Není třeba chodit kolem horké kaše: vstup Obecného nařízení o ochraně osobních údajů (GDPR) v účinnost, 25. května 2018, donutil mnoho společností a veřejných institucí přehodnotit svůj přístup k zabezpečení dat. Pokud nakládáte s osobními údaji občanů EU – ať už jste je od nich získali sami anebo je zpracováváte pro jinou společnost – musíte být nově mnohem důkladnější při jejich ochraně. Selžete-li při dodržování nových pravidel, riskujete tučnou pokutu: 10-20 milionů EUR nebo 2-4 % ročního příjmu, vybírá se ta vyšší částka.
Jedním z požadavků GDPR je vybudování robustních opatření k ochraně před bezpečnostními narušeními způsobenými kybernetickými zločinci či jinými aktéry s nekalými úmysly. Pokud utrpíte narušení bezpečnosti, jste povinni uvědomit odpovídající autority, a zároveň dát vědět svým dotčeným zákazníkům. Když přitom vezmete v potaz, že bylo napadení ransomwarem nově vyhodnoceno jako nejzávažnější hrozba pro bezpečnost podnikových dat (viz Verizon 2018 Data Breach Investigation Report), můžete si vyvodit, že se budou vaše zkušenosti s plněním GDPR odvíjet především od skutečnosti, jak dobře dokážete chránit osobní údaje zákazníků z EU proti ransomwarovým útokům.
Abychom věc dokázali více přiblížit, vytvořili jsme krátký příběh o dvou společnostech, jež se pravidly GDPR musí řídit: jedna se proti napadení ransomwarem aktivně zabezpečila, druhá už ne tak moc. Jak uvidíte, jeden scénář je mnohem příjemnější než ten druhý.
Komiks naleznete zde.