BitLocker oraz YellowKey a utracony zaszyfrowany laptop
Bitlocker oraz YellowKey a utracony zaszyfrowany laptop. Jak informuje serwis sekurak.pl istnieje możliwość uzyskania dostępu do zaszyfrowanych plików przez BitLocker. Jeśli w Twojej organizacji doszło kiedykolwiek do kradzieży, zgubienia laptopa zaszyfrowanego przy użyciu ww. oprogramowania, a w wyniku przeprowadzonej oceny ryzyka dla praw lub wolności osób fizycznych, uznano iż jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych – właśnie ze względu na zastosowanie opisanej wyżej metody kryptograficznej – a w konsekwencji takiego wyniku oceny, odstąpiono od dokonania zgłoszenia zdarzenia, jako naruszenia ochrony danych osobowych do UODO oraz nie dokonano zawiadomienia osób których dane dotyczą – sytuacja się komplikuje.
Internet pełen jest teorii, w których to sugeruje się, iż opisana podatnośćto tzw. „backdoor”, albo funkcja testowa, której zapomniano wyłączyć, jednak jest to bez znaczenia dla faktu, jakim jest możliwość uzyskania dostępu osób nieuprawnionych do zasobów zaszyfrowanych przy użyciu ww. oprogramowania BitLocker.
Poradnik UODO
Zgodnie z tym co napisali autorzy Poradnika UODO – zdarzenie, będące naruszeniem ochrony danych, polegającym na niezgodnym z prawem lub przypadkowym nieuprawnionym ujawnieniu lub utraceniu danych osobowych przetwarzanych – jeśli odnosi się do danych które zostały zaszyfrowane w sposób zapewniający ich nieczytelność dla osób nieupoważnionych – pod warunkiem, że dane te są zabezpieczone kluczem, kluczem który nie został naruszony, czyli ma dostęp do kopii zapasowej danych – to sytuacja, w której brak jest ryzyka dla praw lub wolności osób fizycznych.
Administrator, który w wyniku oceny ustali, iż w danym konkretnym przypadku zachodzą okoliczności wyżej opisane, musi mieć świadomość, iż taki stan rzeczy ustala w danej konkretnej momencie, w danej sytuacji, co oznacza, iż stan ten wraz z upływem czasu, a precyzyjniej mówiąc wraz z rozwojem technologii, może ulec zmianie, a wręcz przyjąć należy, iż ulegnie zmienia, która sprawi, iż powstanie możliwość odszyfrowania danych, przez co stają się one czytelnymi dla osób nieupoważnionych, albo osoby nieupoważnione uzyskają dostęp do kluczy szyfrujących. Administrator musi być gotowy na adekwatną reakcję, co w praktyce oznacza, musi dokonać powtórnej oceny poziomu ryzyka naruszenia praw i wolności, z uwzględnieniem nowej sytuacji faktycznej[1]. Taka sytuacja będzie mieć miejsce, kiedy po jakimś czasie, administrator stwierdzi, że klucz szyfrujący został złamany, albo kiedy wykryta zostanie luka w oprogramowaniu szyfrującym.
Wytyczne 9/2022 dotyczące zgłaszania naruszenia ochrony danych osobowych na podstawie RODO
Wytyczne 9/2022 dotyczące zgłaszania naruszenia ochrony danych osobowych na podstawie RODO, jak przykład naruszenia, które nie wymagałoby zgłoszenia organowi nadzorczemu, wskazuję utratę bezpiecznie zaszyfrowanego urządzenia mobilnego, z którego korzystają administrator i jego pracownicy. Zakładając, że klucz kryptograficzny jest bezpiecznie przechowywany przez administratora i nie jest to jedyna kopia danych osobowych, dane osobowe będą niedostępne dla atakującego. Oznacza to, że przedmiotowe naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw lub wolności osób, których te dane dotyczą. Jeżeli później okaże się, że klucz kryptograficzny został złamany lub oprogramowanie lub algorytm szyfrujący ma słabe punkty, poziom ryzyka naruszenia praw lub wolności osób fizycznych zmieni się i wówczas zgłoszenie może stać się konieczne.
Przydatne informacje
Komunikat Microsoft „Windows BitLocker Security Feature Bypass Vulnerability CVE-2026-45585„ [Dostęp, dnia: 25.05.2026r., godz.: 10:06]