Niedawne cyberataki Petya i WannaCry sprawiły, że firmy poświęciły wiele uwagi kwestiom ochrony przed oprogramowaniem wymuszającym okupy. O ransomware nie zapomniała również Unia Europejska przygotowując rozporządzenie RODO. Ogólne rozporządzenie o ochronie danych osobowych (RODO, znanego też pod angielskim skrótem jako GDPR) zacznie obowiązywać w maju 2018 r. Wiele polskich firm rozpoczyna już analizę przepisów i przygotowuje się do koniecznych wdrożeń, tak aby spełnić najnowsze wymogi.
Rozporządzenie dostarcza organizacjom wytyczne odnośnie zarządzania danymi osobowymi, które gromadzą o klientach. Wyjaśnia m.in., co firmy muszą zrobić, żeby zabezpieczyć takie dane i jak mają postępować w sytuacji, kiedy utracą nad nimi kontrolę.
Ponieważ RODO jest dokumentem prawnym, konieczne jest zrozumienie, co w tym kontekście oznacza „naruszenie ochrony danych osobowych”. Oto definicja podana w rozporządzeniu :
12) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
Zwrot „naruszenie ochrony danych” przywodzi na myśl firmę tracącą kontrolę nad poufnymi informacjami. W praktyce definicja RODO jest jednak znacznie szersza i może obejmować wiele różnych incydentów, w tym infekcje ransomware skutkujące blokadą dostępu do danych lub ich niszczeniem.
Co to oznacza dla firm?
Jak twierdzi dyrektor regionalny F-Secure, Michał Iwan, organizacje prawdopodobnie będą musiały zgłaszać takie infekcje władzom i klientom.
– Wykrycie oprogramowania ransomware (albo dowolnego innego złośliwego oprogramowania) na stacjach roboczych czy serwerach, które odgrywają ważną rolę w przetwarzaniu danych osobowych, może stanowić naruszenie ochrony tych danych i potencjalnie konieczne będzie informowanie o tego typu zdarzeniach – mówi Michał Iwan.
Artykuły 33 i 34 RODO określają, jak należy kontaktować się z władzami i osobami, których dane dotyczą. Pojawia się jednak wątpliwość – w rozporządzeniu stwierdzono, że jest to niezbędne tylko wtedy, gdy – parafrazując – naruszenie ochrony danych może powodować ryzyko naruszenia „praw lub wolności osób fizycznych”. Sytuacja nie jest do końca jasna w przypadku zaszyfrowania lub utracenia danych w związku z infekcją ransomware.
– Jeżeli atak ransomware wpłynie na zgromadzone przez firmę dane osobowe, problemem jest nie tylko sam wyciek i konieczność zgłoszenia go, ale również to, jak odzyskać dane, żeby kontynuować działalność biznesową. W przypadku braku kopii zapasowych, ponowne zgromadzenie danych potrzebnych do funkcjonowania firmy może być ogromnym, a często wręcz niewykonalnym przedsięwzięciem. Prawdopodobnie konieczne będzie zgłoszenie incydentu, nawet w przypadkach gdy dane zostały zniszczone, a nie skradzione – komentuje Michał Iwan.
Kluczową rolę w kwestiach bezpieczeństwa zawartych w RODO odegra gotowość do reagowania na sytuacje kryzysowe.
– Z praktycznego punktu widzenia, plany reagowania na cyberataki muszą zostać zaktualizowane
i obejmować weryfikację czy dany incydent wymaga zgłoszenia na mocy RODO – podsumowuje Michał Iwan.