Virtual-IT.pl - data center cloud computing SDx AI storage network cybersecurity

Historia oszukiwania ludzi przez sztuczną inteligencję
Historia oszukiwania ludzi przez sztuczną inteligencję

Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...

Czytaj więcej...

Brak wykwalifikowanej kadry i starzejące się systemy główną barierą cyfryzacji
Brak wykwalifikowanej kadry i starzejące się systemy główną barierą cyfryzacji

Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...

Czytaj więcej...

Chcielibyśmy, żeby chmura…, czyli oczekiwania wobec dostawcy
Chcielibyśmy, żeby chmura…, czyli oczekiwania wobec dostawcy

Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...

Czytaj więcej...

FRITZ!Box 6850 5G - router gotowy na sieć piątej generacji
FRITZ!Box 6850 5G - router gotowy na sieć piątej generacji

Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...

Czytaj więcej...

Integracja AIOps w kompleksowym monitorowaniu IT: Site24x7
Integracja AIOps w kompleksowym monitorowaniu IT: Site24x7

Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...

Czytaj więcej...

Broadcom upraszcza ofertę i model licencjonowania VMware
Broadcom upraszcza ofertę i model licencjonowania VMware

W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...

Czytaj więcej...

Aktualności

Atak WannaCry a rozporządzenie GDPR

RansomwareAnna Falkowska, Marketing Manager Poland and Eastern Europe w Trend Micro, prezentuje wnioski dla firm z ataku WannaCry na rok przed wejściem w życie rozporządzenia GDPR. Atak WannaCry wywołał panikę na całym świecie, jednak wydaje się, że przedsiębiorstwa i instytucje zdołały już sobie poradzić z jego skutkami. Błędem byłoby jednak przejście po tym incydencie do porządku dziennego...

Dlaczego atak okazał się tak skuteczny? Co należy zrobić, by uniknąć podobnych sytuacji w przyszłości?

Należy zdać sobie sprawę z faktu, że wiele organizacji, które w maju zostały zaatakowane przez WannaCry, w przypadku wystąpienia takiego zdarzenia za rok będzie musiało liczyć się z nałożeniem kar finansowych. Mowa oczywiście o ogólnym rozporządzeniu o ochronie danych, nazywanym rozporządzeniem GDPR, które w życie wejdzie 25 maja 2018 r. Firmy, które po niedawnym ataku dostrzegły potrzebę całkowitej przebudowy zabezpieczeń informatycznych, muszą w związku z nowymi przepisami uwzględnić cały szereg istotnych zagadnień.

Naruszenie ochrony danych czy atak ransomware?

Na pierwszy rzut oka powiązanie ataku typu ransomware z nowymi europejskimi przepisami dotyczącymi ochrony danych nie wydaje się oczywiste. W końcu na zaatakowanych komputerach doszło jedynie do całkowitego zaszyfrowania danych, a nie ich kradzieży. Jeśli jednak przyjrzymy się bliżej postanowieniom rozporządzenia GDPR to nasuwają się inne wnioski.

W art. 4, pkt. 12 stwierdza się:
(…)„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Bez wątpienia w przypadku ataku WannaCry doszło do niezgodnego z prawem dostępu do danych klientów, a po zaszyfrowaniu przez włamywaczy także do ich utraty, a być może również zniszczenia.

Z kolei art. 5, pkt. 1 zawiera następujące sformułowania:
Dane osobowe muszą być: (…) przetwarzane w sposób zapewniający [ich] odpowiednie bezpieczeństwo (…), w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Co więcej, art. 32 podaje, że administratorzy i podmioty przetwarzające mają obowiązek uwzględnić „stan wiedzy technicznej” w celu wdrożenia „odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”.

W artykule stwierdzono ponadto:
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Jak przypadek ataku WannaCry potraktowałyby organy regulacyjne?

Przede wszystkim podmiot dotknięty atakiem WannaCry mógłby zostać ukarany z powodu dopuszczenia do „niedozwolonego lub niezgodnego z prawem przetwarzania” danych objętych regulacjami. Z technicznego punktu widzenia doszło również do naruszenia ochrony danych osobowych - mimo braku kradzieży danych zostały one w trakcie działania ransomware utracone lub zniszczone.

Jeszcze bardziej obciążający byłby fakt, że oficjalna poprawka firmy Microsoft eliminująca lukę wykorzystaną do ataku była dostępna wiele tygodni przed dokonaniem ataku, zatem można by uznać, że dana firma lub instytucja nie podjęła odpowiednich działań mimo ewidentnego ryzyka.

Właściwe mechanizmy zabezpieczeń

jak już informowaliśmy w poprzednich wpisach dotyczących WannaCry, atak objął znaczną liczbę firm i instytucji. Za rok skutkiem podobnego zdarzenia może być odpowiedzialność z tytułu nieprzestrzegania przepisów GDPR. Maksymalna przewidziana kara wynosi aż 4% łącznych rocznych obrotów przedsiębiorstwa lub nawet 20 mln EUR. W myśl nowych przepisów administrator danych osobowych będzie również musiał zgłosić przypadek naruszenia ochrony danych osobowych organowi nadzorczemu w ciągu 72 godzin od jego wystąpienia. Może to spowodować dalsze konsekwencje związane z pogorszeniem wizerunku firmy lub organizacji, a także dodatkowe koszty.

Rozporządzenie wchodzi w życie 25 maja 2018 r. Wnioski z ataku WannaCry są proste: zastosowanie zabezpieczeń opartych na sprawdzonych procedurach pozwoliło uniknąć zagrożenia, a w przyszłości także ograniczy ryzyko naruszenia ochrony danych.

Źródło: Trend Micro

Logowanie i rejestracja