Hvordan håndtere angrep?
Redusere risiko og gjenopprette normaltilstand
For å etterleve personvernforordningen må virksomheten prioritere å redusere risikoene for personopplysningene og gjenopprette normaltilstand. Dersom uvedkommende har fått tilgang til et datasystem, vil det være viktig å lukke angriperen ute av systemet, for eksempel ved å endre passordet og lukke alle åpne tilganger («active sessions») for den kompromitterte kontoen. Virksomheten bør også undersøke om flere kontoer eller systemer kan ha blitt kompromittert, ettersom mange benytter samme brukernavn og passord i forskjellige systemer.
Hvis phishingangrepet har ført til spredning av løsepengevirus, vil det være viktig å gjenopprette personopplysningene. Dette forutsetter at virksomheten har etablert kontinuitetsplaner og rutiner for både sikkerhetskopiering og gjenoppretting av data.
Få oversikt
Virksomheten bør også gjennomgå logger for å avdekke hva som har skjedd, hvordan det har skjedd og hvem som har gjort det. For eksempel hvilke sårbarheter angriperne har utnyttet, hvilke IP-adresser de har benyttet og om de har hentet ut data.
Dette forutsetter at virksomheten har aktivert loggfunksjonalitet i datasystemene. Logging er nødvendig for å kunne etterforske sikkerhetsbrudd og for å kunne iverksette tiltak som reduserer risikoen for at lignende skjer igjen.
Melde avvik og informere de berørte
Brudd på personopplysningssikkerheten (avvik) skal meldes til Datatilsynet (i samsvar med personvernforordningen artikkel 33). Virksomheten må videre vurdere om de registrerte skal få informasjon om bruddet (i samsvar med personvernforordningen artikkel 34). Dette skal gjøres hvis det er sannsynlig at hendelsen vil medføre en høy risiko for deres rettigheter og friheter.
Les om avvikshåndering på vår samleside
Dersom bruddet oppfyller kravene til underretting av de registrerte, skal dette gjøres «uten ugrunnet opphold». Formålet med dette er at de berørte skal kunne ta forholdsregler og ivareta sine interesser på best mulig måte. Definisjonen av «registrerte» i personvernforordningen er «en identifisert eller identifiserbar fysisk person» (artikkel 4). Det vil si at eventuelle personopplysninger angriperen tar med inn i løsningen også vil være om registrerte personer. Disse vil omfattes av plikten til å underrette på lik linje med personene virksomheten har behandlet personopplysninger om før angrepet skjedde.
I noen tilfeller kan det være vanskelig for virksomheten å vite hvilke personopplysninger bruddet omfatter. E-postkontoer kan for eksempel inneholde både private og virksomhetsrelaterte opplysninger, og det kan dreie seg om alminnelige eller særlige kategorier av personopplysninger. Virksomheten må derfor alltid vurdere, sammen med brukeren av e-postkontoen, om innholdet i e-postkontoen er av en slik art at de registrerte skal underrettes. Dette er særlig aktuelt hvis det dreier seg om e-postkontoen til en HR-ansatt, verneombud, tillitsvalgt, helsearbeider eller lignende.