Zaszyfrowanie wybranych plików, zablokowanie dostępu lub ich usunięcie za pomocą złośliwego oprogramowania – czyli ataki ransomware, stanowią obecnie jedno z największych zagrożeń dla cyberbezpieczeństwa. Jak podała w swoim raporcie firma Dragos Inc., ilość takich ataków na świecie wzrosła w 2022 r. o 87% r/r. Jeśli wierzyć rodzimym badaniom, to okazuje się, że od 33 do nawet 77% polskich firm padło ofiarą takich ataków. Sytuacja jest więc poważna, a nie wszystkie organizacje zdają sobie sprawę z ryzyk, jakie się z takimi atakami wiążą. „Brak procedur, które uwzględniają wystąpienie ataków ransomware, w tym w szczególności regulują działania zapobiegawcze i czynności, jakie należy podjąć po stwierdzeniu ewentualnego ataku, wiąże się nie tylko z ryzykiem kary finansowej, ale też koniecznością zapłaty okupu, czy wreszcie inwestycji w dodatkowe systemy informatyczne. Nie można zapomnieć również o kosztach wizerunkowych” – mówi Katarzyna Adamiak, Partner z kancelarii Lawsome, specjalizująca się w zagadnieniach ochrony danych osobowych.
Jak wynika z danych KPMG, w Polsce blisko jedna trzecia respondentów wskazała, że padła w przeszłości ofiarą ataku ransomware. Z kolei z badania „State of Ransomware 2022” zrealizowanego dla Sophos płynie wiosek, że aż 77% polskich firm w 2021 r. było ofiarą takich ataków. Jak wynika z tego raportu, polskie firmy w 2021 r. wypłaciły przestępcom średnio 670 tys. zł okupu, za odzyskanie zaszyfrowanych w wyniku ataku danych. Średni okup płacony na świecie osiągnął natomiast prawie pięciokrotnie wyższą wartość niż jeszcze rok wcześniej – ok. 3,4 mln zł.
„Liczba ataków i incydentów związanych z cyberbezpieczeństwem z roku na rok rośnie. Potwierdzają to dobitnie raporty i badania. Można to częściowo powiązać z wojną w Ukrainie i zmianami geopolitycznymi, ale trudno ignorować fakt, że wzrost aktywności cyberprzestępców obserwujemy na całym świecie. Sama kradzież, czy zaszyfrowanie danych, nie są jednak jedynym problemem dla zaatakowanej firmy. Nie można zapomnieć o pozostałych ryzykach, takich jak kary za niewłaściwie zabezpieczone dane, czy brak zgłoszenia incydentu do UODO” – mówi Katarzyna Adamiak, Partner w kancelarii Lawsome.
W roku 2022 r. administratorzy danych zgłosili do Urzędu Ochrony Danych Osobowych (UODO), prawie 13 tys. incydentów związanych z ochroną danych osobowych, podczas gdy w 2021 r. było to zaledwie 7,5 tys. UODO nie podaje, jaka część z tych zawiadomień dotyczyła wycieku danych związanych z atakami ransomware, jednak biorąc pod uwagę statystyki przedstawiane w raportach dotyczących cyberbezpieczeństwa, można założyć, że stanowią one znaczną część zgłoszeń, oraz że w porównaniu z wcześniejszymi latami, również tu nastąpił znaczny wzrost.
Wraz ze wzrostem liczby ataków typu ransomware, obserwujemy także ich ewolucję. Standardowo, atak ma formę zaszyfrowania lub zablokowania dostępu do danych i żądania okupu za odzyskanie przez firmę kontroli nad tymi zasobami. Obecnie jednak, atakujący często wyprowadzają od razu dane z organizacji, co daje im dodatkowy argument negocjacyjny przy ustalaniu wysokości okupu. Część atakujących tworzy dodatkowo strony internetowe, na których ujawniane są dane spółek, które odmówiły opłacenia okupu. Jak wynika z przywoływanego już badania „State of Ransomware 2022”, połowa zaatakowanych przedsiębiorstw zapłaciła okup, co pokazuje, że groźba wycieku danych często osiąga zamierzony przez przestępców skutek.
