Czy ataki na serwery pocztowe = zgłaszane incydenty ochrony danych?

Na początku marca 2021 roku Microsoft ogłosił, że Microsoft Exchange posiada luki bezpieczeństwa. Microsoft Exchange jest produktem serwera pocztowego, który jest używany miliony razy na całym świecie, więc było to zagrożenie dla serwerów, które są używane miliony razy i mogą być dostępne z Internetu, które często były już zainfekowane / aktywnie atakowane przez tę lukę.

Chociaż Microsoft szybko udostępnił aktualizacje zabezpieczeń, które mogły zostać zainstalowane przez osoby dotknięte problemem, a także skrypt kontrolny dla serwera Exchange, za pomocą którego osoby dotknięte problemem mogły sprawdzić, czy ich serwery zostały zhakowane, dla niektórych było już za późno: liczne firmy stały się ofiarami ataku hakerów.

Dla zainteresowanych firm pojawia się teraz pytanie, kiedy występuje incydent ochrony danych podlegający zgłoszeniu i jakie obowiązki informacyjne na nich ciążą oraz czy taki incydent występuje w konkretnym przypadku dotyczącym Microsoft Exchange.

Kiedy mamy do czynienia z incydentem ochrony danych podlegającym zgłoszeniu?

Art. 33 RODO reguluje, kiedy należy zgłosić incydent związany z ochroną danych. Zgodnie z nim istnieje obowiązek zgłoszenia "w przypadku naruszenia danych dane osobowe [...] chyba że naruszenie ochrony dane osobowe prawdopodobnie nie spowoduje zagrożenia dla praw i wolności osób fizycznych".

Jest zatem przede wszystkim wątpliwe, kiedy "naruszenie ochrony osobisty dane" w ogóle istnieją. Art. 4 nr 12 RODO zawiera definicję tego pojęcia. W związku z tym naruszenie ochrony dane osobowe "naruszenie bezpieczeństwa prowadzące do zniszczenia, utraty lub zmiany, [...] lub nieuprawnionego ujawnienia lub dostępu do nieautoryzowany dostęp do danych osobowych prowadzi [...]."

Dane osobowe to wszystkie informacje dotyczące zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych zgodnie z art. 4 ust. 1 RODO.

Naruszenie bezpieczeństwa tych danych zgodnie z art. 4 nr 12 RODO ma miejsce, jeśli zostaną one zniszczone, utracone, zmienione, ujawnione bez upoważnienia lub udostępnione bez upoważnienia. Obejmuje to zatem początkowo wszystkie Naruszenia i wycieki danych. Uwzględniono również problemy techniczne i awarie systemu wraz z ich konsekwencjami, a także ataki hakerskie i kradzież danych.

Aby uzyskać lepszy przegląd zgłaszanych incydentów, w poszczególnych krajach federalnych istnieją możliwości informacyjne za pośrednictwem organów nadzorczych. Ponadto wytyczne Europejskiej Rady Ochrony Danych z 19.01.2021 r. zawierają wiele przykładów i dobry przegląd.

Jakie są wymagania dotyczące informacji?

Jeśli dojdzie do incydentu ochrony danych podlegającego zgłoszeniu, następnym pytaniem, które zadają sobie firmy dotknięte tym problemem, jest: Kto musi zostać poinformowany?

Przede wszystkim istnieje obowiązek powiadomienia właściwego organu nadzorczego zgodnie z art. 33 DSGVO.

Dodatkowo jednak osoby, których dane dotyczą, takie jak klienci, zleceniodawcy lub pracownicy, muszą zostać powiadomione indywidualnie, jeśli należy założyć wysokie ryzyko dla praw i wolności osobistych osób fizycznych (art. 34 I GDPR). Jest to zazwyczaj wyjątkowy przypadek i ma miejsce, gdy należy spodziewać się poważnych konsekwencji lub upośledzenia osoby, której dane dotyczą (na przykład kradzież tożsamości lub naruszenie poufności tajemnicy zawodowej). Fakt, że osoby poszkodowane muszą zostać powiadomione indywidualnie, ma miejsce w szczególności w przypadku utraty danych bankowych lub danych pacjentów. Decydujący jest jednak zawsze indywidualny przypadek i zawsze należy skonsultować się z inspektorem ochrony danych.

Czy w sprawie Microsoft Exchange wystąpił zgłaszany incydent ochrony danych?

To, czy jest to zdarzenie podlegające zgłoszeniu, jest rzeczywiście sporne. Organ nadzorczy w Hamburgu twierdzi, że obowiązek zgłoszenia istnieje tylko wtedy, gdy rzeczywiście stwierdzono wyciek danych, organ nadzorczy w Badenii-Wirtembergii twierdzi, że istnieje ogólny obowiązek zgłoszenia, a organy nadzorcze w Dolnej Saksonii i Bawarii twierdzą, że nawet spóźniona instalacja aktualizacji Microsoftu prowadzi do obowiązku zgłoszenia.

Przedsiębiorstwa, które stwierdzą, że zostały dotknięte tym problemem, powinny zatem niezwłocznie zgłosić to organowi nadzorczemu. Jeśli jednak nie udało się wykryć żadnego wycieku danych, zgłoszenie nie jest prawdopodobnie konieczne, ale zawsze powinno być oceniane przez personel ekspercki indywidualnie. W każdym przypadku wszystkie incydenty i środki powinny być udokumentowane, a systemy informatyczne powinny być regularnie sprawdzane przez ekspertów.

Profesjonalne porady i pomoc jest niezbędna.