Aktualizacje TYPO3 i RODO: Dlaczego "bieganie mimo wszystko" jest kosztowne

Uwaga: Nie jestem prawnikiem, ale integratorem TYPO3. Ten artykuł odzwierciedla moją ocenę sytuacji prawnej, ale nie zastępuje porady prawnej.

"Strona nadal działa" - słyszę to zdanie regularnie, jeśli chodzi o aktualizacje TYPO3. Klienci często nie rozumieją, dlaczego mieliby wydawać pieniądze na coś, co nie wydaje się przynosić żadnych widocznych korzyści. Niestety, zarówno klienci, jak i niektóre agencje pomijają ważny szczegół: RODO zmienia aktualizacje z "fajnego pomysłu" w prawną konieczność.

Czego naprawdę wymaga RODO

RODO nie stanowi wyraźnie, że należy zawsze używać najnowszej wersji TYPO3. Byłoby to również nierealne - nie każdy może zarządzać dużą aktualizacją co 1,5 roku. Wymaga jednak czegoś innego: "aktualnego stanu wiedzy" (art. 32).

Konkretnie oznacza to, że system musi być tak bezpieczny, jak to tylko możliwe. I tutaj robi się ciekawie dla wszystkich tych, którzy lubią odkładać aktualizacje na później.

Moment, w którym "to działa" staje się problemem

Wyobraźmy sobie taką sytuację: Uruchamiasz instalację TYPO3, dla której od dwóch lat nie było aktualizacji zabezpieczeń. W pewnym momencie dzieje się to, co musiało się stać - atak z wykorzystaniem znanej luki w zabezpieczeniach. Dane klientów przepadają, a Ty musisz zgłosić incydent w ciągu 72 godzin (art. 33) - a właściwy organ nadzorczy ds. ochrony danych podejmuje działania.

Teraz "zaoszczędziliśmy pieniądze" szybko staje się "powinniśmy byli zainwestować". Ponieważ władze nie pytają, czy aktualizacja byłaby kosztowna. Pytają, czy użytkownik dopuścił się zaniedbania. A każdy, kto obsługuje system ze znanymi lukami w zabezpieczeniach, może zostać uznany za zaniedbanie z ich punktu widzenia.

Kosztowna prawda o zapisanych aktualizacjach

Oto wymiary, z którymi musimy się liczyć:

Grzywny: Do 20 milionów euro lub 4% rocznego obrotu - w zależności od tego, która kwota jest wyższa. Brzmi jak problemy dla dużych korporacji? Małe firmy nadal mogą szybko otrzymać cztero- lub pięciocyfrowe grzywny(art. 83).

Odszkodowanie: Osoby poszkodowane mogą ubiegać się o indywidualne odszkodowanie. W przypadku poważnego wycieku danych kwota ta rośnie.

Utrata reputacji: Jeśli wyjdzie na jaw, że systemy firmy były niezabezpieczone, zaufanie zostanie utracone. Klienci się zmieniają, zamówienia są anulowane.

To nagle sprawia, że aktualizacja o wartości 3000 euro staje się okazyjna, prawda?

To, co wiele osób pomija: Chodzi o coś więcej niż TYPO3

Wymagania RODO mają wpływ nie tylko na rdzeń TYPO3. Rozszerzenia, PHP, baza danych i serwer WWW również muszą być aktualizowane. Wystarczy przestarzałe rozszerzenie z luką w zabezpieczeniach, aby spowodować problem.

Oznacza to, że potrzebna jest koncepcja konserwacji całego systemu, a nie tylko samego TYPO3.

Kiedy naprawdę trzeba dokonać aktualizacji?

Oto dobra wiadomość: nie musisz od razu instalować każdej nowej wersji. Decydującym czynnikiem jest status wsparcia:

• Czy regularne wsparcie nadal działa? Musisz zainstalować wszystkie aktualizacje zabezpieczeń, ale nie główne aktualizacje.
• Czy rozszerzone wsparcie (ELTS) nadal działa? Ta sama gra, ale płacisz za wsparcie.
• Koniec wsparcia? Teraz sytuacja staje się krytyczna. Aktualizacja jest obowiązkowa.

W przypadku TYPO3 zwykle masz kilka lat na planowanie ze względu na wersje LTS. Nawet dłużej z płatnym Extended Long Term Support (ELTS). Ale w pewnym momencie nawet najdłuższy okres wsparcia dobiega końca.

Co agencje są winne swoim klientom

Jako agencja lub freelancer ponosisz odpowiedzialność. Jeśli wiesz, że system klienta jest niezabezpieczony i nic nie mówisz, możesz być częściowo winny. Powinieneś:

1. Edukować: Informować klientów o ryzyku związanym z przestarzałymi systemami.
2. Doradzać: Zademonstrować realistyczne ścieżki aktualizacji
3. Dokumentować: Zapisuj swoje porady na piśmie

Jeśli po prostu powiesz "to działa" i będziesz milczeć, możesz później zostać pociągnięty do odpowiedzialności.

Wskazówki dla dostawców usług

Przekonuj klientów bez paniki: Nie mów o "przymusie RODO", ale o bezpieczeństwie i stabilności. Pomocne są porównania: "Czy jechałbyś autostradą ze zużytymi oponami?". Lub pokaż konkretne przykłady zhakowanych stron internetowych w Twojej branży. Zwykle działa to lepiej niż mówienie akapitami. Jeśli to nie pomoże, możesz wyciągnąć "młotek RODO" - niektórzy ludzie rozumieją to tylko w trudny sposób.

Co zrobić z upartymi odmawiającymi: Udokumentuj swoje konsultacje na piśmie. Wyślij wiadomość e-mail z jasnym wyjaśnieniem ryzyka i poproś o pisemne potwierdzenie, że klient powstrzyma się od aktualizacji pomimo ostrzeżenia. Zapewni to ochronę prawną. W krytycznych przypadkach (całkowicie przestarzałe systemy z danymi klientów) należy uczciwie sprawdzić, czy konieczne jest zakończenie wsparcia.

Moja rada: Uczyń aktualizacje standardowym procesem, a nie wyjątkiem. Od samego początku planuj budżety na konserwację. I wyjaśnij swoim klientom, że aktualizacje zabezpieczeń nie są opcją, ale obowiązkiem.

W końcu to jak z samochodem: jeśli nie pójdziesz na przegląd, ryzykujesz uszkodzenie. W przypadku stron internetowych dzieje się to wolniej, ale konsekwencje mogą być równie groźne dla życia - w grę wchodzą dane klientów, reputacja i wysokie grzywny.

RODO zmieniło utrzymanie systemów TYPO3 w obowiązek prawny. Jeśli to zignorujesz, grasz w rosyjską ruletkę - z własnym biznesem na szali.

Ochrona prawna: Przedstawione tutaj aspekty prawne opierają się na mojej interpretacji jako integratora TYPO3. W celu uzyskania wiążącej porady prawnej w zakresie zgodności z RODO i kwestii odpowiedzialności, prosimy o kontakt z prawnikami specjalizującymi się w ochronie danych i prawie IT.