Čo je šifrovanie a čo vo firmách chráni?
Šifrovanie je proces kódovania informácií tak, aby ich neoprávnené osoby nedokázali prečítať. Ak z vašej firmy uniknú zašifrované údaje, útočník alebo nálezca ich síce môže ukradnúť alebo nájsť, nebude ich však vedieť prečítať. Nebude mať totiž dešifrovací kľúč.
Táto technológia tak chráni mnoho informácií bez toho, aby si to bežný človek uvedomoval. Bez kvalitného šifrovania by napríklad nefungovalo online nakupovanie a internet banking. Chráni totiž peniaze i osobné údaje. Vo vašej firme by však šifrovanie malo chrániť firemné duševné vlastníctvo a know how a zároveň osobné údaje, ktoré vo firme spracovávate.
Prečítajte si viac
Pod duševným vlastníctvom a know-how myslíme napríklad vašou firmou vytvorené produkty alebo služby. Spôsob, akým ich úspešne predávate alebo procesy, ktoré používate na to, aby bol zabezpečený ich životný cyklus. Môžu to byť napríklad aj obchodné a marketingové plány na budúci kalendárny rok. Toto všetko vie útočník alebo zlodej speňažiť, prípadne zneužiť.
Medzi osobné údaje, ktoré vaša firma zbiera a spracováva zase patria napríklad údaje o vašich zákazníkoch a zamestnancoch. Podľa zákona musíte prístup k takýmto údajom chrániť, vzťahuje sa na ne celoeurópske nariadenia o ochrane osobných údajov (GDPR – General Data Protection Regulation).
GDPR a šifrovanie
Európske nariadenie o ochrane osobných údajov (GDPR) jasne hovorí, čo to tie osobné údaje vlastne sú. Patrí medzi ne napríklad meno a priezvisko, fotografia, e-mailová adresa, telefónne číslo, číslo účtu, odtlačok prsta a napríklad aj hlas. Toto nariadenie, ktoré vo všetkých členských krajinách Európskej únie platí od 25. mája 2018, spomína šifrovanie ako poistku pred reputačným rizikom.
Predstavte si napríklad, že váš zamestnanec stratí laptop alebo mu niekto ukradne USB kľúč, ktorý obsahuje zoznam zákazníkov, ktorí si objednali váš konkrétny produkt. Podľa nariadenia by ste mali o tomto incidente informovať všetky osoby, ktoré v tejto tabuľke boli. Títo zákazníci môžu únik vnímať ako dôvod na zmenu dodávateľa, čo pre vašu firmu predstavuje reputačné riziko a riziko straty ďalších tržieb. Oznamovacia povinnosť týmto osobám však neplatí, ak boli ich osobné údaje zašifrované.
Viete, čo máte robiť, ak z vašej firmy unikli osobné údaje?
– Úradu na ochranu osobných údajov musíte oznámiť každé porušenie ochrany osobných údajov. Táto povinnosť sa nevzťahuje len na zásadné incidenty, ako napríklad veľký únik databáz, ale aj na drobné zámeny. Ak napríklad omylom pomiešate obsah obálok určených dvom odlišným adresátom.
- máte na oznámenie tohto incidentu Úradu od momentu, kedy ste sa o ňom dozvedeli. Nie teda od momentu, v ktorom nastal.
Ak by táto lehota nemohla byť dodržaná, musí byť omeškanie oznámenia (teda dôvody, prečo nebolo možné oznámiť to do 72 hodín) zdôvodnené.
- Okrem oznámenia porušenia osobných údajov Úradu musíte vo vážnejších prípadoch informovať o porušení aj ľudí, ktorých dáta boli incidentom dotknuté. Toto sa však nevyžaduje, ak sa incident stal napriek tomu, že vaša firma implementovala primerané technické a organizačné bezpečnostné opatrenia. A to najmä tie opatrenia na základe ktorých sú osobné údaje, ktoré sú súčasťou incidentu, nečitateľné pre akúkoľvek inú osobu. Tento komplikovaný právny jazyk myslí pod technickými opatreniami práve šifrovanie.
Možné pokuty vyplývajúce z GDPR
Pokuta až do výšky 10 miliónov eur, alebo v prípade spoločnosti až do výšky dvoch percent celosvetového ročného obratu v predchádzajúcom finančnom roku - hrozí vašej firme v prípade, že si nesplníte oznamovaciu povinnosť voči Úradu. Okrem vysokej finančnej pokuty vám však úrad môže zároveň:
- nariadiť dočasné alebo trvalé obmedzenie spracúvania osobných údajov vrátane zákazu spracúvania;
- nariadiť vymazanie osobných údajov.
Stratíte tak všetky kontakty na svojich existujúcich zákazníkov, alebo vám dočasne Úrad zakáže tieto údaje ukladať.
Úniky údajov neobchádzajú ani menšie firmy
Mnohé spoločnosti sa domnievajú, že z dôvodu ich malej veľkosti a obmedzených aktív im kybernetické útoky alebo úniky údajov nehrozia. Nie je to však pravda. Vo viac ako 70 percentách prípadov sa obeťami narušenia bezpečnosti stávajú práve malé a stredné firmy, ako to uvádza spoločnosť International Data Corporation. Z našich skúseností zo slovenského trhu vieme, že kybernetické útoky naozaj nie sú v malých (a ani veľkých) firmách raritou. Firmy však nemajú povinnosť takéto útoky nahlasovať, ak pri nich nedošlo k narušeniu alebo úniku osobných údajov. Majú tiež pocit hanby a strachu z mylného dojmu, že iné firmy útoky obchádzajú a že by na seba len negatívne upozorňovali.
Z našej praxe tiež vieme, že v prvom roku platnosti nariadenia sa dozorné orgány v Európe s GDPR ešte len akoby zoznamovali a dá sa teda očakávať, že pokút budú teraz rozdávať viac. Skúsenosti tiež ukázali, že ak s orgánmi alebo úradmi dotknutá firma spolupracuje, dostane nižší trest. Ukazuje sa tiež, že ak nepatríte medzi internetových gigantov, astronomická pokuta na úrovni maximálnej sadzby vám nehrozí. Nevyhýbajte sa teda oznamovacej povinnosti, komunikujte s úradmi a vzdelávajte svojich zamestnancov o tom, čo sú osobné údaje a ako ich chrániť.
Šifrovacie riešenia ESET
ESET Endpoint Encryption chráni citlivé údaje na firemných zariadeniach pomocou šifrovania. Umožňuje šifrovanie súborov a priečinkov, e‑mailov a príloh, vymeniteľných médií, virtuálnych diskov, ako aj celej jednotky. Ľahko sa používa, ponúka úplnú vzdialenú kontrolu nad šifrovacími kľúčmi a na jeho nasadenie nie je potrebný žiadny server. Získajte 30‑dňovú bezplatnú skúšobnú verziu riešenia ESET Endpoint Encryption a vyskúšajte ho vo svojej firme.
Ďalšie zdroje a dokumenty na stiahnutie
GDPR príručka
Príručka vám poskytne zrozumiteľné informácie o tom, aký vplyv má nariadenie GDPR na vašu firmu.
GDPR špeciál
Praktický návod na prežitie pre e-shopy, agentúry vykonávajúce prieskumy trhu a ostatné sektory.
