Kiedy zgłaszać incydent do CERT i UODO oraz jak przygotować dokumentację, by ograniczyć straty

Przez
Danuta Mazur
-
0
22
Rate this post

Nawigacja:

Cel i intencja: po co w ogóle zgłaszać incydent na zewnątrz

Celem działań po incydencie nie jest „odhaczenie” obowiązku wobec CERT lub UODO, ale ograniczenie strat: prawnych, finansowych, operacyjnych i wizerunkowych. Kluczowe jest szybkie rozróżnienie, kiedy wystarczy wewnętrzna reakcja, a kiedy prawo lub zdrowy rozsądek wymaga zgłoszenia naruszenia do odpowiednich instytucji, przy jednoczesnym zabezpieczeniu się dobrą dokumentacją.

Frazy pomocnicze: zgłoszenie incydentu do CERT, zgłoszenie naruszenia do UODO, obowiązek notyfikacji RODO, dokumentacja incydentu bezpieczeństwa, procedura reagowania na incydent, analiza ryzyka naruszenia danych, komunikacja z organami nadzorczymi, rejestr naruszeń danych osobowych, współpraca z zespołem CERT, odpowiedzialność administratora danych.

Czym jest incydent i kiedy staje się „problemem na zewnątrz”

Incydent IT, incydent bezpieczeństwa informacji i naruszenie danych – nie wszystko oznacza to samo

W praktyce organizacje wrzucają do jednego worka „incydent IT”, „atak”, „wyciek”. Z punktu widzenia zgłoszeń do CERT i UODO lepiej trzymać się precyzyjniejszych pojęć. Pozwala to uniknąć dwóch skrajności: paniki (zgłaszamy wszystko) oraz paraliżu decyzyjnego (nie zgłaszamy nic, bo „to tylko drobiazg”).

Incydent IT to szerokie pojęcie techniczne: każde zdarzenie wpływające lub mogące wpłynąć na działanie systemu, sieci, aplikacji. Przykłady:

  • awaria serwera, która unieruchamia system CRM,
  • błąd w aktualizacji, który powoduje przerwy w działaniu aplikacji,
  • nietypowy ruch sieciowy wykryty przez system SIEM.

Incydent bezpieczeństwa informacji to sytuacja, która narusza lub może naruszyć poufność, integralność lub dostępność informacji. Nie musi dotyczyć danych osobowych, może dotyczyć np. tajemnicy przedsiębiorstwa. Przykłady:

  • pracownik wysłał poufny raport finansowy do niewłaściwego kontrahenta,
  • dostęp do ważnego systemu uzyskała nieuprawniona osoba,
  • tajne pliki produktowe zostały wystawione w publicznym katalogu.

Naruszenie ochrony danych osobowych (w rozumieniu RODO) to incydent, w którym „dochodzi do naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych”. Tu już mówimy o konkretnej kategorii informacji: danych o osobach fizycznych.

Oznacza to, że każdy incydent RODO jest incydentem bezpieczeństwa informacji, ale nie każdy incydent bezpieczeństwa informacji dotyczy danych osobowych. A tym bardziej – nie każdy incydent IT automatycznie wymaga zgłoszenia do cert.gov.pl lub do UODO.

Przykładowe zdarzenia: od ransomware po zgubiony laptop

Dla lepszego wyczucia progu warto mieć w głowie kilka typowych scenariuszy:

  • Atak ransomware szyfrujący serwery z danymi klientów – klasyk. Mamy ryzyko braku dostępności danych osobowych, możliwą ich utratę, a czasem wyciek (coraz częściej grupy ransomware kopują dane przed zaszyfrowaniem). Tu zwykle w grę wchodzi zarówno zgłoszenie do CERT (zwłaszcza w podmiotach zobowiązanych ustawowo), jak i naruszenie ochrony danych osobowych wymagające analizy pod kątem zgłoszenia do UODO.
  • Masowa kampania phishingowa skierowana do pracowników spółki, gdzie część kliknęła w link, ale nie wprowadzono danych. Mamy incydent bezpieczeństwa informacji (próba ataku), ale jeszcze niekoniecznie naruszenie danych osobowych. Taki incydent często warto konsultacyjnie zgłosić do CERT, szczególnie jeśli dotyczy wielu organizacji (kampania na skalę krajową).
  • Wyciek bazy klientów poprzez błędnie skonfigurowany serwer WWW, na którym zostawiono kopię bazy w katalogu publicznym. Tu w zasadzie nie ma dyskusji – mamy naruszenie ochrony danych osobowych, prawdopodobnie o wysokim ryzyku, więc pojawia się obowiązek notyfikacji UODO oraz – w określonych sektorach – również właściwych zespołów CERT.
  • Zgubiony laptop z danymi klientów na dysku. Jeżeli dysk był zaszyfrowany, a dostęp chroniony mocnym hasłem, ryzyko może być niskie – ale incydent i tak wymaga analizy i odnotowania w rejestrze naruszeń. Jeśli szyfrowania brak, ryzyko naruszenia praw osób jest zdecydowanie wyższe.

Każde z tych zdarzeń wymaga reakcji, ale nie każde od razu oznacza wysyłanie formalnych zgłoszeń. Klucz tkwi w ocenie, co się stało z danymi, do kogo mogły trafić i jaki jest wpływ na osoby oraz ciągłość działania organizacji.

Kiedy incydent zostaje „wewnątrz”, a kiedy wychodzi na zewnątrz

Granica między „wewnętrznym alarmem” a sytuacją, którą trzeba wynieść do CERT lub UODO, nie jest uzależniona od skali medialnej, ale od:

  • rodzaju danych (zwykłe vs. szczególne kategorie, np. zdrowotne),
  • skali (kilka rekordów vs. baza tysięcy klientów),
  • charakteru zdarzenia (atak zewnętrzny vs. pomyłka wewnętrzna),
  • prawdopodobnego ryzyka dla praw i wolności osób,
  • statusu organizacji (czy jest operatorem usługi kluczowej, jednostką publiczną, podmiotem sektorowym).

