poznáme.it Bezpečnosť Odporúčania, ako na ransomware útoky podľa britského ICO

Odporúčania, ako na ransomware útoky podľa britského ICO

Nedávno prebehla médiami správa o veľkom útoku, ktorý zasiahol rôzne inštitúcie po celom svete, najmä v Británii. Aké sú kroky, ktoré je vhodné implementovať k tomu, aby sa mohla spoločnosť brániť pre takýmito útokmi?

Britský úrad Information Commissioner‘s Office (ICO) zverejnil na svojom blogu sadu odporúčaní.

Prečo sa oplatí sledovať odporúčania národných orgánov?

Legislatíva ohľadne ochrany osobných údajov obsahuje niekoľko nejasností, ktoré komplikujú jej praktické dodržiavanie. Niektoré povinnosti sú v nej totiž definované na veľmi všeobecnej úrovni. Napríklad, obľúbeným pojmom sú tzv. „vhodné technické a organizačné opatrenia“, napríklad v článku 24 Všeobecného Nariadenia o Ochrane Osobných Údajov (GDPR). Tie musia prevádzkovatelia implementovať, aby zabezpečili ochranu a bezpečnosť dát, ktoré spracúvajú.

Z tohto dôvodu je zaujímavé sledovať to, keď národné úrady zverejňujú rôzne návrhy a odporúčania.

Základné tipy sú rozdelené do dvoch kategórií – slúžiace pre prevenciu a na obnovu.

Preventívne opatrenia:

Podľa ICO medzi ne patria:

  • implementácia základných technických opatrení proti malware a ich aktualizácia
  • zabezpečiť, aby všetky Vaše zariadenia mali implementované najnovšie bezpečnostné patch-e
  • odstránenie všetkých nepotrebných užívateľských účtov a obmedzenie prístupov pre užívateľov
  • odstrániť nepotrebný software pre zníženie potenciálnych prístupových ciest
  • snažiť sa oddeľovať časti Vašej siete, aby v prípade útoku dochádzalo k stratám a škodám len v čo najnižšom rozsahu
  • ochrana a šifrovanie záloh – mať backup offline aj mimo Vaše pracovisko
  • tréning zamestnancov pre rozpoznávanie ransomware útoku

Opatrenia slúžiace na obnovu:

Podľa ICO medzi ne patria:

  • zabezpečte, že máte efektívnu stratégiu pre zálohovanie a vytvorený proces pre obnovenie Vašej služby. Zamerajte sa hlavne na to, aby ostali zálohy šifrované aj po útoku
  • zabezpečte, že ste pripravení a schopní obnoviť Vašu službu po ransomware útoku prostredníctvom pravidelného testovania Vašich záloh
  • po odstránení ransomware, uskutočnite celkový bezpečnostný audit a penetračný test Vašich systémov a siete

Záver

Ani toto odporúčanie neodpovie na otázku, ktoré konkrétne opatrenia je nutné implementovať. Nariadenie GDPR obsahuje niektoré pravidlá pre posúdenie, ktoré opatrenia máte prijať v konkrétnom prípade. Zároveň zavádza aj možnosť implementovať odvetvové kódexy správania alebo certifikačné mechanizmy. Pre naplnenie regulačných požiadaviek tak bude nutná hlbšia analýza požiadaviek z rôznych zdrojov a analýza toho, ako sa pracuje s dátami a osobnými údajmi v konkrétnom prípade.

Na druhej strane, v prípade ransomware útokov nejde len o to naplniť regulačné požiadavky na bezpečnosť dát, ale o to, aby boli dáta v čo najväčšej miere zabezpečené. Aj z tohto uhla pohľadu je preto vhodné čítať odporúčania národných orgánov.


Dobrý článok? Chceš dostávať ďalšie?

Už viac ako 6 200 ITečkárov dostáva správy e-mailom. Nemusíš sa báť, nie každé ráno. Len občasne.



Súhlasím so spracovaním mojich osobných údajov. ( Viac informácií. )

Tvoj email neposkytneme 3tím stranám. Posielame naňho len informácie z robime.it. Kedykoľvek sa môžeš odhlásiť.

Martin Boroš
Martin Borošhttp://data.boros.sk/
Vyštudoval som právo a sociológiu. Venujem sa analytike a ochrane osobných údajov. Mám skúsenosti s rôznymi pohľadmi na prácu s dátami: z právneho hľadiska, z ich praktického využitia v online prostredí, ako aj z hľadiska bezpečnosti dát. Som autorom stránok www.dataitlaw.com a www.data.boros.sk a prehľadov právnej úpravy ochrany osobných údajov v Českej republike a na Slovensku pre medzinárodný porovnávač activemind.legal.

Head of Engineering | REMOTE | Gaming | Americkí mentori

Pre mladý startup vyvíjajúci softvér, ktorý prispieva hráčom k lepšiemu zážitku z hrania, hľadáme Head of Engineering. Založili ho dvaja...

Medior Backend Developer

Chceš sa podieľať na rozvoji digitálnych služieb určených pre zdravotníctvo? Poď robiť veci, ktoré dávajú zmysel! Pátrame po Medior...

DevOps Engineer | REMOTE | Gaming | Americkí mentori

Pre mladý startup vyvíjajúci softvér, ktorý prispieva hráčom k lepšiemu zážitku z hrania, hľadáme DevOps Engineera. Založili ho dvaja...

Solution Architect

Pozícia: Solution Architect Pracovný pomer: TPP, Kontrakt Miesto práce: Bratislava Plat: TPP: 4000+ EUR/Brutto Kontrakt: 200+ EUR/MD Pracuješ ako Architekt alebo seniorný developer? Máme pre...

GIS/Lidar Špecialist

Chceš robiť niečo, čo robí len málokto na Slovensku? Jediná firma na Slovensku, ktorá prevádzkuje vlastné lietadlo pre zber údajov...

Automation Tester

Máš skúsenosti s automatizovaným testovaním? Pre Automatizovaného testera máme príležitosť v oblasti digitálneho bankovníctva. Ide o projekt na kontrakt s odmenou...

MS BI Developer / REMOTE

Sprav krok vpred s novým projektom v oblasti bankovníctva. Ide o projekt na kontrakt s dĺžkou trvania 2 roky. Odmena...

Jarné večerné školenia pre ITčkárov

Na jar 2021 sme pre vás pripravili novú sériu večerných školenie. Špeciálne pre juniorov programátorov tu máme bezplatné školenia...

Na UNI MSR s registráciou zadarmo zabojujú študenti o 2450€ a o postup na európsky pohár s prizepoolom 15 000€

E-športová scéna na univerzitnej úrovni sa rozrastá aj na Slovensku. Vďaka spolupráci medzi Slovenskou asociáciou elektronických športov a Študentskou...

Bezplatné školenie Unit test: Ako kedy a prečo?

Unit testy nám sľubujú v dlhodobom horizonte rýchlejší vývoj, menej chýb a ľahšiu údržbu kódu. V praxi sú však často ťažkopádne a vyžadujú...

Čítaj ďalej:

Dobrý článok? Chceš dostávať ďalšie?

Už viac ako 6 200 ITečkárov dostáva správy e-mailom. Nemusíš sa báť, nie každé ráno. Len občasne.

Súhlasím so spracovaním mojich osobných údajov. ( Viac informácií. )

Tvoj email neposkytneme 3tím stranám. Posielame naňho len informácie z robime.it. Kedykoľvek sa môžeš odhlásiť.