Tutor Team d.o.o.
Kibernetska (ne)varnost

Kibernetska (ne)varnost

Kako visoke globe boste morali plačati, če niste poskrbeli za ustrezno varnost pred vdori?

Zadnja leta so zaradi tehnološkega napredka prinesla večjo kibernetsko ogroženost. Največkrat tako imenovani hekerji napadajo velika podjetja in javne službe. V letu 2018 so bile tarče kibernetskih napadov številna znana svetovna podjetja, kot so Facebook, LinkedIn, Under Armour, My Heritage …, v preteklosti pa so napad izkusili tudi Yahoo, Nasa, Google China … To pa seveda ne pomeni, da so mala in srednja podjetja pred kibernetskimi napadi varna, ravno nasprotno, saj so zaradi slabše spletne varnosti v primerjavi z velikimi podjetji precej lažja tarča. Po nekaterih podatkih naj bi škoda kibernetskega kriminala na svetovni ravni presegla 600 milijard dolarjev, kar je skrb vzbujajoč podatek.

British Airways in hotelska veriga Marriott prejeli visoki globi

Julija 2019 je britanski informacijski pooblaščenec (ICO) dodelil British Airways 183 milijona funtov (to je 1,5 odstotka prihodkov letalskega prevoznika v letu 2017) globe zaradi vdora v njihov informacijski sistem v letu 2018. Že tako visoke stroške bo dodatno povišala še skupinska tožba, v katero je pripravljeno iti približno pol milijona njihovih kupcev. Predlagana globa je bila prva tako visoko odmerjena globa v dobi GDPR-ja. Pred uvedbo GDPR-ja je najvišja globa za kršitev varnosti osebnih podatkov znašala 500 000 funtov, z 20 – odstotnim znižanjem globe v primeru predčasnega plačila.
ICO je v preiskavi ugotovil, da je do vdora prišlo zaradi slabih varnostnih dogovorov v podjetju. Uporabniki so bili ob obisku spletne strani British Airways preusmerjeni na lažno stran, kjer so se hekerji dokopali do številnih informacij, kot so podatki o prijavi, plačilnih karticah, potovalnih rezervacijah ter podatkih o imenih in naslovih.

Kazen v višini 99 milijonov funtov se nanaša na velik vdor v hotelsko verigo Marriott, ki je bil odkrit novembra 2018. Marriott  je izjavil, da je vdor prizadel preko 500 milijonov strank, raziskava ICO je kasneje razkrila, da je bilo na svetu izpostavljenih skupno 339 milijonov zapisov gostov, od tega se je sedem milijonov nanašalo na britanske obiskovalce.
Vdori so se pričeli že leta 2014 z napadom na hčerinsko podjetje Starwood Hotels group, ukradeni podatki pa so vsebovali imena, poštne naslove, telefonske številke, e-poštne naslove, številke potnih listov … Nekateri ukradeni podatki so vsebovali tudi številke plačilnih kartic z datumi veljavnosti, za katere je Marriott priznal, da so bile šifrirane.
Preiskava ICO je razkrila, da bi moral Marriott nadgraditi zavarovanje svojih sistemov, ko je kupil Starwood Hotels group. Elizabeth Denham iz ICO pravi: »GDPR jasno določa, da organizacije same odgovarjajo za osebne podatke svojih strank. To vključuje ustrezno skrbnost pri pregledu poslovanja podjetja pred prevzemom in uvedbo ustreznih ukrepov za ocenjevanje – ne le kateri osebni podatki so bili pridobljeni, vendar tudi kako so zaščiteni. Osebni podatki imajo resnično vrednost, zato imajo organizacije pravno dolžnost, da zagotovijo njihovo varnost, tako kot bi to naredile s svojimi drugimi sredstvi. Če se to ne zgodi, ne bomo oklevali z močnimi ukrepi, če bo to potrebno za zaščito pravic javnosti.«

Preventivna zaščita

Zelo pomembna je v prvi vrsti preventiva. Kaj pa lahko podjetje naredi za čim boljšo preventivo pred kibernetskimi napadi?

  • IZOBRAŽEVANJE vseh zaposlenih o nevarnostih in posledicah kibernetskih napadov. Uporabnik, ki se nevarnosti zaveda, jih hitreje prepozna in se jim izogne ali jih celo prepreči. To je eden najučinkovitejših ukrepov zoper kibernetske nevarnosti.
  • ZAŠČITA PRED VIRUSI – kljub dobrim varnostnim programom še vedno obstaja možnost, da bo virus našel pot v neposodobljen ali pozabljen strežnik. Imejte pripravljen načrt odziva na izsiljevalske viruse, kjer predpisi za vsako delovno področje opisujejo vrsto varnostnih ukrepov.
  • VARNOSTNO KOPIRANJE – poskrbite za čim boljšo zaščito strežnikov in podatkov na njih (varnostno kopiranje, enkripcija, večfaktorska avtentikacija).
  • ELEKTRIKA – poskrbite za vir rezervne električne energije za potrebe zagona varnostnih sistemov. Brez elektrike ni razpoložljivosti.
  • PODATKOVNA INVENTURA – zapisi o vrsti, lokaciji, razlogu in načinu shrambe ter obdelave podatkov so v veliko pomoč varnostnim strokovnjakov, saj lažje zaščitijo stvari, ki so ustrezno dokumentirane.

Zavarovanje kibernetske zaščite

»Vedno se zdi nemogoče, dokler se ne zgodi,« je nekoč dejal Nelson Mandela, zato se pred zelo neugodnimi, predvsem finančnimi, posledicami kibernetskih napadov, poleg preventivne zaščite, tudi ustrezno zavarujte. Zavarovanje digitalnega poslovanja in varstva podatkov se je v zadnjih letih močno razvilo, saj je zaradi neštetih napadov potreba po tem zavarovanju narasla. O zavarovanju kibernetske zaščite si podrobno preberite v članku »Se zavedamo, kako resni in pogosti so kibernetski napadi?« na povezavi https://tutor-team.si/se-zavedamo-kako-resni-in-pogosti-so-kibernetski-napadi/.

Kaj je GDPR, kaj ščiti in kaj določa?

Uredba GDPR (General Data Protection Regulation) oziroma Splošna uredba o varstvu podatkov in kmalu tudi ZVOP-2 (Zakon o varstvu osebnih podatkov), ki je trenutno še v postopku sprejemanja, določajo nova pravila glede varstva osebnih podatkov, med drugim tudi precej višje globe za kršitelje, v znesku do 20 milijonov evrov, v primeru družbe v znesku do 4 odstotkov skupnega letnega prometa v preteklem poslovnem letu, odvisno od tega, kateri znesek je višji.

Pri morebitni odreditvi globe in njeni višini se upošteva naslednje:

  • narava, teža in trajanje kršitve, število oškodovanih posameznikov;
  • naklep oziroma malomarnost;
  • ukrepi, ki jih je upravljavec sprejel za omilitev škode;
  • stopnja odgovornosti upravljavca;
  • predhodne kršitve upravljavca;
  • stopnja sodelovanja pri preiskavi informacijskega pooblaščenca;
  • vrste osebnih podatkov;
  • kako je informacijski pooblaščenec izvedel za kršitev (ga je upravljavec uradno obvestil sam);
  • že prej odrejeni ukrepi zoper upravljavca;
  • zavezanost k odobrenim kodeksom ravnanja;
  • drugi olajševalni ali oteževalni dejavniki.

Pravice državljanov

Splošna uredba o varstvu podatkov krepi obstoječe pravice, zagotavlja nove pravice in daje državljanom več nadzora nad njihovimi osebnimi podatki. Te vključujejo:

  • lažji dostop do podatkov– vključno z zagotavljanjem več informacij o tem, kako so podatki obdelani, in da so informacije na voljo na jasen in razumljiv način;
  • novo pravico do prenosljivosti podatkov– enostavnejši prenos osebnih podatkov med ponudniki storitev;
  • jasnejšo pravico do izbrisa t.i. pravica do pozabe– ko posameznik ne želi več, da bi bili njegovi podatki obdelani, in ni upravičenega razloga za ohranitev podatkov, se podatke izbriše;
  • pravico do vedenja, če je nekdo vdrl v osebne podatke– podjetja in organizacije bodo morali sproti obveščati posameznike o resnih kršitvah podatkov. Prav tako bodo morali o tem obvestiti ustrezen nadzorni organ za varstvo podatkov.

Predpisi za podjetja vključujejo:

  • enoten sklop predpisov za celo EU – ocenjeno je, da se z enotnim zakonom za celo EU o varstvu podatkov privarčuje 2,3 milijarde EUR na leto;
  • pooblaščeno osebo za varstvo podatkov, ki je odgovorna za varstvo podatkov in jo imenujejo javni organi in podjetja, ki v širšem obsegu obdelujejo podatke;
  • točko vse na enem mestu – podjetja se tako menijo le z enim nadzornim organom (v državi EU, v kateri imajo večino časa sedež);
  • predpise EU za podjetja izven EU – podjetja s sedežem izven EU morajo upoštevati iste predpise pri nudenju storitev ali dobrin ali pri spremljanju vedenja posameznikov v EU;
  • predpise, ki spodbujajo inovacije – zagotovilo, da so varovalke za varstvo podatkov vgrajene v izdelke in storitve od prve faze razvoja dalje (zasnovano in privzeto varstvo podatkov);
  • tehnike, ki spodbujajo zasebnost, kot stapsevdonimizacija (ko so razpoznavna področja v bazi podatkov nadomeščena z enim ali več umetnimi identifikatorji) in šifriranje (ko so podatki šifrirani na način, ki ga lahko razberejo le pooblaščene stranke);
  • odstranitev obvestil – novi predpisi o varstvu podatkov bodo odpravili večino zahtev o obveščanju in stroške, ki so z njimi povezani, npr. eden od ciljev uredbe o varstvu podatkov je odstranitev ovir za prosti pretok osebnih podatkov v EU, kar bo omogočilo lažje širjenje podjetij;
  • oceno učinka – podjetja bodo morala izvajati oceno učinka v primerih, ko obdelava podatkov lahko pomeni visoko tveganje za pravice in svoboščine posameznikov;
  • vodenje evidenc – malim in srednje velikim podjetjem ni nujno voditi evidenc o dejavnostih obdelave, razen če obdelava ni običajna ali če obdelava lahko ogrozi pravice in svoboščine osebe, katere podatke je podjetje obdelovalo.

Literatura:

  • MIKUŠ, Š., 2019. GDPR. Zaradi kršitve varstva osebnih podatkov British Airways kaznovan z 204 milijoni evrov globe, Finance. Dostopno na: https://www.finance.si/8950288.
  • Ponudbe in pogoji različnih Zavarovalnic za zavarovanje kibernetske zaščite (cyber risk zavarovanje).

Viri: