Catalogarea breșelor de date conform GDPR

Article Catalogarea breșelor de date conform GDPR | Decalex

Cuprins

  • Ce este o breșă de securitate în contextul GDPR?

  • Tipuri și exemple de breșe de securitate

  • Exemple de breșe de securitate

  • Prevenirea 

  • Ce facem cu e-mailurile?

  • Training-uri si instruiri periodice

  • Reacția în cazul unei breșe

  • Evaluarea și tratarea riscurilor

  • Concluzii

Ce este o breșă de securitate in contextul GDPR?

O breșă de securitate reprezintă orice fel de încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Tipuri și exemple de breșe de securitate

Tipuri de breșe de securitate:

  • Breșe ale confidențialității datelor – în care există o divulgare neautorizată / accidentală de date sau un acces neautorizat la date etc;
  • Breșe de integritate – când avem o alterare neautorizată / accidentală a datelor;
  • Breșe de disponibilitate – în care se pierde în mod neautorizat sau accidental accesul la date sau se distrug anumite date cu caracter personal.

De ce ne este frică de breșe și ce efecte pot avea acestea? Pentru un operator lucrurile sunt destul de clare, putând exista consecințe:

  • Fizice, materiale sau nemateriale;
  • Limitări ale drepturilor;
  • Discriminare;
  • Furt de identitate sau fraudă;
  • Pierderi financiare;
  • Atingeri aduse bunei imagini sau reputației;
  • Pierderea unor secrete profesionale;
  • Dezavantaje economice, sociale.

Totuși există și anumite consecințe de o natură ireversibilă: ex. atingerea imaginii companiei care duce la scăderea acțiunilor pe bursă sau mai grav pierderea anumitor secrete personale sau profesionale care împinge persoana vizată la suicid.

În prevenirea incidentelor de securitate a protecției datelor personale, de obicei, accentul se pune pe două tipuri de amenințări: (a) interne sau (b) externe.

Amenințările interne pot fi orice, de la “eroare de operator”, în cazul în care o persoană permite în mod eronat ca datele să fie compromise, unui angajat care merge “necinstit” și compromite în mod deliberat datele cu caracter personal. Recentul caz Morrisons este un exemplu în care un angajat a săvârșit un act infracțional prin accesarea ilegală a datelor personale ale mii de angajați și încărcarea acestuia pe web, însă angajatorul lui Morrisons este în primul rând responsabil pentru fapta angajatului, precum și pentru daunele care pot fi acordate persoanelor vizate.

Alte exemple ale unei amenințări interne sunt crearea unui incident ca urmare a utilizării necorespunzătoare a dispozitivelor la locul de muncă (inclusiv de tipul BYOD – bring your own device) sau a postărilor pe social media de către personal (când povestim chestii amuzamente sau care ne enervează la locul de muncă), precum și a încălcărilor cauzate de contractori sau furnizori terți.

Hotelul World Trade Center din București a fost amendat pentru că a lăsat nesupravegheată o listă cu clienții de la micul-dejun. Află cum faci o implementare corectă din manualul nostru, cu exemple practice.

Amenințările externe variază de la infractorii cibernetici (”hackeri”) care încearcă să obțină niște bani prin răscumpărarea datelor sau hackeri motivați politic care efectuează atacuri distribuite din motive de apartenență politică.

În linii generale, încălcarea securității datelor cu caracter personal se referă la:

  • accesarea din partea unor persoane neautorizate;
  • acțiunea sau inacțiunea incidentală sau intenționată a unui operator de date/persoane împuternicite;
  • trimiterea datelor personale unui destinatar greșit (când nu suntem atenți cui scriem mailuri, de exemplu);
  • calculatoarele sau alte dispozitive care conțin date cu caracter personal care sunt pierdute sau furate;
  • modificarea datelor cu caracter personal fără permisiune; și
  • pierderea disponibilității datelor cu caracter personal.

Preambulul (87) din GDPR prevede că: ”Ar trebui să se stabilească dacă au fost implementate toate măsurile tehnologice de protecție și organizatorice corespunzătoare în scopul de a se stabili imediat dacă s-a produs o încălcare a securității datelor cu caracter personal și de a se informa cu promptitudine autoritatea de supraveghere și persoana vizată. Faptul că notificarea a fost efectuată fără întârziere nejustificată ar trebui stabilit luându-se în considerare, în special, natura și gravitatea încălcării securității datelor cu caracter personal, precum și consecințele și efectele negative ale acesteia asupra persoanei vizate. Această notificare poate conduce la o intervenție a autorității de supraveghere, în conformitate cu sarcinile și competențele specificate în Regulament.”

Exemple de breșe de securitate:

  • Atacuri Ransomware: ex. o platformă de lucru online deținută de un spital este atacată și datele medicale a câtorva sute de pacienți sunt blocate;
  • Furtul de date: ex. furtul datelor de facturare înregistrate printr-un website;
  • Furtul de dispozitive și documente care conțin date cu caracter personal: ex. furtul unei tablete care conținea numele, prenumele, adresa, sexul, proprietățile unor cetățeni;
  • Pierderea corespondenței fizice / a emailurilor sau trimiterea eronată a acesteia: ex. furnizorul de servicii poștale pierde plicul care conținea date referitoare la o anchetă socială realizată de către asistenții sociali pentru o categorie de persoane vizate marginalizate;
  • Eroare umană sau rea intenție: ex. trimiterea unui email care divulgă emailurile tuturor destinatarilor.

Pentru a evita toate aceste lucruri, GDPR reglementează un cadru de documentare a breșelor de securitate, de notificare a acestora și de informare a persoanei vizate.

  • Simplă notificare în registru o facem întotdeauna când avem un incident chiar dacă nu există un risc la adresa drepturilor persoanei vizate (art. 33 alin. 5)!
  • Notificarea ANSPDCP o vom face de fiecare dată când avem un risc (art. 33 alin. 1);
  • Informarea persoanei vizate se face atunci când riscul existent este RIDICAT. (art. 34 alin. 1)!

Ce măsuri luăm pentru prevenirea breșelor de securitate?

În linii mari, următoarele acțiuni ar trebui avute în vedere de către companii:

  • instalarea unui firewall și verificarea virușilor pe computere;
  • să vă asigurați că sistemul dvs. de operare este configurat pentru a primi actualizări automate;
  • protejarea computerelor prin descărcarea celor mai recente patch-uri sau actualizări de securitate pentru a acoperi vulnerabilitatea;
  • să permiteți accesul personalului dvs. doar la informațiile de care au nevoie pentru a-și face treaba și pentru a nu le permite partajarea parolelor;
  • criptarea oricăror date personale deținute electronic care ar provoca daune sau prejudicii dacă ar fi pierdute sau furate;
  • să faceți o copie de rezervă regulată a informațiilor din sistemul dvs. de pe computer (back-up) și să le păstrați într-un loc separat, astfel încât, dacă pierdeți computerele sau sunt distruse, să nu pierdeți informațiile;
  • să eliminați în siguranță toate datele cu caracter personal înainte de a casa  computerele vechi; și
  • să instalați instrumente și programe anti-spyware.

Evaluarea și tratarea riscurilor

Cum evaluăm însă riscurile în cazul breșelor de securitate în contextul GDPR? Avem de a face cu un risc minor, unul mediu sau unul major sub aspectul impactului? Dar sub aspectul probabilității de a se reproduce?

Ghidul EDPB ne oferă câțiva indicatori pe care să îi avem în vedere la evaluarea riscurilor, printre care se numără:

  • Tipul de vulnerabilitate și metoda în care acesta a survenit;
  • Cantitatea de date care a fost afectată;
  • Numărul de persoane vizate ale căror date au fost compromise;
  • Natura, volumul și sensibilitatea datelor care au fost compromise;
  • Gravitatea consecințelor pe care le-a produs etc.

Odată ce am făcut o evaluare a riscului putem înțelege ce pași avem de urmat și mai ales ce măsuri tehnice și organizatorice trebuie să luăm pentru tratarea riscurilor. Mai jos găsiți o listă exemplificativă:

  • Instruirea personalului în mod specific asupra managementului breșelor de securitate (identificarea acestora și acțiunile ce trebuie luate) sunt esențiale pentru operatori!
  • Dezvoltarea unui program de conștientizare a angajaților și colaboratorilor asupra riscurilor potențiale;
  • Adoptarea unor documente interne – Plan de reacție la incidentele de securitate, plan de continuitate a activității, manual de gestiune a breșelor de securitate etc, politici și proceduri (ex. politică de gestiune a parolelor, politică de securitate IT etc)
  • Adoptarea de soluții de back-up;
  • Criptarea serverelor;
  • Auditarea sistemelor în mod periodic;
  • Reglementarea corectă a utilizării dispozitivelor atât în cadrul cât și în afara spațiului operatorului;
  • Instalarea de controalelor de acces fizic etc.

Concluzii

EDPB ne vine în ajutor cu un ghid practic pentru analiza și particularizarea fiecărui caz în parte, însă totul depinde de noi cum gestionăm lucrurile.

Dacă ai identificat un risc la adresa persoanelor vizate, ești DPO și nu știi cum să îl tratezi sau poate cauți ajutor pentru tratarea unui astfel de risc, te putem ajuta! Serviciile noastre de consultanță vor oferi cadrul ideal de gestionare a acestor riscuri și de tratare a lor într-un mod profesionist, eficient și în timp util.

Dacă însă ești instituție publică sau companie privată cu obligația de a avea numit un responsabil cu protecția datelor (DPO) și momentan nimeni nu îndeplinește această funcție, și ai de a face cu o serie de riscuri la adresa drepturilor persoanelor vizate, o putem face noi colaborând sub forma DPO externalizat.

Ce facem cu e-mailurile?

E-mailurile sunt o chestie distinctă, care de multe ori este trecută cu vederea de către companii.

Ar trebui să luați în considerare următoarele aspecte:

  • dacă conținutul unui e-mail ar trebui să fie criptat sau protejat prin parolă;
  • dacă funcția de completare automată este activată când numele destinatarilor sunt scrise (autosugestii), deoarece software-ul de e-mail poate sugera adrese similare utilizate anterior (sau să sugereze anumite persoane frecvente contactate/contacte din agendă) – asigurați-vă că ați ales adresa corectă înainte de a da clic pe “trimite” pentru a evita trimiterea datelor personale destinatarului incorect;
  • atunci când trimiteți un e-mail către mai mulți destinatari, pentru a împiedica dezvăluirea adreselor celorlalți, asigurați-vă că introduceți anumite persoane în BCC (astfel încât celelalte persoane nu pot vedea cui este trimis e-mailul); și
  • atunci când utilizați o adresă de e-mail de grup (group e-mail address – adică o adresă care conține mai mulți destinatari), asigurați-vă că nu trimiteți informații confidențiale și/sau date cu caracter personal celor care nu au dreptul să le vadă.

Pe lângă comunicațiile de tip electronic, ar trebui să luați în considerare și securitatea datelor personale în format scriptic (pe hârtie).

Trebuie să aveți în vedere că datele stocate în format „clasic” sunt în continuare date persoanele dacă identifică o persoană vie și, prin urmare, fiecare companie ar trebui să pună în aplicare protocoale de stocare și transmitere a documentelor în format fizic pentru a se asigura că datele pe hârtie sunt manipulate în siguranță, nu sunt lăsate în locuri publice și sunt stocate în mod adecvat.

Traininguri și instruiri periodice

Una din ”sursele” principale ale breșelor de securitate o reprezintă angajații. Începe să implementezi măsurile necesare pentru a te proteja și a-i responsabiliza.

Politicile și protocoalele implementate scriptic sunt de mică valoare dacă nu-i informați pe angajați și îi instruiți în mod corespunzător.

Prin urmare, trebuie să vă instruiți personalul:

  • să știe ce se așteaptă de la ei;
  • să fie atenți la oamenii care pot încerca să-i înșele să-i dea date personale (în special prin e-mailuri primite pentru recuperarea parolelor pe link-uri externe etc.);
  • să fie conștienți de faptul că pot fi trași la răspundere dacă compromit în mod deliberat datele cu caracter personal;
  • să folosească parole puternice și să le schimbe în mod regulat;
  • să ia în considerare că e-mailurile nu provin întotdeauna de la persoana pe care o consideră că le trimit (adică să se uite cu atenție la adresa de e-mail a transmițătorului) și că înțeleg riscurile de phishing și malware;
  • niciodată să nu deschidă spam-ul – nici măcar să se dezaboneze; și
  • să fie atenți la invitațiile de a se conecta la rețelele sociale.

Te interesează un training pe bune, din care chiar să înveți ceva și nu doar să primești o diplomă? Online sau la sediul companiei tale, explicăm angajaților GDPR și încercăm să găsim soluții viabile. Contactează-ne pentru o ofertă.

Reacția în cazul unei breșe

Chiar și cu cele mai bune planuri existente și implementate, e posibil să se întâmple o încălcare a securității datelor cu caracter și problema mai degrabă, “o întrebare nu dacă, ci când“.

Există o obligație pentru toate organizațiile de a raporta anumite tipuri de încălcări ale datelor cu caracter personal către autoritatea de supraveghere competentă și că, acolo unde este posibil, acest lucru trebuie făcut în termen de 72 de ore de la constatarea încălcării.

Nu toate încălcările necesită notificarea către autoritate și va fi nevoie să se evalueze rapid gravitatea unei încălcări sau a probabilității ei de a face rău (de a aduce prejudicii persoanelor vizate de încălcare). În cazul în care încălcarea este susceptibilă să ducă la un risc ridicat de a aduce atingere drepturilor sau libertăților persoanelor, aceștia trebuie să fie informați fără întârzieri nejustificate.

Prin urmare, este esențial să se pună în aplicare un plan de răspuns la incidente pentru a stabili măsurile care trebuie luate în cazul raportării unui incident de date, care va fi stabilit în mod intern, de către companie, în funcție de resursele existente.

Trebuie să aveți cu o echipă de bază (cu reacție rapidă) care va avea un control global asupra gestionării incidentelor de date și va lua în considerare și o echipă de răspuns care ar putea asista echipa de bază în investigație în urma unui incident. Echipa de bază trebuie să implice, cel puțin, ofițerul pentru protecția datelor cu caracter personal (DPO) și persoana responsabilă de securitatea informațiilor la nivelul companiei.

 

Pentru mai multe informații despre gestiunea breșelor de date sau consultanta privind incidentele de securitate ne puteți scrie la office@decalex.ro 

Share:
Decalex
Autor: DECALEX

PUNE O INTREBARE