Incident vás dříve či později v souvislosti s osobními údaji potká, otázkou je jen kdy a jaký to bude mít dopad. Řada organizačních a technických opatření slouží k tomu, aby nepříjemné události nastávaly co nejméně. Pokud však i přes veškerou snahu k nějakému incidentu dojde, je nutné umět rychle a efektivně reagovat a minimalizovat tak škody pro vás i klienty.

 

Požadavky GDPR na řešení incidentů

Podle GDPR je incidentem každé "porušení zabezpečení osobních údajů", které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění jakkoliv zpracovávaných osobních údajů.

Není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu.

Jakmile se správce o porušení zabezpečení osobních údajů dozví, měl by incident bez zbytečného odkladu (do 72 hodin) ohlásit příslušnému dozorovému úřadu (dnešní ÚOOÚ) a případně i všem dotčeným subjektům údajů (aby mohly učinit opatření, pokud hrozí vysoké riziko pro jejich práva a svobody). V dokumentaci každého incidentu musí správce analyzovat a popsat celou řadu podrobností o rozsahu a dopadech.

Čím začít

1. Nejdříve musíte mít komplexní přehled o všech osobních údajích zpracovávaných ve vaší organizaci, mít zdokumentovány postupy jejich zpracování a vědět, jaké mohou být dopady jednotlivých hrozeb na subjekty údajů, včetně zpracované BIA (Business Impact Analysis).

2. Určitě každému doporučujeme mít pečlivě zpracovaný "incident response plan" (obdobu havarijního plánu).

3. Připravené plány několikrát otestovat, alespoň formou simulovaného incidentu.

4. Dále vybudovat funkční centrum SOC (CSIRT) nebo si zajistit odpovídající služby outsourcingem. V případě outsourcingu doporučujeme vybrat akreditovaného (spolehlivého) poskytovatele, jako například SOCA (www.soca.cz).

Správce také musí být schopen obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů.

Tyto požadavky se týkají všech správců i zpracovatelů osobních údajů.

 

Jak požadavkům porozumět

V prvé řadě je třeba si uvědomit, že porušení zabezpečení (bezpečnostní incident) se netýká jenom úniků (krádeží) dat. Mezi závažné a časté typy porušení bezpečnosti údajů patří i jejich neoprávněné pozměnění (představte si například změnu zůstatku na bankovním účtu nebo změnu indikace zdravotní léčby) nebo jejich nedostupnost (například vlivem DDoS útoku nebo jednoduchého zašifrování vyděračským ransomwarem).

Důležité je také to, že se o incidentech musí včas dozvědět nejen dozorový úřad, ale i dotčená fyzická osoba, která musí mít možnost na danou situaci reagovat okamžitě například změnou hesla k bankovnímu či e-mailovému účtu.

 

Úniky osobních údajů v praxi

Informace a osobní údaje jsou zajímavou komoditou s vysokou hodnotou a v poslední době dochází stále častěji k jejich krádežím. K únikům osobních údajů (ale i k jiným typům incidentů) dochází stále častěji ve všech sektorech podnikání, od e-shopů přes zdravotnictví, banky až po státní správu.

Společnost Yahoo! s více než dvouletým zpožděním oznámila, že v roce 2013 byla z jejích stránek odcizena data asi miliardy uživatelů, a to nebyl únik jediný. Příslušné orgány vyšetřují, jestli informace o dvou velkých únicích nemohla být poskytnuta investorům a všem klientům dříve. Důsledkem je pokles tržní hodnoty společnosti, "rezignace" zodpovědných manažerů, řada žalob za neplnění slibů ohledně ochrany soukromí uživatelů a další dopady lze očekávat.

Zaměstnanec T-Mobilu ukradl a prodal osobní data 1,5 milionu klientů. Nedošlo k žádnému prolomení technického zabezpečení systémů, zaměstnanec s daty běžně pracoval, a jednalo se tedy čistě o selhání lidského faktoru (podobná selhání ovšem stojí za naprostou většinou bezpečnostních incidentů). T-Mobile dostal pokutu 3,6 milionu korun.

A jak to bude od května 2018 dle sankcí GDPR? Pokuty budou až 20 mil. eur (540 mil. Kč) nebo 4 % celosvětového obratu (ve fiktivním případu T-Mobilu, podle obratu celého Deutsche Telekomu, by se tedy jednalo o pokutu téměř 80 miliard Kč).

 

Možnosti praktické realizace

Pokud již máte zaveden systém řízení kontinuity podnikání a v rámci tohoto systému jste zapracovali jako jeho nedílnou složku i dodávky služeb IS/ICT, tak jste na tom poměrně dobře. Stačí, pokud vlastními silami či za pomoci konzultační firmy tento systém rozšíříte o požadavky GDPR a zajistíte další potřebné služby, související například s monitoringem a eskalačními procedurami.

Určitě každému doporučujeme mít pečlivě zpracovaný "incident response plan" (obdobu havarijního plánu).

Pokud ovšem problematiku řízení incidentů a havárií dosud neřešíte, nemáte nástroje na monitoring ani potřebný tým specialistů, kteří by byli schopni problémy řešit, nedržíte službu a pracovní pohotovost 24 hodin x 365 dní/rok (abyste byli schopni rychlé reakce), je lepší zvážit, zda toto nezajistit jako službu "na klíč". Je třeba si uvědomit, že na hlášení některých incidentů a přijatých opatření je termín do 72 hodin. V případě delšího pracovního volna nastává problém, navíc nepříjemnosti se stávají i mimo pracovní dobu.

Například ANECT tuto spolehlivou službu nabízí jako standardní součást portfolia služeb SOCA (www.soca.cz).

 

Co lze očekávat od služby incident management

V rámci této služby je klíčovou aktivitou včasná detekce, reakce a následná přesná analýza incidentů. Rychlost detekce a rychlost a správnost reakce má zásadní vliv na výši utrpěných škod.

Další složkou je spuštění a realizace jednotlivých předem připravených scénářů reakce, včetně zpracování povinných hlášení.

Ing. Jan Goll, consultant, ANECT a.s.
RNDr. Ivan Svoboda, CSc., business development manager ICT Security, ANECT a.s.