nahel-abdul-hadi-1226210-unsplash

Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Beveik kiekvienas verslo sektorius, vykdydamas kasdienes operacijas, į jas integruoja įvairias technologijas. IT infrastruktūra ir praktika, jei ji nėra reguliariai atnaujinama, senėja ir tampa silpnesne. Todėl dėl saugomos informacijos kiekio ir kategorijos, įmonės tampa kibernetinių atakų taikiniais. Sveikatos priežiūros sektorius yra vienas didžiausių. 2017 m. sveikatos apsaugos sektorius patyrė beveik pusę Ransomware atakų įvykdytų globaliai. Į finansų sektorių nutaikyta 12% visų išpuolių, į gamybą – 7%, į švietimą ir mažmeninę prekybą – 6%, apgyvendinimo, poilsio ir laisvalaikio planavimo sektorių- 4%. Kiti sektoriai, įskaitant vyriausybę, nekilnojamąjį turtą, komunalines paslaugas patyrė  8% visų Ransomware atakų. Pasak „Europol„, 2018 m. Ransomware atakų išpuolis sumažėjo beveik 30%, lyginant su 2017 m.,  tačiau išlieka didžiausia grėsme iš visų kenkėjiškų programų, nes „ransomware“ kodai tampa labiau pažengę ir sunkiau juos aptikti ir (arba) įveikti.

Kaip Ransomware susijęs su BDAR?

Ransomware – kenkėjiška programos/viruso forma. „Apkrėtus“ šiuo virusu, blokuojama vartotojo prieiga prie serverių, kompiuterių ir grasinamą juose esančius asmens duomenis paviešinti arba nesugrįžtamai sunaikinti, jei nebus gauta reikalaujama išpirka.

Galimi Ransomware padariniai:

  • Laikinas are visiškas spec. kategorijos asmens duomenų sunaikinimas;
  • Vykdomų operacijų sutrikdymas įsilaužius į serverius;
  • Išpirkos reikalavimas, kad sistema ir dokumentai būtų atkurti.

Stengdamosios atitikti GDPR reikalavimus, daugelis įmonių nepaiso grėsmės, susijusios su kibernetiniais išpuoliais. Per ataką gali nukentėti įmonės serveriai, staliniai kompiuteriai, nešiojamieji kompiuteriai. Atakai įvykus, įmonė turi įvertinti galimą žalą. Reikėtų atlikti diagnostiką, siekiant žinoti, ar asmens duomenys buvo pažeisti. Jei taip, vietinė duomenų apsaugos institucija turi būti informuojama per 72 valandas. Pranešime apie pažeidimą turi būti nurodoma atakos rūšis, paveiktų asmens duomenų kiekis, taip pat veiksmai, kurių buvo imtasi ir kurių planuojama imtis norint pašalinti pasekmes. Rimto pažeidimo atveju taip pat turi būti informuojami asmens duomenų subjektai, kurių informacija buvo pažeista. Įmonės, kurios tvarko spec.kategorijos duomenis, privalo informuoti vietos duomenų apsaugos instituciją apie incidentą, nepaisant atakos sukelto pažeidimo sunkumo. Jei ataką patyrusi įmonė nepateiks įrodymu, kad ji atitinka BDAR reikalavimų, ji bus priversta mokėti baudas (daugiau apie pranešimus apie pažeidimus ir GDPR baudas).

Ar Ransomware ataka laikoma asmens duomenų pažeidimu?

Prieš pateikdami savo reikalavimus, užpuolikai paprastai numato baudą, kurį būtų skiriama įmonei dėl BDAR nesilaikymo. Reikalaujama išpirka būtų kiek mažesnė. Taip tikimasi, kad nukentėjusieji verčiau mokėtų išpirką ir niekada nepraneštų apie incidentą, vietoje to, kad informuotų duomenų apsaugos institucijas, kurios pradėtų tyrimą ir galimai radę daugiau neatitikimų, pateiktų dar didesnes baudas.

Kita vertus, įmonės supranta, kad rizika gauti baudą dėl BDAR neatitikties yra didesnė.Juolab,kad galima teigti, kad Ransomware ataka iš tikrųjų nėra laikoma BDAR pažeidimu ir jo nereikia pranešti (jei jokie asmens duomenys atakos metu nebuvo pavogti, pakeisti ar sunaikinti).

Kaip išvengti Ransomware atakų?

Duomenų apsaugos ekspertai tikisi, kad ateinančiais metais Ransomware išpuolių daugės. Gali būti taikomasi į visas įmonės, nepriklausomai nuo jų dydžio. Užpuolikai žino, kad BDAR baudos gavimas mažosioms įmonėms gali būųti labai skausminga. Todėl labai svarbu įsitikinti, kad serveris ir įranga yra apsaugota, kad i būtų išvengta atakų  ar bet kokių BDAR pažeidimų.

Pagrindiniai Ransomware prevencijos metodai:

  • Atnaujinti programinę įrangą.
  • Įsigyti licenzijuotą antivirusinę programą. Naudojant tinkamus įrankius, atakos gali būti blokuojamos, sistema apsaugota nuo „infekcijos“ plitimo.
  • Perkelti turimus duomenis į „debesiją“. Įprastai „debesija“ takom tinkamas saugumo priemones, skirtas apsaugoti duomenis ir laikytis BDAR nurodymų.
  • Sustiprinti slaptažodžius. passwords. Užpuolėjui sunkiau prisijungti prie paskyros, jei ji apsaugota ilgu ir patikimu slaptažodiu.
  • Skanuoti gaunamus el.laiškus  nuo SPAMo ir kenkėjiško turinio.  
  • Kartas nuo karto atnaujinti atsargines duomenų kopijas.
  • Pašalinti nenaudojamas paskyras.
Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Try our GDPR Compliance Tool GDPR Register for 14-days.

No credit card required.

Latest Posts
Duomenų apsaugos pareigūno vaidmuo ir pareigos

Duomenų apsaugos pareigūno vaidmuo ir pareigos

Atsižvelgiant į naujausią CPO žurnalo apklausą, mes aiškinamės, koks yra duomenų apsaugos pareigūno (DAP) vaidmuo. Šiame straipsnyje bus atsakyta į...
Skirta pirmoji BDAR bauda Lietuvoje

Skirta pirmoji BDAR bauda Lietuvoje

Praėjus metams po BDAR įsigaliojimo, Lietuvos valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmą administracinę baudą. Įmonei UAB „Mister Tango“, kuri...
Poveikio duomenų apsaugai vertinimo vadovas

Poveikio duomenų apsaugai vertinimo vadovas

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad įmonės ir organizacijos, kurių duomenų tvarkymas gali sukelti pavojų fizinių asmenų interesams, atliktų poveikio asmens...
BDAR ir B2B rinkodara

BDAR ir B2B rinkodara

Perduodant asmeninius duomenis tiesioginei rinkodarai B2B ir B2C veikloje, reikia vadovautis dviem atskirais ES lygmens reglamentais. Elektroninių ryšių įstatymu (ERĮ)...
BDAR: Teisėti interesai

BDAR: Teisėti interesai

BDAR nurodo 6 teisėtumo pagrindus asmens duomenų tvarkymui ir teisėti interesai - vienas jų.Teisėti interesai nenurodo konkretaus duomenų tvarkymo tikslo, todėl tai...
Šeši mėnesiai su GDPR. Kas įvyko?

Šeši mėnesiai su GDPR. Kas įvyko?

BDAR, įsigaliojęs 2018 m. gegužės 25 d., išplėtė ES duomenų apsaugos zonos aprėptį, pristatė naujoves, turinčios įtakos tiek įmonėms, tiek...
Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Beveik kiekvienas verslo sektorius, vykdydamas kasdienes operacijas, į jas integruoja įvairias technologijas. IT infrastruktūra ir praktika, jei ji nėra reguliariai...
Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Įsigaliojus BDAR, asmens duomenų apsauga tapo sudėtingesnė sveikatos priežiūros sektoriui -  duomenys turi būti tvarkomi remiantis holistiniu požiūriu. Organizacijose turi būti...
Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius surenka didžiulį kiekį asmens duomenų, todėl būtina imtis reikiamų veiksmų, kad būtų išvengta finansinių pasekmių dėl...
Google Analytics: IP Anonimizacija

Google Analytics: IP Anonimizacija

Daugelis įmonių naudoja "Google Analytics" kaip pagalbinę priemonę, kad surinktų vertingos informacijos apie klientų elgesį svetainėse, mobiliosse programėlėse ir kt....