Kuinka toimia tietomurron sattuessa?

Ensinnäkin, älä panikoi ja varmista aina, että sinulla on pyyhkeesi mukanasi.

Lopulta se tapahtui. Järjestelmässäsi oli virhe, ja joku käytti sitä hyväkseen suorittaakseen toiminnon, jota kutsutaan ammattikieltä tietoturvaloukkauksesta. Henkilötietojen tietoturvaloukkaus. Älä huoli, se ei ole epätavallinen ilmiö. Onnellisimmat törmäävät tähän mahdollisuuteen harvemmin kuin kerran vuodessa, mutta yhtä nopeasti kuin Internet kehittyvässä maailmassa voi tapahtua, että tämä sattuu paljon useammin. Vaikka yrität olla panikoimatta, kehotamme sinua noudattamaan peukalosääntöä: rikkomisen käsittelemiseksi sinun on noudata EU-asetuksen 16/679 ohjeita (GDPR), joka antaa ohjeita siitä, mitä tehdä, jos tietomurto tapahtuu.

Mikä on tietomurto?

Henkilötietojen tietoturvaloukkaukset ovat 6 tyyppiä, ja jokainen näistä voi olla vapaaehtoista tai vahingossa sen perusteella, miksi se tapahtui:

• Luvaton pääsy. Joku ei voinut päästä käsiksi tiettyihin tietoihin, mutta he pääsivät. Jos tämä oli virhe, olet saattanut lähettää tärkeän asiakirjan yhdelle henkilölle toisen asemesta. Se oli onnettomuus, mutta se on silti tietomurto. Kuitenkin, jos olet päässyt luvattomasti jonkun tietoihin, tämä tapahtuma voi muuttua vakoilu.
• Luvaton kopio. Joku otti tietoja, jotka eivät kuuluneet hänelle, ja kopioivat ne itselleen. Tämä voi olla onnettomuus, jos työtoveri päättää tulostaa asiakirjan, jota heillä ei pitäisi olla voidakseen paremmin koota työasiakirjan. Jos kyseessä on vapaaehtoinen kopiointi vähemmän selkeitä tavoitteita varten, se voi olla varkaus.
• Odottamaton paljastus. Joku vuotaa vahingossa tietoja, joiden ei pitäisi jostain syystä olla verkossa. Esimerkiksi tärkeän asiakkaan kuva julkaistaan ​​yrityksen Facebook-profiilissa. Petoksen sattuessa tätä toimintoa kutsutaan levitän.
• Luvaton muutos. Joku muutti joitain tietoja, vaikka ei voinut tehdä sitä. Jos se tapahtui vahingossa, se on tämä. Muuten voisi olla peukalointi hakkerin tai hyökkääjän toimesta.
• Käyttöoikeuden menetys. Joku kadottaa tietoja, eikä niitä ole enää saatavilla. Tietokoneen salasanan unohtaminen on rikkomus, tiesitkö sen? Ja jos se tehtiin tarkoituksella, siitä tulee salaus.
• Tietojen poistaminen. Joku poistaa arkaluontoisia tietoja. Jos tämä tapahtui vahingossa, se on rikkomus. Mutta jos peruutus on vapaaehtoinen, siitä seuraa tietojen tuhoaminen.

Henkilötietojen loukkaaminen: miten toimia?

Katso GDPR:n artiklat 33 ja 34. Nämä kaksi artiklaa viittaavat eurooppalaiseen asetukseen, jonka tarkoituksena on osoittaa menettelyt, joita on noudatettava tietoturvaloukkauksen sattuessa. Artikla 33 koskee yhtiön sisäistä hallintoa ja suhteita takaajaan, kun taas artikla 34 koskee hallinnointia asianomaisiin osapuoliin tai henkilöihin, joiden henkilötietoja meillä on.

Se on välttämätöntä määritellä tietoturvaloukkaus on aina kirjattava e, siinä tapauksessa ilmoitettu takaajalle kohdassa 33 todetaan. Siinä sanotaan myös, että rekisterinpitäjän on ilmoitettava rikkomuksesta valvontaviranomaisille 72 tunnin kuluessa siitä, kun hän on saanut tiedon siitä, erityisesti jos tämä vaarantaa luonnollisten henkilöiden oikeudet ja vapaudet. Tietojen käsittelijöiden (palkanlaskentatoimisto, kirjanpitäjä, järjestelmäanalyytikot…) on ilmoitettava asiasta rekisterinpitäjälle.

Jos päätät ilmoittaa takaajalle, hän tarvitsee tietoja: rikkomuksen luonne, mukana olevien henkilöiden määrä, tietosuojavastaavan sopimustiedot, rikkomuksen mahdolliset seuraukset ja toteutetut tai toteutettavat toimenpiteet.

Yrityksellä on kuitenkin velvollisuus viestiä kaikesta mitä tapahtuu, riippumatta siitä, ovatko rikkomukset tahattomia vai tahallisia, ja kantaa vastuu (vastuullisuus).

Vastuu?

Yritys on oltava vastuullinen, pätevä ja tietoinen siitä, mitä tapahtuu sen ympäristöissä ja järjestelmissä. Yrityksen on osoitettava kykynsä ratkaista ongelma ennakoivasti ja osoitettava, että sillä on työkalut tietomurron seurausten hillitsemiseen. Tämä tehdään tarjoamalla todisteita ja tietoja – ja tarjoamalla sinulle takuun takaajalle siitä, että se, mitä tapahtui, ei koskaan toistu. Jos "vastuuvelvollisuutta" ei ole, seuraa sakko.

Mistä rikkomuksista on ilmoitettava takaajalle?

Takaajalle ilmoitetaan vain vapaaehtoisista rikkomuksista, ei vahingossa tapahtuneista rikkomuksista. Rekisterinpitäjän on päätettävä, ilmoittaako se vastuullisuuden logiikan mukaisesti, jos tietoturvaloukkaus voi vahingoittaa yksilön oikeuksia ja vapautta. L'ENISA (Euroopan unionin kyberturvallisuusvirasto) on luonut a riskinlaskentamenetelmä henkilöiden vapaudesta loukkauksen yhteydessä. Tätä menetelmää voidaan soveltaa myös yrityksessä.

Mistä tietää, onko rikos tapahtunut?

Rikkomus on ymmärrettävä todella havaittavaksi. Tämä on mahdollista, jos yrityksessä on riittävä koulutus riskin arvioimiseksi ja mahdollisten vahinkojen ymmärtämiseksi. Lyhyesti sanottuna et tarvitse insinööriä, joka tulee paikalle kahdeksi kuukaudeksi arvioimaan kadonneen flash-aseman mahdollisia vahinkoja: tarvitset koulutuskurssin, joka auttaa käytettävissä olevaa henkilökuntaa ymmärtämään vahingon laajuuden lisäämättä kustannuksiin, jotka ovat jo tärkeä hallinta. Yksinkertaisesti sanottuna henkilöstöä on koulutettava siitä, mitä rikkominen sisältää, ja tiedottamaan menettelystä rekisteröidyille ajoissa.

Artiklassa 34 sanotaan, että rekisterinpitäjä ei saa ilmoittaa rikkomuksesta rekisteröidylle kun:

• Asianmukaisia ​​teknisiä ja organisatorisia toimenpiteitä toteutetaan, mutta ilmoitus takaajalle ja todiste vastuullisuudesta.
• Se on toteuttanut toimenpiteitä suuren tietomurron riskin välttämiseksi.
• Tietojen paljastaminen voidaan jättää pois, jos se vaatii suhteettoman paljon vaivaa – tässä tapauksessa siitä on ilmoitettava julkisesti!

Tietomurtoja tapahtuu. Mutta miten luulet pystyväsi käsittelemään sitä?