(Komentar) Dva kilograma informacijske varnosti, prosim

Število odmevnih varnostnih incidentov v digitalnem svetu je vsak dan večje in Slovenija ni nobena izjema. Spomnimo le na incidente Nova24TV, Lekarne Ljubljana, Bolnišnica Izola, Revoz, AJPES. Ob dogajanju se vedno znova zastavljata dve ključni vprašanji: kdo je kriv in zakaj podatki niso bili ustrezno zavarovani?

Kdo je odgovoren?

Pri iskanju krivca pomaga kombinacija ljudske folklore (»nihče ni kriv«) in inšpekcijske prakse (»kriva je odgovorna oseba«). Ko varnostni incidenti niso medijsko izpostavljeni, krivca ni treba iskati, dovolj je, da se dogovorimo med sabo, okaramo nesposobne zaposlene, se posipamo s pepelom in zadevo pometemo pod preprogo. Ko se začne incident javno pogrevati, nastanejo težave, ki jih bolj ali manj učinkovito rešujejo represivne službe: Policija, Informacijski pooblaščenec, AKOS, Uprava za informacijsko varnost). Takrat naj bi se v okviru formalnih postopkov določilo odgovorno osebo, praviloma tako, da se začne z iskanjem krivca čim nižje v organizacijski hierarhiji (če ne zadošča hišnik, naj bo kriv informatik, če to ni dovolj se žrtvuje vodjo informatike, šele v skrajnem primeru direktorja podjetja). Grešnika se oglobi, volk je sit, koza cela. Če se žrtev uspe pritožiti, globa na sodišču zaradi trenutnih težav z (ne)implementacijo ZVOP-2 pade. Sistem kot tak seveda deluje le dokler so globe nizke (oz. jih ni). GDPR žal omenja 10 do 20 milijonske globe, kar je za slovenske razmere dovolj, da lahko marsikoga prižene čez rob obupa. Ob tem velja dodati, da glede na GDPR sankcije ne doletijo več odgovornih oseb (vsaj, dokler ZVOP-2 ne bo uvedel kakšnega novega dognanja s tega področja), ampak organizacije v katerih se je varnostni incident zgodil (ki potem lahko skladno s svojimi notranjimi postopki in pravilniki izvršujejo disciplinske postopke in regresne zahtevke). Kako se bo v praksi izvajala črna magija izrekanja glob in kako visoke te v resnici bo, najbrž ne ve nihče. Na srečo pri nas zaradi neimplementaicje GDPR v nacionalni zakonodaji nimamo prekrškovnega organa, ki bi lahko te visoke globe izrekal. Še več, v delu, kjer so prekrški po novem urejeni v GDPR, ne veljajo več prekrški iz Zakona o varstvu podatkov (vsaj glede na mnenje ljubljanskih prekrškovnih sodišč -- ZSV 742/2019).

Kdaj so podatki ustrezno zavarovani?

Neodgovorjeno ostaja drugo vprašanje, ki je morda še pomembnejše. Kdaj so podatki ustrezno zavarovani? Zakonodaja (ZInfV, ZVOP-1, GDPR) daje splošna priporočila o tem, da je treba določiti varnostna tveganja in uvesti ukrepe s katerimi tveganja zmanjšamo (do kje?) in s katerimi preprečimo nepooblaščeno obdelavo podatkov (kako konkretno?). Skoraj gotovo večina večjih organizacij, tudi tiste, ki so bile predmet prej omenjenih varnostnih incidentov, izvaja osnovne ukrepe informacijske varnosti in aktivno preprečuje nepooblaščeno obdelavo podatkov. Toda incidenti so se kljub temu zgodili. Ali to pomeni, da zavarovanje podatkov ni bilo ustrezno? Ali morda pomeni, da vselej, ko se zgodi varnostni incident (zgodi se lahko vedno, mar ne?), to hkrati že pomeni, da zavarovanje podatkov ni bilo ustrezno oz. da dokler se incident ne zgodi, je zavarovanje po definiciji ustrezno? Zagata nikakor ni akademska, neustrezno zavarovanje podatkov se namreč strogo sankcionira.

Skladnost poslovanja. Skladnost s čim?

Težava je, ker popolne varnosti ni mogoče zagotoviti, a hkrati ni jasno kje je meja, ki bi jo bilo treba z uvajanjem organizacijskih, procesnih in tehničnih ukrepov doseči, da bi v primeru varnostnega incidenta lahko policiji ali inšpekcijskim službam zagotovili, da smo naredili vse kar načelo dolžne skrbnosti zahteva in da zato res ne bi bilo korektno plačevati glob. Če državne nadzorne institucije, ki razpolagajo s sredstvi prisile in (upajmo) z ustreznim strokovnim znanjem, odgovora na vprašanje ne bodo jasno oblikovale, se bo še naprej dogajalo kar se že – denarja se ne vlaga (dovolj) v informacijsko varnost, ampak v namenske proračune za plačevanje glob in podkupovanje uradnikov.

Po drugi strani bi bilo mogoče ta gordijski vozel presekati z jasno določitvijo zahtev dolžne skrbnosti (due dilligence), kar je praksa, ki se je že uveljavila v nekaterih vejah poslovanja. Dolžna skrbnost preprosto pomeni, da se jasno določi zahteve, ki jih je treba izpolnjevati. Če se kljub temu zgodi neljubi dogodek, recimo varnostni incident, organizacija praviloma ni deležna sankcij s strani nadzornih institucij, saj je naredila v dogovorjenem obsegu vse kar se je od nje zahtevalo. V takšnih primerih je vodstvo organizacij dodatno motivirano, da denar raje nameni izboljšanju informacijske varnosti kot plačevanju glob in pomirjanju razdraženih birokratov. Konkretne zahteve dolžne skrbnosti bi nenazadnje koristile tako notranjim uporabnikom, ko načrtujejo in postavljajo sistem varnosti kot tudi nadzornikom in inšpektorjem, ki preverjajo skladnost sistema.

Delovna vnema je velika, produkcija dokumentov še večja!

Domačim nadzornim organom velja priznati delovno vnemo na področju informacijske varnosti, saj so pripravili več dokumentov, ki so v pomoč organizacijam pri določanju varnostnih tveganj in uvajanju ukrepov za zmanjševanje takšnih tveganj. Vendar kljub hvalevrednim prizadevanjem še niso podali jasnih kriterijev, ki bi jih bilo treba izpolniti, da zagotovimo (pred bogom in domovino) dolžno skrbnost na področju informacijske varnosti. Na vprašanja, kakor ravnati, smo praviloma dobili enigmatične odgovore v smislu »zavarovanje se ugotavlja od primera do primera« ter »priporočamo uporabo uveljavljenih standardov kot je ISO 27001«. Res je, da kompleksne okoliščine sodobnih organizacij bistveno otežijo iskanje jasnih minimalnih standardov odgovornega ravnanja, toda hkrati bistvo ideje pravne varnosti in predvidljivosti tiči ravno v tem, da organizacije in posamezniki jasno vedo kaj morajo storiti, če naj se izognejo morebitnim sankcijam v inšpekcijskih ter prekrškovnih postopkih.

Popolna varnost

Upajmo torej, da bo nov varnostni incident, ki je tokrat "doletel" »prve v službi resnice«, spodbudil inšpekcijske službe k premisleku o vprašanju dolžne skrbnosti pri zagotavljanju informacijske varnosti. Upamo tudi, da bodo varuhi pravnega reda svoje uvide nesebično delili (v obliki izjave za javnost, brošur, napotkov ali celo okrogle mize) s širšo strokovno javnostjo. Tudi zato, ker številni med nami želimo dvigniti nivo informacijske varnosti, vendar zaradi omejenih sredstev in dejstva, da nihče ne more nikoli zagotoviti popolne varnosti, preprosto ne vemo koliko varnosti (že) zadošča, da izkažemo dolžno skrbnost in s tem zmanjšamo verjetnost izreka visokih glob, ki jih določa GDPR.