Zsarolóvírus, ransomware támadás, incidens bejelentése a Nemzeti Adat- és Információvédelmi Hatóság felé
Számos szervezet nincs tisztában azzal, hogy az Általános Adatvédelmi Rendelet értelmében nemcsak az adatszivárgási és betörési incidenseket köteles bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság (röviden NAIH) felé, hanem a manapság egyre több intézményt érő zsarolóvírus támadásokat is.
Incidensbejelentő űrlap letöltése
Az Általános Adatvédelmi Rendelet (GDPR) több pontja is érinti a témát, még ha nem is nevezi meg konkrétan a zsarolóvírusokat.
4. cikk 1. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
33. cikk 1. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
A 33. cikk ugyan enged egy olyan kivételt, miszerint a bejelentés elhagyható, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, viszont ez számos esetben nem határozható meg egyértelműen – főleg akkor nem, ha az incidensben érintett szervezet nem használt sem tűzfalat, sem központi naplózó rendszert, ami bizonyítaná vagy cáfolná a feltételezéseket.
Mivel a zsarolóvírus-támadásban érintett szervezetek jelentős része nem tudja pontosan, milyen információkat is kellene közölnie az illetékes felügyeleti hatóság felé, a hatóság által közzétett incidensbejelentő űrlap alapján létrehoztunk egy rövidített, kifejezetten a zsarolóvírusokra fókuszáló űrlapot, amiben különböző tippeket adunk a feltüntetendő adatokra vonatkozóan.
Amire még különösen figyelni kell:
32. cikk (1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
(b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét – (antivírus, tűzfal)
(d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást. – (sérülékenységvizsgálat)
A hatóság az alábbi kérdéseket szokta feltenni a bejelentőknek:
- Tájékoztassa a Hatóságot arról, hogy az incidens milyen személyes adatokat érint.
- Mi indokolta az incidens késedelmes – a tudomásszerzést követő 72 órán túli – bejelentését?
- Az incidens bejelentése óta tudomásukra jutott-e, milyen módszerrel hatolt be a támadó az informatikai hálózatba? Milyen információk derültek ki a szerver-, illetve a tűzfal log-okból a támadással kapcsolatban?
- Milyen funkciót töltött be az incidensben érintett munkaállomás?
- Milyen sűrűn eszközölnek frissítéseket a munkaállomásokon az IBSZ szerint?
- Milyen logikai és fizikai infrastrukturális elemekből állt a kompromittálódott rendszer?
- Milyen típusú határvédelmi és végpont védelmi megoldásokat használnak?
- Volt-e back-up mentésük, ha igen milyen jellegű, visszaállítható-e az adatokhoz való hozzáférés?
- Az adatvédelmi incidens kockázataival kapcsolatban milyen megállapításokat tett?
- Nyilatkozzon arról, hogy milyen intézkedéseket tett az adatvédelmi incidens következményeinek orvoslására.
- Milyen intézkedéseket terveznek annak érdekében, hogy a későbbiekben ilyen típusú támadás ne következhessen be?
- A tárgybeli incidenssel kapcsolatban küldje meg az általános adatvédelmi rendelet 33. cikk (5) bekezdése szerinti adatvédelmi incidens nyilvántartás másolatát.