GDPR: prevenirea si abordarea incidentelor (breselor de securitate)
10 minute • Ana-Maria Udriste • 10 aprilie 2019
Ce este o breșă de securitate?
Să o luăm cu începutul …
Potrivit GDPR „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
Această noțiune trebuie strâns corelată cu cea a definiției datelor cu caracter personal, acestea fiind ”orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.
Într-o primă concluzie, o încălcare este mai mult decât pierderea datelor personale.
Îndrumările emise de autoritatea de concurență din Marea Britanie merg mai departe și afirmă că ”va exista o încălcare a datelor cu caracter personal ori de câte ori sunt pierdute, distruse, corupte sau divulgate date cu caracter personal; dacă cineva accesează datele sau le transmite fără o autorizare corespunzătoare; sau dacă datele sunt indisponibile, de exemplu, atunci când au fost criptate prin ransomware sau pierdute sau distruse accidental”.
După cum putem vedea, practic, o încălcare a securității datelor cu caracter personal sau, cum este popular numită, ”breșă de securitate” este mai mult decât o accesare neautorizată. Mai ales că acestea pot duce mai departe la o investigație formală din partea autorității.
Pentru că a început valul de amenzi pe GDPR și în România, începe să minimezi riscul cu pachetul dedicat evitării breșelor de securitate.
Totuși, aceste situații nu trebuie confundate cu situația în care are loc o divulgare a datelor confidențiale (care pot fi sau nu date cu caracter personal și care sunt identificate și protejate de regulă prin clauze sau acordul de confidențialitate), însă chiar și în acest caz ne-am putea pune problema nivelului de securitate în cazul protecției datelor cu caracter personal, aflate în strânsă corelare (află mai multe despre acordurile de confidențialitate și cum te pot ajuta în activitate curentă din video-ul de aici).
Prevenție
Vorba aceea clasică, mai bine să previi decât să tratezi. Ce ar trebui să ai în vedere?
În prevenirea incidentelor de securitate a protecției datelor personale, de obicei, accentul se pune pe două tipuri de amenințări: (a) interne sau (b) externe.
Amenințările interne pot fi orice, de la “eroare de operator”, în cazul în care o persoană permite în mod eronat ca datele să fie compromise, unui angajat care merge “necinstit” și compromite în mod deliberat datele cu caracter personal. Recentul caz Morrisons este un exemplu în care un angajat a săvârșit un act infracțional prin accesarea ilegală a datelor personale ale mii de angajați și încărcarea acestuia pe web, însă angajatorul lui Morrisons este în primul rând responsabil pentru fapta angajatului, precum și pentru daunele care pot fi acordate persoanelor vizate.
Alte exemple ale unei amenințări interne sunt crearea unui incident ca urmare a utilizării necorespunzătoare a dispozitivelor la locul de muncă (inclusiv de tipul BYOD – bring your own device) sau a postărilor pe social media de către personal (când povestim chestii amuzamente sau care ne enervează la locul de muncă), precum și a încălcărilor cauzate de contractori sau furnizori terți.
Hotelul World Trade Center din București a fost amendat pentru că a lăsat nesupravegheată o listă cu clienții de la micul-dejun. Află cum faci o implementare corectă din manualul nostru, cu exemple practice.
Amenințările externe variază de la infractorii cibernetici (”hackeri”) care încearcă să obțină niște bani prin răscumpărarea datelor sau hackeri motivați politic care efectuează atacuri distribuite din motive de apartenență politică.
Și totuși, la ce se referă breșele?
În linii generale, încălcarea securității datelor cu caracter personal se referă la:
- accesarea din partea unor persoane neautorizate;
- acțiunea sau inacțiunea incidentală sau intenționată a unui operator de date/persoane împuternicite;
- trimiterea datelor personale unui destinatar greșit (când nu suntem atenți cui scriem mailuri, de exemplu);
- calculatoarele sau alte dispozitive care conțin date cu caracter personal care sunt pierdute sau furate;
- modificarea datelor cu caracter personal fără permisiune; și
- pierderea disponibilității datelor cu caracter personal.
Preambulul (87) din GDPR prevede că: ”Ar trebui să se stabilească dacă au fost implementate toate măsurile tehnologice de protecție și organizatorice corespunzătoare în scopul de a se stabili imediat dacă s-a produs o încălcare a securității datelor cu caracter personal și de a se informa cu promptitudine autoritatea de supraveghere și persoana vizată. Faptul că notificarea a fost efectuată fără întârziere nejustificată ar trebui stabilit luându-se în considerare, în special, natura și gravitatea încălcării securității datelor cu caracter personal, precum și consecințele și efectele negative ale acesteia asupra persoanei vizate. Această notificare poate conduce la o intervenție a autorității de supraveghere, în conformitate cu sarcinile și competențele specificate în Regulament.”
Și ce măsuri luăm pentru prevenirea breșelor de securitate?
În linii mari, următoarele acțiuni ar trebui avute în vedere de către companii:
- instalarea unui firewall și verificarea virușilor pe computere;
- să vă asigurați că sistemul dvs. de operare este configurat pentru a primi actualizări automate;
- protejarea computerelor prin descărcarea celor mai recente patch-uri sau actualizări de securitate pentru a acoperi vulnerabilitatea;
- să permiteți accesul personalului dvs. doar la informațiile de care au nevoie pentru a-și face treaba și pentru a nu le permite partajarea parolelor;
- criptarea oricăror date personale deținute electronic care ar provoca daune sau prejudicii dacă ar fi pierdute sau furate;
- să faceți o copie de rezervă regulată a informațiilor din sistemul dvs. de pe computer (back-up) și să le păstrați într-un loc separat, astfel încât, dacă pierdeți computerele sau sunt distruse, să nu pierdeți informațiile;
- să eliminați în siguranță toate datele cu caracter personal înainte de a casa computerele vechi; și
- să instalați instrumente și programe anti-spyware.
