Zsarolóvírus, ransomware támadás, incidens bejelentése a NAIH felügyeleti hatóság felé

Számos szervezet nincs tisztában azzal, hogy az Általános Adatvédelmi Rendelet értelmében nemcsak az adatszivárgási és betörési incidenseket köteles bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság (röviden NAIH) felé, hanem a manapság egyre több intézményt érő zsarolóvírus támadásokat is.

Incidensbejelentő űrlap letöltése

Az Általános Adatvédelmi Rendelet (GDPR) több pontja is érinti a témát, még ha nem is nevezi meg konkrétan a zsarolóvírusokat.


4. cikk 1. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

33. cikk 1. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.


A 33. cikk ugyan enged egy olyan kivételt, miszerint a bejelentés elhagyható, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, viszont ez számos esetben nem határozható meg egyértelműen – főleg akkor nem, ha az incidensben érintett szervezet nem használt sem tűzfalat, sem központi naplózó rendszert, ami bizonyítaná vagy cáfolná a feltételezéseket.

Mivel a zsarolóvírus-támadásban érintett szervezetek jelentős része nem tudja pontosan, milyen információkat is kellene közölnie az illetékes felügyeleti hatóság felé, a hatóság által közzétett incidensbejelentő űrlap alapján létrehoztunk egy rövidített, kifejezetten a zsarolóvírusokra fókuszáló űrlapot, amiben különböző tippeket adunk a feltüntetendő adatokra vonatkozóan.

Amire még különösen figyelni kell:

32. cikk (1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

(b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét – (antivírustűzfal)

(d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást. – (sérülékenységvizsgálat)

Fortinet FortiGate tűzfalak Antivírus, vírusirtó szoftverek, hálózati tűzfalak Zsarolóvírusok eltávolítása, valamint az adatok helyreállítása számítógépeken és okostelefonokon Mit tegyünk zsarolóvírus-támadás esetén?

Webes és hálózati sérülékenységvizsgálat

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

Incidensvizsgálat és nyomelemzés

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Fájlok visszaállítása és végleges törlése

Hackertámadás elleni védelem

IT biztonsági tanácsadás és oktatás

Védelmi és vizsgálati termékek

Fájlok és adattárolók „törhetetlen” titkosítása

Antivírus megoldások PC-re és mobil eszközökre

Kibersuli gyerekeknek
az internet veszélyeiről

Általános kiberbiztonsági fogalomtár

Webes és hálózati sérülékenységvizsgálat

Incidensvizsgálat és nyomelemzés

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Hackertámadás elleni védelem

Megosztás