Zgubienie sprzętu służbowego – co należy zrobić w takiej sytuacji?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Laptop, pendrive, telefon czy dysk zewnętrzny to niektóre z urządzeń służbowych, które mogą zostać łatwo zgubione lub skradzione. Dzięki uprzedniemu zastosowaniu odpowiednich środków technicznych i organizacyjnych możemy znacznie zmniejszyć ryzyko naruszenia ochrony danych osobowych, a w niektórych sytuacjach jesteśmy w stanie nawet ograniczyć negatywne skutki już po utracie sprzętu. Jak to zrobić i przygotować procedury na zgubienie sprzętu służbowego?

W takiej sytuacji należy niezwłocznie zgłosić ten fakt do osób odpowiedzialnych za funkcjonowanie infrastruktury IT. Zaleca się również kontakt z inspektorem ochrony danych – nawet w sytuacji, gdy zakładamy, że nikt nie uzyska nieuprawnionego dostępu do plików. Zgubienie sprzętu służbowego powinno być rozpatrywane na dwóch płaszczyznach: ochrony danych oraz cyberbezpieczeństwa.

Dane osobowe

Artykuł 4 pkt 12 unijnego Ogólnego Rozporządzenia o Ochronie Danych (RODO) jasno wskazuje, że utrata danych osobowych również stanowi naruszenie. Jeżeli na zagubionym urządzeniu znalazła się jedyna kopia przetwarzanych danych osobowych – sam fakt utraty dostępu jest naruszeniem, bez konieczności ewentualnego zapoznania się osoby trzeciej z danymi osobowymi. Warto przy tym dodać, że administrator jest zobowiązany do zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w ciągu 72 godzin od jego stwierdzenia (art. 33 ust. 1 RODO), chyba że uzna, że istnieje małe prawdopodobieństwo naruszenia praw lub wolności osób fizycznych.

Czasami może dojść do sytuacji, gdy administrator nie posiada wszystkich informacji dotyczących naruszenia – np. liczby osób, których dane zostały utracone wskutek zgubienia sprzętu służbowego. Urząd Ochrony Danych Osobowych w opracowaniu „W jakim terminie należy zgłosić naruszenie Prezesowi UODO?” wskazuje, że zgłoszenie powinno obejmować wszystkie informacje, którymi dysponuje administrator.

Cyberbezpieczeństwo

W przypadku zgubienia sprzętu konieczne jest podjęcie szybkiej reakcji. W opracowaniu NASK „Sprzęt firmowy pod kontrolą – 12 filarów bezpieczeństwa” jasno podkreślono, że każda minuta zwłoki zwiększa ryzyko potencjalnego nieuprawnionego dostępu.

Pod kątem cyberbezpieczeństwa kluczowe jest natychmiastowe odcięcie możliwości potencjalnego złośliwego działania przy wykorzystaniu przejętych urządzeń – mowa przede wszystkim o laptopach. Zaleca się prewencyjną zmianę wszelkich haseł oraz wygaszenie aktywnych sesji, nawet w sytuacji, gdy urządzenie było zabezpieczone silnym hasłem. Szczególna uwaga powinna dotyczyć:

  • konta domenowego (Active Directory);

  • skrzynek e-mailowych;

  • VPN-ów (umożliwiających uzyskanie dostępu do służbowych zasobów);

  • komunikatorów;

  • wszelkich kont, których dane logowania były zapisane w przeglądarce.

Smartfony

W przypadku telefonów komórkowych szczególnie ważne jest zablokowanie karty SIM u operatora. Dotyczy to zwłaszcza sytuacji, w której numer telefonu umożliwia resetowanie haseł.

W przypadku najpopularniejszych systemów operacyjnych telefonów komórkowych (Android oraz iOS) możliwe jest zarządzanie urządzeniami z poziomu konta Google lub Apple (szczególnie gdy mają dostęp do Internetu). Mowa m.in. o:

  • lokalizowaniu telefonu przy korzystaniu z GPS (uprzednio włączony);

  • uruchomieniu dźwięku;

  • zablokowaniu urządzenia;

  • wyświetleniu komunikatu;

  • usunięciu danych.

W praktyce zaleca się uprzednie wdrożenie systemu MDM (Mobile Device Management), który umożliwia zdalne zarządzanie smartfonem.

Szyfrowanie nośników

W motywie 83 RODO wskazano szyfrowanie jako jeden ze środków minimalizujących ryzyko podczas przetwarzania danych. W przypadku nośników danych to właśnie szyfrowanie jest kluczowe, ponieważ nie mamy żadnej możliwości zdalnego kontrolowania pendrive’ów czy dysków zewnętrznych.

Informacja o wdrożonym szyfrowaniu jest kluczowa pod kątem praw i wolności osób fizycznych, ponieważ stanowi ona główny czynnik, jeśli chodzi o możliwości uzyskania dostępu do danych przez nieuprawnioną osobę. Przenośne nośniki danych powinny być szyfrowane na poziomie partycji, np. na podstawie Bitlockera (wbudowanego w wiele wersji Windowsa) czy VeraCrypt. Warto również dodatkowo rozważyć szyfrowanie poszczególnych plików z dbałością o bezpieczne przechowywanie klucza (hasła) – np. w ramach menedżerów haseł.

Dane osobowe oraz pliki krytyczne do funkcjonowania organizacji nie powinny być przechowywane wyłącznie na jednym urządzeniu – dzięki kopiom zapasowym (odizolowanym od sieci lokalnej) możemy znacznie zminimalizować ryzyko utraty danych wskutek zgubienia sprzętu służbowego.

Przykład 1.

Pracownik zgubił pendrive szyfrowany na poziomie partycji, zabezpieczony skomplikowanym hasłem (dłuższym niż 14 znaków). W organizacji znajduje się kopia danych offline (odcięta od dostępu do sieci). Ryzyko naruszenia ochrony danych osobowych może zostać ocenione jako niskie, lecz wymaga to szczegółowej analizy.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa

W znowelizowanej Ustawie z 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (dalej: ustawa o ksc), w brzmieniu obowiązującym od 3 kwietnia 2026 roku, incydent poważny jest definiowany jako zdarzenie, które: powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmiot kluczowy lub podmiot ważny, straty finansowe dla tego podmiotu lub wpływa na inne osoby fizyczne, osoby prawne, jednostki organizacyjne nieposiadające osobowości prawnej przez wywołanie poważnej szkody materialnej lub niematerialnej (art. 2 pkt 7 ustawy o ksc). Jeżeli zgubienie sprzętu służbowego zostanie tak zakwalifikowane – konieczne jest spełnienie wymogów ustawy o ksc dotyczących zgłaszania i obsługi incydentów. Mowa o wysłaniu wczesnego ostrzeżenia w ciągu 24 godzin (nie dotyczy podmiotów publicznych, będących podmiotami ważnymi – art. 12c ustawy o ksc) od wykrycia incydentu oraz zgłoszeniu w ciągu 72 godzin do właściwego CSIRT-u sektorowego (dotyczy również podmiotów publicznych, będących podmiotami ważnymi).

Zgodnie z załącznikiem 1 do ustawy o ksc podmiotami z sektorów kluczowych są m.in. starostwa powiatowe oraz urzędy gminy (dotyczy samorządów gminnych zatrudniających na pełen etat co najmniej 50 osób na 1 stycznia danego roku).

W załączniku nr 4 do ustawy o ksc zawierającym wymogi dotyczące systemu zarządzania bezpieczeństwem informacji (SZBI) dla podmiotów ważnych, będących podmiotem publicznym, znalazły się kluczowe działania, które warto podjąć przed utratą sprzętu służbowego. Jednym z nich jest inwentaryzacja produktów, usług i procesów ICT (używanych do przetwarzania informacji). Dobrą praktyką jest uwzględnienie również smartfonów – ważne jest m.in. wcześniejsze zarchiwizowanie numeru IMEI (numeru identyfikacyjnego telefonu).

Odzyskanie zgubionego sprzętu

Warto również pamiętać o tym, że odzyskanie zgubionego sprzętu nie oznacza rozwiązania wszystkich problemów – szczególnie w sytuacji, gdy osoba niepowołana miała możliwość zapoznania się z plikami na danym urządzeniu. W decyzji Prezesa UODO z maja 2023 roku (DKN.5131.44.2022) wskazano, że sama możliwość zapoznania się z danymi przez osobę nieuprawnioną stanowi wysokie ryzyko naruszenia praw i wolności osób fizycznych.

W przypadku odzyskania zgubionego urządzenia powinniśmy traktować je jako niezaufane – często nie możemy określić, czy nie doszło do naruszenia poufności lub integralności danych na urządzeniu. Pamiętajmy, że pendrive’y czy dyski zewnętrzne mogą zostać łatwo zainfekowane złośliwym oprogramowaniem, dlatego nie powinniśmy ich podłączać do komputerów w naszej produkcyjnej sieci.

Podsumowanie - zgubienie sprzętu służbowego

Skutki zgubienia sprzętu służbowego są w dużej mierze zależne od podjętych przez nas kroków przed wystąpieniem incydentu. Pod kątem RODO kluczowe jest to, jakie środki techniczne i organizacyjne zostały wykorzystane do zminimalizowania ryzyka naruszenia praw i wolności osób fizycznych – mowa m.in. o szyfrowaniu i kopiach zapasowych.

Gdy odzyskamy zgubiony sprzęt informatyczny, powinniśmy przeanalizować, czy istniała możliwość zapoznania się z danymi na urządzeniu. Nawet po otrzymaniu zapewnień od znalazcy o braku wglądu w pliki kluczowe jest ryzyko takiej sytuacji – naruszenie nie musi wiązać się bezpośrednio z zapoznaniem się osoby nieuprawnionej z danymi osobowymi. W praktyce powinniśmy traktować odzyskane urządzenia jako niezaufane – potencjalnie zainfekowane złośliwym oprogramowaniem.

W przypadku zgubienia laptopa zaleca się przede wszystkim niezwłoczne zakończenie aktywnych sesji (wymuszenie wylogowania z konta) oraz zmianę hasła. Należy pamiętać o tym, że wiele smartfonów może być zdalnie zarządzane po zgubieniu na podstawie rozwiązań Google czy Apple.

Zgubienie pendrive’ów czy dysków zewnętrznych wiąże się przede wszystkim z określeniem ich zawartości oraz zastosowanych środków technicznych pod kątem ochrony informacji przed nieuprawnionym dostępem oraz ewentualnym zgłoszeniem naruszenia ochrony danych osobowych do UODO.

Podczas stosowania silnych haseł do kont lub szyfrowanych nośników powinniśmy położyć duży nacisk na bezpieczne przechowywanie danych w kontekście bezpieczeństwa fizycznego. Przykładowo szyfrowany pendrive nie powinien być przechowywany w tej samej torbie co służbowy laptop.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów