GDPR – nastanou zlaté časy pro kyberzločince?
Stejně jako GDPR přinese více pozornosti ke kybernetické bezpečnosti, důraz na ochranu osobních informací občanů EU bez ohledu na to, kde společnost sídlí – zvýší samozřejmě i hodnotu těchto informací pro kybernetické zločiny.
Jedním ze základních pravidel (nejen) počítačových zločinců je, že si zločinci nikdy nenechají ujít příležitost maximalizovat zisky na úkor – z pohledu počítačové bezpečnosti – nezajištěných, nezkušených a nedostatečně technicky i personálně vybavených organizací.
Nástroje internetové kriminality jako jsou ransomware (např. hodně medializovaný případ WannaCry a jeho klonů), podvodné emaily nebo padělané elektronické dokumenty (např. faktury) způsobují organizacím vysoké ztráty, vede již nyní k přijímání různých bezpečnostních opatření. GDPR ale firmy donutí k více razantnější změně chování.
Co může nastat?
Organizace jako „GDPR rukojmí“
GDPR pověřuje organizace, které pracují s osobními údaji, aby zajistily, že záznamy s osobními údaji jsou vytvářeny, zpracovávány a následně udržovány či odstraňovány dle velmi přísných zásad ochrany osobních údajů. Tato legislativa uplatňuje ochranu osobních údajů na občana bez ohledu na to, jaký subjekt shromažďuje nebo zpracovává osobní informace. Požadavek na ochranu osobních údajů je navíc přenosný, tedy bez ohledu na to, v kterém státě organizace sídlí. Sankce za porušení GDPR jsou navrženy jako odrazující: 4 % z ročního obratu nebo 20 milionů EUR – podle toho, která hodnota je větší.
Vzhledem k výše uvedenému, může počítačový zločinec rychle realizovat krádež dat nyní, v době s nižší než GDPR požadovanou ochranou osobních údajů a připravit si potenciální „rukojmí“. Pokud bude zločinec úspěšný a pronikne do organizace, může shromáždit veškeré osobní údaje, které lze nalézt a počkat na vhodnou chvíli, kdy vstoupí v platnost GDPR a nabídnout organizaci obchod.
Jakmile organizace obdrží od zločince důkaz o úspěšném získání osobních údajů, bude tato organizace čelit zásadním výzvám. Pomineme-li tu nejdůležitější – jak k této situaci mohlo dojít, nabízejí se i ostatní. Organizace musí jednak informovat příslušný dohledový úřad (v ČR se jedná o ÚOOÚ), tak dotčené strany; nicméně vzhledem k nedůvěryhodné povaze počítačových zločinců, nutně neznamená, že to udělají.
Pokud se únik osobních údajů objeví v okamžiku, kdy je organizace zranitelná (hledá finanční zdroje u investorů, připravuje se na akvizici apod.), může být rychlé řešení tím, že zaplatí zločinci požadavek na výkupné a nenahlásí únik osobních údajů příslušnému dohledovému úřadu, neodolatelné.
Trh s informacemi
Po květnu 2018, kdy GDPR vstoupí v platnost, musí organizace hlásit porušení osobních údajů dotčeným stranám a úřadu pro dohled do 72 hodin poté, co si je uvědomí. GDPR nerozlišuje, jak došlo k narušení osobních údajů, což může značně zesílit počítačovou zločinnost.
Počítačový zločinec nemusí nutně do organizace vniknout zvenčí. Může se jednat i o zaměstnance, který provede zálohy citlivých dat o obchodních partnerech a klientech, firemních transakcích, informace o pacientech nemocnic nebo i celého mzdového systému, které bude chtít později zpeněžit.
Takže otázka ještě před účinností GDPR je jednoduchá: jak těžké je dnes získat osobní údaje v organizaci a počkat si na to, aby nastal 25. květen 2018?
Aby toho nebylo dost, na internetu lze při troše snahy nalézt nejen návody, ale i nástroje pro páchání kybernetických zločinů včetně zdrojových kódů nástrojů. V dubnu 2017 byla dokonce zveřejněna celá hromada kybernetických zbraní NSA (https://www.zive.cz/bleskovky/nastroje-na-ovladnuti-windows-jsou-volne-dostupne-hackeri-je-pry-ziskali-od-nsa/sc-4-a-187203/default.aspx). Tyto nástroje a návody nebývalou měrou zvyšují schopnosti a dovednosti počítačových zločinců.
Posuňte ochranu osobních údajů na novou úroveň
Výše uvedené se může jevit poněkud depresivně. Co s tím dělat?
Za prvé, je třeba řídit přístupy zaměstnanců k osobním údajům a snížit organizační riziko:
- Přezkoumejte uzavřené smlouvy, podmínky poskytovaných služeb (SLA), pracovní smlouvy a zásady používání počítačů a zrevidujte (i historická) oprávnění přístupů.
- Určete nezbytné osobní údaje, které potřebujete k činnosti organizace a řízení zaměstnanců.
- Vymažte osobní údaje, které nejsou potřeba, a snižte požadavky na sběr osobních údajů. Méně osobních údajů znamená menší riziko.
- Organizačně zajistěte, aby každá změna v pořizování, zpracování nebo ukládání osobních údajů vyžadovala potvrzení dotčeného zaměstnance.
- Dokumentujte své bezpečnostní opatření a jejich změny.
- Za druhé je potřeba dále zrevidovat fungování a dostupnost IT systémů, pokud se týkají pořizování, zpracování a ukládání osobních údajů:
- Chraňte systémy IT podle nejlepších postupů, jako jsou zveřejňované „Best Practices“, normy ISO, certifikace zaměstnanců v oblasti IT
- Vytvořte systémy pro detekci škodlivé aktivity, interní nebo externí. GDPR nerozlišuje, pokud jde o vznik porušení osobních údajů.
- Sestavte systémy pro zjišťování nutných změn v oblasti práce s osobními údaji.
- Zajistěte, aby byla zachována dostupnost a viditelnost všech osobních údajů v informačních systémech.
I v budoucnosti budou jistě provedeny mnohé úspěšné útoky na zcizení osobních údajů, budou vznikat kvanta virů a různých škodlivých aplikací, budou plánovány více či méně důmyslné podvody. Zcizené osobní údaje a snahy o vydírání budou nepochybně součástí plánování zločincům jakmile GDPR vstoupí v platnost. Je načase připravit se již v předstihu.