Rançongiciels : des attaques en constante augmentation

Ransomware: οι επιθέσεις σε άνοδο

Νομικό Περιοδικό Αρ. 51 – Σεπτέμβριος 2022.

Ransomware: οι επιθέσεις σε άνοδο Τα νέα της πτώσης μας επαναφέρουν σε μια επαναλαμβανόμενη ανησυχία των υπευθύνων επεξεργασίας δεδομένων: αυτήν των παραβιάσεων της ασφάλειας.

Η κυβερνοεπίθεση στο νοσοκομείο της Έσον και η διάδοση αρκετών gigabytes δεδομένων ασθενών μας υπενθυμίζουν πόσο σημαντικό είναι να λάβουμε όλα τα απαραίτητα μέτρα για να προστατευτούμε από τέτοιες επιθέσεις.

Αυτά τα γεγονότα αντικατοπτρίζουν μια συνεχή τάση αύξησης των επιθέσεων σε ολόκληρη την Ευρώπη.

Έτσι, η CNIL αναφέρει αύξηση 79,% στις ειδοποιήσεις για παραβιάσεις δεδομένων το 2021 σε σύγκριση με το 2020 (5037 το 2021), περισσότερες από 2150 ειδοποιήσεις για παραβιάσεις που προέκυψαν από επίθεση ransomware που ελήφθησαν το 2021, ή 43,% του συνολικού όγκου.

Επιπλέον, οι μισές από τις κυρώσεις που επέβαλε η CNIL πέρυσι στόχευαν σε παραβιάσεις των υποχρεώσεων ασφάλειας δεδομένων.

Αυτός ο μήνας Οκτώβριος αποτελεί επομένως μια ευκαιρία για να γίνει απολογισμός των βασικών μέτρων ασφαλείας, όπως ζητήθηκε από την CNIL και την ANSSI, οι οποίες ξεκινούν τις εργασίες τους. Εκστρατεία ευαισθητοποίησης «Κυβερνομήνας» σχετικά με το ransomware.

Αυτή η εκστρατεία είναι η γαλλική εκδοχή της ευρωπαϊκής εκστρατείας ECSM για την κυβερνοασφάλεια, η οποία υποστηρίζεται από την πλειονότητα των ευρωπαϊκών χωρών και από τον ευρωπαϊκό οργανισμό ασφαλείας ENISA.

Ας θυμηθούμε πρώτα τις συστάσεις της CNIL, η οποία απαριθμεί τα διάφορα στάδια διαχείρισης της ασφάλειας της επεξεργασίας δεδομένων, όπως:

  • Το απόθεμα της επεξεργασίας δεδομένων και των υποστηριγμάτων τους (υλικό, λογισμικό, κανάλια επικοινωνίας, έντυπα υποστηρίγματα):
  • Η αξιολόγηση των κινδύνων που δημιουργούνται από κάθε επεξεργασία, καθώς και οι πιθανές επιπτώσεις τους στα δικαιώματα και τις ελευθερίες των ενδιαφερομένων προσώπων (ιδίως όταν υποβάλλονται σε επεξεργασία ευαίσθητα δεδομένα).
  • Πηγές κινδύνου (ανθρώπινες και μη ανθρώπινες πηγές).
  • Πραγματοποιήσιμες απειλές, δηλαδή πιθανά συμβάντα ενεργοποίησης (π.χ. βανδαλισμός, φυσική φθορά, πλήρης μονάδα αποθήκευσης, επίθεση άρνησης υπηρεσίας).
  • Υφιστάμενα ή προγραμματισμένα μέτρα για την αντιμετώπιση κάθε κινδύνου (π.χ. αντίγραφα ασφαλείας, κρυπτογράφηση), ανάλογα με τους κινδύνους.
  • Η σοβαρότητα και η πιθανότητα των κινδύνων, υπό το πρίσμα των προηγούμενων στοιχείων.

Το ANSSI παρέχει λεπτομέρειες σχετικά με τα βασικά μέτρα προστασίας:

  • Παρέχετε αυτόματα αντίγραφα ασφαλείας, αποσυνδεδεμένοι από το δίκτυο.
  • Ελέγχετε τακτικά τα αντίγραφα ασφαλείας.
  • Προετοιμασία σχεδίου επιχειρησιακής συνέχειας (BCP)·
  • Παροχή μονάδας αντιμετώπισης κρίσεων.
  • Εφαρμογή μηχανισμού κρίσης.

Ο οργανισμός επαναλαμβάνει επίσης τη συμβουλή του για προσοχή όσον αφορά τα ανεπιθύμητα ηλεκτρονικά μηνύματα, ιδίως όταν περιέχουν συνημμένο αρχείο:

  • Μην εμπιστεύεστε κανέναν αριθμό τηλεφώνου ή υπερσύνδεσμο που αναφέρεται στο μήνυμα,
  • Ελέγξτε τη διεύθυνση του αποστολέα κάνοντας κλικ σε αυτήν, καλέστε την συνήθη επαφή του αντί να απαντήσετε σε ένα ύποπτο μήνυμα.

Σε περίπτωση παραβίασης δεδομένων, πρέπει να ληφθούν άμεσα τα κατάλληλα μέτρα για την παύση της παραβίασης και τον περιορισμό των επιπτώσεων στα εμπλεκόμενα άτομα.

Σε περίπτωση επίθεσης ransomware, η ANSSI συνιστά την ενεργοποίηση μέτρων αποκατάστασης και του συστήματος αντιμετώπισης κρίσεων και, στη συνέχεια, την ειδοποίηση των αρμόδιων αρχών (αστυνομία, χωροφυλακή, ANSSI) πριν από την αναζήτηση τεχνικής βοήθειας.

Εάν υποψιάζεστε κάποια εισβολή, μπορείτε να βρείτε χρήσιμες πληροφορίες στον ιστότοπο του Κυβερνητικού Κέντρου Παρακολούθησης, Ειδοποίησης και Αντιμετώπισης Επιθέσεων σε Υπολογιστές, καθώς και στον κυβερνητικό ιστότοπο που είναι αφιερωμένος στο κυβερνοέγκλημα.

Τέλος, να θυμάστε ότι, σύμφωνα με τον ΓΚΠΔ, ο υπεύθυνος επεξεργασίας πρέπει να ειδοποιήσει την CNIL για την παράβαση εντός 72 ωρών από τη στιγμή που θα λάβει γνώση αυτής.

Όταν η διαρροή δεδομένων είναι πιθανό να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων (για παράδειγμα, σε περίπτωση κλοπής ευαίσθητων δεδομένων, όπως δεδομένων υγείας), το υποκείμενο των δεδομένων πρέπει επίσης να ενημερώνεται ατομικά.

Το CNIL διοργανώνει δύο διαδικτυακά σεμινάρια στις 18 και 21 Οκτωβρίου αντίστοιχα, σχετικά με τους κωδικούς πρόσβασης και την ασφάλεια των συστημάτων τεχνητής νοημοσύνης. Απαιτείται εγγραφή. Λεπτομέρειες μπορείτε να βρείτε στον ιστότοπό του.

Και επίσης

Γαλλία:

Στις 8 Σεπτεμβρίου, η CNIL επέβαλε πρόστιμο 250.000 ευρώ στην GIE INFOGREFFE, η οποία δημοσιεύει την υπηρεσία διάδοσης νομικών και επίσημων πληροφοριών σχετικά με τις εταιρείες μέσω του ιστότοπού της. Η Infogreffe τιμωρείται για μη τήρηση αρκετών υποχρεώσεων του GDPR σχετικά με τις περιόδους διατήρησης και την ασφάλεια των προσωπικών δεδομένων.

Τεχνητή Νοημοσύνη: το Συμβούλιο της Επικρατείας αποφαίνεται σχετικά με τη διακυβέρνηση της μελλοντικής ευρωπαϊκής νομοθεσίας και δημοσιεύει δύο μελέτες επί του θέματος.

– Στο έγγραφό του της 30ής Αυγούστου 2022, το Συμβούλιο της Επικρατείας ασχολείται με το ζήτημα της ποιότητας των δημόσιων υπηρεσιών και θέτει τα θεμέλια για μια γαλλική στρατηγική για την Τεχνητή Νοημοσύνη.

Αυτός ενθαρρύνει, μεταξύ άλλων, την ενίσχυση των εξουσιών της CNIL και να το καταστήσει επίσημα υπεύθυνο για τη ρύθμιση των συστημάτων Τεχνητής Νοημοσύνης.

– Το Συμβούλιο της Επικρατείας εξέτασε επίσης τη ρύθμιση των κοινωνικών δικτύων στο πλαίσιο της ανάπτυξης της Τεχνητής Νοημοσύνης.

Στις 27 Σεπτεμβρίου, δημοσίευσε μια μελέτη στην οποία διατύπωσε 17 συστάσεις για την επανεξισορρόπηση οι δυνάμεις υπέρ των χρηστών, εξοπλίζοντας τις δημόσιες αρχές στον ρόλο τους ως ρυθμιστές και σκεπτόμενοι τα κοινωνικά δίκτυα του αύριο.

Η CE προτείνει επίσης τη δημιουργία ενός ενισχυμένου διυπουργικού κόμβου για να συγκεντρώσει τους διάφορους τομείς εμπειρογνωμοσύνης του κράτους σε αυτόν τον τομέα. 

Ευρώπη:

Στις 16 Σεπτεμβρίου 2022, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ) κατέθεσε αγωγή σχετικά με δύο διατάξεις του νέου κανονισμού που επιτρέπουν αναδρομικά στην υπηρεσία Ευρωπόλ να επεξεργάζεται δεδομένα πολιτών ακόμη και χωρίς να υπάρχει αποδεδειγμένη σύνδεση με εγκληματική δραστηριότητα.

Ο ΕΕΠΔ ζήτησε από το Δικαστήριο της Ευρωπαϊκής Ένωσης να ακυρώσει τις δύο διατάξεις του παρόντος κανονισμού, ο οποίος τέθηκε σε ισχύ στις 28 Ιουνίου 2022.

Στη δεύτερη έκδοσή του Ενημερωτικό δελτίο TechSonar, Ο ΕΕΠΔ επιλέγει 5 αναδυόμενες τάσεις: αναπτύσσει τα ζητήματα

  • η ανίχνευση «ψευδών ειδήσεων»,
  • το ψηφιακό νόμισμα της κεντρικής τράπεζας,
  • το Μετασύμπαν,
  • «ομοσπονδιακή μάθηση» και «συνθετικά δεδομένα», δύο θέματα που σχετίζονται με την τεχνητή νοημοσύνη.

Προς μεγαλύτερη λογοδοσία στην Τεχνητή Νοημοσύνη;

Η πρόταση της Ευρωπαϊκής Επιτροπής για αναθεώρηση της οδηγίας περί ευθύνης για τα προϊόντα στοχεύει στην προσαρμογή του καθεστώτος ευθύνης της ΕΕ στην ψηφιακή εποχή.

Έχει προταθεί μια πρόσθετη οδηγία, η οποία στοχεύει σε συγκεκριμένες βλάβες που προκαλούνται από την τεχνητή νοημοσύνη.

Η ευθύνη θα συνεχιστεί και μετά την κυκλοφορία του προϊόντος στην αγορά, καλύπτοντας ενημερώσεις λογισμικού, μη αντιμετώπιση κινδύνων κυβερνοασφάλειας και μηχανική μάθηση.

Με άλλα λόγια, Οι προγραμματιστές θα εξακολουθήσουν να είναι υπεύθυνοι για την αυτόνομη εκμάθηση συστημάτων Τεχνητής Νοημοσύνης και για τις ενημερώσεις ανάπτυξης ή την έλλειψή τους.

Ο ΓΚΠΔ μπορεί να ληφθεί υπόψη στο πλαίσιο υποθέσεων ανταγωνισμού Στις 20 Σεπτεμβρίου, ο Γενικός Εισαγγελέας του ΔΕΕ, κ. Rantos, εξέδωσε γνωμοδότηση σύμφωνα με την οποία ο ΓΚΠΔ μπορεί να ληφθεί υπόψη από τις αρχές ανταγωνισμού κατά την αξιολόγηση της δεσπόζουσας θέσης της Meta στην αγορά.

Οι ευρωβουλευτές επισκέφθηκαν τις ιρλανδικές αρχές προστασία δεδομένων μεταξύ 21 και 23 Σεπτεμβρίου και δεν φαίνονται απόλυτα ικανοποιημένοι με το ταξίδι τους: η αντιπροσωπεία της Επιτροπής Πολιτικών Ελευθεριών του Κοινοβουλίου (LIBE) επιθυμούσε ρητά να εξετάσει την εφαρμογή του ΓΚΠΔ, ιδίως τη λειτουργία του μηχανισμού «υπηρεσίας μίας στάσης».

Ο επικεφαλής της αντιπροσωπείας περιέγραψε την ιρλανδική αρχή προστασίας δεδομένων ως «ένα σημείο συμφόρησης του μηχανισμού του ενιαίου παραθύρου», προσθέτοντας ότι «θα ήταν χρήσιμη μια ανεξάρτητη αναθεώρηση των διαδικασιών και των ενεργειών της DPC».

Στις 13 Σεπτεμβρίου, μέλη του ομάδα ψηφιακών δικαιωμάτων EDRi συναντήθηκε με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) για να συζητήσει πιθανές βελτιώσεις στην εφαρμογή του ΓΚΠΔ.

Το EDRi επισημαίνει ότι η έλλειψη εναρμόνισης των εθνικών διατάξεων και των διασυνοριακών υποθέσεων δεν είναι τα μόνα προβλήματα.

Σύμφωνα με τη ΜΚΟ, υπάρχουν πολλές εθνικές περιπτώσεις όπου οι καταγγελίες και οι παραβιάσεις του ΓΚΠΔ δεν έχουν αντιμετωπιστεί σωστά από τις εποπτικές αρχές, κυρίως λόγω έλλειψης πόρων.

Τα προβλήματα που αντιμετωπίστηκαν περιελάμβαναν άρνηση παρακολούθησης μιας καταγγελίας, ανεξήγητες καθυστερήσεις στην επεξεργασία μιας καταγγελίας, έλλειψη ενημερώσεων κατάστασης και δυσκολίες στην υποβολή μιας καταγγελίας εξαρχής.

Ο Επίτροπος Προστασίας Δεδομένων και Ελευθεριών του Βερολίνου (BInBDI) επέβαλε πρόστιμο 525.000 ευρώ σε έναν όμιλο λιανικής πώλησης για παραβίαση του άρθρου 38(6) του ΓΚΠΔ λόγω σύγκρουση συμφερόντων του ΥΠΔ τους: ο τελευταίος έλεγχε επίσης τις αποφάσεις που λαμβάνονταν υπό την ιδιότητά του ως διευθυντή της εταιρείας.

Στο ίδιο θέμα, η Ισλανδική Αρχή Προστασίας Δεδομένων έκρινε ότι υπήρχε σύγκρουση συμφερόντων όταν ένας ΥΠΔ ήταν ταυτόχρονα ανώτερος δικηγόρος, αναπληρωτής γενικός διευθυντής ή μέλος του διοικητικού συμβουλίου μιας εταιρείας.

Ωστόσο, ένας ΥΠΔ μπορεί να κατέχει τη θέση του υπευθύνου συμμόρφωσης.

Θα πρέπει να σημειωθεί εν προκειμένω ότι ο ορισμός και η λειτουργία του ΥΠΔ θα αποτελέσουν τα αντικείμενα της επόμενης συντονισμένης δράσης παρακολούθησης της Ευρωπαϊκής Επιτροπής Προστασίας Δεδομένων.

Εμπορικό Επιμελητήριο Καρλσρούης ανέτρεψε απόφαση του Επιμελητηρίου Δημοσίων Συμβάσεων της Βάδης-Βυρτεμβέργης, η οποία έκρινε, μεταξύ άλλων, ότι το απλό γεγονός ότι ένας επεξεργαστής δεδομένων είναι θυγατρική ενός εμπορικού ομίλου από τρίτη χώρα δεν θέτει υπό αμφισβήτηση τη δέσμευση του επεξεργαστή να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα αποκλειστικά στον Ευρωπαϊκό Οικονομικό Χώρο.

Ρουμανική ΕΑΒ πρόστιμο 5.000 ευρώ σε εκδότη για έλλειψη επαρκών τεχνικών και οργανωτικών μέτρων, μετά από δύο παραβιάσεις δεδομένων που επηρέασαν 10.739 από τους (πρώην) πελάτες της και 100 από τους υπαλλήλους και συνεργάτες της.

Ισπανική ΕΑΒ κατέληξε στο συμπέρασμα ότι ένας υπεύθυνος επεξεργασίας είχε παραβιάσει το Άρθρο 6 του ΓΚΠΔ μετά την ανάρτηση μιας φωτογραφίας στο Instagram χωρίς έγκυρη νομική βάση.

Η Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο 10.000 ευρώ στον υπεύθυνο επεξεργασίας.

Δανική ΕΑΒ έκρινε ότι ένα πολιτικό κόμμα είχε επαρκή νομική βάση βάσει του άρθρου 6(1)(στ) του ΓΚΠΔ για να διερευνήσει ένα από τα μέλη του για φερόμενη σεξουαλική βία.

Ωστόσο, επέπληξε τον υπεύθυνο επεξεργασίας και τον επεξεργαστή επειδή δεν μη έχοντας ενημερώσει το υποκείμενο των δεδομένων της επεξεργασίας όπως απαιτείται από το άρθρο 14(2)(β).

Βελγική Επίσημη Αναπτυξιακή Δράση (ODA) επέβαλε πρόστιμο 20.000 ευρώ σε ιατρικό εργαστήριο για παραβίαση αρκετών υποχρεώσεων βάσει των άρθρων 5(1)(στ) και 35(3) του ΓΚΠΔ λόγω η απουσία πολιτικής ασφάλειας και εμπιστευτικότητας στον ιστότοπό του και η μη ύπαρξη ανάλυσης επιπτώσεων στην προστασία δεδομένων (εθνικές αποφάσεις που καταγράφονται από το GDPRhub).

Η Συμφωνία Πρόσβασης σε Δεδομένα Ηνωμένου Βασιλείου-ΗΠΑ, η οποία επιτρέπει στους ερευνητές από οποιαδήποτε χώρα να έχουν πρόσβαση σε ηλεκτρονικά δεδομένα που σχετίζονται με σοβαρά εγκλήματα, τέθηκε σε ισχύ στις 3 Οκτωβρίου.

Το κείμενο επιτρέπει στις βρετανικές και αμερικανικές υπηρεσίες επιβολής του νόμου να ζητούν δεδομένα που κατέχουν οι πάροχοι τηλεπικοινωνιών στις αντίστοιχες δικαιοδοσίες τους.

Ελβετικές εταιρείες ταχυμεταφορών Proton και Threema έχουν υπογράψει, μαζί με άλλες ξένες εταιρείες, έναν χάρτη που τους υποχρεώνει να συλλέγουν όσο το δυνατόν λιγότερα δεδομένα και να κρυπτογραφούν μηνύματα. Στόχος είναι να συμμετάσχουν και άλλοι τεχνολογικοί παράγοντες.

Διεθνές:

Σύμφωνα με μια νέα Έκθεση του ΟΗΕ (Γραφείο Ανθρωπίνων Δικαιωμάτων) της 16ης Σεπτεμβρίου 2022, το δικαίωμα στην ιδιωτικότητα των ατόμων δέχεται αυξανόμενες πιέσεις λόγω της χρήσης δικτυωμένων ψηφιακών τεχνολογιών.

Σύμφωνα με την έκθεση, αυτές οι τεχνολογίες αποτελούν τρομερά εργαλεία επιτήρησης, ελέγχου και καταπίεσης, τα οποία απαιτούν αποτελεσματική ρύθμιση βάσει του νόμου και των διεθνών προτύπων ανθρωπίνων δικαιωμάτων.

Η έκθεση εξετάζει τρεις βασικούς τομείς:

  • Η κατάχρηση λογισμικού κατασκοπείας από τις δημόσιες αρχές,
  • Ο βασικός ρόλος των ισχυρών μεθόδων κρυπτογράφησης στην προστασία των ανθρωπίνων δικαιωμάτων στο διαδίκτυο
  • Οι συνέπειες της εκτεταμένης ψηφιακής επιτήρησης των δημόσιων χώρων, τόσο εκτός σύνδεσης όσο και στο διαδίκτυο.

Εκεί Βουλή των Αντιπροσώπων της Ινδονησίας ενέκρινε το νομοσχέδιο για την προστασία των προσωπικών δεδομένων.

Εργαλείο "Αποτελέσματα Σχετικά με Εσάς" της Google Ένα εργαλείο που έχει σχεδιαστεί για να απλοποιήσει τη διαδικασία αφαίρεσης αποτελεσμάτων αναζήτησης που περιέχουν προσωπικές πληροφορίες, όπως email ή αριθμό τηλεφώνου, αρχίζει να κυκλοφορεί, σύμφωνα με έκθεση της εταιρείας.

Η Google ανακοίνωσε αυτήν τη λειτουργία νωρίτερα φέτος, δηλώνοντας ότι σύντομα θα είναι διαθέσιμη στην εφαρμογή Google.

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.

Ανακαλύψτε το Viqtor®
elEL
fr_FRFR en_USEN de_DE_formalDE es_ESES it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL elEL