Zsarolóvírus, ransomware támadás, incidens bejelentése a Nemzeti Adat- és Információvédelmi Hatóság felé

Számos szervezet nincs tisztában azzal, hogy az Általános Adatvédelmi Rendelet értelmében nemcsak az adatszivárgási és betörési incidenseket köteles bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság (röviden NAIH) felé, hanem a manapság egyre több intézményt érő zsarolóvírus támadásokat is.

Incidensbejelentő űrlap letöltése

Az Általános Adatvédelmi Rendelet (GDPR) több pontja is érinti a témát, még ha nem is nevezi meg konkrétan a zsarolóvírusokat.


4. cikk 1. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

33. cikk 1. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.


A 33. cikk ugyan enged egy olyan kivételt, miszerint a bejelentés elhagyható, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, viszont ez számos esetben nem határozható meg egyértelműen – főleg akkor nem, ha az incidensben érintett szervezet nem használt sem tűzfalat, sem központi naplózó rendszert, ami bizonyítaná vagy cáfolná a feltételezéseket.

Mivel a zsarolóvírus-támadásban érintett szervezetek jelentős része nem tudja pontosan, milyen információkat is kellene közölnie az illetékes felügyeleti hatóság felé, a hatóság által közzétett incidensbejelentő űrlap alapján létrehoztunk egy rövidített, kifejezetten a zsarolóvírusokra fókuszáló űrlapot, amiben különböző tippeket adunk a feltüntetendő adatokra vonatkozóan.

Amire még különösen figyelni kell:

32. cikk (1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

(b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét – (antivírustűzfal)

(d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást. – (sérülékenységvizsgálat)

A hatóság az alábbi kérdéseket szokta feltenni a bejelentőknek:

  1. Tájékoztassa a Hatóságot arról, hogy az incidens milyen személyes adatokat érint.
  2. Mi indokolta az incidens késedelmes – a tudomásszerzést követő 72 órán túli – bejelentését?
  3. Az incidens bejelentése óta tudomásukra jutott-e, milyen módszerrel hatolt be a támadó az informatikai hálózatba? Milyen információk derültek ki a szerver-, illetve a tűzfal log-okból a támadással kapcsolatban?
  4. Milyen funkciót töltött be az incidensben érintett munkaállomás?
  5. Milyen sűrűn eszközölnek frissítéseket a munkaállomásokon az IBSZ szerint?
  6. Milyen logikai és fizikai infrastrukturális elemekből állt a kompromittálódott rendszer?
  7. Milyen típusú határvédelmi és végpont védelmi megoldásokat használnak?
  8. Volt-e back-up mentésük, ha igen milyen jellegű, visszaállítható-e az adatokhoz való hozzáférés?
  9. Az adatvédelmi incidens kockázataival kapcsolatban milyen megállapításokat tett?
  10. Nyilatkozzon arról, hogy milyen intézkedéseket tett az adatvédelmi incidens következményeinek orvoslására.
  11. Milyen intézkedéseket terveznek annak érdekében, hogy a későbbiekben ilyen típusú támadás ne következhessen be?
  12. A tárgybeli incidenssel kapcsolatban küldje meg az általános adatvédelmi rendelet 33. cikk (5) bekezdése szerinti adatvédelmi incidens nyilvántartás másolatát.
Fortinet FortiGate tűzfalak Antivírus, vírusirtó szoftverek, hálózati tűzfalak Zsarolóvírusok eltávolítása, valamint az adatok helyreállítása számítógépeken és okostelefonokon Mit tegyünk zsarolóvírus-támadás esetén?
Ne maradjon le a legújabb kiberbiztonsági hírekről, fejlesztésekről, kutatási eredményekről és fenyegetési riasztásokról!
KATTINTSON IDE és iratkozzon fel ingyenes hírlevelünkre, hogy a legfontosabb információk biztosan eljussanak Önhöz!
Megosztás