Firmy w Niemczech coraz częściej padają ofiarą tzw. hakerów i ich ataków. Ale nie wszyscy hakerzy są tacy sami, a czynniki, które należy uwzględnić w ochronie danych, różnią się w zależności od ataku.
Dane osobowe i hakerzy
Hakerami potocznie nazywa się osoby, które (zazwyczaj nielegalnie) penetrują systemy komputerowe. W takim ataku hakerzy nie przywiązują dużej wagi do ochrony danych. Z drugiej strony, celowe podsłuchiwanie danych osobowych rzadko jest ich głównym celem. Naruszenia ochrony danych w atakach hakerów są raczej "szkodami ubocznymi". Niemniej jednak doszło do naruszenia ochrony danych.
Aby utrudnić potencjalnemu napastnikowi uzyskanie dostępu, należy przeprowadzić bezpieczną procedurę poprzez wdrożenie procedury IT-Grundschutz zgodnie ze standardami BSI dotyczącymi zwiększenia bezpieczeństwa informacji w firmie. Celem musi być przetwarzanie danych z zachowaniem najwyższych standardów, aby zmniejszyć prawdopodobieństwo udanego ataku hakerskiego.
Jako klient firmy nie masz wpływu na te czynniki i przetwarzanie własnych danych, zazwyczaj ślepo powierzasz swoje dane firmom, dlatego przepisy o ochronie danych osobowych automatycznie wymuszają bezpieczne przetwarzanie danych w firmach z UE zgodnie z art. 32 GDPR dotyczącym bezpieczeństwa przetwarzania.
Rodzaje hakerów
Choć potoczne określenie haker od razu utożsamiane jest z nielegalnym dostępem do cudzych systemów komputerowych, nie zawsze jest to prawda.
Zasadniczo można rozróżnić "white hat hacker", "grey hat hacker" i "black hat hacker". Gradacja kolorów od białego przez szary do czarnego symbolizuje zakres, w jakim haker pozostaje w granicach prawa. Podczas gdy "white hat hacker" jest zwykle zlecany przez firmę w celu znalezienia luk w zabezpieczeniach, "black hat hacker" działa ze złym i samolubnym zamiarem. White hat hacker współpracuje z firmą i w porozumieniu z nią przeprowadza testy penetracyjne, które służą zwiększeniu i utwardzeniu bezpieczeństwa IT. "Black hat hacker" szuka podatności w ten sam sposób, ale chce je wykorzystać z własnych motywów finansowych lub po prostu zaszkodzić firmie.
Pomiędzy tymi skrajnościami znajduje się "grey hat hacker". Ten haker porusza się w prawnej szarej strefie. Bez zezwolenia penetruje cudze systemy komputerowe, aby znaleźć luki w zabezpieczeniach. Z reguły jednak nie wykorzystuje ich dla własnej korzyści, lecz je publikuje. Szkody są tu jednak dla firmy bardzo wysokie, ponieważ powstają nie tylko szkody ekonomiczne, ale także trwale cierpi wizerunek. W niektórych przypadkach "hakerzy szarego kapelusza" informują również dane przedsiębiorstwo o znalezieniu luki w zabezpieczeniach, a następnie otrzymują za swój wysiłek rekompensatę finansową (program bug bounty).
Oprócz tych gradacji istnieją również grupy takie jak hacktivists, które działają z motywów politycznych lub społecznych. Swoimi działaniami chcą ucieleśnić jakiś przekaz. Oni również działają nielegalnie, ale często nie są skazywani, ponieważ szkody dla danych firm są zbyt małe.
Konsekwencje ataku
Gdy tylko dojdzie do naruszenia ochrony danych (np. nielegalnego ataku hakerskiego), incydent musi zostać zgłoszony zgodnie z prawem ochrony danych (termin 72h). Dotyczy to zazwyczaj hakerów "black hat" lub "grey hat". Aby utrzymać ryzyko ochrony danych na jak najniższym poziomie, niezbędne jest profesjonalne doradztwo.
Należy również wcześniej zasięgnąć u nas fachowej porady i wsparcia w zakresie konkretnych środków ochronnych.