DATA BREACH: Ransomware bez zálohy a s únikom dát


European Data Protection Board vydal nový Guidelines o príkladoch súvisiacich s povinnosťou oznamovania porušenia ochrany osobných údajov (tzv. data breach). Ako príklad uvádza aj typ útoku – ransomware, ktorého následky boli také, že prevádzkovateľ bol povinný incident oznámiť dozornému orgánu a zároveň aj dotknutým osobám.


Ransomware je typ kybernetického útoku, ktorým útočník uzamkne zariadenie alebo zašifruje obsah uložený v zariadení s cieľom vymôcť od vlastníka zariadenia (obsahu) výpalné vo forme peňazí. Útočník sľubuje, že po uhradení výpalného zariadenie odomkne alebo rozšifruje dáta.


Server spoločnosti zabezpečujúcej verejnú dopravu bol napadnutý ransomware útokom, pričom údaje na serveri boli útočníkom zašifrované. Útočník dáta nielen zašifroval, ale tiež ich aj exfiltroval (preniesol k sebe). Narušené údaje sa týkali klientov a zamestnancov. Unikli nielen základné identifikačné údaje, ale aj čísla občianskych preukazov a finančné údaje ako sú údaje kreditných kariet.


Napriek tomu, že prevádzkovateľ údaje zálohoval, nepomohlo mu to, pretože záloha bola tiež útočníkom napadnutá. Preto je zrejmé, že nemal prijaté kvalitné IT bezpečnostné opatrenia. Táto skutočnosť bude mať význam v konaní pred dozorným orgánom, ktorý ju bude posudzovať. V správne nastavenom zálohovacom režime je záloha bezpečne uchovaná tak, aby k nej nebol možný prístup cez centrálny systém.


Tento typ útoku predstavuje vysoké riziko pre dotknuté osoby pretože došlo nielen k narušeniu prístupnosti dát, ale aj k narušeniu dôvernosti. Povaha, citlivosť a množstvo osobných údajov zvyšuje riziko, pretože útok sa dotkol vysokého počtu osôb. Ukradnuté údaje môžu byť zneužité na krádež identity alebo nejakú formu podvodu.


Je zrejmé, že tento útok vedie k vysokému riziku pre práva a slobody dotknutých osôb, pretože môže dôjsť k materiálnej i nemateriálnej škode.


V danom prípade je najdôležitejšie incident oznámiť dotknutým osobám, okrem iného, z toho dôvodu, aby si mohli zablokovať svoje kreditné karty. Ak je to možné, dotknuté osoby by mali byť informované priamo prostredníctvom kontaktných údajov, ktorými prevádzkovateľ disponuje. Ak nie, informáciu je možné zverejniť na webovom sídle alebo prostredníctvom masovokomunikačných prostriedkov.


Prevádzkovateľ je povinný revidovať svoje bezpečnostné opatrenia, aby sa zabránilo opakovaniu sa podobného bezpečnostného incidentu v budúcnosti.