Základní pravidla a doporučení pro zaměstnavatele ohledně ochrany osobních údajů.
V souvislosti s rozšířením práce z domova vznikají různá bezpečnostní rizika. Současně situace klade zvýšené nároky na zaměstnavatele, aby zajistili dostatečnou informovanost zaměstnanců pracujících z domova o správném zacházení s výpočetní technikou, tak aby se předešlo bezpečnostním rizikům.
1. Nepodceňujte zálohy a jejich ochranu
V případě zašifrování významného množství dat v síti je třeba v první řadě ochránit zálohy (Na to je nezbytné myslet již při návrhu či aktualizaci parametrů informační sítě organizace, jelikož pokročilé ransomware programy již útočí i na zálohy.) Je-li zálohování realizováno prostřednictvím kopírování souborů do jiné lokality v pravidelných časových intervalech, mělo by být možné automatické provádění záloh nouzově vypnout i bez zásahu správce. Ten nemusí být vždy k zastižení a případné „propsání“ viru do záloh může mít zásadní dopad. Úřad tak důrazně doporučuje zálohování implementovat způsobem, který umožňuje návrat k předchozím verzím souborů (např. pomocí tzv. inkrementálních záloh).
2. Připravte konkrétní postupy pro rychlou reakci
Začne-li kryptovirus šifrovat data, je třeba postižený počítač co nejdříve vypnout a informovat správce sítě o probíhajícím útoku. V těchto případech je důležitá každá minuta, čím méně škod stihne virus napáchat, tím lépe. Spolu se správcem by měl být ideálně informován i pověřenec pro ochranu osobních údajů, či další osoby, které jsou odpovědné za tzv. compliance (např. komunikaci se státními orgány). Konkrétní postupy by měly být součástí vnitřní dokumentace pro řešení bezpečnostních incidentů.
3. Vyhodnoťte a ohlaste porušení zabezpečení
Jestliže dojde k porušení zabezpečení osobních údajů, ať již na pracovišti, nebo v rámci práce z domova, které bude vyhodnocené jako rizikové pro práva a svobody subjektů údajů, vzniká správci povinnost toto porušení ohlásit Úřadu. Pokud se však podaří zastavit útok včas (nedošlo ke kompromitaci osobních údajů tím, že by se jich útočník zároveň zmocnil, a data byla obnovena ze zálohy), není zpravidla takový útok nutné ohlašovat, jelikož nenaplňuje podmínku rizika pro práva svobody subjektů údajů. I v takovém případě by však mělo dojít k zaznamenání incidentu ve smyslu čl. 33 odst. 5 GDPR.