Bezpieczeństwo danych, w tym danych osobowych w polskich firmach w obliczu inwazji Rosji na Ukrainę?
W związku z trwającą wojną między Rosją a Ukrainą zachodzi istotna „zmiana sytuacji również w zakresie polityki bezpieczeństwa”. Art. 24 RODO, stanowi, że wdrażane są odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych zgodnie z wymogami RODO oraz że takie środki są w razie potrzeby poddawane ponownemu przeglądowi i aktualizowane. Jeśli więc współpracują Państwo z podmiotami na Ukrainie, Rosji lub macie tam oddziały, niezbędnym jest z perspektywy obowiązków wynikających z RODO ponowna ocena podstaw prawnych wykorzystywanych do przekazywania danych do Rosji i na Ukrainę.
Cyberataki mogą zostać wykorzystane do zniechęcenia wspierania Ukrainy lub być celem samym w sobie (sprowadzającym się do wyłudzenia danych, środków finansowych lub przerwania ciągłości działania). Firmy powinny przygotować się m.in. na ataki typu DoS, DDoS, phishing, w tym spear phishing, ransomware i inne ataki z wykorzystaniem złośliwego oprogramowania. Ważne jest, aby w tym czasie nie popadać w zbędną panikę, zachować szczególną czujność, monitorować zagrożenia, a w razie ich wystąpienia podjąć szybkie działania naprawcze. Przede wszystkim jednak organizacje muszą przestrzegać podstawowych zasad bezpieczeństwa.
Wiele organizacji, w tym m.in. NASK rekomenduje konkretne zasady konieczne do wdrożenia w związku z rosnącymi zagrożeniami cybernetycznymi, Poniżej lista najważniejszych:
- zadbaj o to, aby wszyscy pracownicy znali podstawowe zasady ochrony infrastruktury IT oraz zapoznali się z firmową polityką bezpieczeństwa. W razie potrzeby zorganizuj szkolenie podnoszące świadomość dotyczącą cyberzagrożeń;
- dopilnuj, aby wszyscy pracownicy wiedzieli, jak w sytuacji cyberataku należy zareagować:
- odłączyć komputer od sieci,
- nie wyłączać komputera i nie odłączać od zasilania,
- zgłosić incydent odpowiednim zespołom zgodnie z przyjętą w organizacji procedurą – w tym przypadku istotna jest wiedza komu i w jaki sposób zgłosić zdarzenie;
- stwórz plan odtwarzania awaryjnego, aby w razie ataku jak najszybciej wrócić do stanu sprzed incydentu;
- monitoruj zagrożenia oraz stan posiadanych zabezpieczeń;
- zaktualizuj wszystkie programy i aplikacje;
- regularnie sprawdzaj, czy nie doszło do wycieku firmowych danych i danych logowania (np. w bazie wycieków www.haveibeenpwned.com oraz w deep webie);
- zrób kopie zapasowe danych, plików, stron www i zadbaj o regularne backupy. Najważniejsze dane zgraj lokalnie;
- korzystaj ze sprawdzonego i legalnego programu antywirusowego, nie bagatelizuj pojawiających się komunikatów;
- stosuj bezpieczne i skomplikowane hasła, oparte na frazach, składające się z co najmniej 12 znaków, wielkich i małych liter, cyfr oraz znaków specjalnych;
- nie używaj tego samego hasła do różnych kont (zasada jedno konto = jedno hasło);
- włącz uwierzytelnianie dwuskładnikowe / wieloskładnikowe;
- korzystaj ze sprawdzonych managerów haseł;
- zrezygnuj z automatycznego zapamiętywania haseł i autouzupełniania formularzy;
- uważaj na działania typu phishing / spear phishing podczas otwierania załączników i klikania w linki z wiadomości e-mail oraz podczas pobierania plików z Internetu;
- nie używaj firmowego sprzętu i poczty do prywatnych celów;
- upewnij się, że odwiedzasz prawidłową stronę (czy nie ma błędu w adresie i czy z innych powodów nie wydaje się ona podejrzana). Sprawdź czy strona jest bezpieczna i czy posiada certyfikat SSL / TSL;
- wyłącz w przeglądarce niepotrzebne, budzące wątpliwości i nieznane wtyczki;
- nie loguj się do publicznych Wi-Fi i wyłącz w swoim sprzęcie automatyczne łączenie z dostępnymi sieciami;
- nie wierz we wszystko, co czytasz w Internecie i weryfikuj informacje i korzystaj z zaufanych źródeł.
Inwestycja w kompetentny, posiadający możliwość sprawnego działania zespół odpowiedzialny za bezpieczeństwo firmowej infrastruktury IT i przetwarzanych danych, stanowi obecnie nie tylko środek organizacyjny poważnie mitygujący ryzyko zmaterializowania się zagrożeń dla danych osobowych przetwarzanych w systemach ale dla infrastruktury IT w ogóle.
Przypominam tez Państwu, że każdą podejrzaną aktywnością w sieci, na urządzeniach elektronicznych w poczcie e-mail możecie zgłaszać przez formularz na stronie incydent.cert.pl lub mailem na cert@cert.pl.
Podejrzane SMS-y można przesłać do CERT bezpośrednio na numer 799 448 084.
źródło:
strona internetowa Resilia [ https://resilia.pl]
strona internetowa NASK [https://cert.pl/posts/2022/02/rekomendacje-cyberprzestrzen-ukraina]
strona internetowa Datatilsynet [https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2022/overforing-av-data-til-russland-og-ukraina]