„Az Európai Adatvédelmi Testület (EDPB) közzétette 1/2021 számú iránymutatás tervezetét, amelyben esetleírásokkal szemléltetve gyakorlati szempontból mutatja be az adatvédelmi incidensek megelőzésére, hatásaiknak csökkentésére, és a kapcsolódó kockázatok értékelésére vonatkozó lehetséges lépéseket, továbbá jó gyakorlatokat sorol fel a GDPR által megkövetelt technikai és szervezési intézkedésekre.
Cikkünk első részében a zsarolóvírus által okozott incidensekkel és az adatszivárgást1 eredményező támadásokkal kapcsolatos példákat és javaslatokat mutatjuk be.
Zsarolóvírus (ransomware) által okozott incidensek megelőzése és kezelése
A ransomware támadás során a támadó egy rosszindulatú kóddal titkosítja a szervezet által kezelt személyes adatokat, a visszafejtési kódért cserébe pedig váltságdíjat kér.
…
Specifikus és magasabb kockázatú példaként említi az EDPB a ransomware támadások között, ha az egy kórház / egészségügyi szolgáltató rendszerét és nagyszámú (több ezer) munkavállaló és beteg adatát éri, valamint az adatok visszaállítása hosszabb ideig (2 munkanap) tart, ami jelentős késésekhez vezet (megszakított / elhalasztott műtétek, szolgáltatási szint csökkenés). Ebben az esetben az incidenst rögzíteni kell a belső incidens-nyilvántartásban, a NAIH-ot és az érintetteket pedig értesíteni kell.Szintén magasabb a kockázat, és értesíteni kell az incidensről a NAIH-ot és az érintetteket, ha a támadás során a támadó érzékenyebb, személyiséglopáshoz vagy csaláshoz felhasználható adatokhoz (például azonosító okmányok adataihoz, bankkártya adatokhoz) fér hozzá, illetve kiszivárogtatja azokat.
Javasolt műszaki és szervezési intézkedések
Az EDPB ransomware támadások megelőzésére az alábbi műszaki és szervezési intézkedéseket javasolja:
* A firmware, az operációs rendszer és az alkalmazásszoftverek naprakészen tartása a szervereken, az ügyfélgépeken, az aktív hálózati összetevőkön és minden egyéb, ugyanazon a LAN-on (beleértve a Wi-Fi-eszközöket is) működő gépen, továbbá a javítások naplózása.
* Az adatrendszerek és hálózatok szegmentálása vagy elkülönítése, a rosszindulatú programok szervezeten belüli és a külső rendszereken való elterjedésének elkerülése érdekében.
* Korszerű, biztonságos és tesztelt biztonsági mentési eljárás bevezetése. A közép- és hosszú távú biztonsági mentéshez szükséges adathordozókat el kell különíteni az operatív adattárolástól, hogy az utóbbi sikeres támadás esetén se legyen elérhető egy harmadik fél számára (például napi biztonsági mentés, illetve heti teljes biztonsági mentés).
* Megfelelő, naprakész, hatékony és integrált anti-malware szoftver, valamint tűzfal és behatolás-észlelő és -megelőző rendszer használata.
* A hálózati forgalom tűzfalon / behatolás-észlelésen keresztül történő irányítása, akár távmunka estén is (például az internet elérésekor VPN-kapcsolat a szervezeti biztonsági mechanizmusokhoz).
* A munkavállalók oktatása az informatikai támadások felismerése és megelőzése érdekében. A munkavállalóknak fel kell tudni ismerniük, amikor támadás történik, valamint, hogy hogyan lehet a végpontot kihúzni a hálózatból. A támadás tényét kötelesek haladéktalanul jelenteni az illetékes biztonsági munkatársnak.
* Mechanizmus a kapott e-mailek és üzenetek hitelességének és megbízhatóságának felismerésére.
* Fontos a rosszindulatú kód típusának azonosítása, hogy támadás következményei láthatóvá váljanak és a kockázat csökkentése érdekében meghozzák a megfelelő intézkedéséket. Ha a ransomware támadás sikeres volt, és nincs elérhető biztonsági másolat, például a https://www.nomoreransom.org/ eszközei használhatók az adatok visszanyerésére.
* Az összes napló továbbítása vagy replikálása egy központi naplószerverre (ideértve esetleg a naplóbejegyzések aláírását vagy kriptográfiai időbélyegzését).
* Erős titkosítás és hitelesítés, különös tekintettel az informatikai rendszerek (2FA) adminisztratív hozzáférésére, a megfelelő kulcs- és jelszókezelésre.
* Rendszeres biztonsági rés és behatolási teszt.
* Számítógépes biztonsági eseményekre reagáló csoport (CSIRT) vagy számítógépes vészhelyzeti reagálási csoport (CERT) létrehozatala a szervezeten belül, vagy csatlakozás egy CSIRT / CERT kollektívához. Incidens-elhárítási terv, helyreállítási terv és üzletmenet-folytonossági terv készítése, és rendszeres tesztelése…”
Forrás:
Az EDPB új iránymutatás-tervezete az adatvédelmi incidensek kockázatértékelésére és megelőzésére – I. rész; Domokos Márton, Horváth Katalin; Jogi Fórum; 2021. február 2.
Lásd még: Guidelines 01/2021 on Examples regarding Data Breach Notification; European Data Protection Board; 2021. január 19.
(Konzultációs dokumentum.)