Breșe de date: Când notificăm autoritatea sau persoanele vizate?

Article Brese de date: Când notificăm autoritatea sau persoanele vizate? Cum actiona in caz de bresa?| Decalex

 

Într-un articol publicat anterior pe blogul Decalex, am avut o abordare generală asupra breșelor de date, oferindu-vă câteva informații cheie în vederea identificării și gestionării acestora, însă nu am răspuns la o întrebare esențială și anume „când avem obligația de a notifica autoritatea și/sau persoanele vizate în cazul unui incident de securitate?”. 

Câteva aspectele cheie privind breșele de date

O breșă de date are loc atunci când datele (pentru care o organizație este responsabilă) suferă un incident de securitate care are ca rezultat o încălcare a confidențialității, disponibilității sau integrității. În cazul în care este probabil ca breșa de date să prezinte un risc pentru drepturile și libertățile unei persoane, organizația respectivă trebuie să notifice autoritatea de supraveghere fără întârzieri nejustificate și cel târziu în 72 de ore după ce a luat cunoștință de încălcare. Dacă organizația acționează în calitate de împuternicit al unui operator, aceasta trebuie să notifice operatorului de date orice astfel de breșă.

Dacă încălcarea datelor prezintă un risc ridicat pentru persoanele afectate, atunci toți ar trebui să fie informați, cu excepția cazului în care au fost instituite măsuri de protecție tehnică și organizatorică eficace sau alte măsuri care să asigure că riscul nu se mai concretizează.

Potrivit studiului DLA Piper „GDPR fines and data breach survey: January 2021”, observăm că țări precum Germania și Olanda au înregistrat, în perioada 25 mai 2018 - 27 ianuarie 2021 inclusiv, un număr impresionat de notificări de breșe de date.



Sursa: dlapiper.com

 

Comparând aceste cifre cu cele extrase din rapoartele Autorității naționale de supraveghere a prelucrării datelor cu caracter personal (ANSPDCP), pentru anii 2018, 2019 și 2020, putem concluziona că până la acest moment nu există o cultură organizațională a responsabilității operatorilor de date cu caracter personal din această perspectivă.

 

Numărul total al notificărilor de încălcare a securității datelor cu caracter personal și a sesizărilor privind posibile neconformități, înregistrate de ANSPCP în perioada 2018-2020

2018: 312 notificări și 24 sesizări 

2019: 233 de notificări și 152 sesizări 

2020: 194 de notificări și  204 sesizări 

Sursa datelor: Rapoartele de activitate ale ANSPDCP pentru anii 2018, 2019, 2020

 

Gestionarea unui posibil incident de securitate

Fiecare organizație trebui să aibă implementată o procedură pentru gestionarea eventualelor breșe de securitate. Acestea trebui să aibă definite linii de raportare clare și persoane responsabile pentru anumite aspecte ale procesului de gestionare a incidentului. Acesta ar asigura că, în cazul în care ar avea loc o breșă de securitate a datelor cu caracter personal, personalul din organizație ar ști cum să reacționeze și, mai mult ca sigur, incidentul ar fi tratat mai repede decât dacă nu ar exista un plan de atenuare în vigoare.

De asemenea, documentarea internă a unei breșe este necesară independent de nivelul de risc evaluat și trebuie efectuată în fiecare caz. Raportul de incident trebuie sa descrie în detaliu faptele referitoare la încălcarea securității datelor cu caracter personal, a efectelor acesteia și măsurile de remediere întreprinse. Astfel, acesta este un instrument esențial în demonstrarea responsabilității organizației în ceea ce privește gestionarea incidentelor de securitate, dar în special în ceea ce privește evaluarea necesității notificării autorității de supraveghere sau a persoanelor vizate. 

 

Știați că?

Neîndeplinirea obligațiilor privind notificarea autorității de supraveghere și/sau a persoanei vizate, în cazul încălcării securității datelor cu caracter personal, poate fi sancționată, conform GDPR, cu amendă de până la 10 000 000 EUR sau 2 % din cifra de afaceri.

Evaluarea gradului de risc

Comitetul European pentru Protecția Datelor (EDPB) a adoptat în luna ianuarie a acestui an varianta finală a ghidului său (Ghidul) privind exemplele de încălcări ale datelor cu caracter personal, oferind indicații importante asupra evaluării necesității de notificare a incidentelor. Acest ghid completează orientările anterioare privind notificarea încălcării datelor cu caracter personal, respectiv „Avizul privind notificarea încălcării datelor cu caracter personal (Avizul 03/2014)” și „Orientările generale privind notificarea încălcării datelor cu caracter personal în temeiul GDPR (WP 250)”, ambele emise de predecesorul EDPB, Grupul de lucru pentru articolul 29.

Prin acest nou ghid EDPB urmărește să sprijine operatorii de date să decidă cum să gestioneze încălcările de date și ce factori trebuie să ia în considerare în timpul evaluării riscurilor, oferind clarificări binevenite cu privire la momentul în care sunt necesare notificări. 

Aspecte esențiale:

evaluarea riscurilor se realizează în momentul în care au luat la cunoștință despre breșă;

breșa de securitate trebuie notificată inclusiv atunci când operatorul consideră că este probabil să rezultate un risc pentru drepturile și libertățile persoanei vizate (chiar dacă nu are certitudinea);

notificarea persoanei vizate este necesară atunci când este posibil ca încălcarea securității datelor cu caracter personal să rezulte într-un risc ridicat pentru drepturile și libertățile persoanelor fizice.

 

Știați că?

Potrivit raportului pentru 2021 al Agenției Europene pentru Securitate Cibernetică (ENISA) Threat Landscape (ETL), în 2020 și 2021, a existat o creștere a incidentelor care nu au fost rău intenționate, pandemia de COVID-19 având ca efect multiplicarea erorilor umane și configurarea greșită ale sistemelor IT, astfel încât majoritatea încălcărilor din 2020 au fost cauzate de erori umane. 

 

 

Ghidul include exemple de scenarii comune de încălcare a datelor, descriind pentru fiecare caz în parte măsuri prealabile și evaluarea riscurilor, precum și măsurile de atenuare pe care operatorii trebuie să le adopte și obligațiile ce le revin acestora.

Scenariile tratate în Ghid vizează următoarele categorii de incidente:

➲  atacuri ransomware - datele sunt criptate, atacatorul solicitând o răscumpărare în schimbul codului de decriptare;

➲   atacuri de exfiltrare a datelor - exploatând vulnerabilități identificate în platforma online, atacatorul vizează de copierea, extragerea și abuzul de date cu caracter personal;

➲   erori umane - indiferent că sunt intenționate sau neintenționate;

➲   dispozitive și documente tipărite pierdute sau furate;

➲   divulgarea datelor care un destinatar greșit;

➲   inginerie socială - furtul de identitate și exfiltrarea e-mailurilor.

 

Pentru o mai ușoară exemplificare, am extras din Ghid concluziile fiecărui scenariu în parte în ceea ce privește necesitatea de notificare:

Scenariu

Documentarea internă

Notificare către Autoritate

Notificarea persoanei vizate

Ransomware cu backup adecvat și fără exfiltrare

Ransomware fără backup adecvat

Ransomware cu backup și fără exfiltrare 

Ransomware fără backup și cu exfiltrare

Exfiltrarea datelor privind cererile de angajare de pe un site web

Exfiltrarea parolei hashed de pe un site web

Atacul de tip „Credential stuffing” pe un site bancar

Exfiltrarea datelor de afaceri de către un angajat

Transmiterea accidentală a datelor către o terță parte de încredere

Material furat care stochează date personale criptate

Material furat care stochează date personale necriptate

Documente pe hârtie, cu date sensibile, furate

Destinatar greșit - date generale

Date personale extrem de confidențiale trimise prin poștă (electronica) din greșeală

Destinatar greșit - date care nu sunt disponibile (ex. data nașterii, numere de înmatriculare auto etc.)

Inginerie socială - Furtul de identitate

Exfiltrarea e-mailului

 

Important: Analizele oferite de se referă în mod explicit la cazurile examinate, cu scopul de a oferi îndrumare operatorilor în evaluarea propriilor breșe de securitate. Astfel, EDPB atrage atenția că orice modificare a circumstanțelor cazurilor descrise mai jos poate avea ca rezultat diferite sau mai semnificative niveluri de risc, necesitând astfel măsuri diferite sau suplimentare.

Alte mecanisme de evaluare a gradului de risc

În situația în care exemplele oferite de EDPB nu se pliază pe o situație specifică, un alt instrument esențial în evaluarea gravității breșelor de date este ghidul „Recomandări pentru metodologia de evaluare a severității încălcărilor datelor cu caracter personal”, adoptat de European Union Agency for Cybersecurity (ENISA).

Potrivit ENISA, criterii luate în considerare la evaluarea gravității unei încălcări a datelor cu caracter personal vizează:

➲   Contextul prelucrării datelor: Se adresează tipului de date încălcate, împreună cu o serie de factori legați de contextul general al prelucrării;

➲   Ușurința de identificare: determină cât de ușor poate fi dedusă identitatea persoanelor din datele implicate în încălcare;

➲   Circumstanțele încălcării: abordează circumstanțele specifice ale încălcării, care sunt legate de tipul încălcării, inclusiv în principal pierderea securității datelor încălcate, precum caracterul rău intenționat al încălcării.

ENISA abordează evaluare a gradului de risc printr-un proces matematic, oferind o grila de evaluare a criteriilor menționate anterior, care, în funcție de valoarea rezultată, va indica dacă este necesară sau nu notificarea autorității.

Provocările gestionări breșelor de date

Documentarea temeinică și evaluarea corectă a unui incident de securitate sunt esențiale în demonstrarea unei conduite organizaționale bazate pe responsabilitate. 

În procesul de evaluare și documentare a unui incident, organizațiile trebui să aibă în vedere faptul că, în cazul în care au evaluat riscul ca fiind improbabil, dar se dovedește că riscul se materializează, Autoritatea de supraveghere competentă poate aplica sancțiuni.

Astfel, adoptarea cu întârziere a unor măsuri de atenuare adecvate, evaluarea eronată, notificarea tardivă a autorității sau a persoanelor vizate, pot constitui motive suficiente ca operatorul să riște o  sancțiune din partea autorității. 

Apelarea la o echipă externă, cu experiență în gestionarea și evaluarea incidentelor de securitate poate oferi operatorului o perspectiva mult mai adecvată situației și nevoilor urgente ale companiei ,în vederea mitigării riscurilor generate de un eventual incident de securitate. 

Auditarea periodică a sistemelor de prelucrare și a procedurilor operaționale adoptate de companie, implementarea planurilor, procedurilor și liniilor directoare cu privire la modul de gestionare a încălcării datelor și instruirea periodică a personalului organizației în vederea creșteri gradului de conștientizare cu privire la identificarea factorilor de risc, raportarea către management și implicit gestionarea încălcării datelor, sunt câteva dintre principalele măsuri recomandate de EDPB în vederea prevenirii unor astfel de incidente. 

 

Decalex Digital încurajează o conduită orientată spre prevenție, motiv pentru care vă invităm să ne contactați în cazul în care doriți să evaluați riscurile la care se supune compania dvs. 

Share:
Cristian Donciu
Autor: Cristian Donciu

Privacy & Data Protection Consultant

PUNE O INTREBARE