Novinky
28. 4. 2021

Tri roky s GDPR

Je to takmer tri roky čo vstúpila do platnosti smernica EÚ o ochrane osobných údajov General Data Protection Regulation (GDPR).

Sú to takmer tri roky, čo vstúpila do platnosti smernica EU o ochrane osobných údajov General Data Protection Regulation (GDPR) a následne aj národná úprava v podobe nového zákona o ochrane osobných údajov č. 18/2018 s cieľom vytvoriť a spresniť reguláciu v oblasti ochrany osobných údajov a ochrany súkromia občanov EU, resp. občanov SR. Týmto sa jednotlivcovi do značnej miery umožnila kontrola vlastných osobných údajov a súkromia. Na druhej strane bol predpoklad zjednotiť požiadavky v rámci ochrany osobných údajov a súkromia pre spoločnosti podnikajúce v rámci spoločného trhu EU.

Keby sme chceli zhodnotiť toto obdobie potrebovali by sme odpovede na otázky typu: Znížil sa počet únikov dát? Berú spoločnosti ochranu súkromia a súhlas na spracovanie osobných údajov vážne? Zaujímajú sa jednotlivci viac o ochranu svojich osobných údajov?

Asi bude ťažké odpovedať na ne, nakoľko nevieme definovať, aký by bol stav v tejto oblasti bez GDPR. Pozrime sa bližšie aspoň na dve, kde máme dostupné dáta – aký je stav a trend v oblasti nahlasovania porušení GDPR a udeľovaní pokút a čo nám ukazujú posledné zverejnené úniky dát.

272,5 milióna EUR

Podľa prieskumu vykonaného globálnou právnickou firmou DLA PIPER a uverejneného 19. januára 2021 bolo za tri roky platnosti GDPR nahlásených viac ako 281000 porušení GDPR v rámci európskej dvadsať sedmičky a taktiež  Veľkej Británie, Nórska, Islandu a Lichtenštajnska.  Za rok 2020  je možné sledovať takmer 19% nárast v dennom počte nahlásených porušení GDPR v porovnaní s rokom 2019. Celková výška uvalených pokút sa vyšplhala na 272,5 milióna EUR z čoho v minulom roku (2020) boli udelené pokuty vo výške 158,5 milióna EUR, čo je viac ako za predchádzajúce 2 roky (2018 a 2019) spolu. Medzi najaktívnejších regulátorov (úrady na ochranu osobných údajov v jednotlivých krajinách) patria Taliansko a Nemecko, ktoré každé uplatnilo pokuty vo výške viac ako 69 miliónov EUR, čo spolu predstavuje viac ako 50 percent z celkovej výšky udelených pokút. Slovensko sa drží v spodnej polovici rebríčka s celkovou sumou pokút vo výške 132 600 EUR. Vo výške jednotlivo udelenej pokuty sa stále drží najvyššie pokuta 50 miliónov EUR udelená francúzskym úradom na ochranu osobných údajov CNIL spoločnosti Google ešte z januára 2019 za porušenie transparentnosti a nedostatočného právneho základu na spracovanie osobných údajov pre personalizovanú reklamu (France fines Google $57 million for European privacy rule breach | Reuters). Na pomyselnom druhom mieste je pokuta vo výške 35,3 miliónov EUR udelená v októbri 2020 nemeckým kontrolným úradom opäť za nedostatočný právny základ na spracovanie osobných údajov obchodným reťazcom H&M (H&M fined for breaking GDPR over employee surveillance – BBC News). Tretia doposiaľ najvyššia pokuta bola udelené za porušenie transparentnosti, nedostatočný právny základ na spracovanie osobných údajov a nedostatočné technické a organizačné opatrenia talianskym úradom na kontrolu osobných údajov Garante a to vo výške 27,8 miliónov EUR telekomunikačnému operátorovi TIM Telecom v mesiaci január 2020 (€27,8 million GDPR fine for Italian Telecom -TIM – Data Privacy Manager). Ako je vidieť aj z predchádzajúcich zdôvodnení pokút, nejde väčšinou o úniky údajov, ale o nesprávne nastavené procesy a nedostatočne aplikované technické opatrenia, ktoré majú slúžiť na ochranu osobných údajov ukladaných v informačných systémoch spoločností.

Úniky dát

Ako už bolo uvedené vyššie, väčšinou ide o nesprávne alebo nedostatočne nastavené procesy a nedostatočné technologické riešenia ochrany osobných údajov. Tieto skutočnosti, pokiaľ sa nezachytia včas a nevykoná sa náprava, však môžu v konečnom dôsledku viesť k úniku dát aj s osobnými údajmi.

