Rançongiciels : des attaques en constante augmentation

Ransomware: ataques en aumento

Legal Watch No. 51 – Septiembre 2022.

Ransomware: ataques en aumento :La noticia de la caída nos hace volver a una preocupación recurrente de los responsables del tratamiento de datos: la de las brechas de seguridad.

El ciberataque al hospital de Essonne y la difusión de varios gigabytes de datos de pacientes nos recuerdan lo importante que es tomar todas las medidas necesarias para protegernos de este tipo de ataques.

Estos hechos reflejan una tendencia constante de aumento de ataques en toda Europa.

La CNIL indica así un aumento de 79,1 TP3T de notificaciones de violaciones de datos en 2021 en comparación con 2020 (5037 en 2021), más de 2150 notificaciones de violaciones resultantes de un ataque de ransomware recibidas en 2021, o 43,1 TP3T del volumen total.

Además, la mitad de las sanciones impuestas por la CNIL el año pasado estaban destinadas a infringir las obligaciones en materia de seguridad de los datos.

Este mes de octubre es, por tanto, la oportunidad de hacer un balance de las medidas de seguridad esenciales, como lo han invitado la CNIL y la ANSSI, que están comenzando su Campaña de concienciación “Cybermonth” con respecto al ransomware.

Esta campaña es la versión francesa de la campaña europea de ciberseguridad ECSM, apoyada por la mayoría de los países europeos y por la agencia de seguridad europea ENISA.

Recordemos en primer lugar las recomendaciones de la CNIL, que enumeran las diferentes etapas de la gestión de la seguridad del tratamiento de datos, entre ellas:

  • El inventario del tratamiento de datos y sus soportes (hardware, software, canales de comunicación, soportes papel):
  • La evaluación de los riesgos generados por cada tratamiento así como sus posibles impactos sobre los derechos y libertades de las personas interesadas (en particular cuando se traten datos sensibles).
  • Fuentes de riesgo (fuentes humanas y no humanas).
  • Amenazas realizables, es decir, posibles eventos desencadenantes (por ejemplo, vandalismo, desgaste natural, unidad de almacenamiento llena, ataque de denegación de servicio).
  • Medidas existentes o planificadas para abordar cada riesgo (por ejemplo, copias de seguridad, cifrado), proporcionales a los riesgos.
  • La gravedad y probabilidad de los riesgos, a la luz de los elementos anteriores.

La ANSSI proporciona detalles sobre las medidas de salvaguardia esenciales:

  • Proporcionar copias de seguridad automáticas, desconectadas de la red;
  • Pruebe las copias de seguridad periódicamente;
  • Elaborar un plan de continuidad de negocio (BCP);
  • Proporcionar una unidad de crisis;
  • Ejercitar un mecanismo de crisis.

La agencia también reitera su recomendación de precaución respecto a los correos electrónicos no solicitados, particularmente cuando contienen un archivo adjunto:

  • No confíe en ningún número de teléfono ni hipervínculo mencionado en el mensaje.
  • Verifique la dirección del remitente haciendo clic en él, llame a su contacto habitual en lugar de responder a un mensaje sospechoso.

En caso de una violación de datos, se deben tomar inmediatamente las medidas adecuadas para detenerla y limitar el impacto en las personas afectadas.

En caso de un ataque de ransomware, la ANSSI recomienda activar las medidas de remediación y el sistema de respuesta a crisis, y luego alertar a las autoridades pertinentes (policía, gendarmería, ANSSI) antes de buscar asistencia técnica.

Si sospecha de una intrusión, puede encontrar información útil en el sitio web del Centro Gubernamental de Monitoreo, Alerta y Respuesta a Ataques Informáticos, y en el sitio web del gobierno dedicado a los delitos cibernéticos.

Por último, recuerde que, según el RGPD, el responsable del tratamiento debe notificar la infracción a la CNIL en el plazo de 72 horas desde que tenga conocimiento de ella.

Cuando sea probable que la fuga de datos suponga un alto riesgo para los derechos y libertades de los interesados (por ejemplo, en caso de robo de datos sensibles como datos sanitarios), el interesado también deberá ser informado individualmente.

La CNIL organiza dos seminarios web los días 18 y 21 de octubre, respectivamente, sobre contraseñas y la seguridad de los sistemas de inteligencia artificial. Es necesario inscribirse. Puede encontrar más información en su sitio web.

Y también

Francia:

El 8 de septiembre, la CNIL impuso una sanción de 250.000 euros al GIE INFOGREFFE, que publica el servicio de difusión de información legal y oficial sobre empresas a través de su sitio web. Infogreffe ha sido sancionada por incumplir diversas obligaciones del RGPD en materia de plazos de conservación y seguridad de datos personales.

Inteligencia Artificial: el Consejo de Estado Se pronuncia sobre la gobernanza de la futura reglamentación europea y publica dos estudios sobre el tema.

– En su documento del 30 de agosto de 2022, el Consejo de Estado aborda la cuestión de la calidad del servicio público y sienta las bases de una estrategia francesa en materia de IA.

Él fomenta, entre otras cosas, el fortalecimiento de los poderes de la CNIL y hacerla formalmente responsable de regular los sistemas de IA.

– El Consejo de Estado también examinó la regulación de las redes sociales en el contexto del desarrollo de la IA.

El 27 de septiembre publicó un estudio en el que formuló 17 recomendaciones para reequilibrar las fuerzas a favor de los usuarios, dotando a los poderes públicos de su papel regulador y pensando en las redes sociales del mañana.

La CE también propone crear un centro interministerial reforzado que aglutine las distintas áreas de especialización del Estado en este ámbito. 

Europa:

El 16 de septiembre de 2022, el Supervisor Europeo de Protección de Datos (SEPD) presentó una demanda sobre dos disposiciones del nuevo reglamento que permiten retroactivamente a la agencia Europol procesar datos de los ciudadanos incluso sin un vínculo establecido con la actividad delictiva.

El SEPD ha solicitado al Tribunal de Justicia de la Unión Europea que anule las dos disposiciones de este Reglamento, que entró en vigor el 28 de junio de 2022.

En su segunda edición de su Boletín informativo de TechSonar, El SEPD selecciona cinco tendencias emergentes: desarrolla las cuestiones de

  • la detección de 'noticias falsas',
  • la moneda digital del banco central,
  • el Metaverso,
  • “aprendizaje federado” y “datos sintéticos”, dos temas relacionados con la inteligencia artificial.

¿Hacia una mayor rendición de cuentas en la IA?

La propuesta de la Comisión Europea para revisar la Directiva sobre responsabilidad por productos tiene como objetivo adaptar el régimen de responsabilidad de la UE a la era digital.

Se ha propuesto una directiva adicional dirigida a los daños específicos causados por la inteligencia artificial.

La responsabilidad continuaría después del lanzamiento del producto al mercado, cubriendo las actualizaciones de software, la falta de abordaje de los riesgos de ciberseguridad y el aprendizaje automático.

En otras palabras, Los desarrolladores seguirían siendo responsables del aprendizaje autónomo de los sistemas de IA y de las actualizaciones de implementación o la falta de ellas.

El RGPD puede considerarse en el contexto de casos de competencia El 20 de septiembre, el Abogado General del TJUE, Sr. Rantos, emitió un dictamen según el cual las autoridades de competencia pueden tener en cuenta el RGPD al evaluar la posición dominante de Meta en el mercado.

Los eurodiputados visitaron a las autoridades irlandesas protección de datos entre el 21 y el 23 de septiembre, y no parecen del todo satisfechos con su viaje: la delegación de la Comisión de Libertades Públicas del Parlamento (LIBE) deseaba expresamente examinar la implementación y aplicación del RGPD, en particular el funcionamiento del mecanismo de "ventanilla única".

El jefe de la delegación calificó a la autoridad irlandesa de protección de datos como "un cuello de botella del mecanismo de ventanilla única", Añadiendo que "sería útil una revisión independiente de los procedimientos y acciones de la DPC".

El 13 de septiembre, los miembros de la grupo de derechos digitales EDRi se reunió con el Comité Europeo de Protección de Datos (CEPD) para debatir Posibles mejoras en la aplicación del RGPD.

EDRi señala que la falta de armonización de las disposiciones nacionales y los casos transfronterizos no son los únicos problemas.

Según la ONG, hay múltiples casos nacionales en los que las autoridades de control no han gestionado adecuadamente las quejas y las violaciones del RGPD, en particular por falta de recursos.

Los problemas encontrados incluyeron la negativa a dar seguimiento a una queja, demoras inexplicables en el procesamiento de una queja, falta de actualizaciones de estado y dificultades para presentar una queja en primer lugar.

El Comisionado de Berlín para la Protección de Datos y las Libertades (BInBDI) multó a un grupo minorista con 525.000 euros por infringir el artículo 38(6) del RGPD debido a conflicto de intereses de su DPO: este último también controlaba las decisiones tomadas en su calidad de director de la empresa.

Sobre el mismo tema, la Autoridad de Protección de Datos de Islandia Se consideró que existía un conflicto de intereses cuando un DPO era simultáneamente abogado senior, director general adjunto o miembro del consejo de administración de una empresa..

Sin embargo, un DPO puede desempeñar el cargo de responsable de cumplimiento.

Cabe señalar a este respecto que la designación y función del DPO serán objeto de la próxima acción de seguimiento coordinada del Comité Europeo de Protección de Datos.

La Cámara de Comercio de Karlsruhe revocó una decisión de la Cámara de Contrataciones Públicas de Baden-Württemberg que consideraba, entre otras cosas, que el mero hecho de que un encargado del tratamiento sea una filial de un grupo comercial de un tercer país no pone en tela de juicio el compromiso del encargado de procesar datos personales exclusivamente en el Espacio Económico Europeo.

AOD rumana Multó a un editor con 5.000 euros por falta de medidas técnicas y organizativas adecuadas, después de dos violaciones de datos que afectaron a 10.739 de sus (antiguos) clientes y 100 de sus empleados y socios.

AOD española concluyó que un responsable del tratamiento había violado el artículo 6 del RGPD después de publicar una foto en Instagram sin base jurídica válida.

La autoridad de control impuso al responsable del tratamiento una multa de 10.000 euros.

AOD danesa encontró que un partido político tenía una base legal suficiente según el artículo 6(1)(f) del RGPD para investigar a uno de sus miembros por presunta violencia sexual.

Sin embargo, reprendió al controlador y al procesador por no no haber informado el interesado del tratamiento según lo exige el artículo 14(2)(b).

AOD belga multó a un laboratorio médico con 20.000 euros por incumplir varias obligaciones en virtud de los artículos 5(1)(f) y 35(3) del RGPD debido a la ausencia de una política de seguridad y confidencialidad en su sitio web y la inexistencia de un análisis de impacto de la protección de datos (decisiones nacionales registradas por GDPRhub).

El Acuerdo de Acceso a Datos entre el Reino Unido y los Estados Unidos, que permite a los investigadores de ambos países acceder a datos electrónicos relacionados con delitos graves, entró en vigor el 3 de octubre.

El texto permite a las agencias policiales británicas y estadounidenses solicitar datos en poder de los proveedores de telecomunicaciones en sus respectivas jurisdicciones.

Empresas de mensajería suizas Proton y Threema Han firmado, junto con otras empresas extranjeras, una carta que les obliga a recopilar la menor cantidad de datos posible y a cifrar los mensajes. El objetivo es que otras empresas tecnológicas se unan.

Internacional :

Según un nuevo Informe de la ONU (Oficina de Derechos Humanos) de 16 de septiembre de 2022El derecho a la privacidad de las personas está bajo una presión cada vez mayor debido al uso de tecnologías digitales en red.

Según el informe, estas tecnologías constituyen formidables herramientas de vigilancia, control y opresión, que requieren una regulación efectiva basada en el derecho y las normas internacionales de derechos humanos.

El informe analiza tres áreas clave:

  • El uso indebido de programas espía por parte de las autoridades públicas,
  • El papel clave de los métodos de cifrado fuertes en la protección de los derechos humanos en línea
  • Las consecuencias de la vigilancia digital generalizada de los espacios públicos, tanto en línea como fuera de línea.

Allá Cámara de Representantes de Indonesia aprobó su proyecto de ley sobre protección de datos personales.

Herramienta "Resultados sobre ti" de Google Una herramienta diseñada para simplificar el proceso de eliminación de resultados de búsqueda que contienen información personal, como el correo electrónico o el número de teléfono, está comenzando a implementarse, según un informe de la compañía.

Google anunció esta función a principios de este año, afirmando que pronto estaría disponible en la aplicación de Google.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES