Trzeba mieć plan na wypadek cyfrowej infekcji

opublikowano: 28-08-2017, 22:00

Kiedy firma musi poinformować władze i klientów o cyberataku na przechowywane przez nią dane? Wkrótce ureguluje to RODO.

Ogólne rozporządzenie o danych osobowych (RODO, znane także pod angielskim skrótem GDPR) zacznie obowiązywać w maju 2018 r. Ma dostarczyć organizacjom wytyczne dotyczące zarządzania gromadzonymi przez nich informacjami na temat tożsamości klientów. Wyjaśnia m.in., co muszą zrobić przedsiębiorstwa, aby zabezpieczyć takie dane, oraz jak mają postępowaćw sytuacji, kiedy utracą nad nimi kontrolę, np. w wyniku ataków hakerskich. Wiele polskich firm już teraz rozpoczyna analizę przepisów i przygotowuje się do koniecznych wdrożeń, aby spełnić najnowsze wymogi. Aby zrozumieć, co oznacza „naruszenie danych osobowych”, warto sięgnąć po definicję zamieszczoną w rozporządzeniu. Według niej jest to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych,przechowywanych lub w inny sposób przetwarzanych”. Sam zwrot przywodzi na myśl firmę, która traci kontrolę nad poufnymi informacjami. W praktyce definicja RODO jest znacznie szersza i może obejmować wiele różnych incydentów, w tym infekcje ransomware, które blokują dostęp do systemu komputerowego i wymagają zapłacenia okupu, aby zapora została usunięta. Takie oprogramowanie może również zniszczyć dane. Jak zauważa Michał Iwan, dyrektor regionalny F-Secure, to oznacza, że firmy będą zobligowane do zgłaszania tego typu incydentów władzom, a także klientom.

— Wykrycie oprogramowania ransomware albo dowolnego innego złośliwego oprogramowania na stacjach roboczych czy serwerach, które odgrywają ważną rolę w przetwarzaniu danych osobowych, może stanowić naruszenie ochrony tych danych i potencjalnie konieczne będzie informowanie o tego typu zdarzeniach — komentuje Michał Iwan. Mówią o tym 33 i 34 artykuł rozporządzenia RODO, z których przedsiębiorcy dowiadują się także, w jaki sposób będą mogli skontaktować się z władzami i osobami, których dane dotyczą. Ekspert zwraca jednak uwagę na pewną nieścisłość — w rozporządzeniu stwierdzono, że jest to niezbędne tylko wtedy, gdy naruszenie ochrony danych może powodować ryzyko naruszenia „praw lub wolności osób fizycznych”. Sytuacja nie jest do końca jasna w przypadku zaszyfrowania lub utracenia danych w związku z infekcją ransomware.

— Jeżeli atak ransomware wpłynie na zgromadzone przez firmę dane osobowe, problemem jest nie tylko sam wyciek i konieczność zgłoszenia go, ale również to, jak odzyskać dane, żeby kontynuować działalność biznesową.W przypadku braku kopii zapasowych ponowne zgromadzenie danych potrzebnych do funkcjonowania firmy może być ogromnym, a często wręcz niewykonalnym przedsięwzięciem. Prawdopodobnie konieczne będzie zgłoszenie incydentu, nawet w przypadkach, gdy dane zostały zniszczone, a nie skradzione. Z praktycznego punktu widzenia plany reagowania na cyberataki muszą zostać zaktualizowane i obejmować weryfikację, czy dany incydent wymaga zgłoszenia na mocy RODO — podsumowuje Michał Iwan.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Paulina Kostro

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Firmy / Trzeba mieć plan na wypadek cyfrowej infekcji