Jak powiedział Forrest Gump – „shit happens”. Naszym życiem rządzą nieprzewidywalne zdarzenia, o czym można przeczytać w książce „Czarny Łabędź”[i]. Przytoczono w niej dość przykładów, aby przekonać największych sceptyków, że zdarzenia o niskiej przewidywalności, a znaczących skutkach dla otaczającej rzeczywistości spotyka się relatywnie często. Zatem do utraty lub niekontrolowanego wycieku danych może dojść nawet w najlepiej zabezpieczonych systemach. Życie pokazuje, niektórym zdarzyło się to całkiem na serio[ii], a skutki były bolesne. Warto zatem stale myśleć o tym, czy dane są bezpieczne i co zrobić, żeby stale podnosić poziom bezpieczeństwa.
Dlaczego ochrona danych w projektach RPA jest bardzo istotna?
Kluczem do zrozumienia kontekstu ochrony danych w projektach robotyzacji procesów biznesowych (RPA –
Robotics Process Automation) jest fakt, że roboty nie są niezależne. Zawsze działają w ścisłym związku z człowiekiem, najczęściej w charakterze cyfrowego asystenta. Nawet roboty autonomiczne
[iii] od czasu do czasu wymagają interakcji z człowiekiem. Niestety, w cyfrowym świecie czynnik białkowy jest najbardziej zawodny – tam, gdzie jest człowiek, rośnie ryzyko błędu lub zaniedbania. Przy przetwarzaniu danych poufnych przez człowieka, z każdą nową osobą z dostępem do takich danych, rośnie prawdopodobieństwo naruszenia zasad bezpieczeństwa.
Roboty obsługujące procesy biznesowe bardzo często przetwarzają albo
newralgiczne dane biznesowe, albo dane osobowe chronione prawem. W obu przypadkach jakikolwiek wyciek danych może w skrajnym przypadku prowadzić do realnego zagrożenia ciągłości biznesowej całej firmy. Ochrona danych i ich prawidłowe przetwarzanie to także fundamentalny wymóg
procesów biznesowych – trudno wyobrazić sobie, aby nienadzorowany robot dokonywał zmian w tabelach baz danych, do których nie powinien mieć dostępu, bo ktoś wbrew zasadom, posiadając nadmierne uprawnienia, udzielił mu takiego prawa. Odszukanie błędów i naruszeń wymaga czasu, zasobów i kwalifikacji, a to wszystko kosztuje. Każde naruszenie polityki bezpieczeństwa, w tym w procesach RPA, jest zagrożeniem dla całej infrastruktury IT organizacji. Na to właśnie czekają cyberprzestępcy. Jakakolwiek luka w systemie zabezpieczeń może zostać wykorzystana np. przez ransomware i prowadzić do chaosu oraz olbrzymich strat finansowych
[iv]. Bezdyskusyjnie, narzędzia RPA powinny być wykorzystywane wyłącznie przez odpowiednio przeszkolonych pracowników, świadomych wymogów zgodności i zasad bezpieczeństwa przetwarzania danych.
Ile kosztuje ochrona danych w RPA?
Dużo, czy mało? To zależy. Prawidłowo przeprowadzone
wdrożenie RPA oraz racjonalna polityka ochrony danych, procesów i infrastruktury IT poprawiają bezpieczeństwo organizacji – są solidną inwestycją w zabezpieczenia. Dane biznesowe są z reguły bezcenne, jeśli dodać do tego zagrożenie słonymi karami za wyciek danych osobowych, to żadna kwota wydana na bezpieczeństwo nie jest zbyt wysoka. Na plus robotyzacji trzeba zaliczyć, że usuwa ona czynnik ludzki z wielu procesów, co znacznie zmniejsza szansę na wyciek lub naruszenie bezpieczeństwa informacji.
Zapewnienie przyzwoitego poziomu bezpieczeństwa danych w RPA wymaga przestrzegania kilku podstawowych, ale ważnych reguł:
- uzyskanie dostępu do botów zawsze powinno wymagać użycia bezpiecznego mechanizmu uwierzytelniania,
- centralne repozytorium haseł i poświadczeń wszystkich botów powinno być zaszyfrowane i przechowywane w bezpiecznych i chronionych obszarach pamięci masowych,
- każdy bot musi wymagać indywidualnego zestawu danych do logowania,
- nieużywane lub wycofane boty nie mogą być powiązane z żadnymi poufnymi danymi uwierzytelniającymi,
- konta administracyjne muszą używać co najmniej uwierzytelniania dwuskładnikowego,
- dostęp do poufnych danych powinni mieć wyłącznie ci, dla których jest to niezbędne,
- zawsze trzeba minimalizować liczebność zbioru osób z najwyższymi uprawnieniami,
- dostęp do systemu RPA należy ograniczyć wyłącznie do użytkowników uprawnionych i uwierzytelnionych wieloskładnikowo.
Widać więc, że na koszty ochrony danych przy
robotyzacji procesów biznesowych składają się przede wszystkim wartość pracy koncepcyjnej przy projektowaniu zasad bezpieczeństwa, koszty ich wdrożenia, modyfikowania kodu botów oraz testy odporności na wszelkie możliwe zagrożenia. Co prawda wynajęcie Red Teams sporo kosztuje, w skali całego wdrożenia RPA mogą być to zauważalne kwoty, ale i tak są one zazwyczaj mniejsze niż ewentualne straty, jakie firma może ponieść na skutek utraty lub zaszyfrowania danych przez cyberprzestępców. Do tego zawsze trzeba doliczyć niewymierne straty wizerunkowe i cenę utraty zaufania klientów. Zatem szala zawsze przechyli się na stronę potencjalnych strat, a nie kosztów zapewnienia bezpieczeństwa robotyzacji procesów biznesowych.
RPA a RODO
Ogólne rozporządzenie o ochronie danych osobowych weszło w życie w maju 2018 roku. Do dziś wszyscy przyzwyczaili się do życia z ograniczeniami w tym zakresie, a w firmach doskonale się pamięta wysokość kar, które grożą za nieprzestrzeganie zasad bezpieczeństwa danych w zakresie zbierania, przechowywania, usuwania, przetwarzania i udostępniania danych osobowych. 20 mln euro lub 4% rocznych obrotów za poprzedni rok działa na wyobraźnię. Regulacje prawne w tym zakresie są wyraźne, ale ich realizacja wymaga sporego wysiłku organizacyjnego i odpowiednich rozwiązań IT. Ułatwiają to dwa obowiązkowe dokumenty: polityka bezpieczeństwa i instrukcja użytkowania systemów informatycznych.
Ten drugi dokument, któremu muszą być podporządkowane także wszystkie boty RPA, szczegółowo określa procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazuje osoby odpowiedzialne za te czynności. Muszą być opisane stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla tak dla użytkowników systemu, jak i robotów. Dodatkowo w takim dokumencie znajdują się opisy procedur tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych oraz sposoby zabezpieczenia systemu informatycznego i botów przed wirusami, malware, ransomware itp. Zatem bezpieczeństwo danych w zrobotyzowanych procesach biznesowych RPA jest ściśle i nierozerwalnie związane z wymaganiami RODO. Wymagania formalno-prawne oraz liczne dobre praktyki
[v] w tym zakresie pomagają opracować indywidualną kompleksową politykę bezpieczeństwa danych.
Używanie botów RPA jest atrakcyjne, bo automatyzuje żmudne czynności, na dodatek takie, gdzie ławo o pomyłkę. Jeśli były pracownik zażąda usunięcia swoich danych osobowych, robot dużo szybciej i dokładniej przeszuka wszystkie bazy danych z milionami rekordów i dokona odpowiednich operacji. Boty mogą także zostać tak zbudowane, aby automatycznie powiadamiać o naruszeniu bezpieczeństwa danych, wykonywać pseudonimizację, czy odpowiadać na
pytania klientów dotyczące sposobu wykorzystania ich danych albo udowadniać, że dane osobowe klienta zostały usunięte z systemów biznesowych firmy. Robot RPA może także znaleźć błędy i nieprawidłowości w przechowywaniu i przetwarzaniu danych osobowych, co sprzyja wypełnianiu ustawowych obowiązków związanych z RODO. Boty RPA zaangażowane w automatyzację procedur obsługi RODO
[vi] – przyśpieszają ich działanie, redukują liczbę błędów i wydatnie pomagają spełnić wymagania ustawy.
Przetwarzanie danych przez roboty a polskie prawo
Zasady ochrony i przetwarzania danych osobowych jest regulowane ustawą z 10 maja 2018 r. o ochronie danych osobowych
[vii]. Realizacją zadań kontrolnych w tym zakresie zajmuje się Urząd Ochrony Danych Osobowych. Roboty RPA nie zostały w jakikolwiek sposób ustawowo wyróżnione, nie są odmiennie traktowanie, należy zatem przyjąć, że jeśli przetwarzają one dane osobowe, to ich działanie także podlega ustawie, a ich właściciel ponosi odpowiedzialność jak za działanie własne. Roboty przetwarzające dane muszą działać zgodnie z prawem – to oczywiste. Oznacza to, że nie tylko RODO wpływa na ich funkcjonowanie. W przedsiębiorstwach obsługa prawna pracowników i klientów musi być zgoda z ustawą o świadczeniu usług drogą elektroniczną, o zakładowym funduszu socjalnym, kodeksem pracy, prawem telekomunikacyjnym, czy ustawą o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Jak widać lista aktów prawnych wpływających na boty nie jest taka krótka. Wszystkie te wymagania muszą zostać uwzględnione już na etapie projektu i dobrze przetestowane w czasie wdrożenia tak, aby zapobiec ewentualnym naruszeniom.
Co zrobić w przypadku wycieku danych przez błąd RPA?
Robot, jak człowiek, też może od czasu do czasu popełnić błąd. W końcu to dzieło ludzkich rąk i intelektu. Co zatem robić w sytuacji wycieku danych wywołanego przez robota? Odpowiedź jest banalnie prosta – to co zwykle. Zacząć trzeba od powiadomienia własnego inspektora ochrony danych osobowych IODO oraz, co ważne, administratora danych osobowych. Ten z kolei ma dwa podstawowe obowiązki – zawiadomić osoby, których dane dotyczą oraz organ nadzorczy.
Ma na to 72 godziny. Procedura postępowania w takich przypadkach jest dobrze opisana i ogólnie dostępna. W przypadku źródła wycieku w działaniu robota RPA należy także zawiadomić odpowiedniego administratora systemu i zespół ds. bezpieczeństwa. Analiza logów powinna wskazać na czym dokładnie polegał incydent, na ile jest poważny i jakie środki należy podjąć, aby przywrócić prawidłowe dane i funkcjonowanie robota.
Warto także pamiętać, że zawiadomienie osób jest istotne w przypadkach, w których incydent naraża właściciela danych na naruszenie jego praw lub wolności np. popełnienie oszustwa na szkodę tej osoby przy wykorzystaniu skradzionych danych.
Na koniec, dla uspokojenia: nie każdy błąd przedsiębiorcy związany z wdrożeniem i stosowaniem przepisów RODO stanowi incydent bezpieczeństwa podlegający obowiązkowi zgłoszenia. Na przykład sformułowanie zgody na przetwarzanie danych w sposób sprzeczny z wytycznymi podanymi przez RODO albo błędne poinformowanie osoby, której dane przedsiębiorca przetwarza, o braku możliwości usunięcia danych nie są incydentami bezpieczeństwa.
[i] Nassim Nicholas Taleb, Czarny Łabędź, Wydawnictwo Zysk i s-ka, Poznań, 2020
[ii] https://www.ibm.com/security/data-breach
[iii] https://mindboxgroup.com/pl/rpa-z-nadzorem-a-nienadzorowane-jakie-sa-glowne-roznice/
[iv] https://www.cloudwards.net/ransomware-statistics/
[v] https://poradnikprzedsiebiorcy.pl/-jak-uniknac-kar-czyli-dobre-praktyki-rodo
[vi] https://prnews.pl/bank-ratuje-sie-robotami-pieklem-rodo-435558
[vii] https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001000/U/D20181000Lj.pdf
