Atak phishingowy w firmie – jak się zachować?

Wyobraź sobie zwykły wiosenny dzień, gdy jak zwykle przychodzisz do biura (nawet jeżeli biuro mieści się za ścianą, a ty udajesz się do niego w bamboszkach), odpalasz komputer, wznosisz oczy ku niebu na widok stosu maili i zaczynasz czytać wiadomości w pośpiechu, żeby móc się zająć właściwą pracą.

Jeden mail odhaczony, drugi, trzeci i trzydziesty… Nagle dzwoni telefon i twoja współpracowniczka mówi, że dostała od ciebie tajemniczego maila, który wygląda co najmniej podejrzanie: brak polskich znaków, dziwna składnia, jakiś załącznik.

W okamgnieniu baraniejesz, bo nie przypominasz sobie, żebyś wysyłał jakieś podejrzane wiadomości (przynajmniej nie tego poranka i nie do tej współpracowniczki).

Próbujesz wyjaśnić sprawę i już kwadrans później wiesz, że to nie będzie twój najbardziej udany dzień w tym tygodniu.

Prakreacja.pl
Monika Wycykał - zdjęcieO autorze

Autorką tego artykułu jest Monika Wycykał, prawniczka w kancelarii praKreacja.legal, specjalistka w zakresie ochrony danych osobowych.

praKreacja.legal - logo czarne

Spis treści

Podcast o ataku phishingowym w firmie

O ataku phishingowym w firmie możesz również posłuchać. Poniżej widzisz odtwarzacz, który pozwoli ci odsłuchać 57. odcinek podcastu Prawo dla kreatywnych poświęcony właśnie temu tematowi.

Niestety, ale wybrałeś/aś brak obsługi Soundcloud w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu odtwarzacz.

Wszystkie pozostałe odcinki podcastu „Prawo dla kreatywnych” znajdziesz na podstronie poświęconej podcastowi.

Co się zdarzyło? Atak phisingowy

Opisana we wstępie scena z pewnością wyda się znajoma każdemu, kto choć raz w życiu padł ofiarą phishingu.

Phishing jest formą oszustwa, gdzie ludzie o niezbyt krystalicznych zamiarach usiłują dobrać się do tego, co najcenniejsze dla każdej firmy i instytucji:

  • informacji,
  • danych osobowych,
  • systemów teleinformatycznych,
  • haseł i innych zasobów.

Atak phishingowy bazuje przede wszystkim na zagrywkach socjotechnicznych.

Chodzi o to, aby wykorzystać nieuwagę, nieostrożność czy zwykłą niewiedzę użytkownika i na tej podstawie nakłonić go do działań, których oczekują przestępcy stojący za atakiem, np. do otwarcia zainfekowanego załącznika czy podania określonych danych dostępowych.

Szczególnie dane logowania do banków i innych newralgicznych systemów są łakomym kąskiem.

Dane bankowe jako cel phishingu
Zdjęcie autorstwa Karolina Grabowska z Pexels

Czy atakiem phishingowym należy się przejmować?

Phishing phishingowi nierówny i nie w każdym przypadku skutki będą równie opłakane.

Bez wątpienia jednak atak socjotechniczny to jest rzecz, którą należy się przejąć, zwłaszcza kiedy pracujesz w dużej firmie i chwila twojej nieuwagi może narazić na szkodę nie tylko ciebie, ale przede wszystkim całą twoją organizację.

Oczywiście, każdy z nas jest człowiekiem i popełnia błędy, jednak takiego incydentu nie wolno lekceważyć, zwłaszcza kiedy ma on miejsce w pracy.

Komu zgłosić atak phishingowy w pierwszej kolejności?

W sytuacji, kiedy w twojej firmie przydarzył się atak phishingowy, w pierwszej kolejności należy zgłosić to zdarzenie bezpośredniemu przełożonemu, a także osobie, która odpowiada u was za sprawy IT.

Jeżeli w miejscu, gdzie pracujesz, został powołany Inspektor Ochrony Danych lub inny specjalista zajmujący się ochroną danych osobowych, nie zaszkodzi go zawiadomić od razu, ponieważ ta osoba będzie miała równie dużo pracy, co wasi spece od IT.

Osoby odpowiedzialne za sprawy IT powinny zająć się przede wszystkim ustaleniem, co się właściwie przydarzyło i co to spowodowało.

Takie wiadomości-niespodzianki mogą prowadzić do różnych efektów, np.:

  • ujawnienie danych dostępowych przestępcom,
  • zainfekowanie systemów wewnętrznych w twojej firmie,
  • rozsyłanie zainfekowanych maili wszystkim osobom z twojej książki adresowej.

