in , ,

Ransomware według RODO

Niedawne cyberataki Petya i WannaCry sprawiły, że firmy poświęciły wiele uwagi kwestiom ochrony przed oprogramowaniem wymuszającym okupy. O ransomware nie zapomniała również Unia Europejska przygotowując rozporządzenie RODO.

Ogólne rozporządzenie o ochronie danych osobowych (RODO, znanego też pod angielskim skrótem jako GDPR) zacznie obowiązywać w maju 2018 r. Wiele polskich firm rozpoczyna już analizę przepisów i przygotowuje się do koniecznych wdrożeń, tak aby spełnić najnowsze wymogi.
Rozporządzenie dostarcza organizacjom wytyczne odnośnie zarządzania danymi osobowymi, które gromadzą o klientach. Wyjaśnia m.in., co firmy muszą zrobić, żeby zabezpieczyć takie dane i jak mają postępować w sytuacji, kiedy utracą nad nimi kontrolę.
Ponieważ RODO jest dokumentem prawnym, konieczne jest zrozumienie, co w tym kontekście oznacza „naruszenie ochrony danych osobowych”. Oto definicja podana w rozporządzeniu:

12) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

Zwrot „naruszenie ochrony danych” przywodzi na myśl firmę tracącą kontrolę nad poufnymi informacjami. W praktyce definicja RODO jest jednak znacznie szersza i może obejmować wiele różnych incydentów, w tym infekcje ransomware skutkujące blokadą dostępu do danych lub ich niszczeniem.

Co to oznacza dla firm?

Jak twierdzi dyrektor regionalny F-Secure, Michał Iwan, organizacje prawdopodobnie będą musiały zgłaszać takie infekcje władzom i klientom. “Wykrycie oprogramowania ransomware (albo dowolnego innego złośliwego oprogramowania) na stacjach roboczych czy serwerach, które odgrywają ważną rolę w przetwarzaniu danych osobowych, może stanowić naruszenie ochrony tych danych i potencjalnie konieczne będzie informowanie o tego typu zdarzeniach” mówi Michał Iwan.

Artykuły 33 i 34 RODO określają, jak należy kontaktować się z władzami i osobami, których dane dotyczą. Pojawia się jednak wątpliwość – w rozporządzeniu stwierdzono, że jest to niezbędne tylko wtedy, gdy – parafrazując – naruszenie ochrony danych może powodować ryzyko naruszenia „praw lub wolności osób fizycznych”. Sytuacja nie jest do końca jasna w przypadku zaszyfrowania lub utracenia danych w związku z infekcją ransomware.

Jeżeli atak ransomware wpłynie na zgromadzone przez firmę dane osobowe, problemem jest nie tylko sam wyciek i konieczność zgłoszenia go, ale również to, jak odzyskać dane, żeby kontynuować działalność biznesową. W przypadku braku kopii zapasowych, ponowne zgromadzenie danych potrzebnych do funkcjonowania firmy może być ogromnym, a często wręcz niewykonalnym przedsięwzięciem. Prawdopodobnie konieczne będzie zgłoszenie incydentu, nawet w przypadkach gdy dane zostały zniszczone, a nie skradzione komentuje Michał Iwan.

Kluczową rolę w kwestiach bezpieczeństwa zawartych w RODO odegra gotowość do reagowania na sytuacje kryzysowe.

Z praktycznego punktu widzenia, plany reagowania na cyberataki muszą zostać zaktualizowane i obejmować weryfikację czy dany incydent wymaga zgłoszenia na mocy RODO podsumowuje Michał Iwan.

it professional recruiter

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Chcesz wiedzieć więcej?
Zapisz się na nasz newsletter!
SUBSKRYBUJ
biznes

Cisco planuje przejąć Springpath

Czym różni się rezonans magnetyczny od tomografu komputerowego?