Je ochrana osobných údajov aj naďalej zaujímavou témou?

28.01.2021

Andrea Garajová, Manažér kvality a interných procesov, ANASOFT


28. január je dňom ochrany osobných údajov, deň kedy si pripomíname dôležitosť ochrany toho najcennejšieho čo máme, našich dát.

Ochrana osobných údajov je aj naďalej zaujímavou témou, avšak s veľkým ALE, ktoré súvisí predovšetkým s jej samotnou implementáciou do procesov spoločností a organizácií. Rok 2020 nám ukázal, že aj po obrovskom medializovanom „boome“ príchodu GDPR Nariadenia pred pár rokmi, v ochrane dát nemôžeme poľaviť a zaoberať sa ňou iba papierovo, ale najmä po technickej stránke.

  • bezpečnostný incident súvisiaci s nedostatočným zabezpečením dát o vyše 100 tisíc pacientoch testovaných na covid v Štátnej aplikácii e-zdravie,
  • nedostatočné šifrovanie dát a únik dát Austrálskeho ministerstva vnútra o 774 tis. migrantoch a ľuďoch ašpirujúcich na migráciu do Austrálie, o ktorom samotné ministerstvo ani len nevedelo,
  • ransomware útok na spoločnosť Jack Daniels v podobe odcudzenia 1TB firemných citlivých dát o zamestnancoch, zmluvných dohodách, účtovných závierkách či internej korešpondencie,
  • únik prihlasovacích údajov zhruba 380 tis. používateľov Spotify, z ktorých bola následne útočníkmi vytvorená voľne prístupná nezašifrovaná databáza na internete,
  • udelenie pokuty francúzskym CNIL vo výške 120 mil. dolárov Amazon a vo výške 42 mil. dolárov Google za porušovanie miestnych pravidiel súvisiacich s umiestňovaním súborov cookies bez udelenia súhlasu návštevníkov na ich francúzskych doménach,
  • cielený útok na infraštruktúru spoločnosti FireEye, zaoberajúcu sa kybernetickou bezpečnosťou, pri ktorom boli odcudzené penetračné nástroje slúžiace na testovanie bezpečnosti klientov spoločnosti,
  • cielený útok na platformu spoločnosti SolarWinds, slúžiacu na bezpečnostné monitorovanie infraštruktúry organizácií, vrátane serverov, pracovných staníc, mobilných zariadení a zariadení IoT. Zaujímavosťou je, že medzi obete malvéru patria napr. americké federálne agentúry vrátane Ministerstva financií a Amerického národného telekomunikačného a informačného úradu.

ako aspoň minimálne ochrániť svoje dáta

Naďalej zostáva platné to, že každý by čo v najväčšej možnej miere mal chrániť svoje dáta a mal by si byť vedomý minimálne toho:

  • komu svoje dáta poskytuje – Poznám spoločnosť, ktorej chcem poskytnúť svoje dáta? poznám jej reputáciu? mám k dispozícií všetky potrebné informácie? sú informácie zverejnené spoločnosťou dostatočne jasné, prehľadné a zrozumiteľné? Viem, čo obsahuje privacy policy alebo všeobecné obchodné podmienky, viem k čomu sa zaväzujem?
  • v akom rozsahu ich poskytuje Viem aké typy dát a ich rozsah poskytujem? Sú skutočne všetky vyžadované dáta spoločnosťou potrebné na dosiahnutie cieľa, ktorý sledujem?
  • na akú dlhú dobu ich poskytuje – Mám istotu, že moje dáta nebudú spracúvané donekonečna?
  • aké záruky spoločnosť alebo organizácia poskytuje Viem aké bezpečnostné opatrenia má spoločnosť implementované? Akým tretím stranám sú moje osobné údaje poskytované, som o tom informovaný/á? Sú moje dáta prenášané mimo EHP?
  • aké má práva – Som si vedomý, že mám právo byť dostatočne informovaný o spracúvaní svojich osobných údajov, namietať spracúvanie, žiadať výmaz, opravu, prenos, kópiu osobných údajov či prístup k osobným údajom?

Rovnako dôležité je zamyslieť sa aj nad udeľovaním súhlasu so spracúvaním osobných údajov na rôznych webových stránkach (kde sú často podsúvané súhlasy na zasielanie napr. marketingových informácií) alebo pri inštalácii rôznych aplikácií, či už na tablet, mobil alebo PC. Mnohé aplikácie pre svoje správne fungovanie nepotrebujú prístup k telefónnemu zoznamu či obrázkom, napriek tomu to vyžadujú.