Za posledné mesiace boli publikované informácie o úniku dát z dvoch sociálnych sietí, Facebook a LinkedIn. V prípade Facebooku ide o zverejnenie osobných údajov asi 533 miliónov používateľských účtov, ktoré unikli ešte v roku 2019, kedy útočníci využili bezpečnostnú zraniteľnosť, ktorú spoločnosť Facebook následne rýchlo odstránila. Týmto sa na internet dostali údaje o používateľoch, ktoré neboli doteraz verejne prístupné, napr. telefóne čísla, facebookové ID čísla, mená, lokalizácia, dátumy narodenia ako aj ďalšie, vrátane emailových adries. Zverejnenie telefónneho čísla spoločne s emailovou adresou vytvára priestor na zneužitie týchto údajov formou  SIM swappingu. Ide v podstate o presmerovanie komunikácie s bezpečnostným kódom pri dvojfázovom overení formou SMS na telefón útočníka.

V prípade LinkedIn išlo podľa uverejnených informácií o používateľské údaje približne 500 miliónov súčasných používateľov tejto sociálnej siete. Podľa 2-miliónovej zverejnenej vzorky ide o údaje, ktoré obsahujú meno a priezvisko používateľa, emailovú adresu, telefóne číslo a ďalšie údaje z profilu. Podľa oficiálneho vyjadrenia sociálnej siete ide o zhromaždené dáta z rôznych webových stránok a zároveň dodávajú, že žiadne osobné údaje neboli ukradnuté. Opäť potenciálny útočník môže využiť tieto údaje nielen na SIM swapping, ale taktiež na zacielené phishingové útoky, rozposielanie spamu na emailové adresy a telefónne čísla alebo dokonca na krádež identity.

Ako zlepšiť zabezpečenie ako používateľ?

Tieto prípady nám ukazujú, že pri používaní sociálnych sietí by sme mali zvažovať aké informácie o sebe či už zverejníme alebo poskytneme spoločnosti, ktorá prevádzkuje danú sociálnu sieť. V každom prípade je viac než odporúčané zapnúť si viacfaktorovú autentifikáciu (dvojfázové overenie), čím značne zvýšite ochranu svojich účtov. Taktiež je nevyhnutné použiť pre každú službu, do ktorej sa prihlasujete (napr. Gmail, Facebook, Instagram, rôzne eshopy, atď.) jedinečné heslo. V prípade, že by ste si chceli overiť, či sa vaše osobné údaje nestali súčasťou niektorého nedávneho alebo minulého úniku údajov, postačí keď navštívite stránku https://haveibeenpwned.com . Zadáte svoju emailovú adresu alebo telefónne číslo a systém vám zistí, či sa tieto údaje stali súčasťou nejakého úniku dát. Ak sú vaše údaje kompromitované, odporúčame zmeniť heslo a aktivovať viacfaktorovú autentifikáciu. Svoje heslá si pravidelne meňte a používajte komplexné heslá aspoň 14 znakov dlhé a nikdy nepoužívajte rovnaké heslá pre viac služieb. Podľa dostupných trendov je pravdepodobné, že takéto alebo podobné útoky budú častejšie a preto je potrebné zvyšovať ochranu svojich účtov nielen na sociálnych sieťach, ale na všetkých službách, ktoré používate.

A čo moja firma?

Vyššie popísané úniky dát majú obrovskú publicitu, nakoľko ide o veľké nadnárodné spoločnosti s vysokým počtom používateľov. Tak, ako sa v spomenutých prípadoch stali terčom útokov spoločnosti Facebook a LinkedIn, môže sa ním v budúcnosti stať ktorákoľvek spoločnosť (resp. organizácia) bez ohľadu na jej  veľkosť alebo geografický dosah. Preto by kybernetická bezpečnosť a s ňou spojená ochrana údajov (nielen osobných) mala mať dôležité miesto v každej firme alebo organizácii. Toto hneď neznamená, že je potrebné budovať tím pracovníkov kybernetickej bezpečnosti. Po prvé nie je to nevyhnutné a po druhé bolo by to veľmi náročné, ak nie takmer nemožné (2019/2020 Cybersecurity Jobs Report odhaduje až 3,5 milióna voľných (neobsadených) pozícií v oblasti kybernetickej bezpečnosti v roku 2021). Tu je skôr potrebné hľadať spoľahlivého partnera, ktorý má skúsenosti a vie poskytnúť kybernetickú bezpečnosť ako službu. Tento prístup umožní aj tej najmenšej firme venovať sa prioritne svojmu podnikaniu a prenechať kybernetickú bezpečnosť na skúsených profesionálov. Ako už bolo uvedené skôr, dostupné trendy naznačujú, že frekvencia útokov na počítačové systémy sa bude v nadchádzajúcom období zvyšovať. Preto nestojí otázka či bude váš počítačový systém vystavený útoku, ale kedy sa tak stane. V takej situácii, keď vaša bezpečnosť závisí na IT, sú iba dve veci, ktoré zvyšujú vašu šancu na odolanie útoku. Sú to správne nastavené procesy kybernetickej bezpečnosti a dostatočne aplikované technické opatrenia na ochranu vašich počítačových systémov.