Specjaliści: Unijne przepisy o danych osobowych mogą zaktywizować cyberprzestępców

„Możemy mieć do czynienia z paradoksem. Unijne prawo, mające na celu lepszą ochronę danych, może w większym stopniu zaktywizować cyberprzestępców. Firmy będące ofiarą cyberkradzieży będą mieć poważny dylemat: czy zgłosić ten fakt odpowiednim organom i zapłacić wielomilionową karę, czy też lepiej zapłacić okup” – wskazał Przemysław Krejza, dyrektor ds. badań i rozwoju w katowickim laboratorium informatyki śledczej Mediarecovery. Przygotowuje ono ekspertyzy na potrzeby policji, prokuratury, służb i firm prywatnych odpowiedzialnych za bezpieczeństwo.

Media w ostatnim czasie coraz częściej informują o firmach szantażowanych przez cyberprzestępców. Stosują oni kilka sposobów, by „zarabiać” na takiej działalności. „Wśród nich znajdziemy sieci komputerów zombie do wynajęcia, serwisy aukcyjne, gdzie można sprzedać skradzione dane, programy szyfrujące dane i żądające pieniędzy za ponowny dostęp do nich, a wreszcie żądania okupu za skradzione informacje” – wylicza Krejza.

W jego opinii wysokie kary, jakie przewiduje unijne rozporządzenie za wyciek danych – do 20 mln euro – mogą wpłynąć na podatność firm na szantaż. Cybeprzestępcy nie żądają aż tak wielkich sum, jakie przewiduje unijne rozporządzenie. Zwykle żądania okupu w przypadku kradzieży danych osobowych to kwoty rzędu od kilkudziesięciu do kilkuset tysięcy złotych w zależności od rozmiaru skradzionej bazy danych.

Według informatyków śledczych, cyberprzestępcy po dokonaniu kradzieży lub znalezieniu luki pozwalającej na taką kradzież, mogą szantażować firmę, że zgłoszą to do odpowiednich organów. Wówczas przed firmą stanie dylemat: narazić się na karę ze strony urzędu, czy po cichu zapłacić okup i załatać lukę w systemie. Specjaliści przewidują, że wiele poszkodowanych podmiotów ulegnie szantażowi, nie dostając gwarancji, że cybeprzestępcy i tak nie zgłoszą niedostatecznego zabezpieczenia danych osobowych odpowiednim służbom.

Firmy mają do dyspozycji wiele rozwiązań, zwiększających bezpieczeństwo danych osobowych – od najprostszych, poprzez bardziej rozwinięte np. EnCase eDiscovery pozwalający przeprowadzać złożone analizy incydentów dotyczących danych, po zaawansowane, takie jak GRC (Governance, Risk, Compliance). Te ostatnie pozwalają w większym stopniu przygotować całą organizację, a nie tylko jej wycinek związany z bazami danych osobowych, do zgodności z unijną regulacją.

GRC łączy w sobie zarówno rozwiązania techniczne, jak i te prawno-organizacyjne. Opisuje zestaw najlepszych praktyk i narzędzi służących do zarządzania przedsiębiorstwem w trzech wymiarach biznesowych: zarządzanie organizacją (normy i procedury), ryzyko (w szczególności operacyjne) i zgodność (z prawem i wymaganiami). Jak oceniają przedstawiciele Mediarecovery, w obliczu regulacji unijnej, GRC wydaje się optymalnym rozwiązaniem dla dojrzałych i dostatecznie dużych firm, ze szczególnym uwzględnieniem bankowości i finansów.

Rozporządzenie ogólne o ochronie danych (GDPR) ma umożliwić mieszkańcom całej UE odzyskanie kontroli w odniesieniu do ich danych osobowych. Nowe regulacje dostosowują przepisy unijne o ochronie danych z 1995 r. do rozwoju nowych technologii internetowych i cyfrowych.

Zakładają, że aby dane użytkownika mogły być przetworzone, będzie musiał on wyrazić na to wyraźną zgodę, np. poprzez zaznaczenie na stronie internetowej pola z potwierdzeniem wyrażenia zgody. Nowe przepisy mają też ułatwić użytkownikowi wycofanie zgody na przetwarzanie danych. Zgodnie z rozporządzeniem, internauci uzyskają prawo do sprostowania swoich danych oraz „prawo do zapomnienia”, czyli wymazania ich z bazy firm je przetwarzających.

Nowe przepisy regulują też warunki przetwarzania danych osób nieletnich w serwisach społecznościowych. Przewidziano także uproszczony mechanizm składania skarg przez konsumentów w przypadku naruszenia ich prywatności. Przepisy dają też możliwość nakładania kar finansowych na firmy łamiące unijne zasady ochrony danych. Firmy, które mają do czynienia ze znaczącą liczbą danych osobowych, będą miały obowiązek powołać osobę odpowiedzialną za ochronę danych.

Więcej informacji

Prawo

Podział prawa ze względu na metodę regulacji:
1) Prawo wewnętrzne: Prawo konstytucyjne, Prawo cywilne - reguluje relacje między podmiotami prawa w relacji poziomej, czyli żaden z podmiotów pozostających w stosunku prawnym nie jest władny narzucić swojej woli drugiej stronie (cywilnoprawna metoda regulacji).
Prawo pracy - reguluje stosunki między pracodawcą a pracownikiem, a także organizacjami pracowników (związki zawodowe) metodą w zasadzie cywilnoprawną, jednak z dużym zakresem norm semiimperatywnych służących wyznaczeniu minimalnego poziomu ochrony pracownika.
Prawo karne - jest zbiorem norm mających na celu eliminację zachowań aspołecznych najcięższej wagi poprzez zastosowanie sankcji kary. (karnoprawna metoda regulacji).
Prawo administracyjne - reguluje relacje między podmiotami w stosunku pionowym, tj. wówczas gdy jeden z podmiotów może władczo kształtować sytuację prawną drugiego podmiotu. (administracyjnoprawna metoda regulacji).
Prawo rodzinne i opiekuńcze
Prawo finansowe
2) Prawo międzynarodowe

Podział prawa ze względu na przedmiot regulacji:
prawo autorskie, prawo bankowe, prawo budowlane, prawo celne, prawo człowieka, prawo dziecka, prawo energetyczne, prawo kanoniczne, prawo konstytucyjne, prawo konfliktów zbrojnych, prawo lotnicze, prawo medyczne, prawo międzynarodowe, prawo naukowe, prawo o ruchu drogowym, prawo o szkolnictwie wyższym, prawo ochrony środowiska, prawo podatkowe, prawo prasowe, prawo rolne, prawo upadłościowe, prawo wyznaniowe.

Prawo jest wyrazem konieczności uporządkowania życia społecznego i poddania go pewnym regułom, by umożliwiało istnienie i możliwie należyte funkcjonowanie społeczności państwowej, bardzo zróżnicowanej, której członkowie mają odmienne potrze-by i aspiracje, w których dochodzi do rozmaitych konfliktów i zagrożeń, zarówno biologicznej jak i społecznej egzystencji grupy. Różne systemy norm prawnych wprowadzają element ładu we wzajemnych stosunkach między ludźmi. Normy prawne, podobnie jak powszechnie uznawane i akceptowane normy moralne, normy religijne czy nor-my obyczajowe nie mają jednak wyłączności na regulowanie ludzkich zachowań. Nie-mniej jednak prawo normuje dziś niemal wszystkie dziedziny życia społecznego.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.