Incydenty o niskim ryzyku dla osób fizycznych, szybko opanowane, często kończą się na rejestrze incydentów i dodatkowych środkach wewnętrznych. Z kolei incydenty o wysokim ryzyku (np. wyciek danych medycznych, ujawnienie dokumentów tożsamości, dostęp do logów bankowych) praktycznie zawsze zbliżają się do progu notyfikacji UODO, a w wielu przypadkach również zgłoszenia do CERT lub branżowych CSIRT.

Pozorny drobiazg, który urósł – krótka historia z praktyki

Typowy scenariusz: pracownik działu handlowego wysyła ofertę do klienta i przez autouzupełnianie e-maila trafia ona do innej firmy. W załączniku: lista kontaktowa kilkudziesięciu osób z imieniem, nazwiskiem, numerem telefonu i adresem e-mail. Pracownik dzwoni do „omyłkowego” odbiorcy i prosi o usunięcie wiadomości. Ten deklaruje, że usunął. Sprawa nie trafia do IOD, bo „szkoda szumu”.

Po kilku miesiącach pojawia się skarga jednej z osób z listy: ktoś wykorzystał jej numer prywatny do agresywnego telemarketingu. W trakcie kontroli UODO wychodzi, że incydent był, ale nikt go nie zanotował, nie przeprowadzono analizy ryzyka, nie ma śladu rozważenia notyfikacji.

Sam błąd wysyłki zdarza się każdemu, ale brak dokumentacji i rzetelnej analizy sprawia, że organizacja wygląda na taką, która nie panuje nad procesem bezpieczeństwa. A to już prosta droga do poważniejszych konsekwencji. Dlatego punkt wyjścia jest prosty: każdy incydent odnotować, każdy przeanalizować. Zgłaszanie na zewnątrz to dopiero kolejny krok, ale nie może być rozpatrywane w próżni.

Ramy prawne i organizacyjne: co nas realnie do czego zobowiązuje

Obowiązki wobec UODO: RODO i ustawa o ochronie danych

Trzonem obowiązków związanych ze zgłaszaniem naruszeń do UODO jest RODO, w szczególności art. 33 i 34. Przepisy te nakładają na administratora danych obowiązek:

  • zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu (w Polsce: Prezes UODO) bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych,
  • poinformowania osób, których dane dotyczą, jeśli naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności,
  • prowadzenia rejestru naruszeń danych osobowych, zawierającego m.in. okoliczności naruszenia, jego skutki i podjęte działania naprawcze.

Ustawa o ochronie danych osobowych „uzupełnia” RODO w Polsce, regulując np. status Prezesa UODO, zasady postępowań administracyjnych czy wysokości kar. Z punktu widzenia incydentów najważniejsze jest to, że UODO w praktyce kontrolnej mocno przygląda się:

  • czy naruszenia są właściwie kwalifikowane,
  • czy administrator rzetelnie ocenia ryzyko,
  • czy zgłoszenia są kompletne i złożone w terminie,
  • czy istnieją procedury reagowania na incydent i rejestry naruszeń.

Brak formalnej notyfikacji nie zawsze oznacza naruszenie prawa. Problem pojawia się wtedy, gdy nie potrafimy wykazać, że świadomie podjęliśmy decyzję o braku zgłoszenia, na podstawie rzetelnej analizy ryzyka i dobrze prowadzonej dokumentacji incydentu bezpieczeństwa.

Obowiązki zgłoszeniowe wobec CERT na gruncie ustawy o KSC

Kwestia zgłaszania incydentów do CERT wynika przede wszystkim z ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Ustawa ta wyróżnia m.in.:

  • operatorów usług kluczowych (OUK),
  • dostawców usług cyfrowych,
  • podmioty publiczne (w tym jednostki samorządu, administrację rządową),
  • CSIRT poziomu krajowego (CSIRT MON, CSIRT NASK, CSIRT GOV).

Podmioty objęte ustawą mają obowiązek m.in. zgłaszania poważnych incydentów właściwemu CSIRT poziomu krajowego oraz współpracy w zakresie obsługi takiego incydentu. Szczegółowe obowiązki różnią się w zależności od kategorii podmiotu i sektora (energetyka, zdrowie, transport, bankowość, infrastruktura cyfrowa itd.).

Dodatkowo niektóre branże mają własne, sektorowe regulacje, np.:

  • telekomunikacja – obowiązki wobec Prezesa UKE i CSIRT NASK,
  • sektor finansowy – wymogi nadzorców (np. KNF) w zakresie zgłaszania poważnych incydentów bezpieczeństwa,
  • ochrona zdrowia – lokalne wytyczne i rekomendacje dotyczące zgłaszania incydentów bezpieczeństwa systemów medycznych.

W praktyce, jeżeli organizacja jest operatorem usługi kluczowej lub podmiotem publicznym, incydent, który poważnie wpływa na ciągłość usług (np. unieruchomienie kluczowego systemu, atak na infrastrukturę krytyczną, poważne włamanie do sieci) zazwyczaj musi zostać zgłoszony do odpowiedniego CSIRT/CERT. To nie jest „uprzejme zawiadomienie”, tylko obowiązek ustawowy.

Kto jest kim: administrator danych, podmiot przetwarzający, IOD, CSIRT

Świadomość ról pomaga w ułożeniu procedury reagowania:

  • Administrator danych – podmiot decydujący o celach i sposobach przetwarzania danych osobowych. To on ponosi główną odpowiedzialność za zgłoszenie naruszenia do UODO i poinformowanie osób, których dane dotyczą.
  • Podmiot przetwarzający (procesor) – przetwarza dane w imieniu administratora, na podstawie umowy powierzenia. W razie incydentu ma obowiązek niezwłocznie poinformować administratora, a ten ocenia, czy zgłaszać naruszenie do UODO. Procesor samodzielnie nie zgłasza naruszenia do UODO (chyba że sam jest równolegle administratorem w innym zakresie).
  • IOD (Inspektor Ochrony Danych) – pełni funkcję doradczą i kontrolną. Wspiera ocenę, czy incydent jest naruszeniem ochrony danych, czy występuje obowiązek notyfikacji, jak opisać incydent w dokumentacji. Nie zawsze ma decydujący głos, ale jego rekomendacja ma dużą wagę przy ewentualnej kontroli.
  • CSIRT / CERT – zespoły reagowania na incydenty bezpieczeństwa komputerowego. Na poziomie krajowym pełnią funkcję „węzłów” zbierających informacje o poważnych incydentach, koordynujących reakcje, ostrzegających inne podmioty, dzielących się informacjami o zagrożeniach (IOC, TTP, podatności).