Ce facem cu e-mailurile?
E-mailurile sunt o chestie distinctă, care de multe ori este trecută cu vederea de către companii.
Ar trebui să luați în considerare următoarele aspecte:
- dacă conținutul unui e-mail ar trebui să fie criptat sau protejat prin parolă;
- dacă funcția de completare automată este activată când numele destinatarilor sunt scrise (autosugestii), deoarece software-ul de e-mail poate sugera adrese similare utilizate anterior (sau să sugereze anumite persoane frecvente contactate/contacte din agendă) – asigurați-vă că ați ales adresa corectă înainte de a da clic pe “trimite” pentru a evita trimiterea datelor personale destinatarului incorect;
- atunci când trimiteți un e-mail către mai mulți destinatari, pentru a împiedica dezvăluirea adreselor celorlalți, asigurați-vă că introduceți anumite persoane în BCC (astfel încât celelalte persoane nu pot vedea cui este trimis e-mailul); și
- atunci când utilizați o adresă de e-mail de grup (group e-mail address – adică o adresă care conține mai mulți destinatari), asigurați-vă că nu trimiteți informații confidențiale și/sau date cu caracter personal celor care nu au dreptul să le vadă.
Pe lângă comunicațiile de tip electronic, ar trebui să luați în considerare și securitatea datelor personale în format scriptic (pe hârtie).
Trebuie să aveți în vedere că datele stocate în format „clasic” sunt în continuare date persoanele dacă identifică o persoană vie și, prin urmare, fiecare companie ar trebui să pună în aplicare protocoale de stocare și transmitere a documentelor în format fizic pentru a se asigura că datele pe hârtie sunt manipulate în siguranță, nu sunt lăsate în locuri publice și sunt stocate în mod adecvat.
Una din ”sursele” principale ale breșelor de securitate o reprezintă angajații. Începe să implementezi măsurile necesare pentru a te proteja și a-i responsabiliza.
Traininguri și instruiri periodice
Politicile și protocoalele implementate scriptic sunt de mică valoare dacă nu-i informați pe angajați și îi instruiți în mod corespunzător.
Prin urmare, trebuie să vă instruiți personalul:
- să știe ce se așteaptă de la ei;
- să fie atenți la oamenii care pot încerca să-i înșele să-i dea date personale (în special prin e-mailuri primite pentru recuperarea parolelor pe link-uri externe etc.);
- să fie conștienți de faptul că pot fi trași la răspundere dacă compromit în mod deliberat datele cu caracter personal;
- să folosească parole puternice și să le schimbe în mod regulat;
- să ia în considerare că e-mailurile nu provin întotdeauna de la persoana pe care o consideră că le trimit (adică să se uite cu atenție la adresa de e-mail a transmitățorului) și că înțeleg riscurile de phishing și malware;
- niciodată să nu deschidă spam-ul – nici măcar să se dezaboneze; și
- să fie atenți la invitațiile de a se conecta la rețelele sociale.
Te interesează un training pe bune, din care chiar să înveți ceva și nu doar să primești o diplomă? Online sau la sediul companiei tale, explicăm angajaților GDPR și încercăm să găsim soluții viabile. Contactează-ne pentru o ofertă.
Reacția în cazul unei breșe
Chiar și cu cele mai bune planuri existente și implementate, e posibil să se întâmple o încălcare a securității datelor cu caracter și problema mai degrabă, “o întrebare nu dacă, ci când“.
Există o obligație pentru toate organizațiile de a raporta anumite tipuri de încălcări ale datelor cu caracter personal către autoritatea de supraveghere competentă și că, acolo unde este posibil, acest lucru trebuie făcut în termen de 72 de ore de la constatarea încălcării.
Nu toate încălcările necesită notificarea către autoritate și va fi nevoie să se evalueze rapid gravitatea unei încălcări sau a probabilității ei de a face rău (de a aduce prejudicii persoanelor vizate de încălcare). În cazul în care încălcarea este susceptibilă să ducă la un risc ridicat de a aduce atingere drepturilor sau libertăților persoanelor, aceștia trebuie să fie informați fără întârzieri nejustificate.
Prin urmare, este esențial să se pună în aplicare un plan de răspuns la incidente pentru a stabili măsurile care trebuie luate în cazul raportării unui incident de date, care va fi stabilit în mod intern, de către companie, în funcție de resursele existente.
Trebuie să aveți cu o echipă de bază (cu reacție rapidă) care va avea un control global asupra gestionării incidentelor de date și va lua în considerare și o echipă de răspuns care ar putea asista echipa de bază în investigație în urma unui incident. Echipa de bază trebuie să implice, cel puțin, ofițerul pentru protecția datelor cu caracter personal (DPO) și persoana responsabilă de securitatea informațiilor la nivelul companiei.
Am scris cel mai mult despre GDPR din piață – găsești toate articolele noastre aici. Am inovat în acest domeniu oferind primul KIT complet de implementare GDPR, cursuri online, serviciu DPO externalizat, manual de implementare pas cu pas si KIT pentru DPO.
Vrei să devii conform GDPR fără bătai de cap? Scrie-ne pe contact@avocatoo.ro.
Un răspuns