Šifrovanie zabráni úniku údajov z vašej firmy

Šifrovanie predstavuje nevyhnutný nástroj na zabezpečenie údajov, ktoré vaša firma vytvára alebo zhromažďuje. Únik údajov pritom pre firmy predstavuje viaceré riziká, od straty duševného vlastníctva alebo know-how až po únik osobných údajov. Výsledkom nemusí byť len reputačné riziko ale aj hrozba vysokej pokuty.

Šifrovanie zabráni úniku údajov z vašej firmy

Šifrovanie predstavuje nevyhnutný nástroj na zabezpečenie údajov, ktoré vaša firma vytvára alebo zhromažďuje. Únik údajov pritom pre firmy predstavuje viaceré riziká, od straty duševného vlastníctva alebo know-how až po únik osobných údajov. Výsledkom nemusí byť len reputačné riziko ale aj hrozba vysokej pokuty.

Reading time icon

čítanie na 5 min.

Reading time icon

čítanie na 5 min.

Ešte nemáte našu bezplatnú e-knihu?

Spoznajte overené kroky k účinnej ochrane údajov. Stiahnite si e-knihu Ochrana údajov pre malé a stredné firmy.

Čo je šifrovanie a čo vo firmách chráni?

Šifrovanie je proces kódovania informácií tak, aby ich neoprávnené osoby nedokázali prečítať. Ak z vašej firmy uniknú zašifrované údaje, útočník alebo nálezca ich síce môže ukradnúť alebo nájsť, nebude ich však vedieť prečítať. Nebude mať totiž dešifrovací kľúč.

Táto technológia tak chráni mnoho informácií bez toho, aby si to bežný človek uvedomoval. Bez kvalitného šifrovania by napríklad nefungovalo online nakupovanie a internet banking. Chráni totiž peniaze i osobné údaje. Vo vašej firme by však šifrovanie malo chrániť firemné duševné vlastníctvo a know how a zároveň osobné údaje, ktoré vo firme spracovávate.

Prečítajte si viac

Pod duševným vlastníctvom a know-how myslíme napríklad vašou firmou vytvorené produkty alebo služby. Spôsob, akým ich úspešne predávate alebo procesy, ktoré používate na to, aby bol zabezpečený ich životný cyklus. Môžu to byť napríklad aj obchodné a marketingové plány na budúci kalendárny rok. Toto všetko vie útočník alebo zlodej speňažiť, prípadne zneužiť.

Medzi osobné údaje, ktoré vaša firma zbiera a spracováva zase patria napríklad údaje o vašich zákazníkoch a zamestnancoch. Podľa zákona musíte prístup k takýmto údajom chrániť, vzťahuje sa na ne celoeurópske nariadenia o ochrane osobných údajov (GDPR – General Data Protection Regulation).

verejný a súkromný šifrovací kľúč

GDPR a šifrovanie

Európske nariadenie o ochrane osobných údajov (GDPR) jasne hovorí, čo to tie osobné údaje vlastne sú. Patrí medzi ne napríklad meno a priezvisko, fotografia, e-mailová adresa, telefónne číslo, číslo účtu, odtlačok prsta a napríklad aj hlas. Toto nariadenie, ktoré vo všetkých členských krajinách Európskej únie platí od 25. mája 2018, spomína šifrovanie ako poistku pred reputačným rizikom.

Predstavte si napríklad, že váš zamestnanec stratí laptop alebo mu niekto ukradne USB kľúč, ktorý obsahuje zoznam zákazníkov, ktorí si objednali váš konkrétny produkt. Podľa nariadenia by ste mali o tomto incidente informovať všetky osoby, ktoré v tejto tabuľke boli. Títo zákazníci môžu únik vnímať ako dôvod na zmenu dodávateľa, čo pre vašu firmu predstavuje reputačné riziko a riziko straty ďalších tržieb. Oznamovacia povinnosť týmto osobám však neplatí, ak boli ich osobné údaje zašifrované.

Viete, čo máte robiť, ak z vašej firmy unikli osobné údaje?

Povinnosť oznámenia incidentu regulátorovi

Povinnosť oznámenia incidentu regulátorovi – Úradu na ochranu osobných údajov musíte oznámiť každé porušenie ochrany osobných údajov. Táto povinnosť sa nevzťahuje len na zásadné incidenty, ako napríklad veľký únik databáz, ale aj na drobné zámeny. Ak napríklad omylom pomiešate obsah obálok určených dvom odlišným adresátom.

72 hodín na oznámenie incidentu

72 hodín - máte na oznámenie tohto incidentu Úradu od momentu, kedy ste sa o ňom dozvedeli. Nie teda od momentu, v ktorom nastal.
Ak by táto lehota nemohla byť dodržaná, musí byť omeškanie oznámenia (teda dôvody, prečo nebolo možné oznámiť to do 72 hodín) zdôvodnené.

Povinnosť oznámenia incidentu jednotlivcom

Povinnosť oznámenia incidentu jednotlivcom - Okrem oznámenia porušenia osobných údajov Úradu musíte vo vážnejších prípadoch informovať o porušení aj ľudí, ktorých dáta boli incidentom dotknuté. Toto sa však nevyžaduje, ak sa incident stal napriek tomu, že vaša firma implementovala primerané technické a organizačné bezpečnostné opatrenia. A to najmä tie opatrenia na základe ktorých sú osobné údaje, ktoré sú súčasťou incidentu, nečitateľné pre akúkoľvek inú osobu. Tento komplikovaný právny jazyk myslí pod technickými opatreniami práve šifrovanie.

Možné pokuty vyplývajúce z GDPR

Pokuta až do výšky 10 miliónov eur, alebo v prípade spoločnosti až do výšky dvoch percent celosvetového ročného obratu v predchádzajúcom finančnom roku - hrozí vašej firme v prípade, že si nesplníte oznamovaciu povinnosť voči Úradu. Okrem vysokej finančnej pokuty vám však úrad môže zároveň:

  • nariadiť dočasné alebo trvalé obmedzenie spracúvania osobných údajov vrátane zákazu spracúvania;
  • nariadiť vymazanie osobných údajov.

Stratíte tak všetky kontakty na svojich existujúcich zákazníkov, alebo vám dočasne Úrad zakáže tieto údaje ukladať.

Úniky údajov neobchádzajú ani menšie firmy

Mnohé spoločnosti sa domnievajú, že z dôvodu ich malej veľkosti a obmedzených aktív im kybernetické útoky alebo úniky údajov nehrozia. Nie je to však pravda. Vo viac ako 70 percentách prípadov sa obeťami narušenia bezpečnosti stávajú práve malé a stredné firmy, ako to uvádza spoločnosť International Data Corporation. Z našich skúseností zo slovenského trhu vieme, že kybernetické útoky naozaj nie sú v malých (a ani veľkých) firmách raritou. Firmy však nemajú povinnosť takéto útoky nahlasovať, ak pri nich nedošlo k narušeniu alebo úniku osobných údajov. Majú tiež pocit hanby a strachu z mylného dojmu, že iné firmy útoky obchádzajú a že by na seba len negatívne upozorňovali.

Z našej praxe tiež vieme, že v prvom roku platnosti nariadenia sa dozorné orgány v Európe s GDPR ešte len akoby zoznamovali a dá sa teda očakávať, že pokút budú teraz rozdávať viac. Skúsenosti tiež ukázali, že ak s orgánmi alebo úradmi dotknutá firma spolupracuje, dostane nižší trest. Ukazuje sa tiež, že ak nepatríte medzi internetových gigantov, astronomická pokuta na úrovni maximálnej sadzby vám nehrozí. Nevyhýbajte sa teda oznamovacej povinnosti, komunikujte s úradmi a vzdelávajte svojich zamestnancov o tom, čo sú osobné údaje a ako ich chrániť.

Šifrovacie riešenia spoločnosti ESET

Riešenie chráni citlivé údaje na firemných zariadeniach pomocou šifrovania. Poskytuje šifrovanie súborov a adresárov, e-mailov a ich príloh, odnímateľných médií, virtuálnych diskov a aj celého disku. Jednoducho sa používa, poskytuje úplnú vzdialenú kontrolu nad šifrovacími kľúčmi a zároveň na nasadenie nevyžaduje server. Vyskúšajte si toto riešenie vo vašej firme na 30 dní zadarmo.

Ďalšie zdroje a dokumenty na stiahnutie

GDPR príručka

GDPR príručka

Príručka vám poskytne zrozumiteľné informácie o tom, aký vplyv má nariadenie GDPR na vašu firmu.

GDPR špeciál

GDPR špeciál

Praktický návod na prežitie pre e-shopy, agentúry vykonávajúce prieskumy trhu a ostatné sektory.

ESET Security Days 2019

Pozrite si prezentácie z ESET konferencie, ktorej témou boli aj skúsenosti s GDPR na Slovensku.