Je ochrana osobních údajů i nadále zajímavým tématem?

19.02.2021

Andrea Garajová, Manažer kvality a interních procesů, ANASOFT

28. leden je dnem ochrany osobních údajů, den kdy si připomínáme důležitost ochrany toho nejcennějšího, co máme, našich dat.

Ochrana osobních údajů je i nadále zajímavým tématem, avšak s velkým ALE, které souvisí především s její samotnou implementací do procesů společností a organizací. Rok 2020 nám ukázal, že i po obrovském medializovaném „boomu“ příchodu GDPR Nařízení před pár roky, v ochraně dat nemůžeme polevit a zaobírat se tím pouze papírově, ale především po technické stránce.

  • bezpečnostní incident související s nedostatečným zabezpečením dat o více jak 100 tisíc pacientech testovaných na covid ve Státní aplikaci e-zdraví,
  • nedostatečné šifrování dat a únik dat Australského ministerstva vnitra o 774 tis. migrantech a lidech aspirujících na migraci do Austrálie, o kterém samotné ministerstvo nevědělo,
  • ransomware útok na společnost Jack Daniels v podobě odcizených 1TB firemních citlivých dat o zaměstnancích, smluvních dohodách, účtovních závěrkách či interní korespondence,
  • únik přihlašovacích údajů zhruba 380 tis. uživatelů Spotify, ze kterých byla následně útočníky vytvořena volně přístupná nezašifrovaná databáze na internetu
  • udělení pokuty francouzským CNILve výši 120 mil. dolarů Amazon a ve výši 42 mil. dolarů Google za porušování místních pravidel souvisejících s umisťováním souborů cookies bez udělení souhlasu návštěvníků na jejich francouzských doménách
  • cílený útok na infrastrukturu společnosti FireEye, zaobírající se kybernetickou bezpečností, při kterém byli odcizeny penetrační nástroje sloužící na testování bezpečnosti klientovi společnosti.
  • cílený útok na platformu společnosti SolarWinds, sloužící na bezpečnostní monitorování infrastruktury organizací, včetně serverů, pracovních stanic, mobilních zařízení a zařízení IoT. Zajímavostí je, že mezi oběti malware patří např. americké federální agentury včetně Ministerstva financí a Amerického národního telekomunikačního a informačního úřadu.

JAK AleSPOŇ MINIMÁLNĚ OCHRÁNIT SVOJE DATA

Nadále zůstává platné to, že každý by co v největší možné míře měl chránit svoje data a měl by si být vědomý minimálně toho:

  • komu svoje data poskytuje– poznám společnost, které chci poskytnout svoje data? poznám její reputaci? mám k dispozici všechny potřebné informace? Jsou informace zveřejněny společností dostatečně jasné, přehledné a srozumitelné? Vím, co obsahuje privacy policy nebo všeobecné obchodní podmínky, vím k čemu se zavazuji?
  • v jakém rozsahu je poskytuje– vím jaké typy dat a jejich rozsah poskytuji? Jsou skutečné všechny vyžadované data společností potřebné na dosáhnutí cíle, který sleduji?
  • na jak dlouhou dobu je poskytuje – mám jistotu, že moje data nebudou zpracované donekonečna?
  • jaké záruky společnost nebo organizace poskytuje– vím jaké bezpečnostní opatření má společnost implementované? Jakým třetím stranám jsou moje osobní údaje poskytovány, jsem o tom informovaný/á? Jsou moje data přenášena mimo EHP?
  • jaké má práva – jsem si vědomý, že mám právo být dostatečně informovaný o zpracování svých osobních údajů, namítat zpracování, žádat výmaz, opravu, přenos, kopii osobních údajů či přístup k osobním údajům?

Stejně důležité je zamyslet se i nad udělováním souhlasu se zpracováním osobních údajů na různých webových stránkách (kde jsou často podsouvané souhlasy na zasílání např. marketingových informací) nebo při instalaci různých aplikací ať už na tablet, mobil nebo PC. Mnohé aplikace pro svoje správné fungování nepotřebují přístup k telefonnímu seznamu či obrázkům, navzdory tomu to vyžadují.

OCHRANA DAT A KYBERNETICKÁ BEZPEČNOST (CYBER SECURITY)

Žádná společnost či organizace nemůže už v dnešní době říct, že se jí bezpečnost a ochrana dat netýká (ať už se jedná o osobní nebo obchodní citlivá data).

Útočníci míří na společnosti a organizace různých velikostí, působících v různých odvětvích a výjimkou už nejsou ani samotné špičky v IT odvětví.

Jsme svědky porušování pravidel týkajících se ochrany osobních údajů giganty jako Google či Facebook. Taktéž jsme svědky úniků osobních údajů či jiných citlivých informací a tento trend se zvyšuje, a to i díky tomu, že několik společností či organizací podceňují důležitost ochrany dat.

Podle statistik dostupných na CSIRT za rok 2020 patřili mezi nejčastější typy útoků právě útoky zaměřené na neoprávněné získání informací (phishing, social engineering), pokusy o průnik, zranitelnosti a jiné.

Podle nejnovějšího reportu na rok 2021 světového ekonomického fóra, který se věnuje globálním rizikům,  je mezi riziky na nejbližších 10 let s nejvyšší pravděpodobností i riziko související se selháním opatření kybernetické bezpečnosti a mezi rizika s nejvyšším dopadem v následující dekádě je mimo infekčních chorob zařazené i selhání IT infrastruktury. Znamená to, že opatření v oblasti kybernetické bezpečnosti podniků, vlády a domácností se v nejbližších letech stanou překonané nebo zastaralé vlivem stále častějších a sofistikovanějších útoků.

Mezi riziky na nejbližších 10 let se s nejvyšší pravděpodobností predikuje i riziko související se selháním opatření kybernetické bezpečnosti a mezi rizika s nejvyšším dopadem v následující dekádě je mimo infekčních chorob zařazeno i selhání IT infrastruktury.

 

8 OTÁZeK, KTeRÉ je TřEBA si POLOŽIt PRo BEZPEČNOSt A OCHRANU DAT 

Už dávno není postačující mít koncové zařízení chráněné jen antivirem nebo na zabezpečení perimetru sítě použít Firewall. Bezpečnost a ochrana dat je komplexní téma, proto je na místě položit si následující otázky:

1. Víte, které jsou Vaše nejkritičtější místa ochrany citlivých dat?

2. Máte implementované účinné bezpečnostní opatření, které nezůstávají jen na papíru? (např. ochranu dat s podporou šifrování a pseudo-anonymizace)

3. Máte reálný přehled o manipulaci s citlivými informacemi? (např. přes monitoring důležitých bezpečnostních událostínebo DLP)

4. Máte ochranu Vašich důvěrných informací cíleně zaměřenou na nejslabší místo v jejich životním cyklu? (např. ochranu dat přímo v databázích)

5. Poznáte, do jaké míry jsou Vaše informační systémy odolné vůči kybernetickým hrozbám?

6. Máte pocit, že firewall je dostatečný na ochranu Vaší infrastruktury?

7. Víte jak proaktivně přistupovat k předcházení incidentů, únikem dat a ochraně osobních údajů?

8. Víte, do kterých ochranných technologií nebo detekovacích nástrojů se oplatí investovat?

Více o možnostích IT security

MOHLO BY VÁS ZAJÍMAt

Digitální profil organizace. Na co při údajích firmy dávat pozor?

Digitální doba přináší množství možností, ale i nástrah. Nejen v prostředí běžného digitálního života jednotlivých uživatelů, ale i digitální prezentace podnikatelských subjektů. 

Ochrana dat v době koronavirové. 7 rad jak sdílet práci bezpečně

V čase pokračujícího se šíření koronavirové pandemie ve světě prochází ekonomika výraznými změnami. Firmy, které neomezili svou činnost, přenášejí pracovní úlohy na členy týmů v home office režimu. 

Život v datech. Jak na ochranu údajů v počítači?

Počítač je dnes běžným průvodcem člověka po celý den. Velmi často je pracovním nástrojem, mostem mezi přáteli, zprostředkovatelem významných sdělení, pomocníkem při domácích pracích, či partnerem pro volný čas. I proto o nás ví hodně.

Pokud potřebujete pomoc při zvyšovaní kybernetické bezpečnosti, kontaktujte nás.