Unijne ogólne rozporządzenie o ochronie danych osobowych (RODO, ang. GDPR), które wprowadza nowe wymagania dotyczące bezpieczeństwa w organizacjach, zacznie obowiązywać w maju 2018 r.  Nakłada m.in. obowiązek zgłaszania incydentów w ciągu 72 godz. do GIODO.

Chodzi o sytuacje „naruszenia ochrony danych osobowych”, co zdefiniowano jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Czy taka definicja obejmuje ransomware? Czyli ataki z pomocą szkodliwych programów, które blokują dostęp do danych, np. szyfrując je, i domagają się okupu. Kwestia jest bardzo istotna, bo to obecnie najczęściej występujące zagrożenie w polskim Internecie. Ale atak ransomware nie musi oznaczać wycieku danych.

Dyrektor regionalny F-Secure, Michał Iwan, twierdzi że organizacje prawdopodobnie będą musiały zgłaszać takie infekcje władzom i klientom.

Według F-Secure określenie „naruszenie ochrony danych”, zawarte w RODO, oznacza nie tylko utratę kontroli firmy nad poufnymi informacjami, lecz także wiele różnych incydentów, w tym infekcje ransomware.

– Wykrycie ransomware albo innego złośliwego oprogramowania na stacjach roboczych czy serwerach, które odgrywają ważną rolę w przetwarzaniu danych osobowych, może stanowić naruszenie ochrony tych danych i potencjalnie konieczne będzie informowanie o tego typu zdarzeniach – tłumaczy Michał Iwan.

Artykuły 33 i 34 RODO określają, jak należy kontaktować się z władzami i osobami, których dane dotyczą. Pojawia się jednak kolejna wątpliwość – w rozporządzeniu stwierdzono, że jest to niezbędne tylko wtedy, gdy – parafrazując – naruszenie ochrony danych może powodować ryzyko naruszenia „praw lub wolności osób fizycznych”. Sytuacja nie jest do końca jasna w przypadku zaszyfrowania lub utraty danych w związku z infekcją ransomware.

– Jeżeli atak ransomware wpłynie na zgromadzone przez firmę dane osobowe, problemem jest nie tylko sam wyciek i konieczność zgłoszenia go, ale również to, jak odzyskać dane, żeby kontynuować działalność biznesową. Prawdopodobnie konieczne będzie zgłoszenie incydentu, nawet w przypadkach gdy dane zostały zniszczone, a nie skradzione – uważa Michał Iwan.

Najważniejszą rolę w kwestiach bezpieczeństwa zawartych w RODO odegra gotowość do reagowania na sytuacje kryzysowe. Do maja przyszłego roku plany reagowania organizacji na cyberataki muszą zostać zaktualizowane i umożliwiać weryfikację, czy dany incydent wymaga zgłoszenia na mocy RODO.