Ochrana dát a kybernetická bezpečnosť (cyber security)

Žiadna spoločnosť či organizácia nemôže už v dnešnej dobe povedať, že sa jej bezpečnosť a ochrana dát netýka (či už sa jedná o osobné alebo obchodné citlivé dáta).

Útočníci mieria na spoločnosti a organizácie rôznych veľkostí, pôsobiace v rôznych odvetviach a výnimkou už nie sú ani samotné špičky v IT odvetví.

Sme svedkami porušovania pravidiel týkajúcich sa ochrany osobných údajov gigantmi ako Google či Facebook. Tiež sme svedkom únikov osobných údajov či iných citlivých informácií a tento trend sa zvyšuje, a to aj vďaka tomu, že viaceré spoločnosti či organizácie podceňujú dôležitosť ochrany dát.

 

Podľa štatistík dostupných na CSIRT za rok 2020 patrili medzi najčastejšie typy útokov práve útoky zamerané na neoprávnené získanie informácií (phishing, social engineering), pokusy o prienik, zraniteľnosti a iné.

Podľa najnovšieho reportu na rok 2021 svetového ekonomického fóra, ktorý sa venuje globálnym rizikám,  je medzi rizikami na najbližších 10 rokov s najvyššou pravdepodobnosťou aj riziko súvisiace so zlyhaním opatrení kybernetickej bezpečnosti a medzi riziká s najvyšším dopadom v nasledujúcej dekáde je mimo infekčných chorôb zaradené aj zlyhanie IT infraštruktúry. Znamená to to, že opatrenia v oblasti kybernetickej bezpečnosti podnikov, vlády a domácností sa v najbližších rokoch stanú prekonané a/alebo zastarané vplyvom čoraz častejších a sofistikovanejších útokov.

Medzi rizikami sa na najbližších 10 rokov s najvyššou pravdepodobnosťou predikuje aj riziko súvisiace so zlyhaním opatrení kybernetickej bezpečnosti a medzi riziká s najvyšším dopadom v nasledujúcej dekáde je mimo infekčných chorôb zaradené aj zlyhanie IT infraštruktúry.

8 otázok, ktoré si treba položiť pre bezpečnosť a ochranu dát 

Už dávno nie je postačujúce mať koncové zariadenia chránené iba antivírom alebo na zabezpečenie perimetru siete použiť Firewall. Bezpečnosť a ochrana dát je komplexná téma, preto je na mieste položiť si nasledovné otázky:

1. Viete, ktoré sú vaše najkritickejších miesta ochrany citlivých dát?

2. Máte implementované účinné bezpečnostné opatrenia, ktoré nezostávajú len na papieri? (napr. ochranu dát s podporou šifrovania a pseudo-anonymizácie)

3. Máte reálny prehľad o manipulácii s citlivými informáciami? (napr. cez monitoring dôležitých bezpečnostných udalostí alebo DLP)

4. Máte ochranu vašich dôverných informácií cielene zameranú na najslabšie miesto v ich životnom cykle? (napr. ochranu dát priamo v databázach)

5. Poznáte do akej miery sú vaše informačné systémy odolné voči kybernetickým hrozbám?

6. Máte pocit, že firewall je dostatočný na ochranu vašej infraštruktúry?

7. Viete ako proaktívne pristupovať k predchádzaniu incidentov, únikom dát a ochrane osobných údajov?

8. Viete, do ktorých ochranných technológií alebo detegovacích nástrojov sa oplatí investovať?

Viac o možnostiach IT security

mohlo by vás zaujímať

Zákon o kybernetickej bezpečnosti a firmy

Notebook, smart telefón, ale aj hodinky, náramok, či domáci spotrebič. Inteligentné technológie nie sú iba súčasťou pracovného života. Dnes nahrádzajú peňaženky, či doklady. 

Digitálny profil organizácie. Na čo pri údajoch firmy dávať pozor?

Digitálna doba prináša množstvo možností, ale aj nástrah. Nielen v prostredí bežného digitálneho života jednotlivých užívateľov, ale aj digitálnej prezentácie podnikateľských subjektov.

Heslo ako prvá možnosť ochrany

Vedeli ste, že každých 39 sekúnd prebehne hackerský útok, že za jedinú minútu sa ukradne viac ako 2600 osobných záznamov, a že kyberzločinci získavajú viac peňazí ako z obchodu s drogami?

Ak potrebujete pomoc pri zvyšovaní úrovne kybernetickej bezpečnosti vo vašej firme, kontaktujte nás