RODO a ransomware
Są wątpliwości, czy zgodnie z RODO trzeba będzie zgłaszać ataki ransomware. Oto argumenty "za".
Unijne ogólne rozporządzenie o ochronie danych osobowych (RODO, ang. GDPR), które wprowadza nowe wymagania dotyczące bezpieczeństwa w organizacjach, zacznie obowiązywać w maju 2018 r. Nakłada m.in. obowiązek zgłaszania incydentów w ciągu 72 godz. do GIODO.
Chodzi o sytuacje „naruszenia ochrony danych osobowych”, co zdefiniowano jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Czy taka definicja obejmuje ransomware? Czyli ataki z pomocą szkodliwych programów, które blokują dostęp do danych, np. szyfrując je, i domagają się okupu. Kwestia jest bardzo istotna, bo to obecnie najczęściej występujące zagrożenie w polskim Internecie. Ale atak ransomware nie musi oznaczać wycieku danych.
Dyrektor regionalny F-Secure, Michał Iwan, twierdzi że organizacje prawdopodobnie będą musiały zgłaszać takie infekcje władzom i klientom.
Według F-Secure określenie „naruszenie ochrony danych”, zawarte w RODO, oznacza nie tylko utratę kontroli firmy nad poufnymi informacjami, lecz także wiele różnych incydentów, w tym infekcje ransomware.
– Wykrycie ransomware albo innego złośliwego oprogramowania na stacjach roboczych czy serwerach, które odgrywają ważną rolę w przetwarzaniu danych osobowych, może stanowić naruszenie ochrony tych danych i potencjalnie konieczne będzie informowanie o tego typu zdarzeniach – tłumaczy Michał Iwan.
Artykuły 33 i 34 RODO określają, jak należy kontaktować się z władzami i osobami, których dane dotyczą. Pojawia się jednak kolejna wątpliwość – w rozporządzeniu stwierdzono, że jest to niezbędne tylko wtedy, gdy – parafrazując – naruszenie ochrony danych może powodować ryzyko naruszenia „praw lub wolności osób fizycznych”. Sytuacja nie jest do końca jasna w przypadku zaszyfrowania lub utraty danych w związku z infekcją ransomware.
– Jeżeli atak ransomware wpłynie na zgromadzone przez firmę dane osobowe, problemem jest nie tylko sam wyciek i konieczność zgłoszenia go, ale również to, jak odzyskać dane, żeby kontynuować działalność biznesową. Prawdopodobnie konieczne będzie zgłoszenie incydentu, nawet w przypadkach gdy dane zostały zniszczone, a nie skradzione – uważa Michał Iwan.
Najważniejszą rolę w kwestiach bezpieczeństwa zawartych w RODO odegra gotowość do reagowania na sytuacje kryzysowe. Do maja przyszłego roku plany reagowania organizacji na cyberataki muszą zostać zaktualizowane i umożliwiać weryfikację, czy dany incydent wymaga zgłoszenia na mocy RODO.