GDPR: afectarea securității datelor cu caracter personal din perspectiva securității informatice

Articolul este realizat de specialiștii CERT.RO  și a  fost publicat în Catalogul GDPR Ready, Octombrie 2017. 

 

Conform Regulamentului, „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Regulamentul prevede la articolele 33 și 34 obligativitatea notificării încălcărilor securității datelor cu caracter personal către Autoritatea Națională de Supraveghere precum și direct către persoanele vizate ale căror date au fost compromise în anumite condiții, astfel:

  • Notificarea Autorității se face în cel mult 72 de ore conform Art. 33 și este obligatorie atunci când încălcările prezintă riscul de a pune în pericol drepturile și libertățile persoanelor putând duce la discriminarea, prejudicierea reputației, pierderi financiare, compromiterea confidențialității sau orice alt dezavantaj economic sau social semnificativ.
  • Notificarea trebuie să cuprindă: o descriere a încălcării, inclusiv categoriile și numărul aproximativ de persoane vizate acolo unde este posibil, categoriile de înregistrări și numărul acestora. La aceasta se adaugă descrierea consecințelor probabile ale încălcării și măsurile luate pentru a remedia situația și a atenua consecințele încălcării.
  • La acestea se adaugă datele de contact ale responsabilului cu protecția datelor sau alt punct de contact pentru mai multe informații.
  • Notificarea persoanei vizate se face conform Art. 34, fiind obligatorie în cazul în care încălcarea prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate. Informarea va conține descrierea încălcării într-un limbaj simplu precum și informațiile și măsurile de la Art. 33.
  • Termenul de notificare a autorității este de 72 de ore.

Pentru a putea realiza notificarea în termenul specificat este necesar ca operatorul să inventarieze, să organizeze și să cunoască categoriile de date colectate, sistemele în care acestea sunt stocate și prelucrate, circuitul datelor și persoanele care au acces. Aceasta presupune atât măsuri de inventariere cât și proiectarea sistemelor, a rețelelor și a accesului astfel încât informațiile relevante să fie rapid identificate în caz de încălcare, în vederea alcătuirii notificării și luării de măsuri în consecință.

Ce fel de încălcări ale securității datelor avem în vedere?

Principalele tipuri de încălcări ale securității datelor sunt:

  • publicarea în mod accidental;
  • erorile de configurare a sistemelor ce poate duce la scurgeri de informații;
  • pierderea sau furtul sistemelor sau a mediilor de stocare a datelor;
  • securizarea slabă;
  • infecții cu programe de tip malware;
  • atacuri fizice.

În România, conform raportului CERT-RO pe anul 2016 au rezultat următoarele date relevante cu privire la securitatea spațiului cibernetic național:

  • s-au primit și procesat peste 110 milioane de alerte;
  • 38% (2,9 milioane) dintre adresele IP publice din România au înregistrat cel puțin o alertă;
  • 81% (89 milioane) dintre alerte se referă la sisteme sau servicii vulnerabile;
  • 13% (14 milioane) dintre alerte se referă la sisteme infectate cu malware de tip botnet;
  • 639 de domenii web „.RO” au fost utilizate de site-uri web compromise.

Cum putem proteja datele cu caracter personal procesate?

Sub aspectul protejării datelor în format digital, deși percepția comună referitoare la obligațiile impuse de Regulament este cea a unor cerințe și obligații noi, în realitate măsurile necesare sunt cele standard din domeniul asigurării securității informatice.

Astfel, operatorul care are în vedere asigurarea securității rețelelor și sistemelor sale conform standardelor existente și adaptarea măsurilor proporțional cu amenințările, va îndeplini din start cerințele GDPR cu privire la datele cu caracter personal aflate în sistemele sale, soluțiile tehnice și politicile de securitate necesare celor două domenii coincizând în mare parte.

În vederea adoptării măsurilor necesare prevenirii încălcării siguranței datelor, din perspectiva securității cibernetice, trebuie avute în vedere o serie de recomandări practice, precum cele prezentate în rândurile următoare.

Măsuri de prevenire a incidentelor de securitate:

  • Securizarea terminalelor (stații de lucru, telefoane, tablete etc.) prin utilizarea unor soluții/tehnologii de tip antivirus/antimalware, DLP, sandbox și de criptare a datelor, inclusiv pentru terminalele care sunt proprietatea utilizatorilor (BYOD);
  • Securizarea infrastructurii de rețea prin segmentare adecvată (VLAN) și prin utilizarea unor soluții/tehnologii de protecție perimetrală precum cele de tip NGFW (Next Generation Firewall);
  • Asigurarea unei vizibilități adecvate în cadrul infrastructurii IT prin utilizarea unor soluții/tehnologii de monitorizare precum cele de tip SIEM (Security Information and Event Management);
  • Implementarea unor măsuri adecvate de securitate fizică, mai cu seamă în spațiile unde sunt procesate sau depozitate cantități mari de date;
  • Acordarea accesului diferențiat al utilizatorilor la resurse și la date în baza atribuțiilor acestora (principiul nevoia de a cunoaște);
  • Implementarea unei proceduri adecvate de backup (copii de siguranță) care să includă și verificarea periodică a integrității datelor și a procesului de restaurare;
  • Implementarea unei politici de securitate care să fie asumată și respectată de toți utilizatorii;
  • Utilizarea unor proceduri de răspuns la incidentele de securitate și de gestionare a vulnerabilităților;
  • Dispunerea de personal adecvat pentru securizarea infrastructurii IT și pentru a răspunde la incidentele de securitate;
  • Instruirea periodică a personalului cu privire la riscurile, amenințările și vulnerabilitățile de securitate, precum și cu privire la măsurile de contracarare a acestora;
  • Realizarea de audituri/evaluări periodice de securitate a infrastructurii IT, a personalului și a procedurilor.

Advertisements

A apărut numărul 4 din 2015 al revistei Cybersecurity Trends

logo_small CybersecurityRod al colaborării dintre Agora Group și Swiss WebAcademy, Cybersecurity Trends este singura revistă de profil din România, cu apariție trimestrială, care își propune să sporească gradul de conștientizare în privința amenințărilor crescânde provocate de infracționalitatea cibernetică și să ofere sfaturi și soluții de apărare împotriva acestora prin furnizarea de informații de la principalele companii specializate pe securitate informatică, asociații de profil și instituții de stat.

Revista concepută de Agora Group, lider în media IT din România, și de Swiss WebAcademy, este rodul curajului ambelor structuri, de a porni o nouă aventură, de a răspunde unor noi provocări, de a oferi publicului ceva ce nu a mai existat înainte.” spunea E.S. Jean-Hubert Lebet, Ambasador al Elveţiei în România și Președinte de Onoare al Swiss WebAcademy în mesajul de salut de la apariția revistei.

Cybersec CoverInfracțiunile cibernetice acoperă o arie pornind de la atacuri împotriva utilizatorilor individuali și a companiilor mici și mijlocii și până la atacuri îndreptate împotriva instituțiilor de stat. Sunt compromise informații și infrastructuri private, clasificate și sensibile. Instalații militare și industriale sunt puse în situații critice. Siguranța și sănătatea personală pot fi serios deteriorate.

Valoarea conținutului editorial al revistei Cybersecurity Trends reiese la o simplă lectură a subiectelor abordate și la nivelul de reprezentabilitate al autorilor. Iată sumarul celui mai recent număr al revistei Cybersecurity Trends apărut în Decembrie 2015:

  • Editorial – Dr. Laurent Chrzanovscki, membru fondator Swiss WebAcademy
  • Mesajul Oficial al International Telecommunication Union (ITU) – Marco Obiso, Cybersecurity Coordonator, ITU Geneva
  • Anonymous: trecut, prezent și viitor – Oana Maria Iordan, Analist Centrul Național CYBERINT
  • ”Application Whitelisting”, Cea mai eficientă strategie antimalware – Cătălin Pătrașcu, Șef Serviciu Securitate Informatică și Monitorizare CERT-RO (Centrul Național de Răspuns la Incidente de Securitate Cibernetică)
  • Fraude cu carduri bancare – Virgil Spiridon, Chestor, Adjunct al Inspectorului General al Poliției Române, Director al Direcției de Combatere a Criminalității Organizate (DCCO) din Poliția Română, Coordonator al proiectului european EMPACT/ EUROPOL – fraude cu cărți de credit.
  • Rolul Conștientizării în domeniul securității cibernetice în Republica Moldova – Natalia Spinu, Head of the Cyber Security Center CERT-GOV-MD
  • OMC și lumea digitală, Interviu cu Ambasador em. Pierre-Louis Girard – Laurent Chrzanovscki
  • Zona Privată: Principiul separării zonelor de comunicare în vederea asigurării securității informaționale – Ștefan Hărșan Farr, fondator, arhitect și dezvoltator ”Earless”
  • Breșe, scurgeri de date, atacuri de pagini Web: De ce sunt importante codările de securitate împreună cu soluțiile Cyber Intelligence și sursele corecte de informare – Raoul Chiesa, Fondator și președinte Security Brokers SCpA
  • 20 de sfaturi pentru protecția eficientă a datelor – Laurent Chrzanovski
  • Cum să vă protejați în lumea digitală – Redacția cu sprijinul lui Eduard Bisceanu, expert, ex director adjunct CERT-RO
  • Carduri de debit și credit bazate pe NFC: analiză de securitate și scenarii de fraudă – Carlo de Micheli, Security Consultant la Security Brokers
  • De la eBusiness la Security Everywhere – Cisco un pionier al economiei digitale, interviu cu Dorin Pena, director general Cisco Romania – Radu Crahmaliuc, analist independent, fondator cloud☁mania
  • Ghidul Cyber Crime pentru afaceri mici și mijlocii – Aflați cum hackerii pot face ravagii și învățați ce puteți face pentru a vă proteja – Romsym Data și WatchGuard
  • Biblio – Cybersecurity Trends – Laurent Chrzanovski
%d bloggers like this: