F-Secure: Co RODO mówi o ransomware?
F-Secure

F-Secure: Co RODO mówi o ransomware?

28.08.2017
Niedawne cyberataki Petya i WannaCry sprawiły, że firmy poświęciły wiele uwagi kwestiom ochrony przed oprogramowaniem wymuszającym okupy. O ransomware nie zapomniała również Unia Europejska przygotowując rozporządzenie RODO.

Ogólne rozporządzenie o ochronie danych osobowych (RODO, znanego też pod angielskim skrótem jako GDPR) zacznie obowiązywać w maju 2018 r. Wiele polskich firm rozpoczyna już analizę przepisów i przygotowuje się do koniecznych wdrożeń, tak aby spełnić najnowsze wymogi.

Rozporządzenie dostarcza organizacjom wytyczne odnośnie zarządzania danymi osobowymi, które gromadzą o klientach. Wyjaśnia m.in., co firmy muszą zrobić, żeby zabezpieczyć takie dane i jak mają postępować w sytuacji, kiedy utracą nad nimi kontrolę.

Ponieważ RODO jest dokumentem prawnym, konieczne jest zrozumienie, co w tym kontekście oznacza „naruszenie ochrony danych osobowych”. Oto definicja podana w rozporządzeniu[1]:

12) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

Zwrot „naruszenie ochrony danych” przywodzi na myśl firmę tracącą kontrolę nad poufnymi informacjami. W praktyce definicja RODO jest jednak znacznie szersza i może obejmować wiele różnych incydentów, w tym infekcje ransomware skutkujące blokadą dostępu do danych lub ich niszczeniem.

Co to oznacza dla firm?

Jak twierdzi dyrektor regionalny F-Secure, Michał Iwan, organizacje prawdopodobnie będą musiały zgłaszać takie infekcje władzom i klientom.

Wykrycie oprogramowania ransomware (albo dowolnego innego złośliwego oprogramowania) na stacjach roboczych czy serwerach, które odgrywają ważną rolę w przetwarzaniu danych osobowych, może stanowić naruszenie ochrony tych danych i potencjalnie konieczne będzie informowanie o tego typu zdarzeniach – mówi Michał Iwan.

Artykuły 33 i 34 RODO określają, jak należy kontaktować się z władzami i osobami, których dane dotyczą. Pojawia się jednak wątpliwość – w rozporządzeniu stwierdzono, że jest to niezbędne tylko wtedy, gdy – parafrazując – naruszenie ochrony danych może powodować ryzyko naruszenia „praw lub wolności osób fizycznych”. Sytuacja nie jest do końca jasna w przypadku zaszyfrowania lub utracenia danych w związku z infekcją ransomware.

– Jeżeli atak ransomware wpłynie na zgromadzone przez firmę dane osobowe, problemem jest nie tylko sam wyciek i konieczność zgłoszenia go, ale również to, jak odzyskać dane, żeby kontynuować działalność biznesową. W przypadku braku kopii zapasowych, ponowne zgromadzenie danych potrzebnych do funkcjonowania firmy może być ogromnym, a często wręcz niewykonalnym przedsięwzięciem. Prawdopodobnie konieczne będzie zgłoszenie incydentu, nawet w przypadkach gdy dane zostały zniszczone, a nie skradzione – komentuje Michał Iwan.

Kluczową rolę w kwestiach bezpieczeństwa zawartych w RODO odegra gotowość do reagowania na sytuacje kryzysowe.

– Z praktycznego punktu widzenia, plany reagowania na cyberataki muszą zostać zaktualizowane
i obejmować weryfikację czy dany incydent wymaga zgłoszenia na mocy RODO
– podsumowuje Michał Iwan.

Źródła:
http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PL