Data Breach ili povreda podataka je definitivno najbolnija tema kada govorimo o zaštiti podataka, i uočavamo da se o tome premalo govori, posebice u poslovnim subjektima i na radionicama i predavanjima.
Privatnost stotina milijuna fizičkih osoba je proteklih godina kompromitirana na globalnoj razini, i gotovo svakodnevno dobivamo informacije o novim povredama podataka. Dugi niz godina velike svjetske kompanije krile su svoje sigurnosne incidente unatoč saznanjima o njihovim opsezima i posljedicama na nas obične ljude, a stupanjem na snagu osjetno strožih GDPR pravila upravljanja povredama podataka i nemjerljivo snažnijom prijetnjom rigoroznim kaznama bilježimo u EU i porast prijavljenih povreda podataka.
Defitinivno je taj porast posljedica pune primjene GDPR-a i prijetnja enormnim kaznama u slučaju izostanka prijave povrede podataka i obavještavanja nadzornih tijela i samih ugroženih pojedinaca.
Kako su se hrvatske tvrtke, institucije, udruge, obrti pripremili za ekstremne slučajeve povreda podataka?
U RH je od 25.05. do 31.12.2018. bilo prijavljeno 49 povreda podataka.
Znamo li kako moramo postupiti u najkritičnijim situacijama kada "zujanje u ušima" pojačava i prijetnja iznimnim sankcijama i nepovratnim gubitkom reputacije?
Koliko je tema povreda podataka, njihovog otkrivanja, evidentiranja, otklanjanja, ublažavanja i izvješćivanja ozbiljna tema, pokazuje i činjenica da su na tu temu izrađene i dodatne Smjernice Radne skupine iz članka 29. GDPR-a, dostupne na ovom linku:
https://azop.hr/images/dokumenti/217/wp250rev01_hr.pdf
Prvo je važno uočiti da se GDPR odnosi na povrede podataka samo u slučajevima kada su kompromitirani osobni podaci, što čini razliku između sigurnosnih incidenata i povrede osobnih podataka. Nisu svi sigurnosni incidenti nužno i povrede osobnih podataka.
A što je povreda? Kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
Evo nekoliko primjera:
----------------------------------------------
Primjer gubitka osobnih podataka može biti situacija u kojoj je uređaj koji sadržava kopiju baze podataka o klijentima voditelja obrade izgubljen ili ukraden. Još jedan primjer gubitka podataka može biti situacija u kojoj je jedina kopija baze osobnih podataka šifrirana s pomoću ucjenjivačkog softvera (ransomware) ili ju je voditelj obrade šifrirao s pomoću ključa koji više ne posjeduje.
----------------------------------------------
Primjeri gubitka dostupnosti uključuju situacije u kojima su podaci slučajno izbrisani ili ih je izbrisala neovlaštena osoba ili ako je, u primjeru sa šifriranim podacima, izgubljen ključ za dešifriranje. U slučaju da voditelj obrade ne može ponovno uspostaviti pristup podacima, primjerice, s pomoću sigurnosne kopije, tada se to smatra trajnim gubitkom dostupnosti.
Do gubitka dostupnosti može doći i u slučaju znatnog prekida u normalnom radu organizacije, primjerice, u slučaju nestanka električne energije ili napada uskraćivanjem usluga, pri čemu su osobni podaci postali nedostupni.
----------------------------------------------
U kontekstu bolnice, ako ključni zdravstveni podaci o pacijentima postanu nedostupni čak i privremeno, to bi moglo predstavljati rizik za prava i slobode pojedinaca. Primjerice, može doći do otkazivanja operacija i ugrožavanja života.
Za razliku od toga, u slučaju nedostupnosti sustava medijskog poduzeća tijekom razdoblja od nekoliko sati (npr. zbog nestanka električne energije), ako je to poduzeće potom spriječeno u slanju elektroničkih biltena svojim pretplatnicima, nije vjerojatno da bi to predstavljalo rizik za prava i slobode pojedinaca
---------------------------------------------
Zaraza ucjenjivačkim softverom (ransomware – zlonamjerni softver kojim se podaci voditelja obrade šifriraju dok se ne isplati otkupnina za njih) mogla bi dovesti do privremenog gubitka dostupnosti ako se ti podaci mogu oporaviti s pomoću sigurnosne kopije. Međutim, ipak se dogodio neovlašten upad u mrežu te bi se moglo zahtijevati obavješćivanje ako je utvrđeno da je incident povreda povjerljivosti (tj. napadač je pristupio osobnim podacima) i to predstavlja rizik za prava i slobode pojedinaca.
----------------------------------------------
U slučaju gubitka USB medija s nekriptiranim osobnim podacima često nije moguće utvrditi jesu li neovlaštene osobe dobile pristup tim podacima. Unatoč tome, iako voditelj obrade možda i ne može utvrditi je li došlo do povrede povjerljivosti, o takvom se slučaju mora provesti obavješćivanje jer postoji razuman stupanj sigurnosti da je došlo do povrede dostupnosti. U tom bi slučaju voditelj obrade „saznao” za povredu u trenutku u kojem je shvatio da je USB medij izgubljen.
----------------------------------------------
Treća strana obavijesti voditelja obrade da je slučajno primila osobne podatke jednog od njegovih klijenata i pruži dokaze o neovlaštenom otkrivanju. Budući da su voditelju obrade predstavljeni jasni dokazi o povredi povjerljivosti, nema dvojbe o tome da je voditelj obrade „saznao” za povredu.
----------------------------------------------
Voditelj obrade otkrije da je došlo do neovlaštenog upada u njegovu mrežu. Voditelj obrade provjerava svoje sustave kako bi utvrdio jesu li ugroženi podaci koji se nalaze u tim sustavima i potvrđuje da se to dogodilo. Budući da voditelj obrade sada ima jasne dokaze o povredi, ponovno nema dvojbe o tome da je voditelj obrade „saznao” za povredu.