Aj keď ste si mysleli, že vaše firemné systémy sú dôkladne zabezpečené, hackeri sa dostali k zákazníckej databáze a ukradli osobné a finančné údaje. Práve ste prišli na to, že vám unikli dáta, a čas beží. Aké kroky by ste mali podniknúť?
Ochrana občanov Európskej únie patrí pod jurisdikciu GDPR. Ak vaša firma spracúva dáta občanov EÚ, musí spĺňať požiadavky GDPR. Preto je v prípade úniku údajov potrebné prijať stanovené kroky na ochranu údajov zasiahnutých osôb.
V takých situáciách nečelíte len úradom a pokutám, v stávke je aj vaša povesť. A keďže útočníci často zverejňujú ukradnuté databázy na tzv. dark webe, strčiť hlavu do piesku veľmi nepomáha. Ako sa teda vysporiadať s únikmi zákazníckych údajov?
1. Informujte zodpovednú osobu a štátny dozorný orgán
V prípade úniku údajov ste povinný informovať úrad na ochranu osobných údajov, nezávislý verejný orgán, ktorý bol založený v každom členskom štáte EÚ s cieľom presadzovať zákony o súkromí a osobných údajoch. Tento krok musíte podniknúť hneď, ako sa dozviete o úniku, a nahlásiť ho do 72 hodín.
Ak činnosť vašej firmy zahŕňa spracúvanie citlivých údajov vo väčšom meradle, prípadne pravidelné a systematické monitorovanie osobných informácií, účtov, transakcií a podobne, váš bezpečnostný tím by mal najskôr upovedomiť zodpovednú osobu. Zodpovedná osoba by potom mala informovať úrad na ochranu osobných údajov – s výnimkou prípadu, ak by únik údajov nepredstavoval riziko pre práva a slobody zasiahnutých osôb.
Čo sa stane, ak únik údajov nenahlásite?
Ak sa s ohlásením úniku zodpovednému orgánu oneskoríte, musíte takéto konanie riadne zdôvodniť. Ak neinformujete úrad na ochranu osobných údajov alebo inú zodpovednú osobu včas a riadnym spôsobom, môže to vyústiť do majetkových aj nemajetkových škôd, ako napríklad vysokej pokuty či zhoršenia dobrej povesti.
Zdroj: Atlantic Compliance, správa IT
2. Vyriešte možné nedostatky v zabezpečení svojej siete
Po odhalení úniku údajov môžete podniknúť viaceré kroky, napríklad:
- Zmeňte alebo aktualizujte prihlasovacie údaje na firemných zariadeniach a zaveďte dvojúrovňové overovanie. Ak ešte stále nepoužívate dvojúrovňové overovanie, pridajte tento silný nástroj ako súčasť svojich bezpečnostných opatrení.
- Skontrolujte všetky sieťové segmenty, či nejavia známky úniku údajov. Je možné, že útočník sa pripojil na viaceré segmenty. Ak chcete zabrániť šíreniu útoku, môžete presmerovať sieťovú komunikáciu, filtrovať ju alebo blokovať, prípadne izolovať časť alebo celú napadnutú sieť.
- Je dobré spolupracovať s odborníkmi na kybernetickú ochranu a forenznú analýzu s cieľom zistiť, ako k úniku došlo, a prijať kroky na vyriešenie aktuálneho úniku a odstránenie príležitostí k ďalším.
3. Zistite, aký druh zákazníckych údajov bol ohrozený
Na posúdenie rozsahu a závažnosti úniku údajov potrebujete vysokokvalitný proces krízového riadenia s účinnými nástrojmi na detekciu a reportovanie únikov. Ak ste sa už stali obeťou úniku údajov, najskôr zistite, aký druh údajov je ohrozený. Môže trvať aj niekoľko dní, kým určíte rozsah útoku, ale musíte začať okamžite. Zistite, či unikli e‑mailové adresy, telefónne čísla, zdravotné záznamy, údaje platobných kariet alebo osobné identifikátory, ako sú rodné čísla. Urobte odhad počtu zákazníkov, ktorých osobné údaje boli ohrozené.
4. Kontaktujte zákazníkov, ktorých údaje sú ohrozené
Organizácie by sa mali dôkladne pripraviť na to, že v prípade jednotlivých únikov údajov budú musieť niekedy kontaktovať aj stovky tisícok ľudí, čo môže firmu paralyzovať. Je nevyhnutné informovať jednotlivcov (výnimky sú uvedené v obrázku nižšie) a do procesu zapojiť aj oddelenie na komunikáciu s verejnosťou. Hneď ako sa dozviete, čo sa s údajmi stalo, oslovte priamo poškodených, ospravedlňte sa im a zodpovedajte im tieto otázky: Čo presne sa stalo? Akých údajov sa to týka? Čo robí zasiahnutá firma? Čo robiť, ak sa to týka aj vás?
Kedy nie je potrebná komunikácia s dotknutou osobou – zasiahnutým používateľom?
- Keď prevádzkovateľ údajov (zasiahnutá firma) prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje zasiahnuté únikom údajov, pričom ide najmä o také opatrenia, ktoré znemožňujú čítanie osobných údajov každému, kto k nim nemá oprávnený prístup, teda napríklad šifrovanie.
- Keď prevádzkovateľ údajov prijal následné opatrenia zabezpečujúce, že sa neutralizovalo riziko ohrozenia práv a slobôd dotknutých osôb.
- Ak by to vyžadovalo neprimerané úsilie. V takom prípade by malo dôjsť ku komunikácii s verejnosťou alebo obdobnej forme, kde by sa dotknuté osoby informovali rovnako účinným spôsobom.
Článok 34 nariadenia GDPR
5. Skontrolujte súčasné bezpečnostné opatrenia
Po tom, ako vyriešite celý únik údajov, dôrazne odporúčame preskúmať rôzne spôsoby posilnenia bezpečnostných opatrení vo vašej spoločnosti. Aktualizujte svoju stratégiu kybernetickej ochrany, zaveďte kvalitné bezpečnostné riešenia na šifrovanie dát, monitorovanie siete a zabezpečenie hesiel a investujte peniaze do školenia zamestnancov v oblasti kybernetickej ochrany.
