Rançongiciels : des attaques en constante augmentation

Ransomware: napadi u porastu

Pravni nadzor br. 51 – rujan 2022.

Ransomware: napadi u porastu Vijesti o jeseni vraćaju nas na ponavljajuću zabrinutost kontrolora podataka: onu o sigurnosnim propustima.

Kibernetički napad na bolnicu Essonne i širenje nekoliko gigabajta podataka o pacijentima podsjećaju nas koliko je važno poduzeti sve potrebne mjere kako bismo se zaštitili od takvih napada.

Ove činjenice odražavaju stalan trend porasta napada diljem Europe.

CNIL stoga ukazuje na porast od 79,1 TP3T obavijesti o povredama podataka u 2021. u usporedbi s 2020. (5037 u 2021.), više od 2150 obavijesti o povredama podataka koje su rezultat napada ransomwarea primljenih u 2021., ili 43,1 TP3T ukupnog broja.

Nadalje, polovica sankcija koje je CNIL nametnuo prošle godine odnosila se na kršenja obveza sigurnosti podataka.

Ovaj mjesec listopad stoga je prilika za pregled bitnih sigurnosnih mjera, na što su pozvali CNIL i ANSSI, koji započinju svoje Kampanja za podizanje svijesti o "Kibermjesecu" u vezi s ransomwareom.

Ova kampanja je francuska verzija europske kampanje za kibernetičku sigurnost ECSM-a, koju podržava većina europskih zemalja i europska sigurnosna agencija ENISA.

Prvo se prisjetimo preporuka CNIL-a, koje navode različite faze upravljanja sigurnošću obrade podataka, uključujući:

  • Popis obrade podataka i njihove podrške (hardver, softver, komunikacijski kanali, papirnati nosači):
  • Procjena rizika koje generira svaka obrada, kao i njihov potencijalni utjecaj na prava i slobode dotičnih osoba (posebno kada se obrađuju osjetljivi podaci).
  • Izvori rizika (ljudski i neljudski izvori).
  • Ostvarive prijetnje, tj. mogući pokretački događaji (npr. vandalizam, prirodno habanje, puna skladišna jedinica, napad uskraćivanjem usluge).
  • Postojeće ili planirane mjere za rješavanje svakog rizika (npr. sigurnosne kopije, šifriranje), proporcionalne rizicima.
  • Ozbiljnost i vjerojatnost rizika, u svjetlu prethodnih elemenata.

ANSSI pruža detalje o bitnim zaštitnim mjerama:

  • Omogućiti automatske sigurnosne kopije, isključene s mreže;
  • Redovito testirajte sigurnosne kopije;
  • Pripremiti plan kontinuiteta poslovanja (BCP);
  • Osigurati kriznu jedinicu;
  • Vježbajte krizni mehanizam.

Agencija također ponavlja svoj savjet o oprezu u vezi s neželjenim e-porukama, posebno kada sadrže privitak:

  • Ne vjerujte nijednom telefonskom broju ili hipervezi spomenutoj u poruci,
  • Provjerite adresu pošiljatelja klikom na nju, nazovite njegov uobičajeni kontakt umjesto da odgovarate na sumnjivu poruku.

U slučaju povrede podataka, moraju se odmah poduzeti odgovarajuće mjere kako bi se zaustavila povreda i ograničio utjecaj na dotične pojedince.

U slučaju napada ransomwareom, ANSSI preporučuje aktiviranje mjera sanacije i sustava za krizne situacije, a zatim upozorenje nadležnih tijela (policija, žandarmerija, ANSSI) prije traženja tehničke pomoći.

Ako sumnjate na upad, korisne informacije možete pronaći na web stranici Vladinog centra za praćenje, uzbunjivanje i odgovor na računalne napade te na vladinoj web stranici posvećenoj kibernetičkom kriminalu.

Konačno, imajte na umu da prema GDPR-u, kontrolor mora obavijestiti CNIL o kršenju u roku od 72 sata od saznanja o njemu.

U slučajevima kada je vjerojatno da će curenje podataka predstavljati visok rizik za prava i slobode ispitanika (na primjer u slučaju krađe osjetljivih podataka poput zdravstvenih podataka), ispitanika također treba pojedinačno obavijestiti.

CNIL organizira dva webinara 18. i 21. listopada o lozinkama i sigurnosti sustava umjetne inteligencije. Potrebna je registracija. Detalje možete pronaći na mrežnoj stranici.

I također

Francuska:

Dana 8. rujna, CNIL izrekao je kaznu od 250.000 eura protiv GIE INFOGREFFE-a, koja putem svoje web stranice objavljuje pravne i službene informacije o tvrtkama. Infogreffe je sankcioniran zbog neispunjavanja nekoliko GDPR obveza u vezi s razdobljima čuvanja i sigurnošću osobnih podataka.

Umjetna inteligencija: Državno vijeće izjašnjava se o upravljanju budućom europskom regulacijom i objavljuje dvije studije na tu temu.

– U svom dokumentu od 30. kolovoza 2022. Državno vijeće bavi se pitanjem kvalitete javne službe i postavlja temelje za francusku strategiju za umjetnu inteligenciju.

On potiče, između ostalog, jačanje ovlasti CNIL-a i da ga formalno učini odgovornim za regulaciju sustava umjetne inteligencije.

– Državno vijeće također je razmotrilo regulaciju društvenih mreža u kontekstu razvoja umjetne inteligencije.

Dana 27. rujna objavio je studiju u kojoj je formulirao 17 preporuka za ponovno uravnoteženje snage u korist korisnika, osposobljavanje javnih vlasti u njihovoj ulozi regulatora i razmišljanje o društvenim mrežama budućnosti.

Vijeće ministara također predlaže stvaranje ojačanog međuministarskog središta koje bi okupilo različita područja stručnosti države u ovom području. 

Europa:

Dana 16. rujna 2022., Europski nadzornik za zaštitu podataka (EDPS) podnio tužbu u vezi s dvjema odredbama nove uredbe koje retroaktivno dopuštaju agenciji Europol da obrađuje podatke građana čak i bez utvrđene veze s kriminalnim aktivnostima.

EDPS je zatražio od Suda Europske unije da poništi dvije odredbe ove uredbe, koja je stupila na snagu 28. lipnja 2022.

U svom drugom izdanju TechSonar bilten, EDPS odabire 5 novih trendova: razvija pitanja

  • otkrivanje 'lažnih vijesti',
  • digitalna valuta središnje banke,
  • Metaverzum,
  • „federirano učenje“ i „sintetički podaci“, dvije teme povezane s umjetnom inteligencijom.

Prema većoj odgovornosti u umjetnoj inteligenciji?

Prijedlog Europske komisije za reviziju Direktive o odgovornosti za proizvod ima za cilj prilagoditi režim odgovornosti EU-a digitalnom dobu.

Predložena je dodatna direktiva usmjerena na specifične štete uzrokovane umjetnom inteligencijom.

Odgovornost bi se nastavila i nakon lansiranja proizvoda na tržište, a pokrivala bi ažuriranja softvera, neuspjeh u rješavanju rizika kibernetičke sigurnosti i strojno učenje.

Drugim riječima, Razvojni programeri bi i dalje bili odgovorni za autonomno učenje AI sustava i za ažuriranja implementacije ili njihov nedostatak.

GDPR se može razmatrati u kontekstu slučajeva tržišnog natjecanja Dana 20. rujna, generalni odvjetnik Suda EU-a, g. Rantos, izdao je mišljenje prema kojem tijela za zaštitu tržišnog natjecanja mogu uzeti u obzir GDPR prilikom procjene dominantnog položaja Mete na tržištu.

