Rançongiciels : des attaques en constante augmentation

Lunavara: rünnakud sagenevad

Õiguslik jälgimine nr 51 – september 2022.

Lunavara: rünnakud sagenevad Sügiseuudised toovad meid tagasi andmetöötlejate korduva mure juurde: turvarikkumiste juurde.

Essonne'i haigla küberrünnak ja mitme gigabaidise patsiendiandmete levitamine tuletab meile meelde, kui oluline on võtta kõik vajalikud meetmed enda kaitsmiseks selliste rünnakute eest.

Need faktid peegeldavad pidevat rünnakute sagenemise trendi kogu Euroopas.

Seega näitab CNIL, et 2021. aastal on võrreldes 2020. aastaga (5037 teadet 2021. aastal) andmetega seotud rikkumiste teadete arv suurenenud 79,1 TP3 biljoni võrra, mis on 2021. aastal üle 2150 lunavararünnaku tagajärjel tekkinud rikkumiste teate ehk 43,1 TP3 biljoni kogumahust.

Lisaks oli pool CNIL-i poolt eelmisel aastal kehtestatud sanktsioonidest suunatud andmeturbekohustuste rikkumiste vastu.

Seega on oktoobrikuu võimalus teha kokkuvõte olulistest turvameetmetest, nagu on üles kutsunud CNIL ja ANSSI, kes alustavad oma tegevust. „Küberkuu” teadlikkuse tõstmise kampaania lunavara osas.

See kampaania on Euroopa ECSM küberturvalisuse kampaania prantsuskeelne versioon, mida toetavad enamik Euroopa riike ja Euroopa julgeolekuagentuur ENISA.

Meenutagem kõigepealt CNIL-i soovitusi, milles loetletakse andmetöötluse turvalisuse haldamise erinevad etapid, sealhulgas:

  • Andmetöötlusvahendite ja nende tugivahendite (riistvara, tarkvara, sidekanalid, paberkandjal vahendid) inventuur:
  • Iga töötlemisega kaasnevate riskide ja nende võimaliku mõju hindamine asjaomaste isikute õigustele ja vabadustele (eelkõige tundlike andmete töötlemisel).
  • Riskiallikad (inimlikud ja mitteinimlikud allikad).
  • Realiseeruvad ohud, st võimalikud käivitavad sündmused (nt vandalism, loomulik kulumine, täis täitunud laopind, teenusetõkestusrünnak).
  • Iga riskiga tegelemiseks olemasolevad või kavandatud meetmed (nt varukoopiad, krüpteerimine) ja proportsionaalsed riskidega.
  • Riskide tõsidus ja tõenäosus eelnevate elementide valguses.

ANSSI annab üksikasjalikku teavet oluliste kaitsemeetmete kohta:

  • Pakkuda automaatseid varukoopiaid, võrgust lahti ühendatuna;
  • Testi varukoopiaid regulaarselt;
  • Koostage äritegevuse järjepidevuse plaan (BCP);
  • Pakkuda kriisiüksust;
  • Rakenda kriisimehhanismi.

Agentuur kordab ka oma soovitust olla ettevaatlik soovimatute e-kirjade suhtes, eriti kui need sisaldavad manust:

  • Ärge usaldage ühtegi sõnumis mainitud telefoninumbrit ega hüperlinki.
  • Kontrolli saatja aadressi, klõpsates sellel, ja helista tema tavapärasele kontaktile, selle asemel et kahtlasele sõnumile vastata.

Andmetega seotud rikkumise korral tuleb viivitamatult võtta asjakohaseid meetmeid rikkumise peatamiseks ja selle mõju piiramiseks asjaomastele isikutele.

Lunavararünnaku korral soovitab ANSSI aktiveerida parandusmeetmed ja kriisireageerimissüsteemi ning seejärel enne tehnilise abi otsimist teavitada asjaomaseid asutusi (politsei, sandarmiteenistus, ANSSI).

Kui kahtlustate sissetungi, leiate kasulikku teavet arvutirünnakute jälgimise, hoiatamise ja reageerimise valitsuse keskuse veebisaidilt ja küberkuritegevusele pühendatud valitsuse veebisaidilt.

Lõpuks pidage meeles, et isikuandmete kaitse üldmääruse kohaselt peab vastutav töötleja CNIL-i rikkumisest teavitama 72 tunni jooksul pärast sellest teadasaamist.

Kui andmete leke kujutab tõenäoliselt endast suurt ohtu andmesubjektide õigustele ja vabadustele (näiteks tundlike andmete, näiteks terviseandmete varguse korral), tuleb andmesubjekti ka individuaalselt teavitada.

CNIL korraldab kaks veebiseminari vastavalt 18. ja 21. oktoobril paroolide ja tehisintellekti süsteemide turvalisuse teemal. Registreerimine on vajalik. Lisateavet leiate CNIL-i veebisaidilt.

Ja ka

Prantsusmaa:

8. septembril CNIL määras GIE INFOGREFFE-le 250 000 euro suuruse trahvi, mis avaldab oma veebisaidi kaudu ettevõtete kohta käiva juriidilise ja ametliku teabe levitamise teenuse. Infogreffe'ile määrati sanktsioon mitmete isikuandmete kaitse üldmääruse (GDPR) kohustuste täitmata jätmise eest seoses säilitusaegade ja isikuandmete turvalisusega.

Tehisintellekt: Riiginõukogu annab seisukoha tulevase Euroopa regulatsiooni juhtimise kohta ja avaldab kaks uuringut sellel teemal.

– Oma 30. augusti 2022. aasta dokumendis käsitleb riiginõukogu avaliku teenuse kvaliteedi küsimust ja loob aluse Prantsusmaa tehisintellekti strateegiale.

Ta julgustab muu hulgas CNIL-i volituste tugevdamist ja muuta see ametlikult vastutavaks tehisintellekti süsteemide reguleerimise eest.

– Riiginõukogu uuris ka sotsiaalvõrgustike reguleerimist tehisintellekti arengu kontekstis.

27. septembril avaldas ta uurimuse, milles ta sõnastas 17 soovitust tasakaalustamiseks jõud kasutajate kasuks, avaliku sektori asutuste varustamine reguleeriva rolliga ja mõtlemine tuleviku sotsiaalvõrgustikele.

Samuti teeb EK ettepaneku luua tugevdatud ministeeriumidevaheline keskus, mis koondaks riigi erinevad ekspertiisivaldkonnad selles valdkonnas. 

Euroopa:

16. septembril 2022 otsustas Euroopa Andmekaitseinspektor (EDPS) esitas hagi uue määruse kahe sätte kohta, mis lubavad Europoli ametil tagasiulatuvalt kodanike andmeid töödelda isegi ilma tõendatud seoseta kuritegeliku tegevusega.

Euroopa Andmekaitseinspektor on palunud Euroopa Liidu Kohtul tühistada selle 28. juunil 2022 jõustunud määruse kaks sätet.

Oma teises väljaandes TechSonari uudiskiri, Euroopa Andmekaitseinspektor valib välja 5 esilekerkivat suundumust: ta arendab välja järgmised küsimused:

  • „võltsuudiste” tuvastamine,
  • keskpanga digitaalne valuuta,
  • metaversum
  • „födereeritud õpe” ja „sünteetilised andmed” – kaks tehisintellektiga seotud teemat.

Suurema vastutuse suunas tehisintellektis?

Euroopa Komisjoni ettepanekuga tootevastutuse direktiivi läbivaatamiseks soovitakse kohandada ELi vastutuskorda digitaalajastuga.

On esitatud täiendav direktiiv, mis on suunatud tehisintellekti põhjustatud konkreetsetele kahjudele.

Vastutus jätkuks ka pärast toote turuletoomist, hõlmates tarkvarauuendusi, küberturvalisuse riskide käsitlemata jätmist ja masinõpet.

Teisisõnu, Arendajad vastutaksid jätkuvalt tehisintellekti süsteemide autonoomselt õppimise ja juurutamise värskenduste või nende puudumise eest.

GDPR-i võib kaaluda konkurentsijuhtumite kontekstis 20. septembril avaldas Euroopa Kohtu kohtujurist hr Rantos arvamuse, mille kohaselt võivad konkurentsiasutused Meta turgu valitseva seisundi hindamisel GDPR-i arvesse võtta.

Parlamendiliikmed külastasid Iirimaa ametivõime andmekaitset 21.–23. septembrini ning ei tundu oma reisiga täiesti rahul olevat: parlamendi kodanikuvabaduste komisjoni (LIBE) delegatsioon soovis sõnaselgelt uurida isikuandmete kaitse üldmääruse rakendamist ja kohaldamist, eelkõige nn ühtse kontaktpunkti mehhanismi toimimist.

Delegatsiooni juht kirjeldas Iirimaa andmekaitseasutust kui "ühtse akna mehhanismi kitsaskoht", lisades, et "kasulik oleks andmekaitsekomisjoni protseduuride ja tegevuste sõltumatu läbivaatamine".

13. septembril osalesid liikmed digitaalsete õiguste rühmitus EDRi kohtus Euroopa Andmekaitsenõukoguga (EDPB), et arutada isikuandmete kaitse üldmääruse kohaldamise võimalikud täiustused.

EDRi juhib tähelepanu sellele, et siseriiklike sätete ühtlustamise puudumine ja piiriülesed juhtumid ei ole ainsad probleemid.

Valitsusvälise organisatsiooni andmetel on mitu riiklikku juhtumit, kus järelevalveasutused ei ole kaebusi ja isikuandmete kaitse üldmääruse rikkumisi nõuetekohaselt käsitlenud, eelkõige ressursside nappuse tõttu.

Esinenud probleemide hulka kuulusid kaebuse menetlemisest keeldumine, seletamatud viivitused kaebuse menetlemisel, staatuse värskenduste puudumine ja raskused kaebuse esitamisel üldse.

Berliini andmekaitse ja vabaduste volinik (BInBDI) trahvis jaemüügigruppi 525 000 euroga isikuandmete kaitse üldmääruse artikli 38(6) rikkumise eest, mis tulenes nende andmekaitseametniku huvide konflikt: viimane kontrollis ka ettevõtte direktorina tehtud otsuseid.

Samal teemal, Islandi andmekaitseamet leidis, et huvide konflikt tekkis juhul, kui andmekaitseametnik oli samaaegselt ettevõtte vanemjurist, tegevjuhi asetäitja või juhatuse liige.

Andmekaitseametnik võib aga täita vastavusametniku ametikohta.

Sellega seoses tuleb märkida, et andmekaitseametniku määramine ja funktsioon on Euroopa Andmekaitsekomitee järgmise koordineeritud järelevalvemeetme teemaks.

Karlsruhe kaubanduskoda tühistas Baden-Württembergi riigihangete koja otsuse, leides muuhulgas, et ainuüksi asjaolu, et andmetöötleja on kolmanda riigi ärigrupi tütarettevõte, ei sea kahtluse alla volitatud töötleja kohustust töödelda isikuandmeid ainult Euroopa Majanduspiirkonnas.

Rumeenia ametlik arenguabi trahvis kirjastajat 5000 euroga piisavate tehniliste ja korralduslike meetmete puuduminepärast kahte andmeleket, mis mõjutasid 10 739 (endist) klienti ja 100 töötajat ja partnerit.

Hispaania ametlik arenguabi jõudis järeldusele, et vastutav töötleja oli pärast foto postitamist Instagrami rikkunud isikuandmete kaitse üldmääruse artiklit 6 ilma kehtiva õigusliku aluseta.

Andmekaitseamet määras vastutavale töötlejale 10 000 euro suuruse trahvi.

Taani ametlik arenguabi leidis, et erakonnal oli GDPRi artikli 6(1) punkti f alusel piisav õiguslik alus uurida ühte oma liiget väidetava seksuaalse vägivalla suhtes.

Siiski noomis ta vastutavat töötlejat ja volitatud töötlejat selle eest, et nad ei mitte teavitades töötlemise andmesubjekt vastavalt artikli 14 lõike 2 punktile b.

Belgia ametlik arenguabi trahvis meditsiinilaborit 20 000 euroga mitme isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkti f ja artikli 35 lõike 3 kohase kohustuse rikkumise eest, kuna turva- ja konfidentsiaalsuspoliitika puudumine veebisaidil ning andmekaitsealase mõjuanalüüsi puudumine (GDPRhubi loetletud riiklikud otsused).

Ühendkuningriigi ja USA vaheline andmetele juurdepääsu leping, mis võimaldab mõlema riigi uurijatel juurde pääseda raskete kuritegudega seotud elektroonilistele andmetele, jõustus 3. oktoobril.

Tekst lubab Briti ja Ameerika õiguskaitseorganitel taotleda oma jurisdiktsioonis telekommunikatsiooniteenuse pakkujate valduses olevaid andmeid.

Šveitsi kullerfirmad Proton ja Threema on koos teiste välismaiste ettevõtetega allkirjastanud harta, mis kohustab neid koguma võimalikult vähe andmeid ja krüpteerima sõnumeid. Eesmärk on, et ka teised tehnoloogiaettevõtted sellega ühineksid.

Rahvusvaheline:

Uue kohaselt ÜRO aruanne (Inimõiguste Amet), 16. september 2022, on üksikisikute õigus privaatsusele võrgustatud digitehnoloogiate kasutamise tõttu üha suurema surve all.

Aruande kohaselt on need tehnoloogiad võimsad jälgimis-, kontrolli- ja rõhumisvahendid, mis vajavad tõhusat reguleerimist, mis põhineb seadusel ja rahvusvahelistel inimõiguste standarditel.

Aruandes vaadeldakse kolme peamist valdkonda:

  • Nuhkvara väärkasutamine avaliku sektori asutuste poolt,
  • Tugevate krüpteerimismeetodite võtmeroll inimõiguste kaitsmisel veebis
  • Avalike ruumide laialdase digitaalse jälgimise tagajärjed nii võrgus kui ka väljaspool seda.

Seal Indoneesia Esindajatekoda võttis vastu isikuandmete kaitse seaduseelnõu.

Google'i tööriist „Teie kohta käivad tulemused” Ettevõtte aruande kohaselt hakatakse kasutusele võtma tööriista, mis on loodud isikuandmeid (nt e-posti aadress või telefoninumber) sisaldavate otsingutulemuste eemaldamise protsessi lihtsustamiseks.

Google teatas sellest funktsioonist selle aasta alguses, öeldes, et see on peagi Google'i rakenduses saadaval.

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.

Avastage Viqtor®
etET
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT fiFI lvLV lt_LTLT sk_SKSK sl_SISL etET