Na stronie internetowej Fińskiego Urzędu Rzecznika ds. Ochrony Danych pojawiło się krótkie podsumowanie dotyczące zgłoszeń naruszeń ochrony danych, które wpłynęły do tej instytucji.
Fiński organ przedstawia również zalecenia dla organizacji odnośnie tego, na czym powinny się skupić.
Treść dokumentu w języku angielskim, której tłumaczenie przedstawiono poniżej znajduje się tutaj: https://tietosuoja.fi/en/article/-/asset_publisher/tietosuojavaltuutetun-toimistolle-on-ilmoitettu-jo-2700-henkilotietojen-tietoturvaloukkausta.
Biuro Rzecznika ds. Ochrony Danych otrzymało już 2700 zgłoszeń naruszeń ochrony danych
Obowiązek zgłaszania naruszeń przez organizacje powstał w 2018 r., kiedy zaczęło obowiązywać Ogólne Rozporządzenie o Ochronie Danych (RODO). Urząd Rzecznika ds. Ochrony Danych zauważył, że próg zgłaszalności różni się w zależności od organizacji.
Naruszenie ochrony danych musi być zgłoszone Urzędowi Rzecznika ds. Ochrony Danych, jeżeli naruszenie może spowodować ryzyko dla praw oraz wolności osób fizycznych. Kryteria wykorzystywane do jego oceny obejmują na przykład rodzaj danych osobowych oraz to, jak poważne są potencjalne konsekwencje naruszenia.
W odniesieniu do naruszenia ochrony danych ocena ryzyka musi uwzględnić ryzyko dla osoby, której dane dotyczą. Nie jest to jednak ocena ryzyka biznesowego, pomimo tego, że ryzyko dla osoby, której dane dotyczą może pośrednio wpływać na ryzyko biznesowe.
Po zgłoszeniu naruszenia ochrony danych Rzecznikowi ds. Ochrony Danych, administrator może uzyskać poradę dotyczącą ochrony danych osobowych oraz odnośnie tego, czy poinformować o nim osoby, których dotyczy naruszenie czy nie. Jeżeli to konieczne, Rzecznik ds. Ochrony Danych może nakazać organizacji zapewnienie zgodności z obowiązkami, zgodnie z RODO.
Zgłoszenia są zwykle oceniane w odniesieniu do konkretnych przypadków, ale czasami również całość działań administratora może być poddana ocenie. Ponieważ naruszenia ochrony danych zgłoszone Rzecznikowi ds. Ochrony Danych bardzo różnią się między sobą, udzielenie ogólnych wytycznych dotyczących oceny ryzyka oraz postępowania z naruszeniami stanowi wyzwanie.
Próg zgłaszalności różni się w zależności od organizacji
Urząd Rzecznika ds. Ochrony Danych zauważył, że próg zgłaszalności różni się w zależności od organizacji. Praktyki dotyczące zgłaszania mogą się bardzo różnić nawet w tym samym obszarze.
Wiele zgłoszeń otrzymanych od organizacji nie wskazuje, że ochrona danych osobowych koniecznie była nieodpowiednia. Zgłoszenia mogą być również znakiem, że organizacja zna przepisy dotyczące ochrony danych oraz obowiązki związane z naruszeniami ochrony danych. W rzeczy samej, największa ilość zgłoszeń pochodzi z regulowanych obszarów, w szczególności ochrony zdrowia, telekomunikacji oraz sektora finansowego.
Ilość zgłoszeń naruszeń ochrony danych różni się również pomiędzy krajami z UE oraz EOG. Ilość zgłoszeń dokonanych w Finlandii jest porównywalna do tej ze Szwecji. Organy ochrony danych monitorują oraz analizują rozwój sytuacji.
Organizacje muszą ulepszyć środki zapobiegające „phishingowi”
Próby uzyskania za pomocą phishingu identyfikatora użytkownika oraz hasła w programie Office 365 są ciągle ponawiane. Próby uzyskania danych za pomocą phishingu przy wykorzystaniu poczty elektronicznej dotyczą zarówno osób fizycznych jak i organizacji.
Wiadomości typu phishing są często tworzone przy użyciu niemałych umiejętności. Wiadomości oraz strony internetowe do których prowadzą zawarte w nich linki mogą wyglądać całkowicie poprawnie, jak gdyby faktycznie pochodziły z Państwa organizacji.
Organizacje powinny podjąć środki zapobiegawcze wobec wiadomości phishingowych, poprzez regularne szkolenie zarządu oraz pracowników. Organizacje powinny określić
w przypadku jakiego rodzaju usług oraz stron internetowych członkowie organizacji mogą wykorzystywać swoją nazwę użytkownika oraz hasła. Pracowników powinno się również poinformować, w jaki sposób sprawdzać czy ich adres URL jest poprawny oraz o innych podobnych kwestiach.
Funkcjonalności aplikacji dotyczące bezpieczeństwa danych również powinny być bardziej skutecznie wykorzystywane. Administratorzy powinni aktywować funkcjonalności dotyczące bezpieczeństwa danych oraz logowania w programach Azure AD, O365 oraz usługi Exchange. Domyślne ustawienia nie są wystarczające, aby odkryć historię operacji po fakcie w przypadkach naruszeń oraz aby dowiedzieć się jakie dane osobowe wyciekły z organizacji do hakerów.
