Rançongiciels : des attaques en constante augmentation

Kiristyshaittaohjelmat: hyökkäykset lisääntyvät

Legal Watch nro 51 – syyskuu 2022.

Kiristyshaittaohjelmat: hyökkäykset lisääntyvät Syksyn uutiset palauttavat meidät takaisin rekisterinpitäjien toistuvaan huoleen: tietoturvaloukkauksiin.

Essonnen sairaalaan kohdistunut kyberhyökkäys ja useiden gigatavujen potilastietojen leviäminen muistuttavat meitä siitä, kuinka tärkeää on ryhtyä kaikkiin tarvittaviin toimiin suojautuaksemme tällaisilta hyökkäyksiltä.

Nämä tosiasiat heijastavat jatkuvaa suuntausta, jossa hyökkäykset lisääntyvät kaikkialla Euroopassa.

CNIL osoittaa siis 79,1 TP3 biljoonaa lisääntyneen tietomurtoilmoitusten määrän vuonna 2021 vuoteen 2020 verrattuna (5037 vuonna 2021), mikä on yli 2150 ilmoitusta kiristysohjelmahyökkäyksen aiheuttamista tietomurroista vuonna 2021 eli 43,1 TP3 biljoonaa kokonaismäärästä.

Lisäksi puolet CNIL:n viime vuonna määräämistä sanktioista kohdistui tietoturvavelvoitteiden rikkomuksiin.

Lokakuu on siksi tilaisuus tarkastella keskeisiä turvatoimenpiteitä CNIL:n ja ANSSI:n kehotuksen mukaisesti. Nämä viranomaiset ovat aloittaneet työnsä. ”Cybermonth”-tiedotuskampanja kiristysohjelmien osalta.

Tämä kampanja on ranskankielinen versio eurooppalaisesta ECSM-kyberturvallisuuskampanjasta, jota tukevat useimmat Euroopan maat ja Euroopan turvallisuusvirasto ENISA.

Palautetaan ensin mieleen CNIL:n suositukset, joissa luetellaan tietojenkäsittelyn turvallisuuden hallinnan eri vaiheet, mukaan lukien:

  • Tietojenkäsittelyn ja sen tukijärjestelmien (laitteisto, ohjelmisto, viestintäkanavat, paperiset tukivälineet) luettelo:
  • Kunkin käsittelyn aiheuttamien riskien sekä niiden mahdollisten vaikutusten arviointi kyseisten henkilöiden oikeuksiin ja vapauksiin (erityisesti silloin, kun käsitellään arkaluonteisia tietoja).
  • Riskien lähteet (ihmisistä ja muista lähteistä).
  • Toteutettavissa olevat uhat eli mahdolliset laukaisevat tapahtumat (esim. ilkivalta, luonnollinen kuluminen, täysi varastoyksikkö, palvelunestohyökkäys).
  • Olemassa olevat tai suunnitellut toimenpiteet kunkin riskin käsittelemiseksi (esim. varmuuskopiot, salaus) riskeihin nähden oikeasuhteisesti.
  • Riskien vakavuus ja todennäköisyys edellä mainittujen tekijöiden valossa.

ANSSI tarjoaa tietoja keskeisistä suojatoimenpiteistä:

  • Tarjoa automaattisia varmuuskopioita, irrotettuna verkosta;
  • Testaa varmuuskopiot säännöllisesti;
  • Laadi liiketoiminnan jatkuvuussuunnitelma (BCP);
  • Tarjota kriisiyksikkö;
  • Harjoittele kriisimekanismia.

Virasto toistaa myös varovaisuussuosituksensa ei-toivottujen sähköpostien suhteen, erityisesti silloin, kun ne sisältävät liitteen:

  • Älä luota viestissä mainittuihin puhelinnumeroihin tai hyperlinkkeihin.
  • Tarkista lähettäjän osoite napsauttamalla sitä ja soita hänen tavalliselle yhteyshenkilölleen sen sijaan, että vastaisit epäilyttävään viestiin.

Tietomurron sattuessa on välittömästi ryhdyttävä asianmukaisiin toimenpiteisiin murron pysäyttämiseksi ja sen vaikutusten rajoittamiseksi asianomaisiin henkilöihin.

Kiristysohjelmahyökkäyksen sattuessa ANSSI suosittelee korjaavien toimenpiteiden ja kriisinhallintajärjestelmän aktivointia ja sitten asiaankuuluvien viranomaisten (poliisi, santarmisto, ANSSI) hälyttämistä ennen teknisen avun pyytämistä.

Jos epäilet tunkeutumista, löydät hyödyllistä tietoa tietokonehyökkäysten seuranta-, hälytys- ja reagointikeskuksen verkkosivuilta sekä kyberrikollisuutta käsitteleviltä hallituksen verkkosivuilta.

Lopuksi on muistettava, että GDPR:n mukaan rekisterinpitäjän on ilmoitettava rikkomuksesta CNIL:lle 72 tunnin kuluessa siitä, kun hän on tullut siitä tietoiseksi.

Jos tietovuoto todennäköisesti aiheuttaa suuren riskin rekisteröityjen oikeuksille ja vapauksille (esimerkiksi arkaluonteisten tietojen, kuten terveystietojen, varkauden tapauksessa), rekisteröidylle on myös ilmoitettava asiasta henkilökohtaisesti.

CNIL järjestää kaksi webinaaria 18. ja 21. lokakuuta salasanoista ja tekoälyjärjestelmien turvallisuudesta. Ilmoittautuminen vaaditaan. Lisätietoja löytyy CNIL:n verkkosivuilta.

Ja myös

Ranska:

CNIL 8. syyskuuta määräsi GIE INFOGREFFE:lle 250 000 euron sakon, joka julkaisee yritysten oikeudellista ja virallista tiedonvälityspalvelua verkkosivustonsa kautta. Infogreffelle määrätään seuraamuksia useiden GDPR-velvoitteiden laiminlyönnistä säilytysaikojen ja henkilötietojen turvallisuuden osalta.

Tekoäly: Valtioneuvosto antaa lausunnon tulevan eurooppalaisen sääntelyn hallinnoinnista ja julkaisee kaksi aiheesta tehtyä tutkimusta.

– Valtioneuvosto käsittelee 30. elokuuta 2022 antamassaan asiakirjassa julkisen palvelun laatua ja luo perustan Ranskan tekoälystrategialle.

Hän kannustaa muun muassa CNIL:n valtuuksien vahvistamiseen ja tehdä siitä virallisesti vastuussa tekoälyjärjestelmien sääntelystä.

– Valtioneuvosto tarkasteli myös sosiaalisten verkostojen sääntelyä tekoälyn kehityksen yhteydessä.

Syyskuun 27. päivänä hän julkaisi tutkimuksen, jossa hän muotoili 17 suositusta tasapainottamiseksi voimat käyttäjien hyväksi, viranomaisten varustautuminen sääntelyviranomaisen roolissa ja tulevaisuuden sosiaalisten verkostojen pohdinta.

CE ehdottaa myös vahvistetun ministeriöiden välisen keskuksen perustamista, joka kokoaa yhteen valtion eri asiantuntemuksen aloja tällä alalla. 

Eurooppa:

Euroopan tietosuojavaltuutettu (EDPS) 16. syyskuuta 2022 nosti kanteen koskien kahta uuden asetuksen säännöstä, jotka takautuvasti sallivat Europol-viraston käsitellä kansalaisten tietoja vaikka yhteyttä rikolliseen toimintaan ei olisikaan todettu.

Euroopan tietosuojavaltuutettu on pyytänyt Euroopan unionin tuomioistuinta kumoamaan tämän 28. kesäkuuta 2022 voimaan tulleen asetuksen kaksi säännöstä.

Sen toisessa painoksessa TechSonarin uutiskirje, Euroopan tietosuojavaltuutettu valitsee viisi nousevaa trendiä: se kehittää kysymyksiä, jotka liittyvät

  • "valeuutisten" havaitseminen
  • keskuspankin digitaalinen valuutta,
  • metaversumi
  • ”Liittoutunut oppiminen” ja ”synteettinen data”, kaksi tekoälyyn liittyvää aihetta.

Kohti suurempaa vastuullisuutta tekoälyssä?

Euroopan komission ehdotus tuotevastuudirektiivin tarkistamiseksi pyrkii mukauttamaan EU:n tuotevastuujärjestelmää digitaaliseen aikakauteen.

Lisäksi on ehdotettu direktiiviä, joka kohdistuu tekoälyn aiheuttamiin erityisiin haittoihin.

Vastuu jatkuisi tuotteen markkinoille tulon jälkeen ja kattaisi ohjelmistopäivitykset, kyberturvallisuusriskien huomiotta jättämisen ja koneoppimisen.

Toisin sanoen, Kehittäjät olisivat edelleen vastuussa itsenäisesti oppivista tekoälyjärjestelmistä sekä käyttöönottopäivityksistä tai niiden puutteesta.

GDPR:ää voidaan tarkastella kilpailuasioiden yhteydessä Euroopan unionin tuomioistuimen julkisasiamies Rantos antoi 20. syyskuuta lausunnon, jonka mukaan kilpailuviranomaiset voivat ottaa GDPR:n huomioon arvioidessaan Metan määräävää markkina-asemaa.

Euroopan parlamentin jäsenet vierailivat Irlannin viranomaisten luona tietosuojasta 21.–23. syyskuuta, eivätkä he vaikuta olevan täysin tyytyväisiä matkaansa: parlamentin kansalaisvapauksien valiokunnan (LIBE) valtuuskunta halusi nimenomaisesti tarkastella yleisen tietosuoja-asetuksen täytäntöönpanoa ja soveltamista, erityisesti "yhden luukun" mekanismin toimintaa.

Valtuuskunnan johtaja kuvaili Irlannin tietosuojaviranomaista seuraavasti: "yhden luukun mekanismin pullonkaula", ja lisäsi, että "tietosuojavaltuutetun menettelytapojen ja toimien riippumaton tarkastelu olisi hyödyllistä".

Syyskuun 13. päivänä seuran jäsenet digitaalisten oikeuksien ryhmä EDRi tapasi Euroopan tietosuojaneuvoston (EDPB) keskustellakseen mahdolliset parannukset GDPR:n soveltamiseen.

EDRi huomauttaa, että kansallisten säännösten yhdenmukaistamisen puute ja rajat ylittävät tapaukset eivät ole ainoita ongelmia.

Kansalaisjärjestön mukaan on useita kansallisia tapauksia, joissa valvontaviranomaiset eivät ole käsitelleet valituksia ja GDPR:n rikkomuksia asianmukaisesti, erityisesti resurssien puutteen vuoksi.

Kohdattuihin ongelmiin kuuluivat valituksen käsittelystä kieltäytyminen, selittämättömät viivästykset valituksen käsittelyssä, tilannepäivitysten puute ja vaikeudet valituksen tekemisessä alun perin.

Berliinin tietosuoja- ja vapauksien valtuutettu (BInBDI) määräsi vähittäiskaupparyhmälle 525 000 euron sakon yleisen tietosuoja-asetuksen 38(6) artiklan rikkomisesta, koska tietosuojavastaavansa eturistiriita: jälkimmäinen kontrolloi myös yhtiön johtajan ominaisuudessa tehtyjä päätöksiä.

Samasta aiheesta, Islannin tietosuojaviranomainen katsoi, että oli olemassa eturistiriita, kun tietosuojavastaava oli samanaikaisesti yrityksen vanhempi lakimies, varatoimitusjohtaja tai hallituksen jäsen.

Tietosuojavastaava voi kuitenkin toimia myös vaatimustenmukaisuudesta vastaavana virkamiehenä.

Tässä yhteydessä on huomattava, että tietosuojavastaavan nimeäminen ja tehtävät ovat Euroopan tietosuojakomitean seuraavan koordinoidun seurantatoimen aiheita.

Karlsruhen kauppakamari kumosi Baden-Württembergin julkisten hankintojen kamarin päätöksen, jonka mukaan pelkästään se, että tietojen käsittelijä on kolmannen maan kaupallisen konsernin tytäryhtiö, ei kyseenalaista käsittelijän sitoutumista käsitellä henkilötietoja yksinomaan Euroopan talousalueella.

Romanian virallinen kehitysapu sakotti kustantajaa 5 000 eurolla riittävien teknisten ja organisatoristen toimenpiteiden puutekahden tietomurron jälkeen, jotka vaikuttivat 10 739:ään sen (entiseen) asiakkaaseen ja 100:aan sen työntekijään ja kumppaniin.

Espanjan virallinen kehitysapu totesi, että rekisterinpitäjä oli rikkonut yleisen tietosuoja-asetuksen 6 artiklaa julkaistuaan kuvan Instagramissa ilman pätevää laillista perustetta.

Tietosuojavaltuutettu määräsi rekisterinpitäjälle 10 000 euron sakon.

Tanskan virallinen kehitysapu totesi, että poliittisella puolueella oli GDPR:n 6(1)(f) artiklan mukainen riittävä oikeusperusta tutkia yhtä jäsentään väitetystä seksuaalisesta väkivallasta.

Hän kuitenkin nuhteli rekisterinpitäjää ja henkilötietojen käsittelijää siitä, etteivät he olleet ei ole ilmoittanut käsittelyn kohteena oleva rekisteröity 14(2)(b) artiklan mukaisesti.

Belgian virallinen kehitysapu määräsi lääketieteelliselle laboratoriolle 20 000 euron sakon useiden GDPR:n 5(1)(f) ja 35(3) artiklan mukaisten velvoitteiden rikkomisesta johtuen sen verkkosivustolla ei ole turvallisuus- ja luottamuksellisuuskäytäntöä eikä tietosuojaa koskevaa vaikutustenarviointia ole olemassa (GDPRhubin tallentamat kansalliset päätökset).

Yhdistyneen kuningaskunnan ja Yhdysvaltojen välinen datan saatavuussopimus, joka sallii kummankin maan tutkijoiden käyttää vakaviin rikoksiin liittyviä sähköisiä tietoja, tuli voimaan 3. lokakuuta.

Teksti antaa brittiläisille ja amerikkalaisille lainvalvontaviranomaisille mahdollisuuden pyytää televiestintäpalveluntarjoajien hallussa olevia tietoja omilla lainkäyttöalueillaan.

Sveitsiläiset kuriiriyritykset Proton ja Threema ovat allekirjoittaneet muiden ulkomaisten yritysten kanssa peruskirjan, joka edellyttää heiltä mahdollisimman vähän dataa keräämistä ja viestien salaamista. Tavoitteena on, että muut teknologiayritykset liittyisivät mukaan.

Kansainvälinen:

Uuden mukaan YK:n raportti (Ihmisoikeustoimisto) 16. syyskuuta 2022yksilöiden yksityisyyden suojaan kohdistuu kasvavaa painetta verkottuneiden digitaaliteknologioiden käytön vuoksi.

Raportin mukaan nämä teknologiat ovat merkittäviä valvonnan, kontrollin ja sorron välineitä, jotka edellyttävät tehokasta sääntelyä, joka perustuu lakiin ja kansainvälisiin ihmisoikeusnormeihin.

Raportissa tarkastellaan kolmea keskeistä aluetta:

  • Vakoiluohjelmien väärinkäyttö viranomaisten toimesta,
  • Vahvojen salausmenetelmien keskeinen rooli ihmisoikeuksien suojelemisessa verkossa
  • Julkisten tilojen laajalle levinneen digitaalisen valvonnan seuraukset sekä offline- että online-tilassa.

Siellä Indonesian edustajainhuone hyväksyi lakiesityksen henkilötietojen suojasta.

Googlen "Tulokset sinusta" -työkalu Yrityksen raportin mukaan työkalu, jonka tarkoituksena on yksinkertaistaa henkilökohtaisia tietoja, kuten sähköpostiosoitetta tai puhelinnumeroa, sisältävien hakutulosten poistamista, on alkamassa ottaa käyttöön.

Google ilmoitti tästä ominaisuudesta aiemmin tänä vuonna ja totesi, että se olisi pian saatavilla Google-sovelluksessa.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI