Mit tehetsz az adatvédelmi incidens ellen?

Kkv 011 1080x610 0521

Az adatvédelmi incidensek komoly károkat okozhatnak a céged életében. Bemutatjuk hogyan birkózhatsz meg a következményekkel.

Az adatvédelem a GDPR rendelet 2018-as bevezetése óta még fontosabb és sokkal érzékenyebb témává vált a cégek életében. A jogi oldal ismerete mellett ugyanolyan fontos azonban az informatikai felkészültség. Katona Tamás, a T-Systems felhőszolgáltatás-portfólió menedzserének segítségével összeszedtük a legfontosabb tudnivalókat az adatvédelmi incidensek kezelésével kapcsolatban, hiszen tisztában kell lenned a veszélyekkel és a következményekkel is.

Mi az az adatvédelmi incidens?

Minden tudatos vagy nem tudatos, jogszerűtlen adatkiadást, ami a személyes vagy titkos adatokat érinti, adatvédelmi incidensnek nevezünk. Az adatvédelmi incidensek leggyakrabban rosszindulatú IT támadásokból (például adatlopásból vagy adatszivárgásból) fakadnak, de pusztán emberi hiba, figyelmetlenség is okozhatja.

Abban az esetben, ha áldozattá vált a céged:

  1. Az adatvédelmi rendelet szerint 72 órán belül szükséges bejelentened az adatvédelmi incidenst a kijelölt hatóságnak (Nemzeti Adatvédelmi és Információszabadság Hatóság).
  2. Legelőször is fel kell mérned az incidens hatását az érintett személyekre: mekkora kockázatot jelent a kiszivárgott információ számukra.
  3. Ha nagy a kockázat, akkor tájékoztatnod kell őket.
  4. Ezután vagy ezzel párhuzamosan gondoskodnod kell a probléma megoldásáról és helyreállításáról.
  5. Végül pedig nyilvántartást kell készítened az incidens alakulásáról: dokumentálnod kell az esethez kapcsolódó tényeket, az okozott károkat és hatásokat, illetve az incidens megoldása érdekében tett intézkedéseket.

Ha cégedet támadás érte és adatvédelmi incidens történt, mindenképpen felelős vagy az okozott kárért. A felelősség alól csak akkor mentesülsz, ha az adattulajdonos – akinek az adata kiszivárgott vagy illetéktelen kezekbe jutott – semmilyen formában nem károsult, és az esemény nem járt kockázattal a számára. Valljuk be, ez igen ritka.

Miért kell az adatvédelemmel foglalkozni?

Az elmúlt években folyamatosan nőtt a kiberfenyegetettség Magyarországon. Katona Tamás szerint a kkv szektort is jelentős veszély fenyegeti. “Mind a cégek és munkavállalók számossága, mind pedig az egyes cégekre és az ott dolgozó munkavállalókra gyakorolt komoly hatása miatt érintett a kkv szektor. Míg a nagyvállalatoknál a védelem és a reakcióképesség is erősebb, addig a kisvállalatok esetében a tudáshiány és felkészületlenség miatt egy komolyabb incidens esetén vészhelyzet alakul ki, aminek következtében akár teljesen le is állhat a működés.”

Ami a legfontosabb: gyenge adatbiztonság esetén könnyen áldozattá válhat a vállalkozásod, ami számos káros hatással jár. A kitudódott adatvesztés következtében a céged iránt csökkenhet az ügyfelek és a munkatársak bizalma, egyfajta reputációvesztéssel számolhatsz, amit csak megfelelő válságkommunikációval oldhatsz meg. Nem beszélve arról, hogy ilyenkor komoly bírságok és kártérítési perek is várhatnak rád.

Éppen ezért a cégvezetőtől a gyakornokig mindenkinek meg kell értenie a helyes adatkezelést, és tisztában kell lennie a lehetséges fenyegetésekkel is.

  • Ismerned kell az adatokat, amikkel dolgozol. A birtokodban vannak az ügyfelek és a munkatársak személyes adatai: például e-mail címek, telefonszámok, banki információk, amik mind szenzitív adatnak minősülnek.
  • Tudnod kell a céged és a rendszered gyenge pontjait. Ha folyamatosan teszteled az IT rendszered, és odafigyelsz a megfelelő kiberbiztonságra, kisebb eséllyel válik a vállalkozásod áldozattá. A felhő alapú szolgáltatások – például a Tresorit vagy egy magánfelhő – a megfelelő titkosítás miatt nagyobb biztonságot garantálnak. Az IT veszélyek mellett fel kell mérned a munkatársak és az ügyfelek esetleges hibáiból származó gyenge pontokat is (például rossz jelszóhasználat, vagy a céges eszközök magáncélra való használata), így azonnal tudsz majd reagálni, ha incidens történik, vagy akár meg is előzheted a problémákat.
  • Tisztában kell lenned az iparágadra jellemző veszélyekkel. A kiberbűnözök sokszor hasonló módszerekkel próbálnak meg betörni a cégek rendszerébe, ezért érdemes folyamatosan nyomon követned az iparágadban történő incidenseket.

Milyen a céged adatbiztonsági felkészültsége?

A weboldalad, a vállalkozásod számítógépei, a munkatársak által használt mobil eszközök, a WiFi-hálózat és a céges e-mail fiókok mind könnyű célpontot jelenthetnek a kiberbűnözőknek.

Katona Tamás szerint gyorsan felmérheted a céged adatbiztonsági felkészültségét. “A legegyszerűbb tesztkérdés: végig tudod-e gondolni, hogy milyen adatokat kezel a céged, és azok hol fordulhatnak elő, melyik számítógépen, melyik adatbázisban? Legtöbben itt belátják, hogy nem urai a helyzetnek. Márpedig mindegyik helyen, ahol előfordulhatnak céges adatok, ott gondolni kell a hozzáférés- és jogosultságkezelésre is a vírusvédelem mellett. Végezd el a T-Systems online felmérését, ami pont ebben nyújt segítséget!”

Készülj fel a legrosszabbra: legyen vészterved!

Előfordul, hogy akármennyire is felkészült a céged, mégis megtörténik a baj, és fontos adatok szivárognak ki a cégedről vagy az ügyfeleidről. Ilyenkor a veszteség mértéke azon múlik, hogy hogyan és milyen gyorsan tudsz reagálni a történtekre. Emiatt egy előre kidolgozott vésztervre van szükség, ami különböző esetekre vonatkozóan forgatókönyvet nyújt a cégnek a szükséges technikai és szervezési intézkedésekről.

Ahogy az gyakran előfordul, az ilyen helyzetekben is a kommunikáción áll vagy bukik a vállalkozás jövője: közölnöd kell az érintettekkel, hogy milyen adataik mikor és miért kerültek napvilágra.

Gondoskodnod kell a publikus kommunikációról (például a közösségi médiában) és a médiamegjelenésekről egyaránt, ezért mindenképp konzultálj egy kríziskommunikációs szakértővel.

Ha adatvédelmi incidens történik a cégedben, akkor feltétlen IT szakemberhez kell fordulnod – tanácsolja Katona Tamás. “Ebből a szempontból azok vannak a legnehezebb helyzetben, akiknek ez a szaktudás nem áll rendelkezésre házon belül, és nincs folyamatos üzemeltetési megállapodásuk sem, amelynek keretében gyorsan segítséget tudnának kérni.“

A felhőszolgáltatások mentőövet jelenthetnek

Az adatlopás vagy adatszivárogtatás sajnos nem minden esetben előzhető meg, azonban megfelelő felkészültséggel elkerülhetjük a komolyabb katasztrófákat.

A Tresorit szolgáltatása teljes körű védelmet biztosíthat a cégednek: jelszóval védett fájlmegosztás, több gigányi tárhely áll a rendelkezésedre, sőt a törölt fájlok visszaállítása is lehetséges. A magas fokú titkosítás miatt biztonságban tudhatod a céges adataidat, hiszen a munkatársaidon és a partnereiden kívül senki más nem férhet hozzá a fájlokhoz, még a szolgáltató sem.

Most, hogy már tisztán látod az adatvédelem fontosságát, útravalóként Katona Tamás javaslataival zárnánk: “Ha sikerült túllendülni a problémán, akkor érdemes újragondolni a működést: jól beállított felhőszolgáltatásokkal, adatmentéssel, mindig friss vírusvédelemmel és operációs rendszerekkel minimálissá válnak az ilyen incidensek kockázatai és hatásai.”Mondd el véleményedet a cikkről

Mondd el véleményedet a cikkről, hogy minél jobb tartalmat tudjunk írni számodra!

Írd le, mi meghallgatjuk!

Termékajánló

  • Tresorit
    Tresorit
    A Tresorit ideális megoldást kínál, ha szeretnéd elkerülni az adatlopást és megfelelni az új európai adatvédelmi szabályozásnak (GDPR).
    Megnézem

Oszd meg a cikket!

Iratkozz fel hírlevelünkre!

Hírek, események, új termékek és még sok más vár rád hírlevelünkön!

Termékajánló

  • Tresorit
    Tresorit
    A Tresorit ideális megoldást kínál, ha szeretnéd elkerülni az adatlopást és megfelelni az új európai adatvédelmi szabályozásnak (GDPR).
    Megnézem