Bezpieczeństwo danych, w tym danych osobowych w polskich firmach w obliczu inwazji Rosji na Ukrainę?

W związku z trwającą wojną między Rosją a Ukrainą zachodzi istotna „zmiana sytuacji również w zakresie polityki bezpieczeństwa”.  Art. 24 RODO, stanowi, że wdrażane są odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych zgodnie z wymogami RODO oraz że takie środki są w razie potrzeby poddawane ponownemu przeglądowi i aktualizowane. Jeśli więc współpracują Państwo z podmiotami na Ukrainie, Rosji lub macie tam oddziały, niezbędnym jest z perspektywy obowiązków wynikających z RODO ponowna ocena podstaw prawnych wykorzystywanych do przekazywania danych do Rosji i na Ukrainę.

 

Cyberataki mogą zostać wykorzystane do zniechęcenia wspierania Ukrainy lub być celem samym w sobie (sprowadzającym się do wyłudzenia danych, środków finansowych lub przerwania ciągłości działania). Firmy powinny przygotować się m.in. na ataki typu DoS, DDoS, phishing, w tym spear phishing, ransomware i inne ataki z wykorzystaniem złośliwego oprogramowania. Ważne jest, aby w tym czasie nie popadać w zbędną panikę, zachować szczególną czujność, monitorować zagrożenia, a w razie ich wystąpienia podjąć szybkie działania naprawcze. Przede wszystkim jednak organizacje muszą przestrzegać podstawowych zasad bezpieczeństwa.

Wiele organizacji, w tym m.in. NASK rekomenduje konkretne zasady konieczne do wdrożenia w związku z rosnącymi zagrożeniami cybernetycznymi, Poniżej lista najważniejszych:

  • zadbaj o to, aby wszyscy pracownicy znali podstawowe zasady ochrony infrastruktury IT oraz zapoznali się z firmową polityką bezpieczeństwa. W razie potrzeby zorganizuj szkolenie podnoszące świadomość dotyczącą cyberzagrożeń;
  • dopilnuj, aby wszyscy pracownicy wiedzieli, jak w sytuacji cyberataku należy zareagować:
    • odłączyć komputer od sieci,
    • nie wyłączać komputera i nie odłączać od zasilania,
    • zgłosić incydent odpowiednim zespołom zgodnie z przyjętą w organizacji procedurą – w tym przypadku istotna jest wiedza komu i w jaki sposób zgłosić zdarzenie;
  • stwórz plan odtwarzania awaryjnego, aby w razie ataku jak najszybciej wrócić do stanu sprzed incydentu;
  • monitoruj zagrożenia oraz stan posiadanych zabezpieczeń;
  • zaktualizuj wszystkie programy i aplikacje;
  • regularnie sprawdzaj, czy nie doszło do wycieku firmowych danych i danych logowania (np. w bazie wycieków www.haveibeenpwned.com oraz w deep webie);
  • zrób kopie zapasowe danych, plików, stron www i zadbaj o regularne backupy. Najważniejsze dane zgraj lokalnie;
  • korzystaj ze sprawdzonego i legalnego programu antywirusowego, nie bagatelizuj pojawiających się komunikatów;
  • stosuj bezpieczne i skomplikowane hasła, oparte na frazach, składające się z co najmniej 12 znaków, wielkich i małych liter, cyfr oraz znaków specjalnych;
  • nie używaj tego samego hasła do różnych kont (zasada jedno konto = jedno hasło);
  • włącz uwierzytelnianie dwuskładnikowe / wieloskładnikowe;
  • korzystaj ze sprawdzonych managerów haseł;
  • zrezygnuj z automatycznego zapamiętywania haseł i autouzupełniania formularzy;
  • uważaj na działania typu phishing / spear phishing podczas otwierania załączników i klikania w linki z wiadomości e-mail oraz podczas pobierania plików z Internetu;
  • nie używaj firmowego sprzętu i poczty do prywatnych celów;
  • upewnij się, że odwiedzasz prawidłową stronę (czy nie ma błędu w adresie i czy z innych powodów nie wydaje się ona podejrzana). Sprawdź czy strona jest bezpieczna i czy posiada certyfikat SSL / TSL;
  • wyłącz w przeglądarce niepotrzebne, budzące wątpliwości i nieznane wtyczki;
  • nie loguj się do publicznych Wi-Fi i wyłącz w swoim sprzęcie automatyczne łączenie z dostępnymi sieciami;
  • nie wierz we wszystko, co czytasz w Internecie i weryfikuj informacje i korzystaj z zaufanych źródeł.

 

Inwestycja w kompetentny, posiadający możliwość sprawnego działania zespół odpowiedzialny za bezpieczeństwo firmowej infrastruktury IT i przetwarzanych danych, stanowi obecnie nie tylko środek organizacyjny poważnie mitygujący ryzyko zmaterializowania się zagrożeń dla danych osobowych przetwarzanych w systemach ale dla infrastruktury IT w ogóle.

 

Przypominam tez Państwu, że każdą podejrzaną aktywnością w sieci, na urządzeniach elektronicznych w poczcie e-mail możecie zgłaszać przez formularz na stronie incydent.cert.pl lub mailem na cert@cert.pl.

 

Podejrzane SMS-y można przesłać do CERT bezpośrednio na numer 799 448 084.

 

źródło:

strona internetowa Resilia [ https://resilia.pl]

strona internetowa NASK [https://cert.pl/posts/2022/02/rekomendacje-cyberprzestrzen-ukraina]

strona internetowa Datatilsynet [https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2022/overforing-av-data-til-russland-og-ukraina]