Dlaczego nie warto ukrywać naruszenia danych?
Przepisy RODO nie pozostawiają wątpliwości – niezgłoszenie w odpowiednim terminie wycieku danych do właściwego organu grozi surową karą. Często jednak istnieje presja, aby tego typu problemów nie zgłaszać zarządowi, co w konsekwencji przyczynia się do bagatelizowania sprawy. Dlaczego tak poważny incydent jak wyciek danych nie otrzymuje należytej uwagi? W zasadzie w każdej firmie pieczę nad danymi powinien sprawować Inspektor Ochrony Danych, na którego barkach spoczywa obowiązek poprawnego zabezpieczenia i ochrony danych osobowych oraz kontakt z odpowiednimi organami w razie zaistnienia incydentu dot. danych osobowych. Jednak jak pokazuje praktyka większość firm w przypadku wycieku danych czy ataku ransomware, preferuje oszustom zapłacić okup i nie stracić dobrego wizerunku, a wszelkie informacje tego typu są skrzętnie ukrywane przed mediami i opinią publiczną. Czym może to grozić? Przede wszystkim ponownym atakiem. W jaki sposób w takim razie reagować po ataku cyberprzestępców? Przykład można wziąć z polskiego studia gier CD Projekt, które wzorowo poprowadziło swoją komunikację po ataku ransomware HelloKitty.
Wysokie kary RODO a zgłaszanie incydentów
Dla Prezesa Urzędu Ochrony Danych Osobowych (PUODO) dobra współpraca i zgłoszenie incydentu w wyznaczonym w ustawie terminie jest okolicznością łagodzącą, stąd też nie powinniśmy się wahać i natychmiast po incydencie bezpieczeństwa zgłosić go odpowiednim organom, w tym organom ścigania. Najwyższa kara za nieprzestrzeganie RODO w Polsce wynosi niemal 3 miliony złotych, została ona nałożona na sklep z elektroniką morele.net, którego dane klientów wyciekły do sieci. Czy za ukrywanie naruszenia danych może nam grozić osobista odpowiedzialność? Z takimi przypadkami mamy już do czynienia w Wielkiej Brytanii, gdzie po jednym z incydentów bezpieczeństwa zostało ujawnionych 57 milionów danych klientów i 600 000 danych kierowców Ubera. Były Chief Security Officer (CSO) Ubera został oskarżony w związku z domniemanym ukrywaniem naruszenia danych, dlatego odradzamy taką taktykę i zachęcamy do stworzenia odpowiednich procedur w organizacji, które pomogą nam podejmować kolejne kroki w przypadku wycieku danych i ograniczyć potencjalne szkody.
Dlaczego CISO może obawiać się zgłoszenia wycieku danych swoim przełożonym?
CISO mogą nie informować o tego typu incydentach z tak prozaicznego powodu jak obawa przed utratą pracy, może także pojawić się pokusa zminimalizowania pojawiających się problemów lub znalezienia kreatywnych rozwiązań, takich jak ukrycie płatności za odzyskanie danych/okup w programie nagród, aby przekierować fundusze i ukryć incydent.
Zgłaszanie incydentów może być dodatkowo skomplikowane z powodu braku jasności co do panujących zasad i prawnych uregulowań, dlatego apelujemy o stworzenie dokumentu, który w razie incydentu pomoże pracownikom z działu IT szybko i zgodnie z prawem uporać się z każdym incydentem. Pamiętajmy, że incydenty bezpieczeństwa mogą się zdarzyć nawet pomimo stosowania dobrych narzędzi i praktyk. Dlatego kluczowe jest przesłanie, że nie każdy incydent jest katastrofą, a staranna praca może zminimalizować skutki nawet niezwykle groźnych ataków.
