Wyciek danych – dlaczego jego ukrywanie jest ryzykowne dla organizacji?

Dlaczego nie warto ukrywać naruszenia danych?

Przepisy RODO nie pozostawiają wątpliwości – niezgłoszenie w odpowiednim terminie wycieku danych do właściwego organu grozi surową karą. Często jednak istnieje presja, aby tego typu problemów nie zgłaszać zarządowi, co w konsekwencji przyczynia się do bagatelizowania sprawy. Dlaczego tak poważny incydent jak wyciek danych nie otrzymuje należytej uwagi? W zasadzie w każdej firmie pieczę nad danymi powinien sprawować Inspektor Ochrony Danych, na którego barkach spoczywa obowiązek poprawnego zabezpieczenia i ochrony danych osobowych oraz kontakt z odpowiednimi organami w razie zaistnienia incydentu dot. danych osobowych. Jednak jak pokazuje praktyka większość firm w przypadku wycieku danych czy ataku ransomware, preferuje oszustom zapłacić okup i nie stracić dobrego wizerunku, a wszelkie informacje tego typu są skrzętnie ukrywane przed mediami i opinią publiczną. Czym może to grozić? Przede wszystkim ponownym atakiem. W jaki sposób w takim razie reagować po ataku cyberprzestępców? Przykład można wziąć z polskiego studia gier CD Projekt, które wzorowo poprowadziło swoją komunikację po ataku ransomware HelloKitty. 

Wysokie kary RODO a zgłaszanie incydentów

Dla Prezesa Urzędu Ochrony Danych Osobowych (PUODO) dobra współpraca i zgłoszenie incydentu w wyznaczonym w ustawie terminie jest okolicznością łagodzącą, stąd też nie powinniśmy się wahać i natychmiast po incydencie bezpieczeństwa zgłosić go odpowiednim organom, w tym organom ścigania. Najwyższa kara za nieprzestrzeganie RODO w Polsce wynosi niemal 3 miliony złotych, została ona nałożona na sklep z elektroniką morele.net, którego dane klientów wyciekły do sieci. Czy za ukrywanie naruszenia danych może nam grozić osobista odpowiedzialność? Z takimi przypadkami mamy już do czynienia w Wielkiej Brytanii, gdzie po jednym z incydentów bezpieczeństwa zostało ujawnionych 57 milionów danych klientów i 600 000 danych kierowców Ubera. Były Chief Security Officer (CSO) Ubera został oskarżony w związku z domniemanym ukrywaniem naruszenia danych, dlatego odradzamy taką taktykę i zachęcamy do stworzenia odpowiednich procedur w organizacji, które pomogą nam podejmować kolejne kroki w przypadku wycieku danych i ograniczyć potencjalne szkody

RODO ukrywanie wycieku danych

Dlaczego CISO może obawiać się zgłoszenia wycieku danych swoim przełożonym?

CISO mogą nie informować o tego typu incydentach z tak prozaicznego powodu jak obawa przed utratą pracy, może także pojawić się pokusa zminimalizowania pojawiających się problemów lub znalezienia kreatywnych rozwiązań, takich jak ukrycie płatności za odzyskanie danych/okup w programie nagród, aby przekierować fundusze i ukryć incydent.

Zgłaszanie incydentów może być dodatkowo skomplikowane z powodu braku jasności co do panujących zasad i prawnych uregulowań, dlatego apelujemy o stworzenie dokumentu, który w razie incydentu pomoże pracownikom z działu IT szybko i zgodnie z prawem uporać się z każdym incydentem. Pamiętajmy, że incydenty bezpieczeństwa mogą się zdarzyć nawet pomimo stosowania dobrych narzędzi i praktyk. Dlatego kluczowe jest przesłanie, że nie każdy incydent jest katastrofą, a staranna praca może zminimalizować skutki nawet niezwykle groźnych ataków.

Zapisz się na
newsletter

Zaufali nam:

Sprawdź jak ocenili nas klienci

5/5
Bezpieczeństwo sieci

Gałczyńskiego 18
40-587 Katowice
NIP: 651-15-41-295
Tel: 32 225 99 66

email: kontakt@vida.pl

Rozwiązania IT

Gałczyńskiego 18
40-587 Katowice
NIP: 651-15-41-295
Tel: 32 225 99 66
email: kontakt@vida.pl
F-Secure
Dołącz do newslettera i otrzymaj roczną ochronę antywirusową F-Secure Internet Security. Klucz uprawnia do korzystania z rocznej, pełnej wersji oprogramowania, którą możesz zainstalować na 3 urządzeniach z systemem Windows. Wystarczy, że: