcze. Wsparcie Incident Managera zapewnia konsultacje, szczegółowe badanie danego zdarzenia oraz pomoc w likwidowaniu jego skutków, czy też pomoc w pozyskiwaniu specjalistów z zakresu prawa, informatyki śledczej.
Reasumując, obecnie w czasach, gdy rok rocznie ilość cyber ataków, wycieków danych osobowych oraz innych zdarzeń rośnie w coraz większym tempie, ubezpieczenie Cyber zyskuje na znaczeniu już nie tylko dla ogromnych korporacji, ale także dla instytucji publicznych, małych i średnich przedsiębiorców. Każdy może być tak naprawdę celem ataku, próby wyłudzenia lub błędu/zaniechania człowieka, prowadzącego do poważnych konsekwencji.
Słowem zakończenia, by lepiej uświadomić skalę problemu jakim są wszelkiej maści cyber ataki, przytoczę garść statystyk1.
- 71% incydentów i ataków cybernetycznych w ostatnich latach miało motywację finansową,
- 32% naruszeń bezpieczeństwa wiąże się z phishingiem,
- 70% naruszeń bezpieczeństwa danych dotyczy wyłącznie poczty elektronicznej,
- 64% naruszeń danych to próby wyłudzenia lub kradzieży haseł lub numerów PIN.
W EQUINUM Broker pomożemy Państwu w znalezieniu i przygotowaniu ubezpieczenia, które będzie w maksymalnym stopniu chroniło przed zdarzeniami cybernetycznymi i wyciekiem danych osobowych.
Zapraszam do kontaktu.
Rafał Kowalski
Prawnik
rkowalski@equinum.pl
+48 575 366 772