Czym jest szyfrowanie i co chroni?
Szyfrowanie to proces kodowania informacji w taki sposób, aby nie mogły być one odczytane przez osoby nieupoważnione. Jeśli dane Twojej firmy są szyfrowane i dojdzie do ich wycieku, każda osoba, która je wykradnie lub znajdzie, nie będzie mogła ich przeczytać, ponieważ są one nieczytelne bez odpowiedniego klucza deszyfrującego.
Wielu ludzi nie zdaje sobie sprawy, że dużo informacji jest już chronionych technologią szyfrowania. Na przykład, zakupy online i bankowość internetowa nie działałyby bez solidnego szyfrowania. Szyfrowanie ma na celu ochronę pieniędzy i informacji osobistych. W kontekście biznesowym, szyfrowanie powinno być używane do ochrony własności intelektualnej i know-how Twojej firmy, a także danych osobowych, które przetwarzasz w ramach swojej firmy.
Dowiedz się więcej
Własność intelektualna i know-how mogą obejmować produkty lub usługi stworzone przez Twoją firmę. Mogą to być również metody, które wykorzystujesz do skutecznej sprzedaży tych produktów lub procesy używane do zapewnienia ich efektywnego funkcjonowania przez cały cykl życia. Podobnie mogą obejmować plany biznesowe i marketingowe na kolejny rok kalendarzowy. Wszystkie te informacje mogą być spieniężone lub niewłaściwie wykorzystane przez cyberprzestępcę lub złodzieja.
Informacje osobowe, które Twoja firma gromadzi i przetwarza, mogą obejmować informacje o Twoich klientach i pracownikach. Jesteś zobowiązany prawnie do ochrony dostępu do takich danych, zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych (RODO) Unii Europejskiej.
RODO i szyfrowanie
RODO definiuje dane osobowe. Należą do nich imiona i nazwiska, zdjęcia, adresy e-mail, numery telefonów, numery kont, odciski palców i głosy. To rozporządzenie, które obowiązuje we wszystkich państwach członkowskich UE od 25 maja 2018 roku, opisuje szyfrowanie jako zabezpieczenie przed ryzykiem reputacyjnym.
Wyobraź sobie, że jeden z Twoich pracowników zgubił klucz USB, który zawiera listę Twoich klientów. Zgodnie z RODO, powinieneś poinformować wszystkie osoby z listy o incydencie. Mogą oni uznać wyciek danych za powód do zmiany dostawcy. Jednak obowiązek powiadomienia tych osób nie dotyczy, jeśli ich dane osobowe były szyfrowane.
Czy wiesz, co zrobić, jeśli z Twojej firmy wyciekły dane osobowe?
Obowiązek zgłoszenia regulatorowi:
Musisz zgłosić każdy przypadek naruszenia danych osobowych do odpowiedniego organu ochrony danych. Obowiązek ten dotyczy nie tylko poważnych incydentów, takich jak wycieki dużych baz danych, ale także drobnych błędów. Na przykład, jeśli omyłkowo wymieszasz zawartość kopert przeznaczonych dla dwóch różnych odbiorców, musisz to zgłosić.
72 godziny
Musisz powiadomić odpowiedni organ nadzorczy o incydencie w ciągu 72 godzin od momentu, gdy się o nim dowiedziałeś, a nie od momentu, gdy incydent się zdarzył. Jeśli ten termin nie jest dotrzymany, opóźnienie w zgłoszeniu (tj. powody, dla których naruszenie nie zostało zgłoszone w ciągu 72 godzin) musi być uzasadnione.
Obowiązek powiadomienia osób, których to dotyczy
W poważniejszych przypadkach, oprócz powiadomienia organu ochrony danych, musisz również poinformować osoby, których dane zostały dotknięte incydentem. Jednak krok ten nie jest wymagany, jeśli incydent miał miejsce po wdrożeniu przez Twoją firmę odpowiednich środków bezpieczeństwa technicznych i organizacyjnych, w szczególności takich, które czynią dane osobowe nieczytelnymi dla osób nieupoważnionych do ich dostępu. Raczej skomplikowany termin prawny „środki techniczne” odnosi się do szyfrowania.
Możliwe kary związane z RODO
Nieprzestrzeganie obowiązku zgłoszenia naruszenia danych osobowych odpowiedniemu organowi nadzorczemu grozi karą do 10 milionów euro lub, w przypadku firmy, maksymalnie 2% jej rocznych przychodów globalnych z poprzedniego roku finansowego. Oprócz wysokiej kary finansowej, organ ochrony danych może również nałożyć:
- tymczasowe lub trwałe ograniczenia, w tym zakaz przetwarzania danych osobowych
- sunięcie danych osobowych
Oznacza to, że możesz stracić wszystkie kontakty swoich istniejących klientów lub Twoja firma może dostać czasowy zakaz przechowywanie takich danych.
Naruszenia danych dotyczą wszystkich rozmiarów firm
Wiele firm uważa, że nie są one narażone na cyberataki lub naruszenia danych z powodu swojego małego rozmiaru i ograniczonych zasobów. Niestety, nie jest to prawda: według analityków IDC, małe i średnie przedsiębiorstwa są ofiarami ponad 70% naruszeń bezpieczeństwa. Jednak dobrą wiadomością jest to, że firmy nie muszą zgłaszać cyberataków, chyba że dane osobowe zostały naruszone lub ujawnione.
Z powodu fałszywego przekonania, że inne firmy nie są narażone na cyberataki, firmy mogą czuć się zawstydzone lub obawiać się negatywnej uwagi, jeśli zgłoszą atak.
ESET zauważył, że przez pierwszy rok po wejściu w życie RODO, organy nadzorcze w Europie wciąż zaznajamiały się z nowymi zasadami. Jest prawdopodobne, że teraz nałożą one więcej kar.
Jednak doświadczenie pokazuje, że jeśli dotknięte firmy współpracują, mają tendencję do otrzymywania niższych kar. Wydaje się również, że jeśli Twoja firma nie jest gigantem internetowym, mało prawdopodobne jest, że otrzymasz karę na maksymalnym poziomie.
Zalecamy zatem, aby organizacje zawsze przestrzegały obowiązku powiadamiania, współpracowały z organami nadzorczymi i edukowały swoich pracowników na temat tego, czym są dane osobowe i jak powinny być chronione.
Rozwiązania szyfrujące ESET
ESET Endpoint
Encryption
ESET Endpoint Encryption chroni wrażliwe dane na urządzeniach firmowych za pomocą szyfrowania. Oferuje szyfrowanie plików i folderów, e-maili i załączników, nośników wymiennych, dysków wirtualnych oraz całego dysku. Jest łatwy w użyciu, oferuje pełne zdalne zarządzanie kluczami szyfrowania i nie wymaga serwera do wdrożenia. Skorzystaj z 30-dniowego darmowego okresu próbnego i wypróbuj ESET Endpoint Encryption w swojej firmie.