W zależności od tego, co zaszło, osoby od IT powinny zareagować adekwatnie do rodzaju phishingu i powstrzymać atak oraz zneutralizować jego skutki w miarę dostępnych możliwości.

A także sprawdzić, czy w wyniku phishingu ucierpiały jakiekolwiek osoby i ich dane osobowe. Jeżeli tak się stało, to wówczas trzeba dopuścić do siebie tę mroczną myśl, że w twojej firmie mogło dojść do „naruszenia RODO”.

Czy atak phishingowy może prowadzić do naruszenia ochrony danych osobowych?

Nierozważne kliknięcie w zainfekowaną wiadomość jak najbardziej może prowadzić do naruszenia ochrony danych osobowych, a tym samym RODO.

Trzeba bowiem pamiętać, że zgodnie z art. 4 pkt 12 RODO „naruszenie ochrony danych osobowych” oznacza każde naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Jeżeli zatem po otwarciu szkodliwego załącznika z e-maila padły wam systemy w firmie, straciliście bazy danych albo przestępcy zyskali dostęp do danych, jakie macie na poczcie służbowej, to z dużym prawdopodobieństwem doszło do naruszenia ochrony danych osobowych.

Wyciek danych w wyniku phishingu
Zdjęcie autorstwa Andri z Pexels

Czy atak phishingowy trzeba zgłaszać PUODO?

Generalna zasada jest taka, że każde naruszenie ochrony danych osobowych należy zgłaszać Prezesowi Urzędu Ochrony Danych Osobowych (PUODO) najpóźniej w terminie 72 godzin od stwierdzenia naruszenia (art. 33 RODO).

Zgłoszenie można odpuścić tylko wówczas, gdy jest mało prawdopodobne, aby zdarzenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

W praktyce trudno jednoznacznie oszacować takie prawdopodobieństwo i bezpieczniej założyć, że administrator danych osobowych ma obowiązek dokonać zgłoszenia naruszenia ochrony danych osobowych.

Powinien to zrobić za pomocą formularzy dostępnych tutaj.

A gdyby tak udawać, że nic się nie stało, i niczego nie zgłaszać PUODO?

Wiele osób, słysząc o tym, że trzeba pochwalić się PUODO naruszeniem ochrony danych osobowych, niemal z automatu zadaje pytanie, czy nie lepiej dyskretnie przemilczeć incydent, posypać głowę popiołem i obiecać poprawę na przyszłość…?

Niestety, muszę cię zmartwić – zatajanie naruszeń może się bardzo kiepsko skończyć, ponieważ w karierze PUODO już mu się zdarzyło nałożyć karę za brak powiadomienia o naruszeniu ochrony danych osobowych (i to nawet całkiem niedawno, bo na początku marca tego roku). Więcej o sprawie możesz poczytać tutaj.

Co się stanie po zgłoszeniu naruszenia PUODO?

Po zgłoszeniu naruszenia ochrony danych osobowych praktycznie na pewno twoja firma otrzyma wezwanie od PUODO, w którym pojawi się kilka lub kilkanaście pytań na temat zgłoszonego zdarzenia.

Na takie wezwanie trzeba odpowiedzieć na piśmie w terminie 7 dni, przedstawiając równocześnie dowody na poparcie swoich odpowiedzi.

Czego mogą dotyczyć pytania PUODO?

PUODO na pewno będzie chciał zyskać jak najpełniejszy obraz sytuacji związanej z atakiem phishingowym w twojej firmie, stąd powinniście się spodziewać pytań o:

  • okoliczności ataku phishingowego,
  • liczbę osób, których atak phishingowy mógł dotknąć,
  • wdrożone procedury związane z korzystaniem z poczty elektronicznej,
  • wcześniejsze szkolenia pracowników związane z korzystaniem z poczty elektronicznej,
  • szkolenia przeprowadzone po ataku phishingowym, w szczególności z zakresu bezpieczeństwa w internecie,
  • inne środki podjęte w związku z atakiem phishingowym.

W związku z powyższym po zgłoszeniu naruszenia ochrony danych osobowych PUODO nie należy spocząć na laurach, lecz trzeba podjąć działania, które faktycznie będzie można wskazać w odpowiedzi na wezwanie — przede wszystkim zorganizować szkolenia dotyczące bezpiecznej pracy w internecie.

Szkolenie z zakresu bezpieczeństwa w Internecie
Zdjęcie autorstwa Max Vakhtbovych z Pexels

Czy PUODO może nałożyć karę za kliknięcie w zainfekowanego maila?

Przede wszystkim nie należy popadać w panikę i zakładać najgorszych scenariuszy.