W wielu incydentach te role się spotykają: np. operator usługi kluczowej (OUK) będący jednocześnie administratorem danych osobowych doświadcza ataku ransomware. Wtedy równolegle pojawiają się:

  • obowiązki wobec CSIRT/CERT (na gruncie KSC),
  • obowiązki wobec UODO (na gruncie RODO),
  • wewnętrzna odpowiedzialność administratora + procesora (jeśli są),
  • rozwinięcie procedur bezpieczeństwa informacji, komunikacji kryzysowej i PR.

Obowiązek vs. rekomendacja – kiedy „zgłosić na wszelki wypadek”

Istnieje pokusa, by wszystko zgłaszać „na wszelki wypadek”, z obawy przed zarzutem zatajania. Niestety, nadmierna liczba niepotrzebnych notyfikacji może sprawić, że:

  • organy nadzorcze będą traktować zgłoszenia jako mało istotne,

    • Świadome „nie zgłaszam” – kiedy jest w porządku

    Zdarzają się sytuacje, gdy po analizie wychodzi, że formalnie nie ma obowiązku notyfikacji – ani do UODO, ani do CERT. Sam fakt incydentu nie oznacza automatycznie, że trzeba dzwonić do każdego organu w kraju.

    Bezpieczne „nie zgłaszam” zwykle opiera się na kilku filarach:

  • dobrze udokumentowany przebieg incydentu – co się stało, kiedy, kto wykrył, jakie systemy i dane były zaangażowane,
  • rzetelna analiza ryzyka – choćby w prostej macierzy, ale z logicznym uzasadnieniem,
  • opis działań naprawczych i zapobiegawczych – co zrobiono „od razu” i co wdrożono na przyszłość,
  • decyzja biznesowo‑prawna – podpisana/zaakceptowana przez osobę z kompetencjami (np. członka zarządu) po rekomendacji IOD / bezpieczeństwa IT.

Jeżeli te elementy są na swoim miejscu, podczas kontroli dużo łatwiej wytłumaczyć, dlaczego organizacja zdecydowała, że incydent nie przekroczył progu zgłoszenia. Brak zgłoszenia bez tej dokumentacyjnej „poduszki powietrznej” może już wyglądać na lekceważenie obowiązków.

Przykładowo: krótkotrwały błąd uprawnień w intranecie, w wyniku którego kilku pracowników miało dostęp do nie swojego folderu HR, ale został natychmiast wykryty, poszkodowani to wyłącznie pracownicy, a analiza logów wykazała brak pobrań plików – da się racjonalnie uzasadnić brak zgłoszenia do UODO przy zachowaniu dokładnej notatki i korekty konfiguracji.

Monitor z zielonym panelem do ochrony danych i reagowania na incydenty
Źródło: Pexels | Autor: Tima Miroshnichenko

Kiedy zgłaszać incydent do CERT: praktyczne kryteria i przykłady

Co to jest „poważny incydent” w praktyce

Ustawa o KSC i regulacje sektorowe posługują się pojęciami takimi jak poważny, istotny czy krytyczny incydent. Definicje bywają mało intuicyjne, więc warto przełożyć je na język operacyjny.

Najprościej: incydent zgłaszany do CERT to zdarzenie, które istotnie wpływa na ciągłość lub bezpieczeństwo świadczonej usługi albo może mieć szersze skutki dla innych podmiotów (np. łańcucha dostaw, użytkowników końcowych, infrastruktury krytycznej).

Typowe kryteria, które sugerują obowiązek zgłoszenia:

  • czas trwania zakłócenia – np. niedostępność kluczowej usługi przez określony w regulacjach sektorowych czas (często kilka godzin),
  • zasięg – ilu użytkowników/klientów/instytucji dotknął incydent, czy dotyczy to tylko części usługi, czy całej infrastruktury,
  • skalę techniczną – np. kompromitacja kont administracyjnych, przełamanie segmentacji sieci, włamanie do systemów sterowania (OT/ICS),
  • potencjał propagacji – malware, który może rozprzestrzeniać się na inne organizacje, atak z wykorzystaniem łańcucha dostaw, podatność 0‑day w popularnym oprogramowaniu używanym szeroko w sektorze.

Jeżeli w ocenie bezpieczeństwa IT padają słowa „utrata ciągłości usługi”, „wtargnięcie do sieci produkcyjnej” albo „kompromitacja domeny”, to często jest to moment, gdy telefon do właściwego CSIRT nie jest już opcjonalny.

Jak dopasować właściwy CERT/CSIRT

Nie każdy podmiot zgłasza incydent w to samo miejsce. Skrótowo wygląda to tak:

  • CSIRT NASK – co do zasady podmioty cywilne, w tym większość operatorów usług kluczowych spoza wojska i administracji rządowej sensu stricte; telekomy, wiele jednostek samorządu, uczelnie, spółki komunalne,
  • CSIRT GOV – administracja rządowa, niektóre podmioty strategiczne z punktu widzenia państwa,
  • CSIRT MON – obszar wojska i obronności.

Dodatkowo występują CSIRT sektorowe (np. w bankowości czy energetyce), którym incydent może trzeba zgłosić równolegle, zgodnie z regulacjami branżowymi. Część podmiotów ma to opisane w decyzji o uznaniu za operatora usługi kluczowej lub w umowach/normach branżowych.

Model decyzyjny „3 pytania do CERT”

W praktyce przydaje się bardzo prosta matryca. Jeśli na co najmniej jedno z pytań odpowiedź brzmi „tak”, zwykle oznacza to potrzebę co najmniej rozważenia zgłoszenia:

  1. Czy incydent znacząco zakłócił świadczoną usługę lub jej jakość?
    Przykład: system rejestracji pacjentów w szpitalu był niedostępny przez pół dnia, nie dało się przyjmować nowych chorych.
  2. Czy incydent obejmuje włamanie / nieautoryzowany dostęp do krytycznej infrastruktury IT lub OT?
    Przykład: napastnik uzyskał dostęp do panelu zarządzania ruchem, sterownika przemysłowego, głównej macierzy danych.
  3. Czy incydent potencjalnie wpływa na inne organizacje lub użytkowników poza naszą siecią?
    Przykład: atak poprzez zainfekowaną aktualizację oprogramowania dostarczanego setkom klientów, kampania phishingowa wysyłana z waszej zaufanej domeny.

Jeśli odpowiedź na wszystkie trzy pytania jest „nie”, ale incydent i tak jest „niepokojący”, można rozważyć dobrowolny kontakt informacyjny – bez formalnego zgłoszenia „poważnego incydentu”. Często da się wtedy skorzystać z pomocy analitycznej CSIRT (np. IOC, porady dot. uszczelnienia systemu), a jednocześnie nie wywoływać urzędowego trybu z pełnym zestawem obowiązków.

Dwa krótkie przykłady

Przykład 1 – atak DDoS na portal samorządu
Strona gminy jest niedostępna przez kilka godzin w godzinach szczytu, utrudnione jest np. składanie wniosków online. Jeżeli gmina jest podmiotem publicznym w rozumieniu KSC i portal realizuje istotne usługi dla obywateli, taki incydent może spełniać kryterium powagi (czas, zakres, przeznaczenie usługi) i powinien zostać zgłoszony do właściwego CSIRT.

Przykład 2 – wirus na stacji roboczej magazyniera
Zainfekowana została pojedyncza stacja bez uprawnień administracyjnych. Malware zablokowano na poziomie EDR, logi nie wskazują dalszej propagacji, system centralny magazynu działa bez przerw. Incydent należy opisać i przeanalizować, ale zwykle nie ma przesłanek do zgłoszenia do CERT (chyba że malware jest częścią szerszej kampanii, co wychodzi w trakcie analizy).

Kiedy zgłaszać naruszenie do UODO: próg ryzyka i 72 godziny

Moment „stwierdzenia naruszenia”, a nie „pełnego zrozumienia”

Wiele organizacji przecenia to, ile musi wiedzieć, aby zaczął biec termin 72 godzin. Zegar nie startuje w chwili zakończenia śledztwa, tylko w momencie, gdy administrator stwierdzi naruszenie ochrony danych osobowych, tzn. ma uzasadnione podstawy, by sądzić, że doszło do:

  • nieuprawnionego dostępu do danych,
  • ich utraty lub zniszczenia,
  • nieuprawnionej modyfikacji lub ujawnienia,
  • czasowego braku dostępności, który ma znaczenie dla osób, których dane dotyczą.

UODO wielokrotnie podkreślał, że zgłoszenie może (i często musi) być niepełne. Można przesłać pierwszą notyfikację z dostępnymi informacjami, a następnie składać uzupełnienia. Czekanie na pełny raport forensiczny, byle „zmieścić się w 72 godzinach”, to bardzo ryzykowna strategia.

Kiedy ryzyko jest na tyle niskie, że można nie zgłaszać

Z prawnego punktu widzenia brak notyfikacji do UODO jest dopuszczalny, gdy jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Interpretacja tego „mało prawdopodobne” to główne pole manewru – i pole do błędów.

Sytuacje, w których ryzyko bywa uznane za niskie:

  • dane były silnie zaszyfrowane, a incydent polegał jedynie na utracie nośnika (np. laptopa) bez hasła / klucza,
  • dane dotyczyły wąskiej, kontrolowalnej grupy odbiorców i zostały wiarygodnie zabezpieczone (np. omyłkowo wysłany dokument do prawnika zobowiązanego tajemnicą zawodową, który potwierdził usunięcie pliku i nieotwieranie załącznika),
  • dane mają niski poziom wrażliwości (np. ogólnodostępne numery służbowych telefonów), a scenariusz ich nadużycia jest znikomy.

W każdym z tych przypadków trzeba jednak wykazać, że:

  • przeanalizowano charakter danych (czy da się z nich wyciągnąć coś więcej),
  • oceniono prawdopodobne skutki dla osób (np. spam, phishing, straty finansowe, dyskryminacja),
  • podjęto środki ograniczające (np. zdalne wymazanie laptopa, reset haseł, zmiana kluczy szyfrujących).

Kiedy notyfikacja do UODO jest praktycznie obowiązkowa

Istnieją klasy incydentów, w których brak zgłoszenia do UODO jest bardzo trudny do obrony:

  • wycieki danych wrażliwych (szczególne kategorie danych: zdrowotne, dotyczące poglądów politycznych, przekonań religijnych, orientacji seksualnej, danych o karalności),
  • ujawnienie danych identyfikacyjnych w pakiecie umożliwiającym kradzież tożsamości (np. PESEL + numer dokumentu + adres, skany dokumentów, dane logowania),
  • dostęp do dużych zbiorów danych klientów/pracowników przez osoby nieuprawnione (np. włamanie do CRM, bazy płacowej, systemu billingowego),
  • ransomware z eksfiltracją danych, nawet jeśli kopie zapasowe umożliwiły szybką odbudowę dostępności.

Jeżeli organizacja stoi przed dylematem „zgłaszać czy nie” w takim scenariuszu, racjonalne jest przygotowanie analizy ryzyka tak, jakby miała trafić na biurko UODO – bo szansa, że kiedyś tam trafi (np. po skardze osoby, której dane dotyczą), jest realna.

Jak ocenić ryzyko naruszenia danych: szybkie, ale sensowne podejście

Prosty model: wrażliwość danych × prawdopodobieństwo nadużycia

W sytuacji kryzysowej potrzeba narzędzia, które jest dość proste, by dało się je zastosować w ciągu godzin, a nie tygodni. Sprawdza się prosty model oparty na dwóch wymiarach:

  • wrażliwość danych – jak bardzo „szkodliwe” może być ujawnienie tych danych z perspektywy osoby, której dotyczą,
  • prawdopodobieństwo nadużycia – na ile realne jest, że ktoś te dane wykorzysta przeciwko tej osobie.

Można zdefiniować np. trzy poziomy dla każdego wymiaru:

  • Niska wrażliwość – dane ogólnodostępne lub takie, które co najwyżej generują lekki dyskomfort (np. imię i nazwisko na liście uczestników konferencji),
  • Średnia wrażliwość – dane identyfikacyjne i kontaktowe, informacje o relacjach biznesowych, podstawowe dane finansowe,
  • Wysoka wrażliwość – dane zdrowotne, szczególne kategorie danych, szczegółowe dane finansowe, loginy/hasła, dane umożliwiające kradzież tożsamości.

Oraz:

  • Niskie prawdopodobieństwo nadużycia – dane trafiły do osoby/sieci, którą udało się wiarygodnie „zabezpieczyć” (np. profesjonalny dostawca, który natychmiast usunął pliki), brak śladów eksfiltracji, nośnik szybko odzyskano,
  • Średnie prawdopodobieństwo nadużycia – nie ma dowodów nadużycia, ale dane „wypadły” poza strefę kontroli (np. zagubiony pendrive, nieautoryzowany dostęp do skrzynki e-mail bez śladów pobierania),
  • Wysokie prawdopodobieństwo nadużycia – wyciek do publicznej sieci, znany cyberprzestępca w logach, dane oferowane na forach, masowy phishing z użyciem tych danych.

Następnie łączy się oba wymiary w prostą matrycę:

  • Niska × Niska – zwykle incydent rejestrujemy wewnętrznie, bez notyfikacji,
  • Średnia/Wysoka wrażliwość przy Średnim/Wysokim prawdopodobieństwie – prawie zawsze co najmniej zgłoszenie do UODO, a przy dużej skali również powiadomienia osób,
  • Wysoka × Wysoka – „czerwony alarm” z pełnym pakietem działań (UODO, komunikacja do osób, intensywne działania naprawcze).

Typowe pułapki przy „szybkiej” ocenie ryzyka

Model wrażliwość × prawdopodobieństwo jest prosty, ale łatwo go zepsuć kilkoma typowymi błędami. Kilka z nich wraca jak bumerang w różnych branżach.

  • Fokus na „ilości”, a nie na skutkach dla jednostki
    Dziesięć rekordów z pełnymi danymi identyfikacyjnymi klienta bywa groźniejsze niż kilkaset adresów e-mail bez kontekstu. Skala jest ważna, ale to nie ona decyduje o tym, czy komuś da się realnie zaszkodzić.
  • Automatyczne uznawanie „danych służbowych” za mało wrażliwe
    Służbowy e‑mail, numer telefonu czy identyfikator pracownika połączone z informacją o roli, miejscu pracy, a czasem np. dyżurach, mogą ułatwiać phishing ukierunkowany czy nękanie.
  • Przesadne zaufanie do „braku dowodów”
    Brak logów pobrania pliku nie oznacza, że nikt go nie otworzył, zwłaszcza gdy system logowania jest niepełny. Ocena prawdopodobieństwa nie powinna opierać się wyłącznie na tym, co udało się zalogować.
  • Ignorowanie kontekstu branżowego
    Ten sam rodzaj danych w firmie kurierskiej, w szpitalu i w kancelarii prawnej generuje inne scenariusze nadużycia. Incydent w branży medycznej zwykle będzie „zawijał” wskaźnik ryzyka mocniej niż identyczny technicznie przypadek w hurtowni narzędzi.

Dobrym testem na koniec krótkiej analizy jest pytanie: „gdyby osoba, której dane dotyczą, znała wszystkie okoliczności, jak oceniłaby zagrożenie dla siebie?”. To prosty filtr, który często „prostuje” zbyt optymistyczne wewnętrzne oceny.

Jak udokumentować ocenę ryzyka, żeby przetrwała kontrolę

Ocena ryzyka, choć szybka, powinna zostawić po sobie ślad, który po roku czy dwóch będzie nadal zrozumiały. Chodzi o dokument na tyle konkretny, żeby:

  • dało się zrekonstruować tok rozumowania,
  • pokazać, że decyzja (np. o braku notyfikacji) była podjęta w sposób świadomy,
  • w razie potrzeby szybko zaktualizować ocenę, gdy wypłyną nowe informacje (np. dane pojawią się jednak w sieci).

Przydatny jest prosty szablon, który da się wypełnić w ciągu kilkudziesięciu minut:

  1. Opis zdarzenia – co się stało, kiedy, jak zostało wykryte, jakiego systemu dotyczy.
  2. Zakres danych – typy danych, szacunkowa liczba osób, czy obejmują szczególne kategorie.
  3. Scenariusz incydentu – możliwie prosty, ale rzeczowy opis przepływu zdarzeń (np. „przesłano mail do błędnego adresata, plik nie był zaszyfrowany, odbiorca odpowiadał z domeny X”).
  4. Ocena wrażliwości danych – z uzasadnieniem, dlaczego przyjęto poziom niski/średni/wysoki.
  5. Ocena prawdopodobieństwa nadużycia – w tym, jakie dowody i jakie luki w dowodach brano pod uwagę.
  6. Wnioski co do obowiązku notyfikacji – decyzja: zgłaszamy / nie zgłaszamy do UODO, powiadamiamy / nie powiadamiamy osób; wraz z krótkim uzasadnieniem.
  7. Środki zaradcze – techniczne, organizacyjne i komunikacyjne; także te już wdrożone i te zaplanowane.

Taki dokument może mieć formę jednego arkusza lub notatki w systemie do obsługi incydentów. Urząd zwykle nie oczekuje literatury pięknej, tylko logicznego, przejrzystego wywodu.

