Czy jesteśmy zdolni przygotować się na niespodziewane?
Tekst ten powstał na kanwie wątków związanych z:
- pandemią,
- neutralnym technologicznie podejściem prawodawcy,
- certyfikacji oraz
- tytułową możliwością przygotowania się na niespodziewane.
Wiele dyscyplin w jednym
Polityka bezpieczeństwa jest zagadnieniem interdyscyplinarnym, którym należy zarządzać przy współpracy: zarządzających procesami w organizacji, specjalistów od cyberbezpieczeństwa oraz prawników czy inspektorów ochrony danych osobowych. Nie sposób ograniczyć roli jednych kosztem innych.
Poszukując ram prawnych dla tych zagadnień, należy brać pod uwagę przepisy dotyczące:
• ochrony danych osobowych: RODO oraz regulacje poszczególnych państw członkowskich;
• cyberbezpieczeństwa: Cybersecurity Act oraz Ustawa o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r. (UKSC);
• przepisy sektorowe, takie jak: Ustawa o świadczeniu usług drogą elektroniczną czy Prawo telekomunikacyjne
• przepisy antykryzysowe adresowane bezpośrednio do aktualnych zagrożeń, np. ustawa z dnia 9 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2.
Neutralność technologiczna
Zwróćmy uwagę na neutralność technologiczną przepisów prawa. Jest to wątek, który oczywiście nie pierwszy raz, ale wyraźnie: pojawił się mniej więcej w 2016 roku, gdy zastanawiano, czy RODO powie nam jak wdrożyć środki techniczne i organizacyjne? Wówczas argumentowano, że są to przepisy, które wyznaczają pewne ramy, ale dobór konkretnych rozwiązań zostawiają podmiotom zobowiązanym.
Idzie o osiągniecie celu
Przepisy konstruowane są tak, by zrealizować określony cel, ale pozostawiają swobodę wyboru środków technicznych. Wskazówek w tym zakresie powinno szukać się w wytycznych organów nadzoru, np. komunikat KNF w zakresie przetwarzania danych w chmurze, czy wytycznych o zasięgu międzynarodowym, np. w stanowiskach ENISA, czy w wytycznych Europejskiego Urzędu Nadzoru Bankowego (EBA), te drugie są szczególnie ważne dla sektora finansowego.
Przykład:
Tę optykę prawodawcy, która znajduje odzwierciedlenie w wytycznych organów nadzoru, można łatwo zrozumieć, gdy sięgniemy sobie do wytycznych chmurowych KNF we fragmencie
o certyfikacji.
Komunikat w swej treści zawiera wymóg spełnienia przez dostawcę usług chmurowych zgodności z normami ISO (m.in. najpopularniejszej w tym względzie 27001). Istotne jest, że certyfikacja nie jest bezwzględnie wymagana. Dostawca może w inny sposób wykazać, że spełnia wymagania wynikające z międzynarodowych norm. A podmiot nadzorowany (np. towarzystwo ubezpieczeniowe lub bank) może, gdy jest to uzasadnione i na podstawie szacowania ryzyka zaakceptować niespełnienie części wymagań.
To może prowadzić do wniosku, że w niektórych przypadkach prawodawca czy organy nadzoru pozostawiły dostawcy lub podmiotowi nadzorowanemu pewną swobodę co do wyboru środków, jednak w efekcie mamy do czynienia z sytuacją, że dostawcy będą podlegali certyfikacji, tak by zapewnić bezpieczeństwo organizacyjne oraz prawne swoim klientom. Jest bowiem różnica miedzy przedstawieniem kontrahentowi wachlarza certyfikatów a szczegółową dokumentacją, gdzie w sposób obszerny wykazuje się spełnianie wymogów zawartych w innych normach.
W praktyce: certyfikacja
W swojej opinii w sprawie zasady rozliczalności Grupa Robocza 29 już w 2010 roku wprost wskazała, że taki stan rzeczy będzie skutkował wzmożoną ofertą certyfikatów bezpieczeństwa ze strony usługodawców, a administratorzy będą z niej korzystać tak z uwagi na zgodność, jak i wzmocnienie swojej pozycji na rynku.
Grupa robocza art. 29
67. Ogólnie rzecz biorąc, można oczekiwać, że aby odróżnić się, usługodawcy w zakresie ochrony danych, przeprowadzania oceny skutków w zakresie ochrony prywatności, przeprowadzania audytu, będą prawdopodobnie coraz częściej proponować certyfikaty bezpieczeństwa w celu wyróżnienia się na rynku i zdobycia przewagi konkurencyjnej. Administratorzy danych mogą podjąć decyzję o certyfikacji przez wiarygodnych usługodawców. Ponieważ stanie się wiadome, że niektóre certyfikaty bezpieczeństwa wiążą się z rygorystycznymi kontrolami, prawdopodobne jest, że administratorzy danych będą je preferować, ponieważ dawałyby one większą pewność w kwestii zgodności, oprócz oferowania przewagi konkurencyjnej.
Wątek ten również pojawia się w art. 42 RODO, któremu można przypisać charakter „zachęcający” do korzystania z mechanizmów certyfikacji; temat wraca również w wytycznych GR 29 dotyczących przejrzystości w następujących słowach o mechanizmie certyfikacji:
(…)mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z RODO operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające oraz mających zwiększyć przejrzystość dla osób, których dane dotyczą.
No i wreszcie, a jak jest z tym niespodziewanym?
Skutki siły wyższej, skala zmian, czy dynamika podejmowanych decyzji, nie uzasadniają zwolnienia z obowiązków prawnych. Obowiązków które przynajmniej mają służyć bezpieczeństwu danych i systemów informatycznych. A czy rzeczywiście służą…?
Wyjątki
W czasach szczególnych (ten text ma jawne podłoże pandemiczne) aktualizować mogą się wyjątki które istnieją w przepisach. Przepisy bowiem często odstępują od pewnych zasad na rzecz ważniejszych dóbr, chociażby zdrowia ludzkiego. (zob. art. 6 ust. 1 lit. d RODO, który chroni żywotne interesy podmiotów danych).
Decyzje niecierpiące zwłoki
Dynamiczna sytuacja może zmuszać organizację do szybkiej migracji do chmury czy zorganizowania lub poszerzenia systemu telepracy. Samym zagadnieniem telepracy zajęły się największe organizacje na świecie z dziedziny cyberbezpieczeństwa, takie jak ENISA, czy NIST, o czym więcej można przeczytać w Rozdziale: Cyberbezpieczeństwo Raportu Prawo a Koronawirus – klik
który przygotowałem wespół z Irkiem Piecuchem z DGTL.
Mądry przed szkodą
Zarządzanie zaś kwestią bezpieczeństwa po szkodzie jest fundamentalne z punktu widzenia kontynuacji działalności oraz wizerunku organizacji. I na taką ewentualność każdy chciałby odpowiedzieć już uprzednio – w polityce bezpieczeństwa lub innej procedurze, jednak nie zawsze jest to możliwe. W razie wystąpienia incydentu, organizacja powinna wypełnić obowiązki prawne, np. w zakresie zawiadomienia organu nadzoru, CSIRT, bądź podmiotów danych (osób, których dotyczą dane). A następnie, organizację czeka analiza naruszeń i stała aktualizacja polityki, procedur oraz umów z dostawcami. Mówiąc jest to proces, który końca nie ma.
Na koniec, warto zadawać sobie pytania (i to nie tylko te poniżej)
Planując podjęcie konkretnych działań w celu zapewnienia cyberbezpieczeństwa organizacji, warto zadać sobie następujące pytania:
- Jakie dane są chronione?
- Jakie środki organizacyjno-techniczne będą optymalne z punktu widzenia wymogów przepisów prawa oraz najlepszych praktyk?
- Jak organizacja będzie obsługiwać naruszenia i jak zapewni ciągłość swojego działania w przypadku cyberataku?
- Czy organizacja jest w stanie wdrożyć wszystkie działania sama czy też potrzebuje wsparcia?