UE szykuje rewolucję po wyciekach danych. Każda firma ma raportować incydenty według jednego wzoru

Firmy działające w Unii Europejskiej mogą wkrótce stanąć przed nowym obowiązkiem po każdym cyberataku lub wycieku danych. Europejska Rada Ochrony Danych (EROD) pracuje nad wspólnym formularzem zgłaszania naruszeń bezpieczeństwa, który ma zastąpić obecny chaos związany z odmiennymi procedurami obowiązującymi w poszczególnych krajach.

Jeśli projekt zostanie wdrożony, przedsiębiorstwa od Portugalii po Polskę będą raportować incydenty według identycznego schematu. Bruksela liczy na większą przejrzystość, szybszą analizę zagrożeń i łatwiejsze wykrywanie powtarzających się błędów popełnianych przez organizacje.

Koniec z 27 różnymi procedurami

Dziś zgłoszenie wycieku danych wygląda inaczej w zależności od państwa członkowskiego. Każdy krajowy urząd ochrony danych korzysta z własnych formularzy i wymaga nieco innych informacji. Dla międzynarodowych firm oznacza to dodatkową biurokrację, szczególnie gdy incydent dotyczy użytkowników z wielu państw jednocześnie.

Europejska Rada Ochrony Danych chce to zmienić. Podczas niedawnych rozmów z komisarzem UE ds. demokracji, sprawiedliwości, praworządności i ochrony konsumentów Michaelem McGrathem jednym z głównych tematów była harmonizacja procedur związanych z naruszeniami danych. Nowy formularz ma stać się wspólnym standardem dla całej Unii Europejskiej. Urzędy ochrony danych otrzymają identyczny zestaw informacji niezależnie od kraju, w którym doszło do incydentu.

Firmy będą musiały ujawnić znacznie więcej szczegółów

Projekt przygotowany przez EROD pokazuje, że organizacje będą zobowiązane do przekazywania bardzo szczegółowych informacji o każdym naruszeniu. Nie wystarczy już lakoniczne zgłoszenie o wycieku danych klientów. Firmy będą musiały dokładnie opisać przebieg zdarzenia, wskazać moment wystąpienia incydentu, termin jego wykrycia oraz sposób, w jaki został zauważony.

Regulatorzy chcą również wiedzieć, jakie grupy osób zostały dotknięte naruszeniem oraz jakie rodzaje danych znalazły się w rękach cyberprzestępców lub zostały przypadkowo ujawnione. Duży nacisk położono także na analizę przyczyn. Organizacje będą musiały określić najbardziej prawdopodobne źródło problemu. Na liście znajdują się między innymi ataki ransomware, phishing, błędy konfiguracji usług chmurowych, zgubione urządzenia służbowe, nadużycia pracowników oraz zwykłe błędy ludzkie.

Koniec wymówek. UE zapyta o konkretne zabezpieczenia

Jednym z najbardziej interesujących elementów projektu jest szczegółowa weryfikacja stosowanych zabezpieczeń. Przedsiębiorstwa będą musiały odpowiedzieć na pytania dotyczące wykorzystania uwierzytelniania wieloskładnikowego, szyfrowania danych, procedur tworzenia kopii zapasowych, szkoleń pracowników oraz regularnych audytów bezpieczeństwa. Dzięki temu regulatorzy zyskają możliwość porównywania incydentów i sprawdzania, które środki ochrony faktycznie ograniczają ryzyko poważnych naruszeń. Jednocześnie firmy zaniedbujące podstawowe standardy cyberbezpieczeństwa mogą znaleźć się pod znacznie większą kontrolą.

Eksperci zwracają uwagę, że takie dane pozwolą organom nadzorczym identyfikować najczęściej występujące słabe punkty w europejskich organizacjach. Powstanie także bardziej szczegółowa baza wiedzy o źródłach wycieków i skuteczności stosowanych zabezpieczeń.

Ofiary wycieków także znajdą się w centrum raportu

Nowy formularz nie skupia się wyłącznie na samym incydencie. Firmy będą musiały ocenić potencjalne skutki dla osób, których dane zostały naruszone. W dokumentacji mają pojawić się informacje dotyczące ryzyka kradzieży tożsamości, oszustw finansowych, strat majątkowych oraz szkód reputacyjnych. Regulatorzy chcą lepiej rozumieć rzeczywiste konsekwencje cyberataków dla obywateli.

Takie podejście może przełożyć się na dokładniejsze analizy i bardziej zdecydowane działania wobec organizacji, które niewystarczająco chronią dane klientów.

To dopiero początek zmian

Projekt wspólnego formularza został skierowany do konsultacji publicznych. Firmy, eksperci ds. cyberbezpieczeństwa, organizacje branżowe oraz obywatele mogą zgłaszać uwagi do 5 sierpnia. Po zakończeniu konsultacji Europejska Rada Ochrony Danych przygotuje plan wdrożenia nowych zasad dla krajowych organów ochrony danych. Jeżeli propozycje zostaną przyjęte, Europa otrzyma jednolity system raportowania wycieków danych, który ma uprościć procedury i jednocześnie zwiększyć przejrzystość działań firm po cyberincydentach.

W czasach rekordowej liczby ataków ransomware, wycieków baz klientów i coraz bardziej wyrafinowanych kampanii phishingowych Bruksela chce dokładniej wiedzieć nie tylko kto został zhakowany, ale również dlaczego do tego doszło i czy organizacja zrobiła wszystko, aby temu zapobiec.