- Analiza wielu incydentów pokazuje, że od ataku do wyprowadzenia danych z organizacji mijają minuty, godziny lub dni – zauważa w komentarzu Marcin Lisiecki – menedżer w Dziale Cyberbezpieczeństwa firmy Deloitte.
Niestety pomimo rozległej wiedzy o atakach, ogromnej liczbie dostępnych rozwiązań na ryku pomagających się uchronić przed atakiem nadal mamy problem ze znalezieniem odpowiednich – czyli skutecznych polityk bezpieczeństwa. Także, jeśli chodzi właśnie o kwestie zgłaszania ataków.
– Ogólne rozporządzenie o ochronie danych osobowych (RODO, znanego też pod angielskim skrótem jako GDPR) zacznie obowiązywać w maju 2018 r. Wiele polskich firm rozpoczyna już analizę przepisów i przygotowuje się do koniecznych wdrożeń, tak aby spełnić najnowsze wymogi.
W kontekście RODO, „naruszenie ochrony danych osobowych” oznacza:
Jak twierdzi dyrektor regionalny F-Secure, Michał Iwan, organizacje prawdopodobnie będą musiały zgłaszać takie infekcje władzom i klientom.
– Wykrycie oprogramowania ransomware (albo dowolnego innego złośliwego oprogramowania) na stacjach roboczych czy serwerach, które odgrywają ważną rolę w przetwarzaniu danych osobowych, może stanowić naruszenie ochrony tych danych i potencjalnie konieczne będzie informowanie o tego typu zdarzeniach – mówi Michał Iwan.
Artykuły 33 i 34 RODO określają, jak należy kontaktować się z władzami i osobami, których dane dotyczą. Pojawia się jednak wątpliwość – w rozporządzeniu stwierdzono, że jest to niezbędne tylko wtedy, gdy – parafrazując – naruszenie ochrony danych może powodować ryzyko naruszenia „praw lub wolności osób fizycznych”. Sytuacja nie jest do końca jasna w przypadku zaszyfrowania lub utracenia danych w związku z infekcją ransomware.