Niezależnie od tego, czy administrator zdecyduje się na podjęcie rozmów w sprawie okupu, równolegle powinien on podjąć działania wewnętrzne, mające na celu zidentyfikowanie przyczyny ataku, weryfikację stosowanych zabezpieczeń oraz procedur, jak również zbadanie, czy w związku z atakiem mogło dojść do wycieku danych osobowych. Jeżeli istnieje ryzyko, że w wyniku ataku może dojść do naruszenia danych osobowych, kolejnym krokiem powinno być dokonanie odpowiedniego zgłoszenia do UODO, oraz zawiadomienie podmiotów, których dane zostały naruszone.
„Na początkowym etapie, administratorzy często nie mają pewności, czy w związku z atakiem nastąpił wyciek danych osobowych. Z uwagi na bardzo krótki, 72-godzinny czas, w jakim administrator powinien zdecydować, czy dokonać zawiadomienia UODO, pozostaje ekstremalnie mało czasu na weryfikację skutków ataku, podjęcie decyzji o dokonaniu zgłoszenia incydentu i powiadomienia osób, których dane zostały objęte atakiem. W związku z tym, często decyzje te muszą zostać podjęte przed ostatecznym stwierdzeniem, czy istotnie doszło do wycieku danych. Warto dodać, że czas na zawiadomienie UODO o incydencie, to 72 kolejne godziny zegarowe. W przypadku wystąpienia incydentu w piątek, w godzinach porannych, zaatakowany podmiot musi mieć przygotowane wnioski i decyzję w zakresie dalszych działań, już w poniedziałek rano” – dodaje Katarzyna Adamiak.
Coraz częściej mamy do czynienia z praktyką, w której pomimo braku jednoznacznych przesłanek do zgłoszenia naruszenia, administratorzy decydują się na współpracę z UODO, a także informują o potencjalnym naruszeniu osoby, których incydent związany z danymi osobowymi dotyczy.
„Administratorzy, w obawie przed karami finansowymi i roszczeniami osób, których dane zostały objęte atakiem, nawet przy braku pewności co do wycieku danych osobowych, decydują się zgłosić taki incydent do UODO. Istnieje bowiem możliwość tzw. zgłoszenia wstępnego, które w późniejszym czasie może zostać uzupełnione lub zmienione. Administratorzy niemający pewności, czy rzeczywiście doszło do naruszenia, w ciągu 72 godzin od stwierdzenia ataku, często decydują się w pierwszej kolejności na dokonanie właśnie zgłoszenia wstępnego. Po ustaleniu szczegółów związanych z atakiem i jego konsekwencjami, oraz po dokonaniu oceny ryzyka wycieku danych, składają zgłoszenie uzupełniające.” – dodaje Katarzyna Adamiak.
Przykładem takiego działania była choćby reakcja Elbląskiego Przedsiębiorstwa Energetyki Cieplnej, które w lipcu 2022 r., pomimo braku przesłanek do powiadomienia Prezesa UODO o cyberataku, zdecydowało się na transparentność procesu i powiadomienie organu o potencjalnym incydencie. Również CD Projekt, który padł ofiarą działań hakerów na początku 2021 r. podawał w swoim oświadczeniu, że na bieżąco informował UODO o zdarzeniu związanym z naruszeniem cyberbezpieczeństwa.
UODO w przeszłości karał już polskie firmy, za brak zgłoszenia incydentów związanych z przetwarzaniem danych osobowych. Przykładem może być ENEA, na którą została nałożona kara administracyjna wynosząca ponad 136 tys. zł.
„Niezależnie od zgłoszenia incydentu do UODO, administratorzy muszą również podjąć decyzję o konieczności zawiadomienia osób, których dane były przedmiotem ataku, co powinno nastąpić „bez zbędnej zwłoki”. Może to jednak nadwyrężyć zaufanie klientów administratora, a z kolei brak zawiadomienia może skutkować karą finansową nakładaną przez Prezesa UODO. Dlatego w przypadku ataków ransomware, sytuacja zaatakowanych administratorów jest tak trudna i wielowątkowa. ” – mówi Katarzyna Adamiak.
Za brak zawiadomienia o naruszeniu ochrony danych osobowych (samego UODO, ale też osób fizycznych, których danych atak dotyczył), grozi kara wynosząca nawet równowartość 10 mln euro, lub 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma wyższa z tych kwot.