Korzystanie z pamięci USB przez pracowników firmy jest wygodne, ale może generować potencjalne ryzyko. Nie tylko dla bezpieczeństwa danych osobowych, ale także innych dokumentów, które zapisywane są w plikach elektronicznych na popularnych pendrive’ach.

Jakie są główne ryzyka?

Poniżej wymieniam tylko kilka najważniejszych zagrożeń w związku z incydentami, jakie mogą się pojawić w związku z używaniem pamięci USB:

1. utrata informacji,
2. wyciek danych osobowych,
3. kradzież własności intelektualnej,
4. ujawnienie tajemnicy przedsiębiorstwa.

Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) wyszczególniła trzy rodzaje potencjalnych zdarzeń, które są związane z korzystaniem z pamięci przenośnych. Są to: ujawnienie informacji w związku z utratą, kradzieżą lub niewłaściwym korzystaniem z urządzenia, nieautoryzowana ekstrakcja danych (np. nielegalne skopiowanie ich na inny nośnik) i wprowadzenie złośliwego kodu.

Ochrona informacji, danych i dokumentów zapisywanych na pamięciach USB powinna obejmować z jednej strony zabezpieczenia przed dostępem ze strony osoby nieuprawnionej, z drugiej przed utratą samych danych osobowych.

Jak chronić dane zapisane na pamięci USB?

W RODO wskazuje się szyfrowanie jako jeden ze sposobów zabezpieczenia danych osobowych przetwarzanych w środowisku informatycznym.

Do zabezpieczenia pendrive’a należy użyć stosownego oprogramowania. Niektóre rozwiązania dostępne są na bezpłatnej licencji (freeware). Na rynku można także znaleźć pamięci USB, które mają preinstalowane dedykowane oprogramowanie umożliwiającego tworzenie cyfrowych sejfów danych.

Co bardziej zaawansowane modele mają funkcje automatycznego czyszczenia zawartości nośnika po kolejnej (np. trzeciej) nieudanej próbie wprowadzenia klucza deszyfrującego. Są one jednak odpowiednio droższe.

Każdorazowo o poziomie zastosowanych zabezpieczeń powinna rozstrzygać przeprowadzona analiza ryzyka, uwzględniająca w szczególności, na ile wrażliwe są przechowywane na pamięci przenośnej dane i jakie mogłyby być ewentualne konsekwencje związane z utratą nośnika.

Warto zaznaczyć, że w przypadku przejęcia niezabezpieczonego urządzenia z dużą ilością danych osobowych przez osobę nieuprawnioną, możliwa jest nawet kradzież tożsamości. Jest to jedna z największych uciążliwości, jaka może spotkać osobę, której dane dotyczą. Ktoś może zaciągnąć na jej konto pożyczkę lub tworzyć fałszywe profile tej osoby w serwisach internetowych. To z kolei może skutkować odpowiedzialną cywilną administratora (z tytułu szkody majątkowej lub niemajątkowej).

Administrator może zabezpieczyć się na wypadek utraty danych osobowych przechowywanych na pamięci USB przez posiadanie ich kopii zapasowej. Nie będzie to zasadniczo stanowić problemu, jeżeli na pendrive są zgrywane pliki z systemu informatycznego wyłącznie w celu uzyskania późniejszego dostępu przez pracownika (bez wprowadzania nowych danych). W takiej sytuacji, to pliki zapisane na pamięci flash stanowić będą kopie, podczas gdy oryginał jest przechowywany na innym nośniku, np. serwerze firmy.

Wreszcie, sposób postępowania z pamięciami przenośnymi może mieć znaczenie w kontekście obowiązku zgłaszania naruszeń do organu nadzorczego.

Czy utrata pendrive’a podlega zgłoszeniu PUODO?

W przypadku utraty pendrive’a z danymi osobowymi należy podjąć niezwłoczne działania zaradcze i po dokonaniu wstępnej analizy ryzyka podjąć decyzję, czy zdarzenie to podlega zgłoszeniu do Prezesa Urzędu Ochrony Danych Osobowych.

Poziom zastosowanych na urządzeniu zabezpieczeń ma istotne znaczenie przy ocenie, czy dane zdarzenie podlega obowiązkowi notyfikacji.

Zgodnie z wytycznymi, które zostały wydane jeszcze przed rozpoczęciem stosowania RODO przez Grupę Roboczą art. 29 (poprzednik Europejskiej Rady Ochrony Danych), w razie utraty pamięci USB z zaszyfrowanymi danymi osobowymi, administrator może nie mieć obowiązku zgłaszania takiego incydentu do organu nadzorczego, pod warunkiem, że spełnione są (łącznie) trzy przesłanki:

1. Dane zostały zaszyfrowanie odpowiednio silnym algorytmem szyfrującym,
2. Administrator posiada kopię zapasową danych, oraz
3. Unikalny klucz deszyfrujący nie został skompromitowany.

Jeżeli doszło do utraty niezabezpieczonego pendrive’a, istnienie obowiązku zgłoszenia do PUODO jest wysoce prawdopodobne, ale także tutaj ostateczną decyzję należy podjąć po zbadaniu konkretnych okoliczności faktycznych.

Szczególnie w większych firmach powinna istnieć procedura dotycząca wydawania i zwrotu pamięci USB. Dopuszczenie do używania przez pracowników swoich prywatnych nośników może stwarzać dodatkowe ryzyko zainfekowania komputera służbowego złośliwym oprogramowaniem.