Legal Watch nro 76 – lokakuu 2024.  

Kyberhyökkäykset: lisääntynyt riski ja kehittyvä lainsäädäntökehys.

 Yrityksiin tai julkisiin palveluihin kohdistuneiden kyberhyökkäysten määrä Ranskassa tänä syksynä on lukematon.

Boulangerin, Culturan, Truffaut'n, Grosbillin ja SFR:n jälkeen on nyt Freen vuoro kärsiä suuresta kyberhyökkäyksestä, juuri kun kyberturvallisuustietoisuuden kuukausi on päättymässä.

Asiakkailleen lähettämässään sähköpostiviestissä yritys ilmoitti, että hyökkäys johti luvattomaan pääsyyn joihinkin tilaajien tileihin liittyviin henkilötietoihin, mukaan lukien heidän kirjautumistietonsa, yhteystietonsa, sopimustietonsa ja joissakin tapauksissa heidän IBAN-numeronsa. Tietomurron arvioidaan vaikuttavan yli 19 miljoonaan asiakkaaseen.

Free on ilmoittanut CNIL:lle ja ANSSI:lle tietomurrosta.

Jos otamme huomioon myös laajamittaiset hyökkäykset, jotka kohdistuivat kahteen merkittävään kolmannen osapuolen maksuorganisaatioon ja France Travailiin vuoden 2024 alussa, jotkut arvioivat, että nykyään yli 40 miljoonan ranskalaisen tiedot ovat myynnissä dark webissä.

Näiden hyökkäysten lisääntyminen on johtanut siihen, että CNIL on julkaissut tiedotteen auttaakseen asianosaisia suojelemaan itseään.

Hän neuvoo erityisesti tarkistamaan pankkitilitapahtumat, olemaan valppaana identiteettivarkauksien ja tietojenkalasteluriskien varalta, vaihtamaan salasanoja ja käyttämään monivaiheisia todennusmenetelmiä.

Tähän asti CNIL on harvoin määrännyt kyberhyökkäysten uhreiksi joutuneille yrityksille seuraamuksia tietojen suojaamatta jättämisestä, toisin kuin sen eurooppalaiset vastineet.

Se on kuitenkin juuri määrännyt seuraamuksia kryptovaluuttojen turvallisuusyritys Ledgerille, koska se ei ole suojannut asiakkaidensa tietoja riittävästi.

La Lettren mukaan, joka uutisoi asiasta 23. lokakuuta, määrätty sakko on 750 000 euroa. CNIL ei ole vahvistanut tätä summaa.

Yritys oli kärsinyt useista henkilötietomurroista vuonna 2020, jotka vaikuttivat lukuisiin asiakkaisiin ja potentiaalisiin asiakkaisiin.

GDPR:n määräyksiin lisätään nyt uusia sääntöjä, jotka edellyttävät rekisterinpitäjiltä tietojen suojaamista.

Nämä ovat 17. lokakuuta voimaan tulleen eurooppalaisen NIS2-direktiivin velvoitteita.

Tämän direktiivin tavoitteena on lieventää uhkia, jotka kohdistuvat verkkoihin ja tietojärjestelmiin, jotka tarjoavat olennaisia palveluja keskeisillä aloilla, Euroopan unionin turvallisuuden vahvistamiseksi.

Tekstin soveltamisalaa laajennetaan NIS1-direktiiviin verrattuna ja se kohdistuu erityisesti sisämarkkinoiden taloudellisen ja yhteiskunnallisen toiminnan moitteettoman toiminnan kannalta olennaisiin infrastruktuureihin ja yksiköihin: julkishallintoihin, televiestintäinfrastruktuureihin, tieto- ja viestintäpalveluihin, digitaalisten palvelujen tarjoajiin, mutta myös elintarvike- tai kemianteollisuuden, terveydenhuollon tai jätevedenpuhdistamon aloihin.

Vaatimukset liittyvät erityisesti hallintotapaan ja kyberriskien hallintatoimenpiteisiin, hallinnollisen tietojärjestelmän lokerointiin, velvollisuuteen ilmoittaa kaikista poikkeamista sekä toimitusketjujen turvallisuuteen.

Direktiivissä säädetään, kuten yleisessä tietosuoja-asetuksessakin, poikkeamista ja taloudellisista seuraamuksista ilmoittamisesta.

Vaikka täydellisen vaatimustenmukaisuuden saavuttamiseksi on suunniteltu kolmen vuoden ajanjaksoa, vähimmäisvaatimukset on otettava nopeasti käyttöön. Näitä ovat säännellyn yhteisön rekisteröinti ANSSI:n "monespaceNIS2"-portaaliin, ilmoitukset poikkeamista ja investointien osoittaminen turvallisuusratkaisuihin.

Säännöistä ja sanktioista riippumatta on hyvä muistaa turvallisuusrikkomusten inhimilliset seuraukset.

Näin teki Britannian tiedotusvaltuutettu (ICO) 28. lokakuuta julkaistussa julkaisussa.

Viranomainen korostaa rekisterinpitäjille antamassaan varoituksessa tietomurtojen joskus tuhoisia vaikutuksia.

Hän mainitsee, että 55 prosentilla Yhdistyneen kuningaskunnan aikuisista tiedot ovat kadonneet tai varastettu, mikä edustaa lähes 30 miljoonaa ihmistä.

Tämän tilanteen henkilökohtaiset ja emotionaaliset seuraukset unohdetaan liian usein: 301 000 uhria kertoo henkisestä ahdingosta, kun taas 25 000 heistä ei saa lainkaan apua vastuullisilta organisaatioilta.

Lisäksi 32 % asianosaisista saa tietää asiasta median kautta eikä itse organisaatiolta, mikä korostaa heidän petoksen tunnettaan.

ICO huomauttaa, että liian monet organisaatiot eivät mittaa vahinkoja täysin ja laiminlyövät henkilötietojen suojan.

"Kun tapahtuu tietomurto, se ei ole pelkkä hallinnollinen virhe, vaan laiminlyönti suojella jotakuta."

 

        

Ranskan tietosuojaviranomainen CNIL sakotti 26. syyskuuta meediopalveluita tarjoavia Cosmospace- ja Telemaque-yrityksiä 250 000 eurolla ja 150 000 eurolla, koska ne eivät olleet hankkineet asianomaisten henkilöiden nimenomaista suostumusta. ennen arkaluonteisten tietojen käsittelyä tallennettujen konsultaatioiden yhteydessä.

Se ilmoitti myös, että se oli kesäkuusta 2024 lähtien määrännyt yksitoista uutta yksinkertaistettua seuraamusta, jotka koskevat liialliseen tiedonkeruuseen, rekisterin puutteeseen, henkilöiden oikeuksien loukkaamiseen tai yhteistyön puutteeseen liittyviä rikkomuksia.

Lopulta 17. lokakuuta 2024 hän vaati sisä- ja merentakaisten alueiden ministeriötä sekä oikeusministeriötä ottamaan yhteyttä rikosrekisteritietojen heikosta hallinnasta.

CNIL järjestää 19. marraskuuta "Air"-tapahtuman, joka on omistettu valvonnalle ja sen eettisille vaikutuksille.

Keskustelut järjestetään yhteistyössä tiedustelutekniikoiden valvontaa käsittelevän kansallisen komission (CNCTR) kanssa.

Pariisin syyttäjänvirasto ilmoitti, että Belgian ja Ranskan oikeusviranomaiset perustivat 18. lokakuuta 2024 Eurojustin kokouksessa yhteisen tutkintaryhmän (JIT) Telegram-tutkintaa varten.

Ranskassa aloitettiin alustava tutkinta helmikuussa 2024, mikä johti oikeudellisen tutkinnan aloittamiseen ja sitten Pavel Durovin pidätykseen tänä kesänä.

Pariisin syyttäjänviraston kyberrikososasto oli aiemmin kuullut useita syyttäjänvirastoja ja tutkintayksiköitä sekä ulkomaisia kumppaneitaan Eurojustin sisällä pyyntöihin vastaamisen vaikeudesta.

Kassaatiotuomioistuin kumosi 3. lokakuuta Caenin muutoksenhakutuomioistuimen päätöksen ja toisti, että tuomioistuimen on noudatettava tietojen minimoinnin periaatetta määrätessään työnantajaa esittämään todisteita mahdollisesta palkkasyrjinnästä siviilioikeudenkäynnin yhteydessä.

Todisteena pyydettävien henkilötietojen on rajoituttava siihen, mikä on ehdottoman välttämätöntä menettelyn kannalta.

Kansalaisjärjestö Noyb teki 22. lokakuuta valituksen CNIL:lle sosiaalisen median alustaa Pinterestiä vastaan..

Noyb ilmoittaa, että huolimatta Euroopan unionin tuomioistuimen 4. heinäkuuta 2023 antamasta päätöksestä, jossa tämä käytäntö tuomittiin, alusta käyttää käyttäjien henkilötietoja kysymättä heidän suostumustaan oikeutetun etunsa perusteella ja että se aktivoi seurannan oletusarvoisesti.

Alustaa kritisoidaan myös siitä, ettei se anna tietoja kolmansista osapuolista, joiden kanssa se jakaa tietoja.

 

Euroopan unionin toimielimet ja elimet

Euroopan komissio julkaisi 9. lokakuuta raportin ensimmäisestä tarkastelustaan, joka koskee EU:n ja Yhdysvaltojen välisen tietosuojakehyksen (DPF) riittävyyspäätöstä.

Komissio päättelee, että Yhdysvaltain viranomaiset "ovat ottaneet käyttöön kaikki kehyksen olennaiset osatekijät".

Tähän sisältyy suojatoimien toteuttaminen, joilla rajoitetaan Yhdysvaltain tiedustelupalvelujen pääsyä henkilötietoihin siihen, mikä on välttämätöntä ja oikeasuhteista kansallisen turvallisuuden suojelemiseksi, sekä riippumattoman ja puolueettoman oikeussuojamekanismin perustaminen.

Raportissa on suosituksia sen varmistamiseksi, että kehys toimii edelleen tehokkaasti, kuten yhteisten ohjeiden laatiminen keskeisistä DPF-vaatimuksista.

Euroopan tietosuojaneuvosto (EDPB) hyväksyi 8. ja 9. lokakuuta pidetyssä täysistunnossaan lausunnon henkilötietojen käsittelijöistä ja myöhemmistä käsittelijöistä, oikeutettuja etuja koskevat ohjeet lausunto yleisen tietosuoja-asetuksen soveltamista koskevista lisämenettelysäännöistä ja Euroopan tietosuojaneuvoston työohjelma vuosille 2024–2025.

Komitea hyväksyi 4. marraskuuta myös ensimmäisen raporttinsa EU:n ja Yhdysvaltojen välisestä tietosuojakehyksestä sekä lausunnon lainvalvontaviranomaisten pääsystä tietoihin.

Hän panee merkille saavutetun edistyksen ja kannustaa Yhdysvaltain viranomaisia kehittämään uusia ohjeita ja Euroopan komissiota seuraamaan EU:n kansalaisten oikeussuojamekanismia.

Euroopan unionin tuomioistuin totesi 4. lokakuuta antamassaan tuomiossa C-507/23, että anteeksipyyntö voi olla asianmukainen hyvitys aineettomasta vahingosta yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan nojalla, erityisesti silloin, kun vahinkoa edeltävään tilanteeseen palaaminen ei ole mahdollista, edellyttäen, että tämä hyvitysmuoto pystyy korvaamaan rekisteröidyn kärsimän vahingon täysimääräisesti.

 

Uutisia Euroopan unionin jäsenmaista.

Belgian tietosuojaviranomainen (DPA) julkaisi verkossa 9. lokakuuta "älykkäitä kaupunkeja" käsittelevän tutkimuspäivänsä asiakirjat.

Tavoitteena oli tarjota keskustelufoorumi, jossa sidosryhmät voisivat jakaa kokemuksiaan, parhaita käytäntöjään, haasteitaan, ratkaisujaan ja visioitaan "älykkäiden kaupunkien" tulevaisuudesta.

Tutkimuspäivän raportti, osallistujien puheenvuorot ja videokoosteet ovat saatavilla APD:n verkkosivuilla.

Lokakuun 11. päivänä antamassaan RTL Belgiumia koskevassa päätöksessä APD muistuttaa myös rekisterinpitäjää, että sen on tehtävä verkkosivustonsa kävijöille evästeiden tallentamisen hylkääminen yhtä helpoksi kuin niiden hyväksyminen, mikä muodostaa suostumuksen pätevyyden edellytysten konkreettisen soveltamisen.

APD hyväksyy myös vierailijalle näytettävien painikkeiden suunnittelun ja viittaa erityisesti Euroopan tietosuojaneuvoston työhön tällä alalla.

Tässä nimenomaisessa tapauksessa kirkkaan oranssi "Hyväksy ja sulje" -painike erottui erityisesti muusta evästebannerista, ja APD:n osalta "tämä on painike, johon käyttäjien huomio ensisijaisesti kiinnittyy".

Vastauksena RTL:n väitteeseen "taiteellisesta vapaudesta" APD vastaa, että Rekisterinpitäjien on varmistettava, että värin käyttö ei selvästikään saa käyttäjiä suostumaan evästeiden sijoittamiseen selaimeensa.

Mikään ei kuitenkaan estä rekisterinpitäjiä käyttämästä painikkeen väriä, joka samalla tavalla kannustaisi käyttäjiä kieltäytymään evästeiden tallentamisesta.

Huomioitavaa on, että Itävallan tietosuojaviranomainen (APD) teki 28. lokakuuta samansuuntaisen päätöksen koskien julkista yleisradioyhtiötä Österreichischer Rundfunkia: se määräsi yhtiön mukauttamaan verkkosivustonsa evästebanneria, koska "hyväksy kaikki evästeet" -vaihtoehdon graafinen korostus mitätöi rekisteröidyn suostumuksen GDPR:n 6(1)(a) artiklan nojalla.

Nämä kaksi tapausta ovat osa Noyb-kansalaisjärjestön useissa EU-maissa tekemien valitusten sarjaa, ja asiasta voidaan odottaa pian lisäpäätöksiä.

Irlannin tietosuojaviranomainen (DPA) ilmoitti lopullisesta päätöksestään 24. lokakuuta LinkedIn-kyselyn jälkeen.tutkinta aloitettiin La Quadrature du netin CNIL:lle vuonna 2018 tekemän valituksen jälkeen.

Se keskittyi LinkedInin henkilötietojen käsittelyyn käyttäytymisanalyysiä ja käyttäjien kohdennettua mainontaa varten ja koskee tämän käsittelyn laillisuutta, oikeudenmukaisuutta ja läpinäkyvyyttä.

Päätökseen sisältyy huomautus, LinkedInille määräys saattaa käsittelynsä vaatimusten mukaiseksi ja yhteensä 310 miljoonan euron hallinnolliset sakot.

Italian tietosuojaviranomainen (APD) on määrännyt Italian pääpostiyhtiö Postel SpA:lle 900 000 euron sakon, koska se ei ole reagoinut järjestelmissään havaittuun ja raportoituun haavoittuvuuteen lähes vuoden ajan.Tämä mahdollisti henkilötietomurron: elokuussa 2023 yritys joutui kiristysohjelmahyökkäyksen kohteeksi, joka johti sen palvelimien ja joidenkin työasemien estämiseen.

Pimeässä verkossa julkaistut tiedot koskivat tunniste- ja yhteystietoja, maksutietoja sekä rikostuomioihin ja rikkomuksiin liittyviä tietoja, terveystietoja ja ammattiliittoon kuulumisen paljastavia tietoja.

Alankomaiden tietosuojaviranomainen (APD) ilmoitti 23. lokakuuta tutkineensa kahdeksaa lomakeskusta, jotka käyttävät kasvojentunnistusta uima-altaille ja leikkialueille pääsyyn, ja havainneensa, että kaikki nämä puistot rikkoivat yksityisyyden suojaa koskevia lakeja tiedon puutteen ja voimassa olevan suostumuksen puuttumisen vuoksi.

APD:n painostuksesta seitsemän puistoa muutti tietojenkäsittelymenetelmiään.

 

Excel-tiedosto on mahdollistanut 9 483 Pohjois-Irlannin poliisin virkamiehen ja työntekijän henkilötietojen paljastamisen.

Vastauksena kahteen tietopyyntöön poliisi toimitti tiedoston, jossa tiedot olivat peitettyinä, mutta eivät poistaneet niitä. Poliisin katsottiin olevan vastuussa vuodosta, ja Ison-Britannian tietosuojaviranomainen (DPA) määräsi sille ennätykselliset 900 000 euron sakot.

Samankaltaisessa yhteydessä ICO antoi seuraamuksia myös Southend-on-Sean kunnalle: vastauksena hallinnollisten asiakirjojen saatavuutta koskevaan pyyntöön kunnallishallinto toimitti laskentataulukon, joka sisälsi edelleen henkilötietoja.

Tietosuojaviranomaiset 16 eri lainkäyttöalueelta, mukaan lukien Australia, Kanada, Kiina, Espanja ja Yhdistynyt kuningaskunta, hyväksyivät yhteisen lausunnon "kaavintateknologioista" tietosuojaviranomaisten kansainvälisen konferenssin yhteydessä.

Lausunnossa korostetaan, että organisaatioiden on noudatettava tietosuojalakeja käyttäessään henkilötietoja, mukaan lukien omilta alustoiltaan peräisin olevia tietoja, laajojen tekoälykielimallien (LLM) kehittämiseen.

Lokakuun 28. päivänä julkaistussa lausunnossa esitetään muita odotuksia, mukaan lukien organisaatioille asetetut seuraavat odotukset:

• Ne käyttävät useita suojatoimia, tarkistavat ja päivittävät niitä säännöllisesti pysyäkseen mukana tiedonkeruutekniikoiden ja -teknologioiden kehityksessä; ja
• Ne varmistavat, että valtuutettu tiedonkeruu kaupallisiin tai yhteiskunnallisesti hyödyllisiin tarkoituksiin suoritetaan lain ja tiukkojen sopimusehtojen mukaisesti.

Lokakuun puolivälissä Italiassa pidettiin tietosuojaviranomaisten G7-kokous, jonka tavoitteena oli vahvistaa viranomaisten välistä yhteistyötä maailmanlaajuisesti.

Viranomaisten roolista tekoälyn vastuullisen käytön varmistamisessa hyväksyttiin julistus.

Lisäksi julkaistiin lausunto, jossa korostetaan vankan mekanismin merkitystä rajat ylittäville tiedonsiirroille, joka suojaa henkilötietoja maailmanlaajuisesti.

Australian tietosuojavirasto (DPA) julkaisi 20. lokakuuta kaksi ohjeasiakirjaa yksityisyyden suojasta ja tekoälystä:

• Opas kaupallisesti saatavilla olevien tekoälytuotteiden käyttöön;
• Opas generatiivisten tekoälymallien kehittämiseen ja kouluttamiseen.

Ensimmäisen oppaan keskeisistä kohdista APD korostaa, että

• Tietosuojavelvoitteet koskevat kaikkia tekoälyjärjestelmään syötettyjä henkilötietoja sekä tekoälyn tuottamia tulostietoja (kun ne sisältävät henkilötietoja).
• Jos tekoälyjärjestelmiä käytetään henkilötietojen, mukaan lukien kuvien, tuottamiseen tai päättelemiseen, kyseessä on henkilötietojen kerääminen, jonka on oltava tietosuojaperiaatteiden mukaista.

Parhaana käytäntönä APD suosittelee, että organisaatiot eivät syötä henkilötietoja, ja erityisesti arkaluonteisia tietoja, julkisesti saatavilla oleviin generatiivisiin tekoälytyökaluihin, koska niihin liittyy merkittäviä ja monimutkaisia yksityisyyden suojaan liittyviä riskejä.

Lokakuussa julkistetut TikTokin sisäiset tiedotteet osoittivat, ettei yritys ollut huolissaan sovelluksen haitallisista vaikutuksista amerikkalaisiin teini-ikäisiin, vaikka sen oma tutkimus toi esiin lukuisia huolenaiheita.

Nämä luottamukselliset asiakirjat ovat osa yli kaksi vuotta kestänyttä tutkintaa, jota on suorittanut 14 Yhdysvaltain oikeusministeriä.

Kanteessa väitetään, että TikTok suunniteltiin nimenomaisella tarkoituksella tehdä nuorista riippuvaisia sovelluksesta ja että yritys johti yleisöä harhaan sovelluksen riskeistä.

NPR:n mukaan, jolla oli pääsy asiakirjoihin, TikTok määritti tarkan katselukertojen määrän (260), joka tarvitaan, jotta henkilöstä todennäköisesti tulisi riippuvainen alustasta.

Osavaltion tutkijoiden mukaan "vaikka tämä saattaa vaikuttaa merkittävältä, TikTok-videot voivat olla jopa kahdeksan sekunnin pituisia ja katsojat toistavat niitä nopeasti, automaattisesti peräkkäin. (...) Näin ollen alle 35 minuutissa keskivertokäyttäjästä tulee todennäköisesti riippuvainen alustasta."

Internet Archive on parhaillaan kyberhyökkäysten aallon kohteena.

Ensimmäinen hyökkäyssarja, joka julkistettiin lokakuun puolivälissä, koostui useista palvelunestohyökkäyksistä. Hakkerit paljastivat myös, että he olivat saaneet käsiinsä 31 miljoonan käyttäjän tiedot.

Lokakuun lopussa organisaatio joutui jälleen tunkeutumisen uhriksi, tällä kertaa Zendesk-sähköpostitukialustaan, saatuaan toistuvasti varoituksen todennustunnusten varastamisesta.