Mis on krüpteerimine ja mida see kaitseb?
Krüpteerimine on teabe kodeerimise protsess, nii et volitamata isikud sellele juurde ei pääse. Kui teie ettevõtte krüptitud andmed lekivad, ei saa keegi, kes andmeid varastab või leiab, seda lugeda, kuna ilma õige dekrüpteerimisvõtmeta on see arusaamatu.
Paljud inimesed ei tea, et krüptimistehnoloogiaga on juba kaitstud palju teavet. Näiteks veebipood ja internetipank ei töötaks ilma hea krüptimiseta. Krüptimine on loodud raha ja isiklikuandmete kaitsmiseks. Ärikeskkonna osas tuleks ettevõtte intellektuaalomandi ja oskusteabe ning teie ettevõttes töödeldavate isikuandmete kaitsmiseks kasutada krüpteerimist.
Loe lisaks
Intellektuaalomand ja oskusteave võivad sisaldada teie ettevõtte loodud tooteid või teenuseid. Need võivad olla ka meetodid, mida kasutate nende toodete edukaks müümiseks, või protsessid, mida kasutatakse nende efektiivse toimimise tagamiseks kogu nende elutsükli vältel. Samamoodi võivad need sisaldada järgmise kalendriaasta äri- ja turundusplaane. Küberründaja või varas saab kogu selle teabe rahaks teha või seda kuritarvitada.
Isiklik teave, mida teie ettevõte kogub ja töötleb, võib sisaldada teavet teie klientide ja töötajate kohta. Seaduse kohaselt peate kaitsma juurdepääsu sellistele andmetele, nagu on sätestatud Euroopa Liidu andmekaitse üldmääruses (GDPR).
GDPR ja krüpteerimine
GDPR määratleb isikuandmed. Nende hulka kuuluvad nimed ja perekonnanimed, fotod, e-posti aadressid, telefoninumbrid, kontonumbrid, sõrmejäljed ja hääled. See määrus, mis kehtib kõigis EL-i liikmesriikides alates 25. maist 2018, kirjeldab krüpteerimist kui kaitset maineohu vastu.
Kujutage ette, et üks teie töötajatest kaotab USB-võtme, mis sisaldab teie klientide nimekirja. GDPR kohaselt peaksite juhtunust teavitama kõiki nimekirjas olevaid inimesi. Nad võivad andmete rikkumist pidada tarnija vahetamise põhjuseks. Nendele isikutele teatamise kohustust ei kohaldata, kui nende isikuandmed on krüptitud.
Kas teate, mida teha, kui teie ettevõttest on lekkinud isiklikke andmeid?
Reguleerijale teatamise kohustus:
Isikuandmetega seotud rikkumistest peate teatama asjaomasele andmekaitseasutusele. See kohustus ei kehti mitte ainult suurte vahejuhtumite, näiteks suurte andmebaasi lekete korral, vaid ka väiksemate vigade korral. Näiteks kui segate ekslikult kahele erinevale adressaadile mõeldud ümbrike sisu, peate sellest teatama.
72 tundi
Peate juhtumist teatama asjaomasele järelevalveasutusele 72 tunni jooksul alates hetkest, kui olete sellest teada saanud, mitte juhtumi juhtumise hetkest. Kui sellest tähtajast ei peeta kinni, tuleb teatamisega viivitamist (s.o rikkumisest teatamise põhjuseid 72 tunni jooksul) põhjendada.
Mõjutatud üksikisikute teavitamise kohustus
Tõsisematel juhtudel peate lisaks andmekaitseasutusele teatamisele teavitama ka isikuid, kelle andmeid juhtum mõjutab. Seda sammu pole aga vaja, kui juhtum leidis aset pärast seda, kui teie ettevõte oli rakendanud asjakohased tehnilised ja korralduslikud turvameetmed, eriti need, mis muudavad isikuandmed arusaamatuks kõigile, kellel pole selleks volitusi. Üsna keeruline juriidiline mõiste “tehnilised meetmed” viitab krüpteerimisele.
Võimalikud GDPR-iga seotud trahvid
Andmete rikkumisest asjaomasele järelevalveasutusele teatamise kohustuse täitmata jätmise eest - karistatakse rahatrahviga kuni 10 miljonit eurot või ettevõtte puhul maksimaalselt 2% tema eelmisest eelnevast ülemaailmsest tulust majandusaasta. Lisaks suurele rahalisele karistusele võib andmekaitseasutus kehtestada ka järgmise:
- ajutine või lõplik piirang, sealhulgas isikuandmete töötlemise keeld
- isikuandmete kustutamine
See tähendab, et võite kaotada kõik olemasolevate klientide kontaktid või teie ettevõttel keelatakse ajutiselt selliste andmete hoidmine.
Andmete lekkimised mõjutavad igas suuruses ettevõtteid
Paljud ettevõtted usuvad, et nad ei ole oma väiksuse ja piiratud vara tõttu tundlikud küberrünnakute ega andmerikkumiste suhtes. Kahjuks pole see nii: IDC analüütikute sõnul on enam kui 70 protsendi turvarikkumiste ohvrid väikesed ja keskmise suurusega ettevõtted. Kuid hea uudis on see, et ettevõtted ei pea küberrünnakutest teatama, kui isikuandmeid ei ole ohustatud ega lekitatud.
Eksliku mulje pärast, nagu teised ettevõtted ei peaks silmitsi seisma küberrünnakutega, võivad ettevõtted rünnaku korral tunda häbi või karta negatiivset tähelepanu.
ESET on täheldanud, et esimest aastat pärast GDPR-i jõustumist tutvusid Euroopa järelevalveasutused uute eeskirjadega. On tõenäoline, et nad määravad nüüd rohkem trahve.
Kuid kogemus näitab, et kui mõjutatud ettevõtted teevad koostööd, kipuvad nad saama väiksemaid karistusi. Samuti näib, et kui teie ettevõte pole Interneti-hiiglane, ei saa te tõenäoliselt maksimaalse trahvi.
Seetõttu soovitame organisatsioonidel alati järgida teatamiskohustust, teha koostööd järelevalveasutustega ja õpetada oma töötajatele, mis on isikuandmed ja kuidas neid kaitsta.
ESET-i krüptimislahendused
ESET Endpoint Encryption kaitseb krüptimise abil ettevõtte seadmetes sisalduvaid tundlikke andmeid. See pakub failide ja kaustade, e-kirjade ja manuste, irdkandjate, virtuaalsete ketaste ja kogu ketta krüptimist. Seda on lihtne kasutada, see pakub krüptimisvõtmete täielikku kaugjuhtimist ega vaja serverit juurutamiseks. Hankige 30-päevane tasuta prooviversioon ja proovige oma ettevõttes ESET Endpoint Encryptionit.