Какво следва след публикуването на откраднатите данни от Министерството на финансите?

В този час все още няма нова информация от НАП и МФ за изтеклите лични данни. Ведомствата са изправени да избират между няколко възможности – да обвинят за проблема собствен служител, анонимен чуждестранен хакер или хакер, възползвал се от небрежността на служител. Защо обаче служителят е по-вероятният извършител, показва последният доклад за киберсигурността за американските предприятия.

Какво съобщи НАП вчера:

НАП и правоохранителните органи проверяват потенциална уязвимост в системите на приходната агенция

НАП и специализираните органи в МВР и ДАНС проверяват сигнал за потенциална уязвимост на компютърната система на Националната агенция за приходите.

По рано днес по електронната поща на определени медии е изпратена връзка за изтегляне на файлове, за които се твърди, че принадлежат на Министерството на финансите на България.

В момента се извършва проверка дали данните са реални.

Допълнителна информация ще бъде предоставена по-късно.

Споделям мнението на Светлин Наков, че небрежност или действия от страна на настоящ или бивш служител на НАП или МФ , а не хакерска атака към информационната система, е довела до кражбата на чувствителна информация.

Според годишния доклад на Shred-it, най-големият риск за киберсигурността за американските предприятия е небрежност от страна на служителите.

В документа се посочва, че грешка на служител остава една от най-големите причини за нарушаване на данните – 47% от C-Suites съобщават за човешка грешка или случайна загуба от служител или вътрешен човек като основна причина за нарушаване на данните, при 31% от собствениците на малък бизнес.

Докладът за защита на данните на Shred-it 2019 показва, че служителите на организацията са ахилесовата пета на тяхната информация и сигурност на данните, а почти една трета от служителите признават, че ще търсят нова работа, ако компанията им претърпи нарушение на данните.

Компанията е направила и  проучване на настроенията на американските данъкоплатци по време на данъчната кампания.

Какво предстои да се случи според GDPR?

Министерството на финансите ще трябва да разпрати 1 млн. уведомления, с които да съобщи на засегнатите какво се е случило. Регламентът допуска, когато става дума за голям брой лица, уведомяването да се извърши „публично“: Според GDPR, Съображение (86) Администраторът следва да уведоми субекта на данни за нарушението на сигурността на личните данни без ненужно забавяне, когато има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на физическото лице, за да му се даде възможност да предприеме необходимите предпазни мерки. В уведомлението следва да се посочва естеството на нарушението на сигурността на личните данни, както и да се дават препоръки на засегнатото физическо лице за това как да ограничи потенциалните неблагоприятни последици. Такива уведомления до субектите на данни следва да бъдат правени веднага щом това е разумно осъществимо и в тясно сътрудничество с надзорния орган, като се спазват насоките, предоставени от него или от други съответни органи, като правоприлагащите органи. Така например необходимостта да се ограничи непосредственият риск от вреди би наложила незабавното уведомяване на субектите на данните, докато необходимостта от предприемането на целесъобразни мерки срещу продължаването на нарушения на сигурността на личните данни или срещу подобни нарушения би оправдало по-дълги срокове за уведомлението.

Член 34

Съобщаване на субекта на данните за нарушение на сигурността на личните данни

1.Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.

2.В съобщението до субекта на данните, посочено в параграф 1 от настоящия член, на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се посочват най-малко информацията и мерките, посочени в член 33, параграф 3, букви б), в) и г).

3.Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако някое от следните условия е изпълнено:

a) администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по- специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

б) администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни, посочен в параграф 1;

в) то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

4.Ако администраторът все още не е съобщил на субекта на данните за нарушението на сигурността на личните данни, надзорният орган може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да съобщи за нарушението или да реши, че е изпълнено някое от условията по параграф 3.

Можете да споделите: