3 minute read
BEZPIECZEŃSTWo DANYCH
from OSOZ Polska
by OSOZ Polska
4 trendy ochrony danych osobowych 2021 roku, które warto znać
Nasilające się ataki ransomware, kary finansowe nakładane przez UoDo oraz decyzja Komisji Europejskiej w sprawie klauzul umownych zgodnych z RoDo – doniesienia z ostatnich miesięcy wskazują, że znaczenie bezpieczeństwa danych szybko rośnie.
Advertisement
KAROLINA SZuŚCIK, cISA Inspektor Ochrony Danych, KAMSOFT S.A.
Rośnie liczba ataków typu ransomware W badaniu przeprowadzonym w 2021 roku, 70% organizacji powiązanych z rynkiem ochrony zdrowia stwierdziło, że ataki typu ransomware, których celem były podmioty ochrony zdrowia, spowodowały dłuższe pobyty pacjentów w szpitalu lub opóźnienia w procedurach medycznych, co mogło mieć bezpośredni wpływ na zdrowie i życie pacjentów. Szczególnie głośny był przypadek dziecka, które urodziło się z poważnym uszkodzeniem mózgu i ostatecznie zmarło z powodu braków w opiece będących następ-
stwem ataku ransomware na szpital. Sprawa dotyczy Springhill Medical Center w Alabamie (USA). Matka dziecka, Teiranni Kidd, pozwała szpital, zarzucając, że placówka nie poinformowała jej o wyłączeniu komputerów szpitalnych z powodu cyberataku. Jeszcze inny przypadek dotyczył konieczności transportu pacjenta do innej, oddalonej o 32 kilometry placówki. Tu także powodem był cyberatak, a pacjent zmarł w wyniku późnej interwencji. Coraz trudniej jest utrzymać odporność podmiotów ochrony zdrowia na ataki cybernetyczne, a główymi powodami są m.in. duża liczba urządzeń IoT (ang. internet of things), skomplikowany system wymagań uprzywilejowanego dostępu oraz wyzwania związane z ogólnoświatową pandemią. Nikt nie ma już wątpliwości, że w podmiotach ochrony zdrowia muszą wzrosnąć nakłady na podniesienie poziomu cyberbezpieczeństwa, bo to warunek zapewnienia bezpieczeństwa pacjenta i najwyższej jakości leczenia.
uODO: pierwsza kara finansowa dla szpitala UODO w 2021 roku wydał aż 12 decyzji, na mocy których nałożone zostały kary finansowe na łączną kwotę pół mln euro. W 2020 roku UODO nałożył 11 kar finansowych, a ich suma była niższa niż 2021 roku. Co bardzo istotne, połowa z nich dotyczyła nieprawidłowości w wypełnianiu obowiązków związanych z zawiadomieniami o naruszeniu ochrony danych osobowych. Jest to zdumiewający trend, gdyż kar tych na pewno dało się uniknąć, gdyby zgłoszenia naruszeń do UODO były realizowane zgodnie z wymaganiami określonymi w RODO. Administratorzy mieli w 2021 roku problem nie tylko ze zgłaszaniem naruszeń do UODO, ale także z zawiadamianiem osób, których dane dotyczą, o zaistniałym naruszeniu. Decyzje UODO pokazały jednak, że nie będzie w tej kwestii taryfy ulgowej dla Administratorów. Przypomnijmy, że po raz pierwszy karę nałożono na placówkę medyczną.
cOViD-19, szczepienia i certyfikaty – wątpliwości wokół danych Tematem, wokół którego pojawiło się szczególnie sporo kontrowersji, była możliwość weryfikacji wyniku testu lub dokumentu potwierdzającego szczepienie np. przez pracodawcę. RODO nie ogranicza takiej możliwości. Jednak by można było realizować takie działania, powinny zostać wprowadzone specjalne przepisy w randze ustawy. Do połowy lutego 2022 r. takie przepisy w Polsce nie zostały uchwalone. Brak pewności, co do prawa w tym zakresie, generuje wiele wątpliwości – pracodawcy nadal nie wiedzą, czy mogą w sposób legalny weryfikować status szczepienia pracownika.
Decyzja komisji Europejskiej w sprawie standardowych klauzul umownych zgodnych z RODO Praktyka pokazuje, iż administratorzy nierzadko korzystają z usług świadczonych przez podmioty trzecie. Do częstych przypadków można zaliczyć hosting poczty elektronicznej, przechowywanie danych w chmurze, wykorzystywanie systemów do przeprowadzania wi-
» Są już się pierwsze udokumentowane przypadki zgonów pacjentów w wyniku ataków ransomware. «
deokonferencji lub konserwacja i serwis sprzętu wykorzystywanego przez podmiot. Jeżeli realizacja jakichkolwiek czynności wymaga przekazywania danych osobowych do państw trzecich i organizacji międzynarodowych (poza obszar EOG), wówczas należy wziąć pod uwagę iż 4 czerwca 2021 r. Komisja Europejska przyjęła nowe wzory standardowych klauzul umownych (ang. standard contractual clauses). Nowe standardowe klauzule umowne zostały dostosowane o przepisów RODO, a także uwzględniają treść wyroku Trybunału Sprawiedliwości UE w sprawie Schrems II. Wyżej opisane wydarzenia to jedynie wybrane kwestie z zakresu ochrony danych osobowych. Z perspektywy branży, wydarzyło się dużo więcej, o czym doskonale wiedzą administratorzy, podmioty przetwarzające, a także inspektorzy ochrony danych, dla których każda nowa decyzja, nowy wyrok i pojawiający się na horyzoncie temat generują nowe obowiązki.
czym jest ransomware? Oprogramowanie ransomware (znane również pod nazwą rogueware lub scareware) ogranicza dostęp do systemu komputerowego i wymaga zapłacenia okupu, aby blokada została usunięta. Najbardziej niebezpieczne ataki typu ransomware zostały spowodowane przez złośliwe oprogramowanie WannaCry, Petya, Cerber, Cryptolocker i Locky.
Skąd się bierze ransomware? Ransomware jest tworzony przez oszustów, którzy są bardzo kompetentni w programowaniu komputerowym. Mogą dostać się do komputera poprzez załącznik w e-mailu lub poprzez przeglądarkę, jeśli odwiedza się stronę, która jest zainfekowana złośliwym oprogramowaniem tego typu. Mogą oni również uzyskać dostęp do komputera poprzez sieć komputerową.
Jak rozpoznać ransomware? Gdy urządzenie jest zainfekowane ransomware, najprawdopodobniej nie będziesz w stanie uzyskać dostępu do komputera. Źródło: Avast
