Přestože jste si mysleli, že vaše firemní systémy jsou důkladně zabezpečené, hackeři se dostali do vaší databáze zákazníků a odcizili osobní a finanční údaje. Únik dat jste právě odhalili a čas běží. Jaké další kroky byste nyní měli podniknout?
Ochrana údajů občanů EU spadá do působnosti GDPR. Pokud vaše organizace nakládá s údaji těchto občanů, musí požadavky GDPR splňovat. V případě úniku dat proto musíte učinit předem definovaná opaření k ochraně údajů dotčených osob.
V takových situacích se nevypořádáváte pouze s úřady a pokutami, v sázce je také vaše pověst. A vzhledem k tomu, že útočníci často zveřejňují ukradené databáze na dark webu, nemá obvykle smysl hrát si na “mrtvého brouka”.
Jak tedy vyřešit únik zákaznických dat?
1) Informujte svého pověřence pro ochranu osobních údajů a Úřad pro ochranu osobních údajů.
V případě porušení ochrany osobních údajů, tedy v tomto případě úniku dat, jste povinni informovat orgán pro ochranu údajů (DPA), kterým je v České republice Úřad pro ochranu osobních údajů (ÚOOÚ). Jedná se o nezávislý veřejný orgán zřízený v každém členském státě EU k zajištění a prosazování zákonů o ochraně osobních údajů a soukromí. Tento krok musíte učinit ihned, jakmile se o úniku osobních údajů dozvíte, a nahlásit jej do 72 hodin.
Pokud činnosti vašeho podniku zahrnují zpracování citlivých údajů ve velkém rozsahu nebo pravidelné a systematické monitorování osobních údajů, účtů nebo transakcí fyzických osob, měl by váš bezpečnostní tým nejprve informovat svého pověřence pro ochranu osobních údajů (DPO), který by měl následně informovat orgán pro ochranu údajů (DPA). Nemusí tak činit v případě, kdy je nepravděpodobné, že by porušení ochrany osobních údajů mělo za následek riziko pro práva a svobody dotčených osob.
2) Odstraňte případné nedostatky v zabezpečení sítě.
Po zjištění úniku dat můžete podniknout následující kroky:
- Změnit nebo aktualizovat přihlašovací údaje na firemních zařízeních a zavést dvoufázové ověřování. Pokud stále nepoužíváte ověření druhým faktorem, přidejte tento bezpečnostní prvek do svých bezpečnostních opatření.
- Zkontrolujte všechny síťové segmenty, zda v nich nezůstaly stopy po vnějším narušení. Je pravděpodobné, že se útočník připojil na více segmentů. Abyste zabránili šíření útoku, můžete přesměrovat síťový provoz, filtrovat ho nebo blokovat či izolovat celou napadenou síť nebo jen její části.
- Spolupracujte s odborníky na kybernetickou bezpečnost a forenzním týmem, který zjistí, jak k narušení došlo, a přijme opatření potřebná k nápravě a podchycení další potenciálních narušení.
3) Zjistěte, jaké údaje o zákaznících byly odhaleny.
K vyhodnocení rozsahu a dopadu narušení dat potřebujete kvalitní proces řízení rizik s robustními nástroji pro detekci a hlášení narušení ochrany dat. Pokud již došlo k narušení bezpečnosti dat, nejprve zjistěte, jaká data byla odhalena. Určení rozsahu útoku může trvat několik dní, ale je třeba začít ihned. Hledejte, zda měl útok dopad na e-mailové adresy, telefonní čísla, zdravotní záznamy, údaje o kreditních kartách nebo osobní identifikátory, jako jsou například rodná čísla.
Odhadněte počet zákazníků, jejichž osobní údaje unikly. Může mít narušení bezpečnosti a únik údajů dopad na výkon práv dotčených osob? Jaká opatření můžete přijmout k ochraně údajů zákazníků? To se dozvíte v článku 6 věcí, na které při nakládání s údaji zákazníků nezapomenout.
4) Kontaktujte zákazníky, jejichž osobní údaje unikly.
Organizace by se měly důkladně připravit na to, že v případě každého jednotlivého narušení bezpečnosti dat budou muset kontaktovat v některých případech až stovky tisíc lidí, což může společnost snadno ochromit. Je nutné informovat jednotlivce (viz výjimky níže) a zapojit do procesu také PR tým.
Jakmile víte, co se s údaji stalo, oslovte s omluvou přímo dotčené osoby a zodpovězte následující otázky: Co se stalo? O jaké informace se jednalo? Jaké kroky nyní společnost podniká? Co může udělat samotný zákazník?
5) Přezkoumejte stávající bezpečnostní opatření.
Po vyřešení úniku osobních údajů důrazně doporučujeme prozkoumat různé způsoby posílení bezpečnostních opatření ve vaší společnosti.
Aktualizujte svou strategii kybernetické bezpečnosti a zaveďte lepší bezpečnostní řešení pro šifrování dat, monitorování sítě a zásady používání hesel a investujte do školení o kybernetické bezpečnosti pro své zaměstnance.