Polecamy artykuły z publikacji Europejskiego Kongresu Finansowego

Odpowiedzialność za cyberbezpieczeństwo w banku w czasach reformy ochrony danych

Maciej Gawroński, Gawronski & Partners

Radca prawny, jeden z pięciu ekspertów Technologii, Mediów i Telekomunikacji rekomendowanych przez Ranking Kancelarii Prawniczych Rzeczypospolitej 2016, ekspert Komisji Europejskiej ds. kontraktów cloud computingowych, europejski ekspert ds. międzynarodowych transferów danych osobowych i cyberbezpieczeństwa, autor wielu publikacji z tych dziedzin. Był też wiodącym prawnikiem największego wdrożenia informatycznego w polskim sektorze finansowym. Od 20 lat doradza bankom i instytucjom finansowym w sprawach regulacyjnych, korporacyjnych, komercyjnych i spornych. Partner zarządzający kancelarii Gawronski & Partners.

 

Przed wszystkimi instytucjami w Unii Europejskiej stoi obecnie wyzwanie wdrożenia nowych zasad ochrony danych osobowych wynikających z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli z tak zwanego RODO. Stosowanie RODO ma formalnie zacząć się 25 maja 2018 r. Nieprzyjemne znaczenie tego faktu polega na tym, że z dniem 25 maja 2018 r. stosować będzie można i trzeba drakońskie kary przewidziane tym Rozporządzeniem. Zważywszy, że dostosowanie się do RODO jest procesem wymagającym, w praktyce RODO właśnie zaczyna obowiązywać.

 

Wyzwania cyberrzeczywistości

 

Przed bankami piętrzy się fala cyberzagrożeń. Przestępcy nieuchronnie i coraz bardziej wkraczają w cyberprzestrzeń. Wyzwaniem dla banków staje się połączenie dostępności cyfrowej z zabezpieczeniem się przed ingerencją w ich systemy, nadążanie za rozwijającymi się technikami cyberataków oraz ochrona klienta. Wreszcie, wobec zderzenia rosnących wymogów prawa z rosnącymi zagrożeniami, wyzwaniem dla banków, ich kadry zarządzającej i służb bezpieczeństwa stać się może wykazanie dopełnienia odpowiedzialności za cyberbezpieczeństwo.

W tym artykule nie staram się przedstawić kompleksowego krajobrazu pola bitwy czy teatru działań wojennych, ale raczej wskazuję na perfidną grę pomiędzy wymaganiami prawa, wyzwaniami rzeczywistości a możliwościami i wynikające z tego zagrożenia dla osób odpowiedzialnych w bankach za cyberbezpieczeństwo.

 

Unijna reforma zasad ochrony danych

RODO stawia przed instytucjami, także przed bankami, nowe wyzwania, takie jak:

  • podejście oparte na ryzyku,
  • uwzględnienie prywatności w projektowaniu swojej działalności,
  • założenie ochrony prywatności (privacy by default),
  • zapewnienie przenoszalności danych,
  • kontrola cyklu życia danych (usuwanie danych, proporcjonalność przetwarzania),
  • ograniczenie profilowania,
  • raportowanie naruszeń ochrony danych,
  • drakońskie kary, których wysokość można pewnie będzie mitygować, ale które co do zasady będą nieuchronne,
  • zwiększona odpowiedzialność za dostawców (chociaż skłonność banków do śrubowania wymogów względem nich może zwrócić się przeciwko samym bankom – nie będzie bowiem uzasadnienia, dla którego bank miałby stosować niższy poziom zabezpieczenia danych niż ten, którego wymaga od swojego dostawcy).

Warto zauważyć, że banki tradycyjnie przyzwyczajone są do ochrony danych klientów – tych objętych tajemnicą bankową. RODO jednak nie czyni rozróżnienia pomiędzy klientami, pracownikami czy personelem dostawców. Wszystkie te dane są danymi osobowymi i muszą podlegać nowym zasadom ochrony.

 

Kary po raz pierwszy

Można byłoby powiedzieć, że temat kar jest już oklepany i że wszyscy wiedzą, iż od przyszłego roku możliwe będzie karanie za naruszenia ochrony danych osobowych. Można też oczywiście powiedzieć, że za niewłaściwe zabezpieczenie danych osobowych grozi niższy wymiar kary, to jest „tylko” do 2% światowego obrotu, ale nie mniej niż do 10 mln euro. Problem jednak w tym, że w przypadku stwierdzenia naruszenia przepisów RODO kary nie będzie można uniknąć. Możliwa będzie tylko dyskusja z jej wymiarem, którego górna granica jest zapewne wystarczająco przerażająca dla wszystkich przedsiębiorstw w tym kraju. Dlatego właśnie zaczynam od kar.

 

Adekwatna ochrona danych

Wśród przepisów, za których naruszenie grozi kara, znajduje się artykuł 32 RODO dotyczący bezpieczeństwa przetwarzania. Zgodnie z tym przepisem, należy wdrożyć techniczne i organizacyjne środki ochrony danych odpowiadające wyważonemu ryzyku naruszenia praw i wolności osób, których dane dotyczą, przy uwzględnieniu kosztów ochrony i pozostałego kontekstu przetwarzania.

Wśród środków ochrony RODO wymienia szyfrowanie, zapewnienie bezpieczeństwa informacji i systemów (cyberbezpieczeństwo), gotowość zapobiegania skutkom katastrof oraz testowanie przyjętych rozwiązań.

Wydaje się, że szczególnie trudne a równocześnie najbardziej potrzebne będzie wykazanie adekwatności zastosowanych rozwiązań w przypadku wycieku danych osobowych. W takiej sytuacji będziemy stali przed kolejnym trudnym zadaniem. Trzeba będzie przecież wykazać, że pomimo wycieku nie doszło do naruszenia przepisów o ochronie danych osobowych…

 

Analiza ryzyka przetwarzania danych

RODO wymaga przeprowadzenia analiz przetwarzania danych. Większość znanych mi poglądów koncentruje się na przepisie artykułu 35 RODO (tzw. PIA czyli Privacy Impact Assessement), zgodnie z którym analizę wpływu przeprowadza się, gdy istnieje wysokie ryzyko naruszenia praw i wolności osób fizycznych. Wyrażane są poglądy, że tylko nowe rodzaje przetwarzania danych wymagają takiej analizy – np. wdrażanie nowych rozwiązań IT, a co więcej, że obowiązek PIA powstanie dopiero z datą rozpoczęcia stosowania RODO (czyli 25 maja 2018 r.).

Jednak implikacje wyżej wspomnianego artykułu 32 RODO są dalej idące. Zadaniem karkołomnym w przypadku wycieku danych będzie wykazanie, że zastosowano odpowiednie środki ochrony, jeśli uprzednio nie udokumentuje się analizy adekwatności środków ochrony danych, a w tym analizy ryzyka naruszenia praw i wolności, o którym mowa w art. 32 RODO.

Stąd obawiam się, że banki w ramach przygotowań do RODO powinny dokonać oceny ryzyka przetwarzania poszczególnych klas danych osobowych. Już tu można powiedzieć, że wydaje się, iż wyciek danych klienckich rodziłby zagrożenia o wielkiej wadze. Dużą wagę miałby też wyciek danych o wynagrodzeniach pracowniczych. Sądzę, że w takiej sytuacji regulator nie dałby się przekonać za pomocą argumentów o niskim prawdopodobieństwie wystąpienia takiego zdarzenia. Banki nie są bowiem ofiarą syndromu oblężonej twierdzy – banki są oblężoną twierdzą, która musi być świadoma tego, że jest poddawane ciągłym cybernetycznym atakom.

Jaki z tego wniosek? Otóż taki, że jeśli w nowej rzeczywistości dojdzie do wycieku danych osobowych z banku, to będzie on musiał wytłumaczyć się, dlaczego nie zastosował wszystkich możliwych środków ochrony danych. Zakładać przy tym należy, że w pierwszej kolejności zostanie odpytany o środki przewidziane w RODO, a wśród nich tak naprawdę tylko jeden wskazany jest wprost – szyfrowanie.

 

Zgłoszenie naruszenia

Wyzwaniem, przed którym stają także banki, jest konieczność zgłaszania naruszeń ochrony danych, które grożą naruszeniem praw i wolności osób fizycznych.

Zasadniczo chodzi tu o wycieki danych, przy czym zarówno zewnętrzne (nie tylko wskutek ataku, ale także np. zagubienia nośnika danych – telefonu, pamięci flash, laptopa, dokumentacji papierowej, przesłania emaila pod niewłaściwy adres, itp.), jak i wewnętrzne (nieuprawniony dostęp personelu własnego).

Zgłoszenie do GIODO[1][1] powinno nastąpić w ciągu 72 godzin lub krócej. Trudnością jest nie tylko konieczność szybkiego działania, w tym ustalenia szczegółów zdarzenia, oceny wpływu, propozycji środków zaradczych. Dużym wyzwaniem będzie zbudowanie świadomości co do tego, co jest naruszeniem ochrony danych oraz kultury, w której takie zdarzenia nie będą ukrywane.

W przypadku wycieków dotykających dużą liczbę osób fizycznych (szczególnie klientów) odrębnym problemem będzie konieczność ich powiadomienia o zaistniałej sytuacji. Jeśli wyciek może być groźny (np. gdy utracone dane mogłyby być wykorzystane przeciwko osobom fizycznym a nie były zaszyfrowane), konieczne jest poinformowanie zagrożonych osób. Problemem będzie szczególnie poinformowanie tych, z którymi bank nie ma kontaktu elektronicznego czy telefonicznego. Problem ten może mieć dwojaką naturę: finansową – koszt szybkiego doręczenia zawiadomień papierowych może być bardzo duży oraz reputacyjną – w alternatywie bank może zdecydować się na nadawanie publicznego komunikatu o wycieku.

 

Kary po raz drugi

Jak widać, na polu cyberbezpieczeństwa jest wiele min, na które wpaść może bank, gdy zdarzy się najgorsze i będzie je trzeba sprawdzić w ustawowe 72 godziny. Dlatego warto poświęcić czas, uwagę i inne zasoby, aby w ciągu najbliższych kilkunastu miesięcy przygotować mapę tego pola minowego oraz koncepcję podejścia do problemu, którego konieczność prędzej czy później nastąpi.

Wśród pytań, które będziemy musieli sobie zadać i na nie odpowiedzieć, są pytania o szkody, które wyrządzić może wyciek różnych posiadanych przez nas danych osobowych, o koszty zapewnienia ich bezpieczeństwa, o środki, które możemy podjąć w celu ich zabezpieczenia i o to czy powinniśmy podjąć te środki, ale także pytanie o to, czy możemy tych środków, takich jak np. szyfrowanie, nie podjąć. Niby powinniśmy zadać sobie też pytanie o prawdopodobieństwo wycieku, czyli naruszenia ochrony danych. Ale nadziei w odpowiedzi na to pytanie bym nie upatrywał. Specjaliści z dziedziny bezpieczeństwa twierdzą, że obecnie nie można już liczyć na to, że naruszenie się nie zdarzy. Należy zakładać, że do niego dojdzie i przygotowywać plan reagowania.

Im gorzej będziemy przygotowani na wypadek zaistnienia wycieku danych, tym trudniej będzie nam obniżyć wymiar kary, która zostanie na nas nałożona. Liczyć na to, że zostaną uznani za niewinnych, praktyczni ludzie nie powinni. W przypadku wycieku katastrofalnego kara też grozić będzie katastrofalna.

Jaki z tego wniosek? O ile dotychczas incydenty cyberbezpieczeństwa nie rodziły drastycznych konsekwencji względem osób odpowiedzialnych w bankach za ten obszar[2][2], po 25 maja 2018 r. poszukiwanie winnego wejdzie w zupełnie nowy wymiar.

 

Odpowiedzialność za cyberbezpieczeństwo

Nie wchodząc w tym tekście w szczegóły, odpowiedzialność za bezpieczeństwo danych osobowych opiera się na zasadzie winy i jest to odpowiedzialność za staranne działanie.

Obecnie są silne argumenty by uznać, że prawo wymaga szczególnej staranności do zabezpieczenia danych osobowych oraz tych objętych tajemnicą bankową, co jest podkategorią tych pierwszych. Wątpliwe, aby nowa ustawa o ochronie danych wprowadziła niższy standard staranności. Na pewno Prawo bankowe nie obniży też standardu ochrony tajemnicy bankowej[3][3].

Odpowiedzialność rozkłada się i przesuwa (często z powrotem do góry) według łańcucha dowodzenia. W banku będzie ona rozkładać się głównie na linii od członka zarządu odpowiedzialnego za bezpieczeństwo danych poprzez departament bezpieczeństwa i departament informatyki, na końcu dochodząc do pozostałych działów, tzn. biznesu, kadr itd. Odpowiedzialność może zahaczać o dział zgodności, a osobno może spoczywać też na administratorze bezpieczeństwa informacji, który w nowej rzeczywistości stanie się zapewne IODą, czyli inspektorem ochrony danych.

Ważnym jest, że już w tej chwili istnieją przepisy przypisujące odpowiedzialność karną za przestępstwa nieumyślne związane z niedołożeniem odpowiedniej staranności w ochronie danych (względem osób za to odpowiedzialnych) lub w dbałości o interesy przedsiębiorcy (względem kadry kierowniczej). Na ten temat coraz częściej zdarza mi się prowadzić prezentacje. Ciekawe, jakie nowe przepisy karne pojawią się w nowej ustawie o ochronie danych?

Jakie ma to znaczenie praktyczne? Ano takie, że gdy bank będzie prowadził śledztwo wewnętrzne, GIODO będzie prowadził śledztwo i postępowanie „o ukaranie”, wyciek zostanie ujawniony poszkodowanym lub co gorsza publicznie, a wtedy jest całkiem prawdopodobne, że ktoś zdecyduje się złożyć zawiadomienie o popełnieniu przestępstwa, nazwijmy je, „niezabezpieczenia danych”.

W takiej sytuacji zagrożone osoby bronić się będą na dwa sposoby. Wskazując, że wina leży po stronie kolegi, przełożonego lub podwładnego oraz wskazując, że zastosowano odpowiednie, starannie dobrane i stosowane, organizacyjne i techniczne środki ochrony danych.

Problem jednak będzie leżał w tym, że standardem staranności zapewne będzie staranność szczególna. Tylko co to znaczy?

Pewien znakomity prawnik, luminarz prawa nowych technologii oraz mój dobry kolega wiele lat temu zwykł awanturować się podczas negocjacji, gdy żądałem, aby jego klient zobowiązał się do staranności szczególnej. Mój kolega perfidnie pytał się, co to właściwie ta szczególna staranność jest. Ja perfidnie odpowiadałem mu, żeby sobie poszukał w przepisach i orzecznictwie i jeszcze perfidniej dostarczałem na następne spotkanie wyciąg z nich. Z biegiem lat praktyki i przemyśleń doszedłem jednak do następującego, dość konkretnego spojrzenia na tę sprawę. Staranność najwyższa oznacza zrobienie wszystkiego, co można byłoby wymyśleć i zrobić w danej sytuacji. Staranność zwykła oznacza zrobienie tego, co zwykle się w takiej sytuacji robi. Staranność profesjonalna oznacza zrobienie tego, co zwykle zrobiłby profesjonalista[4][4]. Zaś staranność szczególna oznacza zrobienie nie tego, co zrobi większość, ale tego, co robią prymusi.

Proponuję, aby teraz czytelnicy przeprowadzili sobie taki intelektualny test, a mianowicie, czy robią to, co robią prymusi cyberbezpieczeństwa bankowego. Odpowiedź na to pytanie będzie odwrotnie proporcjonalna do zagrożenia odpowiedzialnością w razie wystąpienia dużego wycieku danych, szczególnie jeśli będą to dane klienckie, o uwierzytelniających lepiej nawet nie myśleć.

 

Szyfrowanie

Myśląc o bezpieczeństwie danych nie wolno nam się zamknąć w idealnym świecie procedur bezpieczeństwa. Powinniśmy myśleć jak zwykły użytkownik, dla którego nasze procedury są największą uciążliwością. Wiara w ich wypełnianie powinna być okolicznością obciążającą. Stąd dużą rolę powinny pełnić mechanizmy wymuszone, obliczone i przewidziane na błędy ludzkie. Takim mechanizmem, środkiem przewidzianym w RODO, jest szyfrowanie. Tam, gdzie jest to możliwe, chrońmy w ten sposób dane. Po drugie, bo jest to chyba jeden z podstawowych sposobów zabezpieczenia danych w cyfrowym świecie; po pierwsze zaś, bo RODO wprost odwołuje się do szyfrowania, więc w razie wypadku nieuchronnie zostaniemy o nie zapytani.

Warto pamiętać, że Generalny Inspektor Ochrony Danych Osobowych w opinii w sprawie bezpieczeństwa danych przekazywanych przy użyciu poczty elektronicznej opublikowanej dnia 10 marca 2017 zwraca uwagę na coraz powszechniejsze ryzyka związane z posługiwaniem się pocztą elektroniczną i rekomenduje szyfrowanie treści przesyłanych pocztą elektroniczną i przechowywanych w poczcie elektronicznej jak też szyfrowanie kanałów komunikacji, jak też dbanie o odpowiednie uwierzytelnianie się (do czego również wykorzystuje się metody kryptograficzne).  Z prawdopodobieństwem graniczącym z pewnością szyfrowanie znajdzie królewskie miejsce wśród dobrych praktyk zabezpieczania danych, które nowy organ – Prezes Urzędu Ochrony Danych Osobowych będzie publikował, zgodnie z kompetencją, którą planuje się mu przyznać.

 

Podsumowanie

Celem tego tekstu nie jest przedstawienie wszystkich zagadnień związanych z wejściem w życie czy też rozpoczęciem stosowania RODO. Nad tym pracuje cała grupa robocza w Związku Banków Polskich. Chciałem natomiast pokazać czytelnikom, że kończą się żarty z ochroną danych osobowych i cyberbezpieczeństwem. Sektor bankowy powinien cechować się bardzo wysoką wrażliwością na te kwestie, jednak w praktyce obserwujemy różne podejście do bezpieczeństwa w bankach. Czasem składane jest ono w ofierze na ołtarzu wygody, często jest traktowane wstydliwie oraz jako centrum kosztów. Nieśmiałe głosy w tych sprawach słyszę od lat. Wydaje się, że teraz nadszedł najwyższy czas, aby zastanowić się, w jaki sposób wykażemy, że szczególnie postaraliśmy się o bezpieczeństwo danych i że cokolwiek złego tym danym się zdarzyło lub mogło zdarzyć, to nie nasza wina…

 

Artykuł ukazał w publikacji VII Europejskiego Kongresu Finansowego “Wyzwania informatyki bankowej”.

______________________

[1][1] Czy też do Prezesa Urzędu Ochrony Danych Osobowych, zgodnie z projektem nowej ustawy.

[2][2] Choć były one wykorzystywane już do rozgrywek personalnych.

[3][3] Nie jestem zwolennikiem teorii, że Prawo bankowe wyłącza przepisy o ochronie danych osobowych w odniesieniu do danych klienckich.

[4][4] Z racji problemów z jakością usług w naszym kraju warto na marginesie nadmienić, że nie chodzi tu o to, co zwykle zrobiłby tzw. „fachowiec”, tylko o to, co zwykle zrobiłby prawdziwy fachowiec.