Šifrování dat → Snižte šanci zneužití!

Šifrování je nástroj na ochranu firemních údajů. V případě úniku dat dokáže zabránit jejich zneužití útočníkem. Ztracená nezašifrovaná data představují riziko ztráty duševního vlastnictví, know-how a úniku osobních údajů. Při úniku dat je v sázce nejen poškození reputace, ale i pokuta od úřadů.

Reading time icon

5 minut čtení

Reading time icon

5 min read

Co je šifrování a co ve firmách chrání?

Šifrováním zakódujete informace tak, že je neoprávněné osoby nepřečtou. Pokud vám ve firmě uniknou data v zašifrované podobě, je riziko jejich prozrazení velmi malé. Útočník totiž nebude mít dešifrovací klíč.  

Šifrování používáme běžně, jen si to často neuvědomujeme. Bez silného šifrování dat se například neobejde online nakupování či internetové bankovnictví. Ve firmě šifrování chrání duševní vlastnictví společnosti, know-how a zároveň také osobní údaje zákazníků, zaměstnanců i obchodních partnerů.

Dozvědět se více

Pod duševním vlastnictvím a know-how firmy si můžeme představit patenty, produkty nebo služby, dále způsob prodeje daných produktů a poskytování služeb nebo další procesy, kterými zajišťujete jejich efektivní životní cyklus. Podobným příkladem mohou být obchodní a marketingové plány. To vše může útočník či zloděj zpeněžit či zneužít.

šifrování využívá veřejný a privátní klíč

GDPR a šifrování

Firmy musejí podle zákona chránit osobní údaje zaměstnanců i zákazníků. Na ochranu firemních dat se vztahuje celoevropské nařízení o ochraně osobních údajů neboli GDPR (General Data Protection Regulation). Nařízení GDPR vymezuje, co patří mezi osobní údaje. Obecně jde o údaj, který vás jako fyzickou osobu jasně identifikuje. Patří mezi ně například jméno a příjmení, fotografie, otisk prstu a také hlas. Toto nařízení, platí ve všech členských zemích Evropské unie od 25. května 2018. Fyzickým osobám přiznává mnohem vyšší právo kontrolovat, kdo a jak jejich osobní údaje zpracovává, nebo také možnost zpracování dat určitou společností zakázat.

Představte si, že váš zaměstnanec ztratí laptop či USB klíč, který obsahuje seznam všech vašich firemních zákazníků, kteří si objednali nějaký produkt. Podle nařízení GDPR musíte o tomto incidentu informovat všechny osoby, kterých se tento únik dat týká, a také úřadům. Zákazníci mohou únik dat vnímat jako důvod pro změnu dodavatele. Firma si tak nepoškodí jen reputaci, ale může ohrozit své tržby. Oznamovací povinnost těmto osobám však neplatí, pokud jejich osobní údaje byly zašifrované.

Víte, co máte dělat, pokud z vaší firmy unikly osobní údaje?

povinnost oznámit incident regulátorovi

Povinnost oznámit incident regulátorovi:

Úřadu na ochranu osobních údajů musíte oznámit každé porušení ochrany osobních údajů. Tato povinnost se nevztahuje jen na zásadní incidenty, jako třeba velký únik databází, ale také na drobné záměny. Pokud kupříkladu omylem pomícháte obsah obálek určených dvěma odlišným adresátům.

Oznámení incidentu do 72 hodín

72 hodin

Oznámit incident Úřadu na ochranu osobních údajů (ÚOOÚ) musíte do 72 hodin, a to od momentu, kdy jste se o něm dozvěděli. Nikoliv od momentu, kdy se incident stal. Pokud nemůžete tuto lhůtu dodržet, musíte zpoždění oznámit a zdůvodnit. Únik dat hlásit nemusíte, pokud není pravděpodobné, že by incident mohl ohrozit práva subjektu osobních údajů.

Povinnost oznámení incidentu jednotlivci

Povinnost oznámit incident dotčeným osobám

Kromě oznámení incidentu ÚOOÚ, musíte ve vážných případech informovat o porušení také osoby, kterých se incident týká. Tato povinnost odpadá, pokud není možné data zneužít.  Jinými slovy, pokud jsou nečitelné pro jakoukoliv jinou osobu, čímž se myslí šifrování.

Možné pokuty vyplývající z GDPR

Za porušení nařízení hrozí firmám pokuta až do výše 10 milionů eur nebo až do výše 2 procent z celkového ročního obratu firmy celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. Kromě vysoké finanční pokuty vám úřad může zároveň: 

  • Nařídit dočasné nebo trvalé omezení správy osobních údajů včetně zpracování, 
  • Nařídit vymazání osobních údajů. 

Ztratíte tak všechny kontakty na své existující zákazníky, nebo vaší firmě ÚOOÚ dočasně zakáže tyto údaje ukládat.

Úniky se nevyhýbají ani menším firmám

Mnohé společnosti se domnívají, že jim kybernetické útoky nebo úniky dat nehrozí, protože jsou malé a mají nízké zisky. To, ale není pravda. Podle společnosti International Data Corporation totiž ve více jak 70 procentech případů se obětmi útoků a úniků dat stávají právě malé a střední společnosti. Kybernetické útoky nejsou v malých (a ani velkých) firmách raritou. Firmy však nemají povinnost takovéto útoky nahlašovat, pokud při nich nedošlo k narušení nebo úniku osobních údajů.

V praxi se v prvním roce platnosti nařízení dozorové orgány s GDPR v podstatě jen seznamovaly. Ukazuje se též, že jestliže nepatříte mezi internetové giganty, maximální astronomická pokuta vám nehrozí. Nevyhýbejte se tedy oznamovací povinnosti, komunikujte s úřady a vzdělávejte své zaměstnance o tom, co jsou osobní údaje, a jak je chránit.

Řešení pro šifrování

ESET Endpoint
Encryption

ESET Endpoint Encryption chrání citlivé údaje ve firemních zařízeních pomocí šifrovaní. Umožňuje šifrování souborů a složek, e-mailů a příloh, vyměnitelných médií, virtuálních disků a celé jednotky. Snadno se používá, umožňuje úplnou vzdálenou kontrolu nad šifrovacími klíči a na jeho nasazení není potřebný žádný server. Získejte 30denní bezplatnou zkušební verzi řešení ESET Endpoint Encryption a vyzkoušejte jej ve své firmě.