Wyciek danych jak gaz w mieszkaniu. Nie widać, nie czuć, a najgorzej jak dowiesz się od sąsiadów

Wyciek danych jak gaz w mieszkaniu. Nie widać, nie czuć, a najgorzej jak dowiesz się od sąsiadów

Wyciek u przeciętnej firmy w Polsce nie zaczyna się od huku. Zaczyna się od telefonu klienta który pyta dlaczego ktoś zna jego numer telefonu. Albo od dziennikarza z pytaniem "czy to prawda że wasze dane są w internecie." Albo od pisma z UODO które wpłynęło wcześniej niż wewnętrzne wykrycie problemu.


Wyciek danych to nie jest sytuacja z filmów akcji.

Nie ma alarmów. Nie ma świateł migających na ekranach. Nie ma ekspertów w kominiarkach którzy krzyczą do słuchawek. Rzeczywistość wygląda inaczej – często dzieje się cicho, tygodniami, i firma dowiaduje się o nim ostatnia.

Dokładnie jak gaz w mieszkaniu. Nie widać. Nie czuć. A najgorzej jak dowiesz się od sąsiadów.


Dlaczego firmy dowiadują się o wycieku ostatnie

Trzy najczęstsze scenariusze które widzę w praktyce.

Klient dzwoni i pyta.

Klient dostaje spersonalizowany spam. Ktoś próbuje się do niego dodzwonić i zna dane których nie powinien mieć. Konkurencja wysyła ofertę do klientów firmy z informacjami które tylko firma powinna mieć. Klient dzwoni do obsługi z pytaniem "skąd oni mają moje dane?"

Firma w tym momencie ma dwie opcje. Zbagatelizować – "to na pewno przypadek" – co jest scenariuszem który kończy się źle. Albo potraktować to jako sygnał ostrzegawczy i sprawdzić czy nie ma wycieku – co jest scenariuszem racjonalnym.

Dziennikarz pyta o komentarz.

Ktoś opublikował w sieci bazę danych. Dziennikarz specjalizujący się w cyberbezpieczeństwie znalazł ją i sprawdza źródło. Zauważa że dane pochodzą z Twojej firmy. Dzwoni z prośbą o komentarz.

Firma dowiaduje się o wycieku od dziennikarza który już ma gotowy artykuł. Ma na przygotowanie odpowiedzi kilka godzin. Nie ma czasu na wewnętrzne dochodzenie zanim wybuchnie afera.

Pismo z UODO wpływa wcześniej niż wewnętrzne wykrycie.

Klient który zauważył coś podejrzanego złożył skargę do UODO. Organ wysłał pismo do firmy z prośbą o wyjaśnienia. Firma otwiera list i dowiaduje się że ma incydent którego nie zauważyła.

Wszystkie trzy scenariusze mają wspólny mianownik – firma dowiaduje się o problemie od kogoś z zewnątrz. To jest dokładnie sytuacja gazu w mieszkaniu wykrywanego przez sąsiadów. Można było uniknąć – gdyby ktoś w mieszkaniu miał czujnik.


Dlaczego to takie częste w polskich firmach

Odpowiedź jest niewygodna ale prawdziwa – większość firm nie ma systemów wczesnego wykrywania incydentów.

Firmy inwestują w firewalle, antywirusy, backupy. To są zabezpieczenia prewencyjne. Ich celem jest niedopuszczenie do incydentu.

Znacznie mniej firm inwestuje w monitoring i wykrywanie – narzędzia i procesy które pokazują że coś się dzieje w trakcie albo bezpośrednio po. Systemy DLP monitorujące transfer danych na zewnątrz. Alerty w systemach CRM przy nietypowych operacjach – masowy eksport, pobranie całej bazy, dostęp z nietypowego IP. Regularne przeglądy logów które pozwalają zauważyć anomalie.

Efekt jest taki, że wycieki dzieją się i pozostają niewykryte tygodniami. A gdy w końcu wychodzą na jaw – wychodzą przez kanał zewnętrzny.


Konsekwencje wykrycia zewnętrznego są poważniejsze

Wykrycie wycieku od klienta, dziennikarza albo UODO ma znacznie gorsze konsekwencje niż wykrycie wewnętrzne. Z kilku powodów.

Termin 72 godzin już tyka.

Obowiązek zgłoszenia naruszenia do UODO powstaje od momentu stwierdzenia naruszenia. Jeśli klient poinformował firmę – zegar startuje. Jeśli dziennikarz zadzwonił – zegar startuje. Jeśli UODO wysłał pismo – zegar dawno wystartował, tylko firma o tym nie wiedziała.

Wykrycie zewnętrzne oznacza że firma nie kontroluje początku procesu.

Nie ma czasu na pełne dochodzenie przed komunikacją.

Wykrycie wewnętrzne pozwala firmie najpierw ustalić skalę problemu, potem zdecydować o komunikacji. Wykrycie zewnętrzne wymusza reakcję zanim firma zdąży ustalić fakty.

Odpowiedzi typu "nie wiem, sprawdzam" mają swoją cenę wizerunkową i regulacyjną.

Postrzeganie odpowiedzialności administratora spada.

UODO ocenia nie tylko sam incydent ale też jak firma nim zarządzała. Wykrycie wewnętrzne pokazuje że firma miała mechanizmy które zadziałały. Wykrycie zewnętrzne pokazuje że firma nie miała mechanizmów – bo gdyby miała, wykryłaby wcześniej niż osoba postronna.

To jest różnica między firmą która "zauważyła problem i zareagowała" a firmą która "została zaskoczona przez skargę klienta." Pierwsza ma znacznie lepszą pozycję negocjacyjną z organem.


Co konkretnie zrobić żeby wykrywać wewnętrznie

Nie trzeba budować SOC-a wartego setki tysięcy złotych. Wystarczą podstawowe elementy zaprojektowane pod skalę firmy.

Alerty w systemach z danymi osobowymi.

Większość profesjonalnych systemów CRM, ERP, systemów mailingowych ma opcję powiadomień o nietypowych operacjach. Masowy eksport danych. Dostęp z nowego urządzenia albo nietypowego IP. Nietypowa pora aktywności. Pobranie dużej liczby rekordów przez jednego użytkownika.

Sprawdzenie w Twoim systemie CRM czy takie alerty są dostępne i skonfigurowanie ich zajmuje godziny a nie miesiące.

Regularne przeglądy logów.

Nie codzienne – nikt nie ma na to czasu. Ale raz w tygodniu spojrzenie na logi systemów krytycznych. Kto się logował. Kiedy. Co robił.

Rutyna która zajmuje godzinę tygodniowo daje szansę zauważenia rzeczy które automatyczne alerty pominą.

Monitoring dark web dla wybranych zapytań.

Istnieją usługi które monitorują publikacje w internecie i alarmują gdy pojawi się wzmianka o firmie w kontekście wycieku danych. Podstawowe wersje są dostępne w rozsądnych cenach dla małych firm.

Kanał zgłaszania podejrzeń wewnętrznie.

Pracownicy często są pierwszymi którzy zauważają coś nietypowego. Kolega który dziwnie się zachowuje. System który zaczął działać dziwnie. Podejrzana rozmowa telefoniczna z osobą podającą się za pracownika IT.

Bez wewnętrznego kanału zgłaszania podejrzeń pracownicy nie mają gdzie z tym pójść. Prosty kanał – dedykowany adres mailowy, formularz w intranecie, procedura zgłaszania do IOD – daje firmie oczy i uszy pracowników.

Regularne testy socjotechniczne.

Symulowane ataki phishingowe wysyłane do pracowników. Nie żeby ich karać za kliknięcie – żeby wiedzieć jaki procent kliknął i którzy potrzebują dodatkowego szkolenia.

To są narzędzia dostępne w tanich pakietach i dają realny obraz podatności organizacji na najczęstszy wektor ataku.


Procedura na wypadek wykrycia – wewnętrznego albo zewnętrznego

Niezależnie od tego jak wykryjecie incydent, potrzebujecie procedury na pierwsze godziny.

Pierwsza godzina: zabezpieczenie dowodów.

Zanim ktokolwiek cokolwiek zmieni – zabezpieczenie logów, screenshotów, kopii systemów. Bez tego późniejsze dochodzenie ma luki. Osoby techniczne wiedzą co konkretnie zabezpieczyć – ale muszą wiedzieć że to jest priorytet numer jeden.

Pierwsza godzina: powiadomienie IOD i zarządu.

IOD musi wiedzieć natychmiast. Zarząd musi wiedzieć natychmiast. Bez tego decyzje o dalszych krokach są podejmowane bez świadomości najwyższego kierownictwa co jest błędem strategicznym.

Pierwsze 24 godziny: ustalenie skali.

Jakie dane, ile osób, jak długo wyciek trwał, kto miał dostęp. Ta wiedza jest podstawą decyzji o zgłoszeniu do UODO i o informowaniu osób których dane wyciekły.

Do 72 godzin: zgłoszenie do UODO jeśli wymagane.

Formularz na stronie UODO. Konkretny opis incydentu, działania zaradcze, ocena ryzyka. Rząd wielkości rekordów jeśli dokładna liczba nie jest jeszcze znana.

Równolegle: komunikacja z podmiotami danych jeśli wymagane.

Przy wysokim ryzyku dla praw osób których dane wyciekły – obowiązek bezpośredniego informowania.

Po ustabilizowaniu sytuacji: wnioski i wdrożenie.

Dlaczego doszło do incydentu. Jak zapobiec w przyszłości. Konkretne zmiany w systemach, procedurach, szkoleniach.

Firma która ma tę procedurę spisaną i przeszkoloną – reaguje w tygodniu. Firma która nie ma procedury – reaguje przez miesiąc a niektóre elementy pomija.


Test gotowości

Można sobie zadać kilka pytań które szybko pokażą stan przygotowania firmy.

Gdyby jutro klient zadzwonił z pytaniem "skąd macie moje dane, dostałem spam od konkurencji z Waszym numerem klienta" – kto w firmie odbiera taki sygnał i co robi z nim w pierwszej godzinie?

Gdyby jutro dziennikarz zadzwonił z pytaniem o komentarz do artykułu o wycieku który już napisał – kto odpowiada, kto przygotowuje treść, jaka jest procedura komunikacyjna?

Gdyby jutro wpłynęło pismo z UODO z prośbą o wyjaśnienia dotyczące skargi klienta – kto to widzi pierwszy, kto koordynuje odpowiedź, w jakim terminie?

Jeśli odpowiedź na którekolwiek pytanie brzmi "nie wiem" albo "trzeba by ustalić" – to jest luka która ujawni się dokładnie w najgorszym możliwym momencie.


Gaz w mieszkaniu nie zabija dlatego że jest niebezpieczny. Zabija dlatego że nie ma czujnika który by go wykrył zanim stanie się śmiertelny.

Wyciek danych działa tak samo. Sam wyciek jest problemem. Ale prawdziwym problemem jest brak wykrycia który sprawia że wyciek trwa tygodniami albo miesiącami zanim ktoś go zauważy.

Firmy które inwestują tylko w prewencję – zabezpieczają się przed wybuchem. Firmy które inwestują też w wykrywanie – wiedzą kiedy coś nie działa i mają szansę zareagować zanim będzie za późno.

Nie ma firmy w której nigdy nie dojdzie do żadnego incydentu. Są firmy które wykrywają szybko i firmy które dowiadują się od sąsiadów.

Wybór między nimi robicie dziś.


Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.