Trzeba uczciwie zgłosić naruszenie ochrony danych osobowych, a następnie rzetelnie współpracować z PUODO przy wyjaśnianiu okoliczności zdarzenia.

W zależności od tego, jak PUODO oceni odpowiedzi na pytania, ta historia może potoczyć się w różnych kierunkach: po zapoznaniu się z wyjaśnieniami przygotowanymi przez twoją firmę PUODO może po prostu wydać rekomendacje, jak postępować, by unikać podobnych sytuacji w przyszłości. I na tym cała sprawa się skończy.

Jeżeli jednak PUODO uzna, że incydent był poważny, zaś twoja firma nie za bardzo lubi się z RODO, to ma prawo wszcząć formalne postępowanie administracyjne, które prawdopodobnie zakończy się wydaniem decyzji administracyjnej.

Pamiętaj, że nawet wszczęcie postępowania administracyjnego to nie koniec świata.

Owszem, maksymalne kary administracyjne za naruszenie RODO są potężne, ale generalnie powinny one być ostatecznością — PUODO nie zawsze musi je nakładać, ponieważ ma do dyspozycji cały wachlarz innych środków (może np. udzielić upomnienia, co też już się zdarzało).

Oczywiście, to nie oznacza, że PUODO nie sięgnie po środek ostateczny, gdy uzna to za uzasadnione. Wszystko zależy od tego, jak bardzo narozrabialiście z ochroną danych osobowych w firmie.

Czy oprócz PUODO trzeba jeszcze kogoś powiadamiać o ataku phishingowym?

Niezależnie od zgłoszenia phishingu PUODO trzeba jeszcze pamiętać o konieczności powiadomienia o naruszeniu ochrony danych osobowych tych osób, których incydent mógł dotyczyć. Przypadki, gdy zawiadomienie nie jest wymagane, zostały wymienione w art. 34 ust. 3 RODO:

Prakreacja.pl
Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:

a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;

c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób”.

Jak widzisz, rozszyfrowanie tych przepisów wymaga nie lada umiejętności i administratorzy danych osobowych często wolą nie ryzykować, zgadując, czy łapią się na któreś z powyższych wyłączeń.

Dlatego powiadomienie osób, których dotyczył atak phishingowy, może okazać się wizerunkowym strzałem w kolano, ale jednocześnie konieczne, aby nie naruszyć dodatkowych przepisów RODO.

I wreszcie, w zależności od okoliczności, może się okazać, że w sprawę powinny być zaangażowane także organy ścigania — wtedy trzeba zastanowić się nad złożeniem zawiadomienia o podejrzeniu popełnienia przestępstwa.

Prakreacja.pl
Indywidualna pomoc

Potrzebujesz indywidualnej pomocy w twojej sprawie? Wyślij wiadomość na adres kancelaria@prakreacja.legal.

Atak phishingowy w firmie. Podsumowanie rekomendacji.

Atak phishingowy może przytrafić się każdemu.

Jeżeli zdarzy się w twojej firmie, pamiętaj o następujących regułach:

  • sprawę trzeba zgłosić przełożonym, osobom odpowiedzialnym za sprawy IT i Inspektorowi Ochrony Danych (jeżeli taki jest), a następnie podjąć działania przeciwdziałające atakowi,
  • w zależności od okoliczności, prawdopodobnie trzeba będzie zgłosić naruszenie PUODO, a następnie udzielić organowi wszelkich wyjaśnień, jakich zażąda,
  • w zależności od okoliczności, trzeba będzie powiadomić osoby, których dane osobowe zostały narażone w związku z atakiem,
  • być może trzeba będzie złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa,
  • należy dbać o poszerzanie wiedzy pracowników z zakresu bezpieczeństwa w sieci, w szczególności organizując odpowiednie szkolenia.

Pomoc przy RODO

Prakreacja.pl
Potrzebujesz indywidualnej pomocy prawnej?

Wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl.

Bonus: praktyczne opracowanie

Dodatkiem do tego artykułu jest praktyczne opracowanie na temat najczęściej występujących naruszeń ochrony danych osobowych.

Dodatek dostępny jest dla subskrybentów newslettera.

Prakreacja.pl

Pakiet RODO

Jeżeli z jakiś względów nie chcesz lub nie możesz skorzystać z indywidualnej pomocy przy wdrożeniu RODO, przygotowaliśmy dla ciebie pakiet, który pomoże ci się uporać z tematem samodzielnie.

Kliknij w grafikę poniżej by sprawdzić ofertę.

Niestety, ale wybrałeś/aś brak obsługi systemu komentarzy Disqus w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu komentarze.