Wdrożenie RODO a atak hakerski

[SPECJALNIE DLA NAS] Od kiedy hotelarze korzystają z rozwiązań informatycznych, często sieciowych, pozwalających na zdalny dostęp do zbioru danych, pożar, zalanie czy kradzież dokumentów przestały być przerażającym widmem. Niestety nie jest tak, że wraz z odejściem papierowych dokumentów odeszły zagrożenia związane z integralnością danych.

Każdy komputer może być celem ataku cyberprzestępców. Jednym z nich jest atak ransomware – w uproszczeniu, to rodzaj złośliwego oprogramowania, które blokuje dostęp do danych i żąda okupu za ich odblokowanie. Nakreślmy całkiem realny scenariusz. 7:00 poniedziałkowy poranek. Hotelarz włącza komputer chcąc sprawdzić, jak minął weekend i przygotować się do nadchodzących wydarzeń. Niestety, nie jak co tydzień, zamiast ekranu startowego, jego oczom ukazuje się komunikat, iż padł ofiarą ataku hakerskiego. Wszystkie pliki zostały zaszyfrowane i zostaną odszyfrowane po zapłaceniu okupu.

Nie trzeba przekonywać, że atak hakerski jest sytuacją bardzo niekomfortową, ale kwestia braku
komfortu nie jest w tym przypadku najważniejsza. Nieco ponad rok temu zaczęło obowiązywać ogólne rozporządzenie o ochronie danych, powszechnie znane jako RODO. Początkowo, postrzegane było jako regulacja narzucająca kolejne obowiązki, które należy wdrożyć. Niestety „wdrożyć” często oznaczało przygotować dokumenty i odłożyć do szuflady. Tymczasem, prawidłowo wdrożone procedury dotyczące ochrony danych osobowych pozwalają na zabezpieczenie pracy hotelu również na wypadek ataku hakerskiego.

Przede wszystkim, kiedy utracono dostęp do danych, najważniejsze jest jego odzyskanie. Bez dostępu do rezerwacji, grafiku personelu czy harmonogramu wydarzeń zapanuje chaos. Wdrażając procedury związane z ochroną danych osobowych zaleca się wykonywanie kopii zapasowych. Podczas prawidłowego wdrożenia kategoryzuje się przetwarzane dane osobowe, bada sposób oraz częstotliwość wprowadzania zmian i podejmuje decyzję jak często należy wykonywać kopie zapasowe, gdzie je przechowywać i w jaki sposób odzyskać. Dzięki prawidłowo skonstruowanej dokumentacji, przeszkolony personel w bardzo krótkim czasie odzyska dostęp do potrzebnych danych. Konsekwencją nieprawidłowego wdrożenia mogą być trudności w odzyskaniu danych oraz odzyskanie zbędnych, już nieaktualnych danych.

ŚWIAT HOTELI: grudzień 2019
> kliknij, aby się zapoznać się z pełnym wydaniem <

Odzyskanie danych pozwala hotelowi prawidłowo funkcjonować, ale to nie koniec usuwania skutków ataku. Artykuł 33 ustęp 1 RODO stanowi, iż w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia zgłasza je organowi nadzorczemu. Zgłoszenie nie jest konieczne, jeżeli jest mało prawdopodobne, że naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych – np. gości. Podmiot prowadzący hotel, będący w rozumieniu przepisów RODO administratorem musi prawidłowo oszacować ryzyko naruszenia praw lub wolności osób fizycznych (gości, personelu), których dotyczy atak i podjąć decyzję co do informowania o naruszeniu. Zatem skutkiem ataku na słabo zabezpieczony hotel będzie nie tylko konieczność przywrócenia stanu sprzed ataku, ale może być także konieczność poinformowania o nim gości hotelowych. Jest raczej jasne, że ze względów wizerunkowych może być to ogromnym wyzwaniem, ale ponadto, jeżeli konieczne będzie poinformowanie pocztą tradycyjną, może być także bardzo kosztowne.

W erze zinformatyzowanych hoteli atak hakerski jest realnym zagrożeniem. Dzięki prawidłowemu wdrożeniu RODO, hotel jako organizacja nie tylko działa zgodnie z prawem, ale przede wszystkim jest odporniejszy na ataki cyfrowe.

Autorem jest Mateusz Szczypa
aplikant radcowski Strażeccy, Jaliński I Wspólnicy

© BROG B2B Spółka z ograniczoną odpowiedzialnością sp.k.
Dalsze rozpowszechnianie powyższego materiału jest zabronione.