Zsarolóvírus, ransomware támadás, incidens bejelentése a NAIH felügyeleti hatóság felé

Számos szervezet nincs tisztában azzal, hogy az Általános Adatvédelmi Rendelet értelmében nemcsak az adatszivárgási és betörési incidenseket köteles bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság (röviden NAIH) felé, hanem a manapság egyre több intézményt érő zsarolóvírus támadásokat is.

Incidensbejelentő űrlap letöltése

Az Általános Adatvédelmi Rendelet (GDPR) több pontja is érinti a témát, még ha nem is nevezi meg konkrétan a zsarolóvírusokat.


4. cikk 1. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

33. cikk 1. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.


A 33. cikk ugyan enged egy olyan kivételt, miszerint a bejelentés elhagyható, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, viszont ez számos esetben nem határozható meg egyértelműen – főleg akkor nem, ha az incidensben érintett szervezet nem használt sem tűzfalat, sem központi naplózó rendszert, ami bizonyítaná vagy cáfolná a feltételezéseket.

Mivel a zsarolóvírus-támadásban érintett szervezetek jelentős része nem tudja pontosan, milyen információkat is kellene közölnie az illetékes felügyeleti hatóság felé, a hatóság által közzétett incidensbejelentő űrlap alapján létrehoztunk egy rövidített, kifejezetten a zsarolóvírusokra fókuszáló űrlapot, amiben különböző tippeket adunk a feltüntetendő adatokra vonatkozóan.

Amire még különösen figyelni kell:

32. cikk (1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

(b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét – (antivírustűzfal)

(d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást. – (sérülékenységvizsgálat)

Fortinet FortiGate tűzfalak Antivírus, vírusirtó szoftverek, hálózati tűzfalak Zsarolóvírusok eltávolítása, valamint az adatok helyreállítása számítógépeken és okostelefonokon Mit tegyünk zsarolóvírus-támadás esetén?

Webes és hálózati sérülékenységvizsgálat

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

Incidensvizsgálat és nyomelemzés

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Fájlok visszaállítása és végleges törlése

Hackertámadás elleni védelem

IT biztonsági tanácsadás és oktatás

Forráskód-vizsgálat, code review

Védelmi és vizsgálati termékek

Fájlok és adattárolók „törhetetlen” titkosítása

Antivírus megoldások PC-re és mobil eszközökre

Kibersuli gyerekeknek
az internet veszélyeiről

GDPR tanácsadás és felkészítés

Általános kiberbiztonsági fogalomtár

Webes és hálózati sérülékenységvizsgálat

Incidensvizsgálat és nyomelemzés

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Hackertámadás elleni védelem

Megosztás