Vlákno názorů k článku
Ředitelství silnic a dálnic se z údajně útoku ransomwaru bude vzpamatovávat měsíce od Glasny - Proč by měl být problém GDPR-. ? "Nejsou...

Proč by měl být problém GDPR-. ? "Nejsou data, není problém, pravil Peťria"

Dohledávání záloh alá článek peroutky...

GDPR predepisuje i udrzitelnost dat obsahujici osobni udaje a kontinuitu provozu.

Současné ransomware gangy vyžívají metody tzv. double exortion. To znamená, že nejen že vám data zašifrují, ale navíc je (nebo jejich část) před šifrováním exfiltrují. Následně vydírají nejen tím, že data máte zašifrovaná a oni vám dají dešifrovací nástroj a klíč, ale také tím, že pokud nezaplatíte, zveřejní vaše data (často na určené stránce na TORu). Někdy dokonce tyto dvě akce provádí různé skupiny, a musíte tak (teoreticky) platit 2x jednou za nezveřejnění a jednou za dešifrování. K tomu dodám, že prakticky i přes to, že zaplatíte (vícekrát) máte stále < 50% procentní naději, že to kvůli čemu jste platili se uskuteční (nezveřejnění dat, dodání dešifrovacího klíče apod.)

Tzn. došlo tam i k tomu, co náš překlad GDPR nazývá (podle mě) velmi nešťastně "porušení zabezpečení osobních údajů".

A jak píše zde kolega, nemusí jít nutně o únik, ono i neoprávněné pozměnění (zašifrování je pozměnění) nebo smazání osobních údajů je považováno za ono "porušení zabezpečení osobních údajů".

Dobrá zpráva je, že ŘSD se nemusí nějakým GDPR příliš trápit, protože se jedná o státní správu a ta nemůže dostat žádnou pokutu od ÚOOÚ. Tzn. na místě ŘSD bych se ani netrápil nějakým hlášením nebo něčím podobným...

Zase tak moc do toho nevidím, ale na webu MVČR mají toto:
Pravidla ochrany osobních údajů se dotýkají kteréhokoli subjektu, který zpracovává osobní údaje způsoby, na něž se vztahuje obecné nařízení o ochraně osobních údajů. Nařízení tyto subjekty rozděluje na správce osobních údajů a zpracovatele. Správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce (jeho činnost je tedy odvozená od smlouvy s konkrétním správcem).

Z toho bych jako laik vyvodil, že pravidla ochrany osobních údajů se budou týkat i ŘSD. Dále moje laická představa o takovém útoku je, že útočníci nejdřív data ukradnou a když jsou hotovi tak jako bonus data na zdrojovém umístění zašifrují, protože proč ne :-) Předpokládám, že jestli to řeší NÚKIB, tak na GDPR nezapomenou. Pokuta zde asi nedává smysl, snad kdyby došlo k nějakému vážnému zanedbání povinností některých zaměstnanců tak jim o něco sníží prémie nebo tak něco...

ŘSD se týkají, ale na druhé straně se jim nemůže dát žádný pokuta, takže to pravidlo je nevymahatelné a neefektivní.

Mají vůbec státní instituce (jejich pracovníci) nějakou motivaci k zabezpečení svých systémů?

A proc by se jim nemohla dat zadna pokuta? Naopak, RSD uz pokut dostalo... :-)