Sécurité, fuite de données et rançongiciels

Ασφάλεια, διαρροές δεδομένων και ransomware: επιθέσεις που πρέπει να λαμβάνονται σοβαρά υπόψη.

Νομική Παρακολούθηση Αρ. 32 – Φεβρουάριος 2021

Ασφάλεια, διαρροές δεδομένων και ransomware: επιθέσεις που πρέπει να λαμβάνονται σοβαρά υπόψη. Ο Τύπος επανέλαβε στα τέλη Φεβρουαρίου ένα Μαζική διαρροή δεδομένων στον ιατρικό τομέα.

Ευαίσθητες πληροφορίες για περισσότερα από 500.000 άτομα, συμπεριλαμβανομένων ομάδων αίματος και αριθμών κοινωνικής ασφάλισης, πωλήθηκαν σε ένα εξειδικευμένο φόρουμ προτού δημοσιευτούν ελεύθερα στο διαδίκτυο.

Σε αυτήν τη λίστα δεδομένων περιλαμβάνονται επίσης τα ονόματα χρήστη και οι κωδικοί πρόσβασης που επέτρεψαν σε αυτούς τους ασθενείς να συνδεθούν με τα ιατρικά κέντρα και τα εργαστήρια ανάλυσης που επηρεάστηκαν από τη διαρροή δεδομένων.

Μια δικαστική έρευνα βρίσκεται σε εξέλιξη και τόσο η ANSSI όσο και η CNIL έχουν αναλάβει την υπόθεση.

Η σοβαρότητα της παραβίασης δεδομένων έγκειται τόσο στον αριθμό των ατόμων που επηρεάζονται όσο και στην ευαίσθητη φύση των δεδομένων.

Αυτή είναι μια ευκαιρία να κάνουμε απολογισμό των μέτρων που πρέπει να ληφθούν για την αντιμετώπιση τέτοιων επιθέσεων και, πάνω απ' όλα, για να προστατευτούμε εκ των προτέρων από αυτές.

Έχουν εκδοθεί αρκετοί οδηγοί από την CNIL, καθώς και από την ANSSI και το Υπουργείο Δικαιοσύνης, για να βοηθήσουν τους υπεύθυνους επεξεργασίας δεδομένων να προστατευτούν από τέτοιες παραβιάσεις ασφαλείας., είτε πρόκειται για εσωτερική βλάβη είτε για επίθεση ransomware.

Οι συστάσεις που δημοσιεύθηκαν ειδικότερα από την CNIL απαριθμούν τα διάφορα στάδια διαχείρισης της ασφάλειας της επεξεργασίας δεδομένων.

Ουσιαστικά, είναι σκόπιμο να:

  • Προσδιορίστε την επεξεργασία δεδομένων και τα υποστηρίγματά της (υλικό, λογισμικό, κανάλια επικοινωνίας, έντυπα υποστηρίγματα):
  • Αξιολογήστε τους κινδύνους που προκύπτουν από κάθε πράξη επεξεργασίας και εντοπίστε τις πιθανές επιπτώσεις στα δικαιώματα και τις ελευθερίες των εν λόγω προσώπων, σε περίπτωση παράνομης πρόσβασης σε δεδομένα, ανεπιθύμητης τροποποίησης δεδομένων ή εξαφάνισης δεδομένων.

Όταν υφίστανται επεξεργασία ειδικές κατηγορίες δεδομένων, όπως δεδομένα υγείας, ο αντίκτυπος μιας παραβίασης δεδομένων στα υποκείμενα των δεδομένων είναι ακόμη μεγαλύτερος.

Συνεπώς, μια τέτοια θεραπεία απαιτεί διεξοδική αξιολόγηση κινδύνου.

  • Προσδιορίστε τις πηγές κινδύνου (ανθρώπινες και μη ανθρώπινες πηγές).
  • Αναλύστε τις εφικτές απειλές, δηλαδή τα πιθανά συμβάντα ενεργοποίησης (π.χ. βανδαλισμός, υποβάθμιση λόγω φυσικής φθοράς, πλήρης μονάδα αποθήκευσης, επίθεση άρνησης υπηρεσίας).
  • Προσδιορίστε τα υπάρχοντα ή τα προγραμματισμένα μέτρα για την αντιμετώπιση κάθε κινδύνου (π.χ., αντίγραφα ασφαλείας, κρυπτογράφηση). Τα μέτρα πρέπει να είναι ανάλογα με τους κινδύνους. Όταν τα δεδομένα που υποβάλλονται σε επεξεργασία είναι ευαίσθητα, πρέπει να διασφαλίζεται ιδιαίτερα υψηλό επίπεδο ασφάλειας. Η αποθήκευση κωδικών πρόσβασης σε μορφή απλού κειμένου στα αρχεία του υπεύθυνου επεξεργασίας θα πρέπει επομένως να απαγορεύεται: οι πληροφορίες πρέπει να είναι κρυπτογραφημένες και πρέπει να λαμβάνονται ισχυρά μέτρα ελέγχου ταυτότητας.
  • Αξιολογήστε τη σοβαρότητα και την πιθανότητα εμφάνισης των κινδύνων, λαμβάνοντας υπόψη τα προηγούμενα στοιχεία.

Σε περίπτωση παραβίασης δεδομένων, πρέπει να ληφθούν άμεσα τα κατάλληλα μέτρα για την παύση της παραβίασης και τον περιορισμό των επιπτώσεων στα εμπλεκόμενα άτομα.

Το υπεύθυνο πρόσωπο οφείλει επίσης να ειδοποιήσει την CNIL για την παράβαση εντός 72 ωρών από την στιγμή που έλαβε γνώση αυτής.

Έχει επίσης την υποχρέωση να ενημερώνει ατομικά τα ενδιαφερόμενα πρόσωπα όταν η διαρροή δεδομένων είναι πιθανό να δημιουργήσει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες τους.  Αυτό συμβαίνει όταν εμπλέκονται ευαίσθητα δεδομένα, όπως δεδομένα υγείας.

Στο πλαίσιο της μαζικής διαρροής δεδομένων που σημειώθηκε στα τέλη Φεβρουαρίου, απαιτούνται επομένως πληροφορίες από τους επηρεαζόμενους.

Η ζημία μπορεί να είναι εξαιρετικά σοβαρή για τους ασθενείς των οποίων η ιατρική περίθαλψη ενδέχεται να επηρεαστεί, αλλά και για τους υπεύθυνους επεξεργασίας δεδομένων, των οποίων η φήμη και η ίδια η επιχείρηση διακυβεύονται.

Το CNIL επισημαίνει ότι ο αριθμός των ειδοποιήσεων παραβίασης δεδομένων αυξήθηκε κατά 24% το 2020 και ότι ο αριθμός των παραβιάσεων που συνδέονται με επιθέσεις κρυπτοκλειδώματος σε ιδρύματα υγειονομικής περίθαλψης (νοσοκομεία, EPHAD, γηροκομεία, εργαστήρια κ.λπ.) τριπλασιάστηκε σε ένα χρόνο.

Επιπλέον, τα δύο τρίτα των κυρώσεων που επιβάλλονται από την CNIL αφορούν παραβιάσεις των υποχρεώσεων ασφάλειας δεδομένων, μια τάση που αντικατοπτρίζεται σε ολόκληρη την Ευρώπη.

Και επίσης

Γαλλία:

Η εφαρμογή «tousanticovid» εξελίσσεται για την ενσωμάτωση ενός συστήματος ειδοποίησης χρηστών ενόψει της πιθανής επαναλειτουργίας αθλητικών εγκαταστάσεων, εστιατορίων ή αιθουσών παραστάσεων. 

Η CNIL, η οποία έλαβε το σχέδιο διατάγματος, έδωσε γενικά θετική αξιολόγηση, ζητώντας παράλληλα το σύστημα καταγραφής των επισκέψεων να είναι υποχρεωτικό μόνο για χώρους που παρουσιάζουν υψηλό κίνδυνο (δύσκολα στην εφαρμογή μέτρα φραγμού) και να μην καταστεί υποχρεωτικό σε χώρους όπου η παρουσία είναι πιθανό να αποκαλύψει ευαίσθητα δεδομένα (όπως χώροι λατρείας).

Μετά τη δημοσίευσή του οδηγίες σχετικά με τη χρήση των cookies Τον περασμένο Οκτώβριο, η CNIL υπενθύμισε ότι η προθεσμία συμμόρφωσης λήγει στα τέλη Μαρτίου.

Απέστειλε επιστολή σε διακόσιους δημόσιους φορείς, καθώς και στους κύριους ιδιωτικούς φορείς, τονίζοντας ιδιαίτερα την ανάγκη να επιτρέπεται στον χρήστη να αποδέχεται ή να απορρίπτει τα cookies με τον ίδιο βαθμό απλότητας (το κουμπί «ρύθμισης» που υπάρχει συχνά σε banner δεν πληροί αυτήν την απαίτηση).

