Statistické údaje, rady a doporučení při ohlašování porušení zabezpečení osobních údajů.
ÚOOÚ se rozhodl zveřejnit poznatky, které získal z ohlašování porušení zabezpečení osobních údajů a to včetně statistických údajů, rad a doporučení. Připravil preventivní doporučení, jak se vyvarovat nepříjemností a představil formulář, který má ohlašování zefektivnit.
Od data nabytí účinnosti GDPR mají totiž správci povinnost ohlásit Úřadu pro ochranu osobních údajů jakákoli porušení zabezpečení osobních údajů, která mohou způsobit riziko pro práva svobody FO. Stalo se tak ode dne účinnosti již v 600 případech.
Většinou se jednalo o získání přístupu k informačnímu systému, kterého bylo docíleno pomocí úspěšného phishingového útoku. Následně byly ukradeny informace nebo byly odeslány další phishingové e-maily zaměstnancům či dalším osobám, se kterými uživatel navázal e-mailový kontakt. Velké množství phishingových útoků skončilo umístěním škodlivého programu do informačního systému. Za odblokování zašifrovaných informací požadovali útočníci výkupné.
Tomuto druhu počítačové kriminality (tzv. ransomware) se dá bránit a v případě absence vážných přetrvávajících důsledků není dokonce potřeba Úřadu nic ohlašovat. Správci by si měli pravidelně zálohovat veškeré informace a učinit kroky pro to, aby bylo možné data po útocích ransomware obnovit a současně zajistit kontinuitu fungování organizace.
Rizika musí přitom komplexně posoudit samotný správce a v potaz musí vzít především fakt, zda se útočník nezmocnil osobních údajů a stále s nimi nedisponuje.
Je třeba podotknout, že útokům se dá lehce předejít školením a informováním zaměstnanců o rizicích počítačové kriminality či nastavením pravidel pro používaní informačních systémů a zpracováním kategorií osobních údajů.