Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay
23.06.2020

Chmurowe kopie

Veeam Backup dla Microsoft Azure
19.06.2020

Nowości w kontenerach

Red Hat OpenShift 4.4
19.06.2020

Analityka bezpieczeństwa

FortiAI
19.06.2020

UPS dla obliczeń edge

Schneider APC Smart-UPS
16.06.2020

Przemysłowe SD

Nowe karty Transcend
16.06.2020

Storage dla SMB

QNAP TS-451DeU
16.06.2020

Pamięć masowa

Dell EMC PowerStore

Klasyfikacja zdarzenia jako incydentu i naruszenia ochrony danych

Data publikacji: 20-12-2019 Autor: Tomasz Cygan

Zabezpieczenia organizacyjne i techniczne wdrażane są w celu skutecznej obsługi niepożądanych zdarzeń, które mogą mieć wpływ na dane osobowe, urządzenia, infrastrukturę. Ponadto unikamy w ten sposób wydatków na kary, odszkodowania lub nowe zabezpieczenia. Warto więc bliżej przyjrzeć się kryteriom klasyfikowania zdarzenia jako incydentu w rozumieniu uksc oraz naruszenia ochrony danych osobowych w rozumieniu rodo.


Z punktu widzenia obecnie obowiązujących regulacji stosujemy zabezpieczenia, aby zminimalizować ryzyko związane z wystąpieniem incydentu w rozumieniu przepisów ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560), zwanej dalej uksc, oraz wystąpieniem naruszenia ochrony danych osobowych w rozumieniu rodo. Przepisy uksc nie tylko definiują incydent, ale też kategoryzują go ze względu na okoliczności wystąpienia. Samo pojęcie incydentu zostało zdefiniowane w art. 2 punkt 5 uksc. Jest nim takie zdarzenie (czyli nie tylko działanie człowieka, ale także czynnik sprzętowy czy środowiskowy), które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo. To z kolei oznacza odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Wobec tego cechą definiującą incydent jest także jego potencjalne wystąpienie. Cyberbezpieczeństwo to zatem nie tylko reakcja na zdarzenia, które wystąpiły, ale także działania prewencyjne zmierzające do eliminacji (a częściej tylko do minimalizacji) zagrożeń. Elementem cyberbezpieczeństwa jest przecież obsługa incydentu, czyli czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu.

 

> DEFINICJE INCYDENTU

 

Każdą kolejną definicję incydentu zawartą w uksc należy oceniać przez pryzmat tej określonej w art. 2 ust. 5 uksc. Ustawodawca wyróżnia w tym zakresie:

 

  • incydent krytyczny – incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV (art. 2 punkt 6 uksc),
  • incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej, czyli usługi, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienionej w wykazie usług kluczowych (art. 2 punkt 7 uksc),
  • incydent istotny – incydent, który ma istotny wpływ na świadczenie usługi cyfrowej w rozumieniu art. 4 rozporządzenia wykonawczego Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiającego zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ (DzUrz UE L 26 z 31.01.2018, str. 48), zwanego dalej „rozporządzeniem wykonawczym 2018/151” (art. 4 punkt 8 uksc),
  • incydent w podmiocie publicznym – incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny, o którym mowa w art. 4 pkt 7–15 (art. 2 punkt 9 uksc).

 

> INCYDENTY A ELEMENTY PRZEDMIOTOWE

 

Incydenty różnicowane są przez elementy przedmiotowe, takie jak wpływ na usługę kluczową, usługę cyfrową lub znaczna szkoda dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowane przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV, ale także podmiotowe – dla kwalifikacji zdarzenia jako incydentu w podmiocie publicznym znaczenie ma tylko to, kto padł jego ofiarą:•jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (DzU z 2017 r., poz. 2077 oraz z 2018 r., poz. 62, 1000 i 1366),

 

  • instytuty badawcze,
  • Narodowy Bank Polski,
  • Bank Gospodarstwa Krajowego,
  • Urząd Dozoru Technicznego,
  • Polska Agencja Żeglugi Powietrznej,
  • Polskie Centrum Akredytacji,
  • Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej,
  • spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (DzU z 2017 r., poz. 827 oraz z 2018 r., poz. 1496).

 

Oczywiście nie należy interpretować przepisów w ten sposób, że określone zdarzenie może stanowić tylko jeden rodzaj incydentu. Dopuszczalne są różne kombinacje. Na przykład obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej, skutkujące znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowane przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV, które jednocześnie powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny może jednocześnie być klasyfikowane jako incydent w podmiocie publicznym poważny dla jego działalności oraz incydent krytyczny dla bezpieczeństwa publicznego.


Wniosek taki wynika także wprost z art. 26 ust. 3 punkt 6 i 7 uksc, które stanowią, że do zadań CSIRT MON, CSIRT NASK i CSIRT GOV należy między innymi klasyfikowanie incydentów (w tym incydentów poważnych oraz incydentów istotnych) jako incydentów krytycznych, a także zmiana klasyfikacji incydentów poważnych i incydentów istotnych.

 

Można też dokonać innej kategoryzacji incydentów. Skoro zgodnie z art. 4 uksc krajowy system cyberbezpieczeństwa obejmuje m.in. operatorów usług kluczowych, dostawców usług cyfrowych czy podmioty publiczne, to każdemu z nich można przyporządkować kolejno incydent poważny, incydent istotny oraz incydent w podmiocie publicznym. Potwierdza to art. 11 ust. 1 punkt 3 uksc, który nakłada na operatora usługi kluczowej obowiązek klasyfikowania incydentu jako poważnego na podstawie przewidzianych progów. Natomiast zgodnie z art. 18 ust. 1 punkt 3 uksc to dostawca usługi cyfrowej klasyfikuje incydent jako istotny. W przypadku podmiotów publicznych o charakterze incydentu przesądza jego status. Z kolei o nadaniu zdarzeniu statusu incydentu krytycznego decyduje wyłącznie właściwy CSIRT. Zasadnicze znaczenie ma wskazanie okoliczności umożliwiających dalszą kwalifikację incydentu jako poważnego lub istotnego. Zostały one zawarte w dwóch aktach wykonawczych do uksc: rozporządzeniu Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (DzU z 2018 r., poz. 1806) oraz rozporządzeniu Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (DzU z 2018 r., poz. 2180). Pierwsze z nich wskazuje, że w ocenie progu istotności skutku zakłócającego incydentu dla świadczenia usługi kluczowej należy wziąć pod uwagę:

 

  • liczbę użytkowników zależnych od usługi kluczowej świadczonej przez dany podmiot, np. obszar aglomeracji, liczba przewożonych w ciągu roku pasażerów,
  • zależność innych sektorów (wykazanych w załączniku nr 1 do ustawy) od usługi świadczonej przez ten podmiot, np. w zakresie transportu kolejowego należy wziąć pod uwagę zależność co najmniej dwóch następujących sektorów lub podsektorów: sektor energia – podsektor energia elektryczna, sektor energia – podsektor ropa naftowa, sektor energia – podsektor ciepło,
  • wpływ incydentu w zakresie skali i czasu trwania na działalność gospodarczą i społeczną lub bezpieczeństwo publiczne, np. poprzez procentowy udział odbiorców w rynku, wysokość straty finansowej, długość opóźnienia w dostawach mierzona w godzinach,
  • udział podmiotu świadczącego usługę kluczową w rynku, np. określony procentowo udział w depozytach,
  • zasięg geograficzny związany z obszarem, którego mógłby dotyczyć incydent, np. w przypadku transportu kolejowego pasażerskiego świadczenie usługi na obszarze co najmniej 9 województw,
  • zdolność podmiotu do utrzymywania wystarczającego poziomu świadczenia usługi kluczowej przy uwzględnieniu dostępności alternatywnych sposobów jej świadczenia, np. dla zarządzania drogami czy inteligentnych systemów transportowych w przypadku wystąpienia incydentu nie ma alternatywy,
  • inne czynniki charakterystyczne dla danego podsektora, np. ilość wydobytych kopalin, udział surowca w dostawach, wielkość produkcji, długość sieci przesyłowej, ciepłowniczej lub dystrybucyjnej, zainstalowana moc, wielkość przesyłu lub zmagazynowania, przeładunku lub przewozu, liczba lotów, liczba wniosków o skonstruowanie rozkładu jazdy, ale także udzielanie kredytów, kwota refundacji czy w niektórych przypadkach wszystkie podmioty działające w danym sektorze.

 

Dla dokonania klasyfikacji w tym zakresie niezbędne jest łączne spełnienie wszystkich warunków, natomiast dla uznania incydentu za poważny niezbędne jest dokonanie oceny w zakresie:

 

  • liczby użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej, np. procentowo określona liczba pasażerów, brak dostępu do usługi dla określonej liczby użytkowników przez określony czas,
  • czas oddziaływania incydentu na usługę kluczową, np. liczony w godzinach czas przerwy wydobycia, czas utraty zasilania, określony czas braku dostępu do systemu informatycznego,
  • zasięg geograficzny incydentu,
  • inne czynniki charakterystyczne dla danego podsektora, np. śmierć człowieka, ciężki uszczerbek na zdrowiu, strata finansowa w określonej wysokości, przerwanie realizacji usługi na określony czas, brak poufności oraz integralności danych w usłudze, a w przypadku incydentu dotyczącego prowadzenia rejestru domeny najwyższego poziomu (TLD) nieplanowana utrata możliwości zarządzania wpisami przez co najmniej 72 godziny, nieplanowany brak dostępności serwerów DNS domeny powyżej 1 godziny, nieautoryzowana zmiana w bazie danych serwera DNS rejestru TLD lub nieautoryzowana zmiana w bazie danych rejestru TLD.

 

> INCYDENT A NARUSZENIE OCHRONY DANYCH

 

Jednocześnie należy zauważyć, że incydent w rozumieniu uksc może stanowić naruszenie ochrony danych osobowych. Zgodnie z art. 4 punkt 12 rodo „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób. Nie chodzi więc o same następstwa, lecz o naruszenie bezpieczeństwa prowadzące do tych następstw. Co istotne, mogą one powstać przypadkowo lub w sposób niezgodny z prawem. Innymi słowy: nie każde zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych musi stanowić naruszenie ochrony danych osobowych, gdyż może do niego dojść bez uprzedniego naruszenia bezpieczeństwa. Z kolei swoje źródło naruszenie bezpieczeństwa może mieć zarówno w działaniu (udostępnienie hasła do systemu informatycznego, zbyt szeroki zakres uprawnień, zainfekowanie sieci wirusem), jak i w zaniechaniu (brak wykonywania kopii zapasowych, niewylogowanie się z systemu). Urząd Ochrony Danych Osobowych wskazuje w poradniku „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” wydanym w maju 2019 roku: „żeby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:

 

  • naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
  • skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
  • naruszenie jest skutkiem złamania zasad bezpieczeństwa danych”.

[...]

 

Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"