Ευρώπη:

  • Βέλγιο: Η Αρχή Προστασίας Δεδομένων δημοσιεύει λεπτομερής οδηγός για τεχνικές καθαρισμού δεδομένων και καταστροφής μέσων δεδομένων, ένα αντανακλαστικό που πολύ συχνά παραμελείται όταν ξεφορτώνεται κανείς ένα εργαλείο υπολογιστή.
  • Ηνωμένο Βασίλειο: Η Ευρωπαϊκή Επιτροπή δημοσιεύει σχέδιο απόφασης που εξετάζει το επίπεδο προστασίας που εγγυάται το Ηνωμένο Βασίλειο στην επεξεργασία δεδομένων προσωπικού χαρακτήρα ως ισοδύναμη με εκείνη της Ευρωπαϊκής Ένωσης.

Εάν το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και οι εκπρόσωποι των κρατών μελών υποστηρίξουν αυτήν την αξιολόγηση, οι διαβιβάσεις δεδομένων προς το Ηνωμένο Βασίλειο μπορούν να συνεχιστούν χωρίς πρόσθετους όρους.

Θα πρέπει επίσης να σημειωθεί ότι ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εξέδωσε γνώμη στις 22 Φεβρουαρίου, στην οποία επανέλαβε ότι, ως θεμελιώδες δικαίωμα, η προστασία των δεδομένων δεν είναι διαπραγματεύσιμη στο πλαίσιο εμπορικών συμφωνιών μεταξύ της Ευρωπαϊκής Ένωσης και του Ηνωμένου Βασιλείου.

  • Ευρώπη – Ηλεκτρονική προστασία απορρήτου Μετά από τέσσερα χρόνια διαπραγματεύσεων, τα κράτη μέλη της ΕΕ υιοθέτησαν τελικά μια κοινή θέση σχετικά με την προστασία των ηλεκτρονικών επικοινωνιών.

Ο κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες αναμένεται να επικαιροποιήσει την ισχύουσα οδηγία, καθορίζοντας, μεταξύ άλλων, τους κανόνες για το απόρρητο των επικοινωνιών, την προστασία των μεταδεδομένων και τους κανόνες που ισχύουν για τα cookies και άλλους ιχνηλάτες.

Το κείμενο πρέπει ακόμη να συζητηθεί στο Ευρωπαϊκό Κοινοβούλιο και η τελική του έκδοση θα τεθεί σε ισχύ δύο χρόνια μετά τη δημοσίευσή του.

  • Ευρώπη – διαβατήριο υγείας Η Ευρωπαϊκή Επιτροπή ανακοίνωσε την 1η Μαρτίου ότι προετοιμάζει ένα σχέδιο για ένα κοινό διαβατήριο για τα κράτη μέλη, το οποίο θα διευκολύνει την κυκλοφορία των ανθρώπων στο τρέχον πλαίσιο της πανδημίας.

Αυτό το διαβατήριο θα περιλαμβάνει προσωπικά δεδομένα σχετικά με τον εμβολιασμό, την επίκτητη ανοσία ή τις εξετάσεις που διενεργήθηκαν από το εν λόγω άτομο.

Η Επιτροπή διαβεβαιώνει ότι θα ληφθούν μέτρα για την αποτροπή οποιασδήποτε διάκρισης ή κατάχρησης που σχετίζεται με την ιδιωτικότητα των εν λόγω προσώπων.

Διεθνές:

ΗΝΩΜΕΝΕΣ ΠΟΛΙΤΕΙΕΣ: Μετά την Καλιφόρνια, περίπου δέκα αμερικανικές πολιτείες προετοιμάζουν νομοθεσία για την προστασία των προσωπικών δεδομένων, συμπεριλαμβανομένων των Πολιτειών της Νέας Υόρκης και της Πολιτείας της Ουάσινγκτον.

Γενικά, αυτοί οι νόμοι παρέχουν λιγότερο εκτεταμένα δικαιώματα στους χρήστες από τον ΓΚΠΔ και προτιμούν να τους παρέχουν το δικαίωμα να αντιταχθούν στην επεξεργασία των δεδομένων τους αντί να ζητούν την προηγούμενη συγκατάθεσή τους.

Σε κάθε περίπτωση, έχουν το πλεονέκτημα ότι βελτιώνουν τη διαφάνεια της επεξεργασίας δεδομένων και παρέχουν στους Αμερικανούς καταναλωτές δικαίωμα προσφυγής.

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.

Ανακαλύψτε το Viqtor®
elEL
fr_FRFR en_USEN de_DE_formalDE es_ESES it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL elEL