Nedávná celosvětová infekce vyděračského počítačového viru WannaCry zasáhla také řadu evropských firem nebo nemocnic. Virus zašifroval disky, na nichž měly tisíce organizací uloženy osobní data svých pacientů, zaměstnanců či klientů. Jediným řešením, jak o údaje nepřijít, pak bylo hackerům zaplatit výkupné, aby disky odblokovali. Upravená verze WannaCry pak včera ochromila i Ukrajinu a Rusko.
Riziku podobných případů by ovšem měly firmy předcházet, jinak jim podle nového nařízení na ochranu osobních údajů (GDPR) hrozí až stamilionové pokuty. "V případě ztráty dostupnosti dat, která vyděračský virus zablokuje, stojí před firmou riziko sankce. Podle GDPR musí každá organizace podniknout taková bezpečnostní opatření, aby podobnému incidentu předešla," uvádí bezpečnostní odborník IBM Daniel Joksch.
Ten připomíná, že všechny firmy nebo úřady, které únik svých osobních dat odhalí, musí v Česku tuto skutečnost do 72 hodin nahlásit Úřadu pro ochranu osobních údajů (ÚOOÚ). "U ohlašovací povinnosti je ale problém s detekcí úniku dat. Narušení systému může probíhat i týdny či měsíce, než se na něj přijde," říká Joksch.
Některé firmy se mohou pokusit únik dat utajit, aby se vyhnuly pokutě a poškození své reputace, jemuž by po zveřejnění případu čelily. "Čím déle by ale firma únik dat tajila, tím vyšší pokutu by pak od nás dostala," varuje šéfka ÚOOÚ Ivana Janů.
V případě zablokování disků virem navíc není podobné utajování možné. Už proto, že lidé, jejichž osobní údaje firma či nemocnice spravuje, k nim musí mít podle GDPR neomezený přístup. Při prvním požadavku na nahlédnutí do databáze údajů by se tak bezpečnostní prohřešek prozradil.
Proto se firmám vyplatí do své počítačové ochrany investovat. Proti vyděračským virům existuje antivirová ochrana, ta ale není stoprocentní. Odborníci proto doporučují údaje zálohovat třeba na internetových serverech − cloudech, které jsou obecně považovány za bezpečné. V takových případech správce osobních údajů svěřuje citlivá data cloudovému poskytovateli, na něhož by měla přejít také odpovědnost za jejich ochranu. "Proto doporučujeme využívat cloudová úložiště, která se nacházejí na území EU a jsou plně pod jurisdikcí evropského práva," uvádí ve svém stanovisku ÚOOÚ.
Úřad připomíná, že zabezpečení údajů šifrováním nebo jejich anonymizací je podle GDPR pouze doporučené. Každá firma by měla k ochraně dat přistupovat podle svých finančních možností. "Když si ale necháte zpracovat osobní údaje třeba externí účetní, které podklady pošlete e-mailem v příloze, doporučuji takové soubory šifrovat," uvádí Jindřich Kalíšek z advokátní kanceláře PRK Partners. "U zpracovatelů údajů byste měli mít alespoň písemné potvrzení, že jsou jejich systémy proti únikům dat adekvátně zabezpečeny," míní Kalíšek.