Andmelekked: CNIL annab häirekella ja meie oleme nõus.

Kaks nädalat tagasi helistas mulle paanikas üks juht. Üks tema teenusepakkujatest oli just küberrünnaku ohvriks langenud. Tema klientide failid, mis tema arvates olid "sertifitseeritud" SaaS-pakkuja poolt hästi kaitstud, olid avalikud. Esimene küsimus, mille ta mulle esitas, oli: "Noh, see on nende probleem, eks?" Noh, ei. See on ka tema oma. Ja see on täpselt üks peamisi järeldusi avaldatud aastaaruandest. CNIL 18. mai: andmelekked plahvatada ja alltöövõtuahel on peaaegu alati võrrandis.

6167 teadet andmete rikkumine registreeriti 2025. aastal. Rekordiline. 9,5 % rohkem kui 2024. aastal ja 2026. aasta esimene kvartal järgib juba sama trendi 2730 juhtumiga. Nende arvude taga on miljonid mõjutatud prantslased, vapustatud ettevõtted ja selge sõnum Marie-Laure Denisilt, kes on ... president. CNIL seal küberturvalisus nii riigi kui ka ettevõtete oma on "kaugelgi mitte rahuldav".

Kokkuvõttes

  • Absoluutne rekord andmelekked Prantsusmaal 2025. aastal: 6167 teadet, +9,5 % ühe aasta jooksul ja 2026. aasta esimene kvartal kinnitab seda suundumust.
  • THE andmelekked muutuvad üha ulatuslikumaks, kusjuures esirinnas on avalik haldus ja väga sageli on kaasatud teenusepakkuja.
  • Hindamis- ja lepinguline raamistik GDPR-i alltöövõtja on saanud esmaseks kohustuseks: a Andmekaitse Aluseks on vastavus, auditid ja jälgimine.
  • Mitmefaktoriline autentimine (Maisterfinantseerimine) on nüüd mõõt, mille kohaselt CNIL vaikimisi ootab. Aastal 2026 keskendub 50 % selle juhtelementidest sellele küberturvalisus.
  • Protseduur, mis hõlmab rikkumise teatis testitud, värskendus töötlemistoimingute register ja selle realiseerimine AIPD muuta suurel päeval kõik.
  • Nõuetele vastavust ei tõenda kavatsused, vaid dokumendid: see ongi see, mis see on.vastutus.

Mida CNILi aastaaruanne (tegelikult) ütleb

"Üha ulatuslikumad" rikkumised

Aruanne ei ole lihtsalt loendav. See loob pildi. Umbes nelikümmend intsidenti 2025. aastal mõjutasid igaüks enam kui miljonit inimest – kümme rohkem kui 2024. aastal. Avaliku halduse valdkond on 19 miljoni teatatud intsidendiga esirinnas, millele järgnevad tervishoid, sotsiaalteenused ning seejärel finants- ja kindlustustegevus. Ja see pole veel kõik: see arv ei hõlma isegi küberrünnakuid Weda ja Harvest tarkvara vastu, mis üksi genereerisid üle 11 600 klienditeate. Üks intsident ülesvoolu, tuhanded ettevõtted allavoolu. See ütleb kõik.

Kolm õppetundi, mis tuleb selgeks õppida

Seal CNIL Kolm peamist tähelepanekut, mille kohaselt peaks iga juht juhatuses silmapaistvalt kirjutama. Esiteks: kedagi ei säästeta. Spordiliidud, hotelliketid, vastastikused kindlustusseltsid, kohalikud omavalitsused, VKEd ja ka suurettevõtted – ohul pole enam tüüpilist profiili. Teiseks: andmelekked Need puudutavad üha suuremaid mahtusid. Kolmandaks, ja siin on teema seotud meie eelmiste artiklitega: need juhtumid hõlmavad sageli teenusepakkujaid. GDPR-i alltöövõtja on muutunud kõige haavatavamaks lüliks.

Ründajate meetod on muutumas tavaliseks.

Häkkimine moodustab poole kõigist teatatud intsidentidest. Selle sõna taga peitub terve hulk probleeme: lunavara, andmepüük, volituste võltsimine, seaduslike kasutajakontode vargus. Lisaks sellele on 13 juhtumit tingitud valest adressaadist e-kirja kopeerimisest, 7 riistvara kadumisest ja 7 kogemata postitamisest. Lühidalt öeldes on inimlik viga endiselt oluline tegur. Ja siis on veel genereeriv tehisintellekt, mis presidendi sõnul CNILANTS-i juhtum, milles pärast turvaliste dokumentide agentuuri häkkimist kahtlustatakse 15-aastast alaealist – prokuröri sõnul mitte imelast –, on selle jahmatav näide.

Miks teie alltöövõtjad on (ikka veel) probleemi keskmes

Kui teenusepakkuja kukub, kukuvad koos temaga ka tema kliendid.

Naaskem Weda ja Harvest tarkvara loo juurde. Need olid kaks küberrünnakut, kuid ametkond sai 11 600 teadet. Sest iga kord on tarkvara väljaandja taga sadu meditsiinipraktikaid, sadu varahalduse nõustajaid, keda see samuti mõjutab. andmetöötleja ja peavad lekkest oma klientidele teatama. Täpselt selline on alltöövõtja Mobiuse/Deezeri stsenaarium, kus CNIL Sellele määrati 2025. aasta lõpuks miljoni euro suurune trahv – ainult et siin on kulud mitmekordsed. Üks rünnak, tuhat professionaalset ohvrit, miljonid mõjutatud inimesed.

Esialgne hindamine: teie parim (ja ainus) kaitse

GDPR ei jäta kahtlusteks ruumi: a andmetöötleja „kasutab ainult alltöövõtjaid, kes pakuvad piisavaid tagatisi.“ See artikli 28 lõikes 1 sätestatud kohustus ei ole soovmõtlemine. See on see, mida inspektorid otsivad. Täpsemalt, kas saadate igale teenusepakkujale hindamisküsimustiku? Kas küsite nende ohutuspoliitika, nende töötlemistoimingute register, nende nimi AndmekaitseametnikNende sertifikaadid? Kas olete oma sertifikaadid kindlaks teinud? andmeedastus Väljaspool EL-i? Kui vastus mõnele neist küsimustest on "ee", on teie esimene operatiivne prioriteet.

Ainult lepingust ei piisa, ega ka auditist, vaid mõlemast koos, jah.

A GDPR-i alltöövõtuleping hästi kirjutatud – ehk siis Andmekaitse Artikli 28 §3 kaheksa kohustusliku klausli kordamine on alguspunkt, mitte lõppeesmärk. Pikaajaline juhtimine on samuti oluline: iga-aastased auditid, järgnevate alltöövõtjate ülevaatused, järelevalve. tehnilised ja korralduslikud meetmed tõhusalt rakendatud. Selle lähenemisviisi struktureerimiseks Viqtori alltöövõtjate moodul koondab hinnangud, lepingud, auditid ja tehingute ajaloo ühte hoidlasse. See on tõend, mida vastutav töötleja CNIL Tore näha.

Kas teie alltöövõtjate lepingud ja hinnangud on ajakohased? Hankige faktid Viqtori eksperdilt

Mida valitsus teeb – ja mida peaksite teie omakorda tegema

200 miljonit eurot ja uus digiasutus

Aprilli lõpus avalikustas peaminister Sébastien Lecornu oma plaani: 200 miljonit eurot tugevdamiseks küberturvalisus riigi, digitaalküsimuste ministeeriumidevahelise direktoraadi ja avaliku sektori ümberkujundamise direktoraadi ühendamine, et luua peaministri kantseleile alluv digitaalne asutus. Pärast sedaANSSI on avaldanud ministeeriumidele uued juhised: igaüks peab määrama nõuniku küberturvalisusSee pole vähetähtis. Kui riik sellisel tasandil ümber korraldab, tähendab see, et ta peab maja põlevaks. Kuid selles ahelas tellivad valitsusasutused palju teenuseid alltöövõtjalt – ja iga teenusepakkuja on potentsiaalne sisenemispunkt.

Mitmefaktoriline autentimine: meede, mis oleks võinud ära hoida palju tragöödiaid

Seal CNIL rõhutab lihtsat sõnumit: enamikku hiljutistest suurematest rünnakutest oleks saanud vältida mitmefaktoriline autentimine õigesti paigutatud. MaisterfinantseerimineJust see kahetine tegur muudab suure osa tehnikatest ebaefektiivseks. volituste lisamine ja andmepüükAmetiasutus avaldas oma soovituse juba 2025. aasta märtsis, andes organisatsioonidele aega kohanemiseks, ja kuulutab nüüd välja sihipärased kontrollimeetmed. 2026. aastal keskendub 50% jõustamismeetmetest järgmisele: küberturvalisus, võrreldes veerandi kuni kolmandikuga 2025. aastal. Baaside puhul, kus on üle miljoni inimese, on kontrollid esmatähtsad.

Sel nädalal käivitatakse mõned konkreetsed projektid

Meeskondi üle koormamata on mõned tegevused, mida saab kiiresti võtta ja mis intsidendi korral reaalselt muutusi toovad. Siin on see, mida ma oma juhtivtöötajatest klientidele soovitan, kui nad küsivad, kust alustada.

  • Aktiveeri Maisterfinantseerimine kõigil privilegeeritud kontodel ja juurdepääsul tööriistadele, mis sisaldavad isikuandmed.
  • Uuendage oma alltöövõtjate nimekirja ja kontrollige, et igaühel neist oleks olemas Andmekaitse allkirjastatud ja tuvastage need, kes seda teevad andmeedastus väljaspool EL-i.
  • Testige oma protseduuri rikkumise teatis Kes keda teavitab? Kas suudad sündmuste ahelat jälgida kuni hetkeni, mil... CNIL seadusliku tähtaja jooksul 72 tundi ?
  • Dokumenteerimine AIPD (mõjuanalüüs) teie kõrge riskiga ravimeetodite puhul — see on teine punkt, mida CNIL süstemaatilised kontrollid.
  • Heida veel üks kiire pilk oma töötlemistoimingute register : see on harva nii ajakohane, kui võiks arvata.

Ja mis juhtub pärast leket? Juhtumite haldamine, kus kõik sõltub.

Esimesed 72 tundi otsustavad ülejäänu.

Kui teenusepakkuja teid teavitab, on teil 72 tundi teavitama CNIL kui andmete leke kujutab endast ohtu inimestele. Mitte kolm nädalat. Pole piisavalt aega juhtkomitee kokkukutsumiseks. Protseduur peab olema valmis, kirjutatud, testitud ja pühapäeva õhtul aktiveerimiseks valmis. Meie leht, mis on pühendatud... andmete rikkumise avaldus kirjeldab samme, et vältida tagurpidi tegemist.

Asjaosaliste teavitamine, tõe hetk

Kui rikkumine kujutab endast suurt ohtu üksikisikute õigustele ja vabadustele, nõuab GDPR ka iga üksikisiku otsest teavitamist. Tihti on just sel hetkel kriisikommunikatsioon õiguslike meetmete ees tähtsam. Halva juhtimise korral usaldus variseb kokku – Marie-Laure Denis räägib valitsuse lekete puhul isegi "riigi ja kodanike vahelise usaldussideme murenemisest". Eraettevõtte jaoks tähendab see kliendi lahkumist ja advokaadi saabumist.

Sanktsioon ja mida see ütleb organisatsiooni küpsuse kohta

Seal CNIL See ei karista põgenemist ennast; see karistab ebaõnnestumisi, mis selle võimalikuks tegid või seda süvendasid. Puuduminemitmefaktoriline autentiminemittetäielik register, üldised alltöövõtulepingud, hilinenud teatamine, vastutus olematu. Siia ehitatakse kaitse – või hukkamõist. Et kogu see struktuur oleks usaldusväärne, on meie Täielik juhend GDPR-i vastavusauditite kohta kirjeldab meie konsultantide kasutatavat metoodikat.

KKK

Kuivõrd andmetöötlejaJah, teie jääte andmetöötluse eest juriidiliselt vastutavaks isegi siis, kui leke pärineb teie alltöövõtjalt. Te peate riski analüüsima ja alltöövõtjat teavitama. CNIL vajadusel 72 tundija vajadusel teavitage asjaomaseid isikuid. Teie alltöövõtuleping GDPR peab planeerima, kuidas teenusepakkuja teid teavitab ja teiega koostööd teeb.

GDPR-is pole seda otsesõnu öeldud, aga CNIL peab seda eeldatavaks tehniliseks meetmeks igasuguse juurdepääsu jaoks isikuandmed tundlik või ulatuslik. Selle 2025. aasta märtsi soovitus on selgesõnaline ja 2026. aasta auditid on suunatud peamiselt organisatsioonidele, kes pole seda veel rakendanud. Lühidalt: see ei ole enam valikuline.

72 tundi alates hetkest, mil intsidendist teatatakse, välja arvatud juhul, kui rikkumine tõenäoliselt ei kujuta endast ohtu üksikisikute õigustele ja vabadustele. Sellest ajast alates tuleb hilinenud teatamist põhjendada. Teade esitatakse veebiteenuse kaudu CNIL ning see peab kirjeldama rikkumise olemust, kaasatud andmekategooriaid ja võetud meetmeid.

Ravimeetodite kaardistamine ja säilitamine töötlemistoimingute register hoidke end kursis alltöövõtjatega, tuvastage need ja sõlmige nendega nõuetekohased lepingud Andmekaitsekasutusele võtta Maisterfinantseeriminekirjuta protseduur rikkumise teatisja määrake viitaja või AndmekaitseametnikNeed viis ehitusplatsi hõlmavad olulisi kontrollpunkte. CNIL.

L'AIPD (mõjuanalüüsRiskianalüüs on kohustuslik töötlemistegevuste puhul, mis kujutavad endast suurt ohtu õigustele ja vabadustele: ulatuslik jälgimine, tundlikud andmed, automatiseeritud profiilianalüüs jne. See dokumenteerib riskid, nende leevendamise meetmed ja näitab teie riskijuhtimise lähenemisviisi.vastutusSee on üks esimesi dokumente, mis CNIL taotlus kontrolli korral.

Kas soovite need õppetunnid konkreetseks tegevuskavaks muuta?

Lisateabe saamiseks leiate kõik meie ressursid aadressilt andmehaldus ja GDPR-i vastavus Viqtori platvorm.

etET