Co musi zawierać zgłoszenie do CERT i do UODO: zawartość, forma, kanały

Minimalny zestaw informacji dla CSIRT/CERT

Wymogi formalne wynikają z KSC i procedur poszczególnych CSIRT, ale w praktyce wszędzie przydaje się podobny pakiet informacji. Im bardziej jest uporządkowany, tym mniejsze ryzyko wielokrotnego „dopytywania” i tym szybciej można dostać sensowną pomoc.

Przy zgłoszeniu do CSIRT (np. CSIRT NASK, GOV, MON lub branżowego) warto zebrać w jednym miejscu:

  • Dane identyfikujące podmiot – nazwa, NIP/REGON, adres, forma prawna oraz informacja, czy jesteście operatorem usługi kluczowej, dostawcą usługi cyfrowej, podmiotem publicznym itd.
  • Dane osoby do kontaktu operacyjnego – imię, nazwisko, funkcja, numer telefonu (również poza standardowymi godzinami pracy, jeśli to realne), bezpośredni e‑mail. W praktyce dobrze, jeśli to ktoś z IT/bezpieczeństwa, a nie tylko osoba formalnie reprezentująca spółkę.
  • Krótki opis incydentu – co się stało, kiedy, jak zostało wykryte, w jakich systemach; najlepiej w kilku konkretnych zdaniach zamiast ogólników typu „wystąpiły zakłócenia w działaniu systemu”.
  • Skala i wpływ – szacunkowy czas trwania, liczba systemów/usług dotkniętych incydentem, wpływ na odbiorców (np. brak możliwości złożenia wniosku, przestoje w produkcji, ograniczenie dostępności systemu bilingowego).
  • Działania podjęte do tej pory – odcięcie segmentu sieci, zablokowanie kont, przywrócenie z kopii, powiadomienie kontrahentów itp.
  • Wstępna kwalifikacja – czy incydent jest wstępnie klasyfikowany jako poważny według KSC (jeżeli organizacja pod to podpada) oraz dlaczego.
  • Wstępne artefakty techniczne – adresy IP, skróty plików (hash), próbki podejrzanego oprogramowania, nazwy domen, wycinki logów, identyfikatory kampanii phishingowej. Nie trzeba od razu przesyłać wszystkiego, ale im więcej konkretnych IOC, tym bardziej użyteczna pomoc.

CSIRT-y zwykle udostępniają własne formularze on‑line lub szablony zgłoszeń. Warto mieć w procedurze linki i krótką instrukcję, tak aby w stresie nie szukać po omacku właściwej strony.

Forma i kanały kontaktu z CSIRT

Najczęściej wykorzystywane są trzy kanały:

  • formularz WWW – oficjalny kanał zgłoszeń incydentów; umożliwia strukturyzację informacji i automatyczne nadanie numeru sprawy,
  • e‑mail – zwłaszcza w incydentach, w których kluczowe jest przesłanie IOC lub logów; dobrze używać adresów podawanych na stronach CSIRT, często wspartych PGP,
  • telefon – przy incydentach krytycznych (np. ataki na infrastrukturę krytyczną, groźba rozlania się incydentu na inne organizacje); rozmowa nie zastępuje pisemnego zgłoszenia, ale przyspiesza reakcję.

W procedurach wewnętrznych opłaca się doprecyzować, w jakich sytuacjach dana organizacja najpierw dzwoni, a dopiero potem uzupełnia formularz, i kto ma prawo wykonać taki telefon. Pozwala to uniknąć sytuacji, w której młodszy administrator odruchowo dzwoni do CSIRT, a zarząd dowiaduje się o formalnym zgłoszeniu z opóźnieniem.

Co powinno znaleźć się w zgłoszeniu do UODO

RODO (art. 33) określa ramy, ale UODO ma też swoje praktyczne oczekiwania, dobrze już widoczne w decyzjach i komunikatach. Kluczowe elementy notyfikacji to:

  • Opis charakteru naruszenia – w tym:
    • kategorie i przybliżona liczba osób, których dane dotyczą (np. klienci indywidualni, pracownicy, użytkownicy serwisu),
    • kategorie i przybliżona liczba rekordów danych (nie trzeba co do jednego, ale „na oko” też nie wystarczy).
  • Dane kontaktowe inspektora ochrony danych (IOD) lub innego punktu kontaktowego – jeżeli IOD został wyznaczony, musi zostać wskazany; w przeciwnym razie osoba odpowiedzialna za sprawę.
  • Opis możliwych konsekwencji naruszenia – z perspektywy osoby, której dane dotyczą (np. ryzyko kradzieży tożsamości, nękanie, utrata kontroli nad danymi, szkody finansowe, ujawnienie wrażliwych informacji zdrowotnych).
  • Opis środków zastosowanych lub proponowanych – zarówno tych, które już wprowadzono, jak i tych planowanych:
    • działania techniczne (m.in. reset haseł, zablokowanie kont, aktualizacje, dodatkowe monitorowanie),
    • działania organizacyjne (np. dodatkowe szkolenia, zmiana procedur wysyłki dokumentów, wprowadzenie podwójnej weryfikacji adresatów),
    • działania skierowane do osób, których dane dotyczą (komunikaty, rekomendacje zmiany haseł, ostrzeżenia przed phishingiem).
  • Informacja o opóźnieniu zgłoszenia – jeżeli minęło więcej niż 72 godziny od stwierdzenia naruszenia, trzeba wyjaśnić przyczyny opóźnienia. Lakoniczne „z przyczyn organizacyjnych” bywa źle odbierane; lepiej krótko opisać realny powód (np. problem z identyfikacją administratora danych, opóźnione zgłoszenie od procesora).

UODO udostępnia wzór formularza zgłoszenia naruszenia, który dobrze jest mieć wpleciony w wewnętrzną procedurę (choćby jako załącznik lub link). Pomaga to ustandaryzować treść notyfikacji i ogranicza liczbę „niedopowiedzeń”.

Język zgłoszenia do UODO – czego unikać, co pomaga

Zgłoszenie nie jest miejscem na marketingowy „spin”. Kilka praktycznych wskazówek z perspektywy tego, co już widać w publicznych decyzjach:

  • Precyzyjne opisy zamiast eufemizmów
    Zamiast „nieautoryzowany kontakt z systemem” lepiej napisać wprost „osoba nieuprawniona uzyskała dostęp do skrzynki e‑mail zawierającej (…)”. Rozmywanie opisu zwykle rodzi dodatkowe pytania urzędu.
  • Spójność liczb i kategorii
    Jeśli w jednym miejscu podaje się „około 200 osób”, a w innym „incydent dotyczył części bazy klientów”, to w kolejnym piśmie pojawi się prośba o doprecyzowanie. Lepiej zaokrąglać w logiczny sposób i konsekwentnie trzymać się przyjętego zakresu.
  • Jasne rozróżnienie faktów i hipotez
    Można pisać o podejrzeniach („nie wyklucza się, że dane zostały pobrane”), ale dobrze je oznaczać jako hipotezy, a nie pewnik. Ułatwia to uzupełnianie zgłoszenia, gdy śledztwo techniczne dostarcza nowych informacji.
  • Opis przyczyn systemowych, nie „czynnik ludzki” jako wymówka
    Zrzucanie wszystkiego na „błąd pracownika” bez opisania, jak systemowo zostanie ograniczona powtarzalność takiego błędu (np. brak weryfikacji adresu, brak szyfrowania, brak podziału uprawnień) nie wygląda dobrze. Urząd interesuje się procesem, nie konkretną osobą.

Powiadamianie osób, których dane dotyczą – minimalna zawartość

Nie każde naruszenie wymaga komunikatu do osób, ale gdy ryzyko jest wysokie, taki obowiązek powstaje. Treść komunikatu powinna być zrozumiała dla laika, nie tylko dla działu IT i IOD. Powinna obejmować co najmniej:

  • jasne stwierdzenie, co się stało – bez technicznego żargonu i bez ukrywania słowa „wyciek”, jeśli faktycznie do niego doszło,
  • jakie dane są potencjalnie objęte naruszeniem – wymienione kategoriami (np. imię, nazwisko, PESEL, adres, dane logowania),
  • jakie mogą być najistotniejsze konsekwencje dla odbiorcy – opisane prostym językiem (np. „istnieje ryzyko, że ktoś będzie podszywał się pod Panią/Pana przy zawieraniu umów”),
  • jakie środki już podjęto – np. wymuszenie zmiany hasła, blokada dostępu, powiadomienie banku lub dostawcy usług,
  • co konkretna osoba powinna zrobić – monitorować wyciągi bankowe, zachować szczególną ostrożność wobec podejrzanych wiadomości, skontaktować się z określonym działem, zgłosić incydent na infolinię itp.,
  • dane kontaktowe do zadawania pytań – telefon, adres e‑mail, godziny dyżuru; przy większych incydentach przydaje się dedykowana infolinia lub skrzynka.

Komunikat nie musi (i nie powinien) być raportem forensycznym, ale powinien odpowiadać na intuicyjne pytania odbiorcy: „czy ktoś może mnie okraść, skompromitować, wykorzystać moje dane?” oraz „co teraz mogę zrobić?”.

Zgrywanie zgłoszeń do CSIRT i UODO w jednym procesie

Przy incydentach o podłożu cyber (np. ransomware z eksfiltracją danych) często powstaje pytanie, w jakiej kolejności zgłaszać i jak uniknąć tworzenia dwóch zupełnie różnych narracji. Dobrze działa podejście, w którym:

Najczęściej zadawane pytania (FAQ)

Kiedy muszę zgłosić incydent do UODO w ciągu 72 godzin?

Obowiązek zgłoszenia do UODO w ciągu 72 godzin pojawia się wtedy, gdy doszło do naruszenia ochrony danych osobowych w rozumieniu RODO i istnieje choćby umiarkowane prawdopodobieństwo, że zdarzenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. Nie chodzi więc tylko o same „techniczne problemy”, ale o realny wpływ na ludzi: ich prywatność, reputację, bezpieczeństwo finansowe czy zdrowotne.

Jeśli na przykład wyciekną dane medyczne, skany dowodów osobistych, logi transakcji bankowych czy dane logowania – próg zgłoszenia jest zwykle spełniony. Jeżeli naruszenie dotyczy danych o niewielkim znaczeniu, w małej skali, a ryzyko jest faktycznie znikome (co trzeba umieć uzasadnić), zgłoszenie może nie być wymagane, ale incydent i tak powinien trafić do rejestru naruszeń wraz z analizą.

Czym się różni incydent IT od naruszenia danych osobowych w kontekście RODO?

Incydent IT to każde zdarzenie wpływające na działanie systemu lub sieci – awaria serwera, błędna aktualizacja, nietypowy ruch w sieci. Nie zawsze dotyczy to bezpieczeństwa informacji, a tym bardziej danych osobowych. Naruszenie ochrony danych osobowych to znacznie węższa kategoria, kiedy dochodzi do zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych o osobach fizycznych.

Można to ująć tak: każdy incydent RODO jest incydentem bezpieczeństwa informacji, ale nie każdy incydent IT przeradza się w naruszenie danych. Dlatego zanim ktokolwiek zacznie w panice pisać zgłoszenie do UODO, trzeba jasno odpowiedzieć na pytanie: czy faktycznie „coś złego” stało się z danymi osób fizycznych, czy mamy jedynie techniczny problem po stronie systemu.

Kiedy zgłosić incydent do CERT, a kiedy do UODO – a kiedy do obu?

Do CERT (lub właściwego CSIRT branżowego) zgłasza się przede wszystkim incydenty bezpieczeństwa teleinformatycznego – ataki, poważne podatności, ransomware, kampanie phishingowe – szczególnie jeżeli spełniasz wymogi ustawowe (np. jesteś operatorem usługi kluczowej, jednostką publiczną albo podmiotem z wybranego sektora). UODO interesuje się wyłącznie naruszeniami ochrony danych osobowych w rozumieniu RODO.

Są trzy typowe scenariusze:

  • zgłoszenie tylko do CERT – np. masowa kampania phishingowa, w której nikt nie podał danych i nie doszło do naruszenia RODO, ale atak jest poważny i wymaga koordynacji;
  • zgłoszenie tylko do UODO – np. omyłkowe wysłanie listy klientów do niewłaściwego odbiorcy, bez elementu ataku z zewnątrz;
  • zgłoszenie do CERT i do UODO – np. atak ransomware na serwery z danymi klientów, gdzie utracono dostęp do danych, a być może też nastąpił wyciek.

Kluczowe jest oddzielenie: „czy to poważny incydent techniczny?” od „czy coś stało się z danymi osobowymi?”. Odpowiedź „tak” na oba pytania zwykle oznacza dwa zgłoszenia.

Jak prowadzić dokumentację incydentu bezpieczeństwa, żeby nie mieć problemów przy kontroli?

Minimalny standard to rejestr incydentów/naruszeń, w którym zapisujesz: datę zdarzenia i wykrycia, opis incydentu, rodzaj danych, liczbę (choćby szacunkową) osób, których dotyczy zdarzenie, ocenę ryzyka, podjęte działania naprawcze i decyzję o zgłoszeniu lub braku zgłoszenia do UODO/CERT wraz z uzasadnieniem. Bez tego w razie kontroli wygląda to tak, jakby organizacja „dowiedziała się o problemie z prasy”.

Poza samym rejestrem dobrze mieć:

  • krótką notatkę z analizy ryzyka (kto mógł zobaczyć dane, jakie mogą być skutki dla osób);
  • logi techniczne, które pokazują przebieg incydentu i podjęte działania;
  • kopię korespondencji z UODO/CERT oraz z błędnymi odbiorcami, jeśli proszono ich o usunięcie danych.

Nie chodzi o 30-stronicowe elaboraty, tylko o spójny ślad, że ktoś faktycznie pomyślał, co się stało i co z tym zrobić.

Co powinna zawierać procedura reagowania na incydent, żeby ułatwić zgłoszenie do UODO i CERT?

Dobra procedura reagowania na incydent opisuje nie tylko „kogo obudzić w nocy”, ale też wprost: jak klasyfikować zdarzenia, jak oceniać ryzyko dla osób oraz kiedy i w jakim trybie zgłosić incydent do UODO lub CERT. W praktyce pomaga, gdy procedura zawiera kilka prostych progów i przykładów, zamiast ogólnego „w razie potrzeby zgłosić”.

Zwykle uwzględnia się:

  • kanały zgłaszania incydentów przez pracowników (np. dedykowany e-mail, formularz, telefon);
  • podział ról: kto odpowiada za analizę techniczną, kto za ocenę ryzyka RODO, a kto za komunikację z organami;
  • checklistę informacji potrzebnych do zgłoszenia (co, kiedy, jakie dane, ilu ludzi, jakie działania podjęto);
  • szablony zgłoszeń i komunikatów do osób, których dane dotyczą.

Im więcej rzeczy jest „z góry przemyślanych”, tym mniejsze ryzyko, że w 70. godzinie od naruszenia zespół dalej szuka podstawowych informacji.

Czy drobny błąd (np. omyłkowy e-mail) trzeba zawsze zgłaszać do UODO?

Nie każdy omyłkowy e-mail oznacza od razu zgłoszenie do UODO, ale każdy taki przypadek trzeba przynajmniej odnotować i przeanalizować. Jeżeli wysłano np. imiona, nazwiska i służbowe numery telefonów do innego kontrahenta, który szybko potwierdzi usunięcie wiadomości, ryzyko może być niskie. Natomiast jeśli w załączniku są dane bardziej wrażliwe (dane medyczne, PESEL, skany dokumentów), próg zgłoszenia jest znacznie niższy.

Kluczowe są trzy pytania:

  • jakie dane wyciekły (ich wrażliwość);
  • do kogo trafiły (zaufany podmiot czy zupełnie obca organizacja/osoba);
  • czy możesz w wiarygodny sposób ograniczyć skutki (np. realnie dopilnować usunięcia danych).

Brak zgłoszenia da się obronić tylko wtedy, gdy masz rzetelną, udokumentowaną analizę ryzyka. „Bo nie chcieliśmy robić szumu” nie działa ani przed UODO, ani w sądzie.

Jak szybko muszę zareagować po wykryciu incydentu, jeśli nie wiem jeszcze, czy zgłaszać go do UODO/CERT?

Kluczowe Wnioski

  • Głównym celem zgłaszania incydentów do CERT i UODO nie jest „odhaczenie obowiązku”, tylko ograniczenie strat prawnych, finansowych, operacyjnych i wizerunkowych – szybka, przemyślana reakcja zwykle kosztuje mniej niż zamiatanie sprawy pod dywan.
  • Warto odróżniać incydent IT, incydent bezpieczeństwa informacji i naruszenie danych osobowych: dopiero to ostatnie (RODO) uruchamia obowiązki wobec UODO, a nie każdy problem techniczny czy próba ataku musi automatycznie wędrować do organów.
  • Decyzja „zgłaszamy czy nie” opiera się na ocenie ryzyka dla osób fizycznych i organizacji: liczą się rodzaj danych (np. zdrowotne vs. e‑mail), skala incydentu, charakter zdarzenia (atak vs. pomyłka) i status podmiotu (np. operator usługi kluczowej).
  • Ransomware szyfrujące dane klientów, wyciek bazy przez źle skonfigurowany serwer WWW czy nieszyfrowany, zgubiony laptop z danymi to typowe sytuacje, w których realnie pojawia się obowiązek notyfikacji do UODO oraz – w wielu sektorach – zgłoszenia incydentu do CERT.
  • Nawet drobne na pierwszy rzut oka zdarzenia (np. wysłanie listy kontaktowej do złego adresata) wymagają analizy, wpisu do rejestru naruszeń i sensownej dokumentacji, bo szybko mogą urosnąć do pełnoprawnego problemu z perspektywy RODO.
  • Dobra dokumentacja incydentu (co się stało, jakie dane, jakie ryzyko, jakie działania naprawcze) to tarcza w kontakcie z organami nadzorczymi i zespołami CERT – pomaga obronić decyzję o zgłoszeniu lub o pozostaniu „tylko” przy działaniach wewnętrznych.

Wpadnij też tutaj: