Branża IT uwielbia gorące tematy. Obecnie wiele się mówi o chmurze, infrastrukturze hiperkonwergentnej i uczeniu maszynowym, ale do zagadnień, które najczęściej poruszają informatycy podczas luźnych rozmów, należą ransomware i wprowadzone przez Unię Europejską Ogólne rozporządzenie o ochronie danych (RODO).
Każdy z tych tematów z osobna jest pasjonujący, ale co w sytuacji, gdy te zagadnienia się ze sobą łączą? Niedawno zadano mi pytanie: „Jakie są konsekwencje ransomware w świetle RODO?”. Było ono rzadkim przypadkiem zazębiania się różnych zagadnień z dziedziny IT.
Czy można mówić o konsekwencjach?
Odpowiedź na to pytanie niewątpliwie jest twierdząca. RODO powstało z myślą o ochronie danych osobowych. Jeśli więc przechowujemy dane dotyczące obywatela UE, naszym głównym obowiązkiem jest dbałość o te dane oraz dopilnowanie, aby były zabezpieczone, chronione i dostępne.
Jednym z wymagań wynikających z RODO jest zapobieganie naruszeniom ochrony danych. Jak jednak rozumieć naruszenie ochrony? W RODO pojęcie to zdefiniowano następująco:
„Naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jeśli spojrzymy na powyższe sformułowanie, stanie się jasne, że atak ransomware może doprowadzić do naruszenia ochrony danych w świetle RODO. Z definicji ransomware to złośliwe oprogramowanie, które może uniemożliwić lub ograniczyć ofiarom dostęp do krytycznych danych, a nawet całych systemów.
Dotychczas możliwości działania w obliczu ataku ransomware były stosunkowo proste — zaatakowany podmiot albo zawczasu zadbał o dostępność danych i mógł szybko odzyskać te, które zostały objęte atakiem, albo musiał się liczyć z ryzykiem ich utraty. Jeśli nie wdrożył godnego zaufania narzędzia do odzyskiwania danych, szanse na wznowienie działalności bez utraty danych były niewielkie. Warto w tym miejscu podkreślić, że zarówno eksperci ds. technologii i cyberbezpieczeństwa, jak i przedstawiciele władz stanowczo odradzają płacenie okupu.
Wraz z RODO pojawiło się nowe wyzwanie, a także nowego rodzaju szansa dla cyberprzestępców. Zamiast zawracać sobie głowę uciążliwymi aspektami technicznymi oprogramowania ransomware, cyberprzestępca może skorzystać z nowej broni. Wystarczy, że poinformuje odpowiednie władze o naruszeniu ochrony danych spowodowanym przez atak ransomware, aby narazić ofiarę na wysokie kary finansowe lub inne konsekwencje prawne.
Co robić?
Czego RODO wymaga od przedsiębiorstw? Jak wynika z artykułu 32, nasze główne obowiązki jako właścicieli danych obejmują:
- Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
- Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
- Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania
Chociaż RODO nie jest rozporządzeniem technicznym ani potrzebującym rozwiązania problemem z obszaru IT, wymaga od działów IT większego zaangażowania, pozwalającego na stworzenie strategii zabezpieczania danych, aktualizowanie używanych rozwiązań i rzetelne informowanie wszystkich zainteresowanych podmiotów o ich obowiązkach. Są pewne obszary, w których zaangażowanie działu IT ma kluczowe znaczenie:
- Pomoc w zapewnieniu integralności danych
- Pomoc w zapewnieniu dostępności danych
- Zapewnienie platformy do skutecznego i elastycznego prowadzenia testów
Czym cechuje się odpowiednia technologia?
W rzeczywistości żadna technologia w pojedynkę nie jest w stanie zaspokoić wszystkich potrzeb, ale warto mieć świadomość, jakie rodzaje technologii mogą się przydać.
Najlepiej, aby wdrożony stos rozwiązań obejmował poziom funkcji inteligentnych, wykrywających aktywność oprogramowania ransomware oraz umożliwiających jej szybkie zablokowanie i identyfikację dotkniętych nią zbiorów danych. Powinna istnieć możliwość uzyskania informacji o zbiorach danych, których ochrona została naruszona, oraz przekazania tych informacji do rozwiązania odzyskującego z myślą o zautomatyzowaniu procesu odzyskiwania. Wdrożone technologie powinny także obejmować wspomniane rozwiązanie do odzyskiwania, które pozwala szybko odzyskać dane i zachować dostępność, a także umożliwia tworzenie środowisk testowych, w których można ćwiczyć reakcje na takie przypadki zniszczenia danych jak atak ransomware.
Czy Veeam pomaga?
Chociaż rozwiązania Veeam nie służą do zapewniania zgodności z RODO ani nawet do identyfikowania ransomware, pakiet Veeam Availability Suite może się znacznie przyczynić do tego, aby firmowy program zapewniania zgodności z przepisami skutecznie odpowiadał nie tylko na takie problemy jak ransomware, ale również na szerszą gamę wyzwań związanych z obowiązującym ustawodawstwem.
Bardzo cenna jest możliwość interakcji z narzędziami innych firm w celu szybkiego identyfikowania możliwych naruszeń ochrony oraz likwidowania ich skutków. Jeśli wziąć pod uwagę ogólną strategię firmy Veeam, czyli dbanie o dostępność obejmującą wiele repozytoriów — tak w środowisku lokalnym, jak i w chmurze — w celu zapewnienia zgodności z przepisami oraz dostępności danych w całej infrastrukturze niezależnie od lokalizacji, łatwo dostrzec, że jest ona wartościowym i nieodzownym składnikiem strategii zgodności z przepisami w nowoczesnym przedsiębiorstwie.
Podsumowanie
Zaczęliśmy od pytania: „Jakie są konsekwencje ransomware w świetle RODO?”. W odpowiedzi wskazaliśmy konieczność oceny i łagodzenia ryzyka związanego z ransomware — co dotyczy także wszystkich innych możliwych zagrożeń zgodności z przepisami.
Mam nadzieję, że przedstawione informacje okażą się przydatne i ułatwią czytelnikom skuteczne wdrażanie firmowej strategii zapewniania zgodności z przepisami.
