Czy ktoś już kiedyś zadał wam takie pytanie? Pewnie tak. Bardzo często klienci pytają o bezpieczeństwo danych, jakie będą u nas przechowywane na etapie zawierania umowy, a potem od czasu do czasu weryfikują, czy wypełniamy obietnice z początku współpracy.
Pół biedy, kiedy ktoś zada nam to pytanie na początku współpracy, kiedy to mamy jeszcze czas na poprawę zasad bezpieczeństwa w naszej organizacji. Gorzej, jeśli takie pytanie otrzymamy, gdy współpraca trwa w najlepsze, a w samym pytaniu ukryte jest drugie dno: nasz partner biznesowy ma istotny powód, by je zadać. Chciałbym skupić się na tym właśnie przypadku.
Czy to może się zdarzyć?
Weźmy pod lupę niewielką firmę usługową: mały gabinet lekarski, a może kilkuosobowego pośrednika ubezpieczeniowego. Każda z tych organizacji z racji prowadzonej przez siebie działalności posiada dane osobowe swoich klientów. I któregoś dnia jeden z klientów dzwoni z pytaniem: Czy moje dane są u ciebie bezpieczne? Jestem właśnie na twoim serwerze i oglądam zdjęcia z waszej wczorajszej imprezy firmowej. Fajnie, że na tę imprezę zaprosiliście klownów. Czy to normalne, że tak łatwo można dostać się na twój serwer?
Wtedy serce zaczyna bić mocniej. Przecież nikt nie wiedział, że na wczorajszej imprezie bawili się z nami klowni. Teraz sami czujemy się jak klown. Przecież jeśli ktoś jest na naszym serwerze, to ogląda najbardziej poufne dane i ma dostęp do rekordów dotyczących naszych klientów. Czy tylko on?
Szybko staramy się skontaktować z informatykiem, który jest świetny i wie wszystko o naszym serwerze. Tylko jak go złapać? Współpracujemy z nim od lat (jesteśmy małą organizacją i zatrudniamy go na zlecenie, tylko wtedy, gdy go potrzeba), ale właśnie wyjechał na wakacje. Po kilku godzinach dodzwaniamy się i.. chętnie pomoże, tylko że postanowił wypocząć i zdecydował, że na wakacje nie zabierze komputera. Poleca kolegę, który może pomóc. Po jakimś czasie udaje się nam skontaktować z kolegą, tylko że on nie zna naszych systemów, więc musi porozmawiać z naszym informatykiem. Po kilkunastu godzinach jest już gotowy, żeby sprawdzić, co się wydarzyło. Bingo! W ostatnich dniach przed zasłużonym urlopem nasz informatyk ostatkiem sił przygotował system umożliwiający pracę zdalną (ileż to było radości, że w końcu w pełni możemy pracować z domu). Oprogramowanie jednak nie zostało ustawione prawidłowo i serwer pozostał otwarty nie tylko dla pracowników, ale dla wszystkich innych użytkowników internetu.
Minęło ponad 48 godzin od telefonu klienta i wiemy, że nasz serwer był otwarty, i że ktoś tam buszował. Czy coś zrobił? Tego nie wiemy, jednak mógł. Trudno w to uwierzyć, ale straciliśmy kontrolę nad danymi. A były tam przecież dane osobowe klientów. I wtedy pot zalewa nam czoło: RODO. Coś z tym RODO było. Coś trzeba zrobić? Dzwonimy do znajomego prawnika, który w przeszłości pomagał nam przy kupnie domu. Wie, że RODO jest, ale musi sprawdzić, co i jak trzeba zrobić. W nerwach czekamy na to, co powie. Dzwoni wieczorem i mówi, że trzeba dokonać odpowiedniego zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Nigdy tego nie robił, więc rano skontaktuje się z kolegą, który jest w tym zakresie specjalistą. Tymczasem mijają 72 godziny od telefonu klienta, a my nic nie zrobiliśmy.
Niemożliwe? Otóż nie. To opis bardzo typowego zdarzenia, do którego doszło w niejednej małej firmie. A jakie są konsekwencje? Bardzo poważne.
W przypadku utraty kontroli nad danymi osobowymi mamy obowiązek w ciągu 72 godzin po stwierdzeniu naruszenia poinformować o takim zdarzeniu wspomnianego już wcześniej PUODO. Niedopełnienie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu podlega administracyjnej karze pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Mało?
Do tego jeszcze możliwość pojawienia się roszczeń ze strony osób, których dane wydostały się poza naszą firmę. Mógłbym tak jeszcze długo.
A czy może być inaczej?
TAK. W przypadku posiadania cyberpolisy otrzymujemy od większości ubezpieczycieli specjalną usługę zarządzania incydentem, która zapewnia nam możliwość skorzystania z usług specjalistów pomagających w zapanowaniu nad przebiegiem incydentu i na przykład sprawnym przejściu przez proces współpracy z PUODO. Jak więc wyglądałoby zdarzenie opisane powyżej?
Po telefonie klienta nie wpadamy w panikę, ale najszybciej jak to możliwe kontaktujemy się ze specjalnym numerem do zgłaszania incydentów podanym nam przez ubezpieczyciela. Taki numer dostępny jest 24 godziny na dobę. Tam zgłaszamy problem, z jakim się spotkaliśmy, przekazując najważniejsze informacje o zaistniałym zdarzeniu.
W ciągu godziny od tego telefonu kontaktuje się z nami powołany przez ubezpieczyciela Incident Manager, który spokojnie i rzeczowo przepyta nas, co się wydarzyło. Podczas tej rozmowy może zadać wiele tajemniczych pytań, których znaczenie zrozumiemy w toku dalszej współpracy. Ten pierwszy kontakt jest bardzo ważny, bo to wtedy Incident Manager wspólnie z nami podejmuje decyzję, jakiej pomocy nam potrzeba.
Wracając do zdarzenia. Nie wiadomo, co się wydarzyło, a przecież ktoś dostał się na nasze serwery. Trzeba więc specjalisty, który zajrzy w systemy IT i sprawdzi, czy to przypadek, atak hakerski, a może jeszcze coś innego.
Incident Manager zada też dużo pytań dotyczących tego, jakie dane przechowywane były na serwerze, bo mogło przecież dojść do ich wycieku. Jeśli tylko wystąpią przesłanki wskazujące na taką możliwość, Incident Manager skontaktuje się z odpowiednim prawnikiem, który od razu będzie wiedział, co robić. A może potrzeba jeszcze kogoś, kto zapobiegnie utracie dobrego wizerunku firmy? Na pomoc wezwany zostanie specjalista zajmujący się PR.
Incident Manager wie już, jakiej pomocy potrzebuje poszkodowany, i w ciągu następnych kilku godzin organizuje telekonferencję, w której biorą udział: przedstawiciele ubezpieczonego (jeśli jest tam informatyk, to doskonale, ale często w takim spotkaniu bierze udział – w przypadku małych firm – tylko właściciel firmy lub osoba tą firmą zarządzająca), zatrudnieni przez Incident Managera eksperci i oczywiście on sam.
Takie spotkanie to tak naprawdę kluczowy moment całego procesu obsługi incydentu, ponieważ ubezpieczony musi być gotowy na szczerość i musi powiedzieć ekspertom, jak działa jego firma. I tu niesamowicie ważna uwaga: sami eksperci nigdy nie rozwiążą problemu powstającego w wyniku cyberincydentu. Do sprawnej pomocy potrzeba ogromnego wkładu ze strony osób związanych z organizacją, w której do incydentu doszło. Eksperci mają pomóc, ale nigdy nie zastąpią wiedzy takich osób.
Niestety w praktyce jako Crawford często spotykamy się z tym, że poszkodowani w cyberincydentach uważają, że skoro mają do pomocy ekspertów, to już nic nie muszą robić i mogą iść na ciastko. Nie ma ciastek! Cyberincydent to wyzwanie dla każdej poddanej jego działaniu organizacji, która tylko dywersyfikuje ryzyko takiego zdarzenia na ubezpieczyciela, ale nie pozbywa się tego ryzyka w całości. Praca zespołowa. Wszystkie ręce na pokład!
Wracamy jednak do telekonferencji. To jest rozmowa, podczas której żadna ze stron nie może niczego ukrywać. Ubezpieczony musi dokładnie opowiedzieć o tym, co się wydarzyło, i szczegółowo odpowiadać na wszystkie pytania ekspertów. To wtedy tworzony jest plan działania na następne godziny. Co trzeba zrobić, by zatrzymać incydent? Jakie działania należy podjąć, żeby przywrócić normalne funkcjonowanie organizacji? Kogo należy powiadomić o incydencie? Pytań jest wiele i zależą one od charakteru tego, co się wydarzyło.
Na koniec spotkania powstaje plan działania, którego realizacja rozpoczyna się natychmiast. Eksperci współpracują ze służbami ubezpieczonego, odpowiadając na wszystkie powstałe podczas telekonferencji pytania i rozwiązują problemy, jakie stają w tym momencie przed organizacją. Eksperci IT przyglądają się systemom ubezpieczonego, prawnicy przyglądają się umowom: praca wre. Przez kolejne godziny eksperci są do stałej dyspozycji ubezpieczonego, oczywiście tylko w zakresie incydentu.
Działające na rzecz ubezpieczonego zespoły pracują i powoli dochodzą do tego, co się wydarzyło, przywracają normalne funkcjonowanie firmy, zgłaszają w terminie i we właściwy sposób informacje do PUODO. Tak wygląda realna praca nad incydentem, która w zakresie zarządzania nim zazwyczaj kończy się pomiędzy 48. a 72. godziną. Powstaje wówczas raport pokazujący, co zostało zrobione i jak należy działać dalej.
Sytuacja opanowana i rozpoczyna się właściwa likwidacja szkody. W jej trakcie ubezpieczony nadal może liczyć na pomoc ekspertów, którzy będą wspomagali go choćby w dalszej korespondencji z PUODO.
Nie dać się zaskoczyć!
To przykład opisujący bardzo prosty incydent cybernetyczny, ale pokazujący sposób, w jaki działa usługa oferowana przez ubezpieczycieli w ramach cyberpolis. Nikt nie może być pewien, że takie zdarzenie nie będzie jego udziałem. Warto więc mieć w zanadrzu możliwość skorzystania z usługi zarządzania incydentem cybernetycznym.
Warto, by na pytanie: czy moje dane są u ciebie bezpieczne? – zawsze z pełną świadomością odpowiedzieć: TAK. A gdy wydarzy się incydent cybernetyczny, wiedzieć, że zapanowanie nad nim to nie tylko nasz problem.
Marcin Janicki
prezes zarządu Crawford Polska