Zastupnici u Europskom parlamentu posjetili su irske vlasti zaštitu podataka između 21. i 23. rujna i ne čine se u potpunosti zadovoljni svojim putovanjem: delegacija Odbora za građanske slobode Parlamenta (LIBE) izričito je željela ispitati provedbu i primjenu GDPR-a, posebno funkcioniranje mehanizma „sve na jednom mjestu“.

Voditelj delegacije opisao je irsko tijelo za zaštitu podataka kao "usko grlo mehanizma jedinstvenog šaltera", dodajući da bi "neovisna revizija postupaka i postupaka DPC-a bila korisna".

Dana 13. rujna, članovi grupa za digitalna prava EDRi sastao se s Europskim odborom za zaštitu podataka (EDPB) kako bi razgovarali moguća poboljšanja primjene GDPR-a.

EDRi ističe da nedostatak usklađenosti nacionalnih odredbi i prekogranični slučajevi nisu jedini problemi.

Prema nevladinoj organizaciji, postoje brojni nacionalni slučajevi u kojima nadzorna tijela nisu pravilno riješila pritužbe i kršenja GDPR-a, posebno zbog nedostatka resursa.

Problemi koji su se pojavili uključivali su odbijanje daljnjeg postupanja po pritužbi, neobjašnjiva kašnjenja u obradi pritužbe, nedostatak ažuriranja statusa i poteškoće u samom podnošenju pritužbe.

Berlinski povjerenik za zaštitu podataka i slobode (BInBDI) kažnjen s 525.000 eura maloprodajnoj grupi zbog kršenja članka 38(6) GDPR-a zbog sukob interesa njihovog DPO-a: potonji je također kontrolirao odluke donesene u svom svojstvu direktora tvrtke.

Na istu temu, Islandsko tijelo za zaštitu podataka smatralo se da postoji sukob interesa kada je DPO istovremeno bio viši odvjetnik, zamjenik glavnog direktora ili član upravnog odbora tvrtke.

Međutim, DPO može obnašati dužnost službenika za usklađenost.

U tom smislu treba napomenuti da će imenovanje i funkcija službenika za zaštitu podataka biti predmet sljedeće koordinirane akcije praćenja Europskog odbora za zaštitu podataka.

Trgovinska komora Karlsruhea poništio je odluku Komore za javnu nabavu Baden-Württemberga kojom je, između ostalog, utvrđeno da sama činjenica da je obrađivač podataka podružnica trgovačke grupe iz treće zemlje ne dovodi u pitanje obvezu obrađivača da obrađuje osobne podatke isključivo u Europskom gospodarskom prostoru.

Rumunjska službena razvojna pomoć (ODA) kažnjen izdavačem s 5000 eura zbog nedostatak odgovarajućih tehničkih i organizacijskih mjera, nakon dva kršenja podataka koja su utjecala na 10 739 njegovih (bivših) kupaca i 100 njegovih zaposlenika i partnera.

Španjolska službena razvojna pomoć (ODA) zaključio je da je kontrolor prekršio članak 6. GDPR-a nakon što je objavio fotografiju na Instagramu bez valjane pravne osnove.

DPA je kontroloru izrekla kaznu od 10.000 eura.

Danska službena razvojna pomoć (ODA) utvrdio je da je politička stranka imala dovoljnu pravnu osnovu prema članku 6(1)(f) GDPR-a za istragu jednog od svojih članova zbog navodnog seksualnog nasilja.

Međutim, ukorila je kontrolora i obrađivača što nisu ne informirajući subjekt podataka obrade kako je propisano člankom 14. stavkom 2. točkom (b).

Belgijska službena razvojna pomoć (ODA) kaznio medicinski laboratorij s 20.000 eura zbog kršenja nekoliko obveza iz članaka 5(1)(f) i 35(3) GDPR-a zbog nepostojanje politike sigurnosti i povjerljivosti na web stranici i nepostojanje analize utjecaja na zaštitu podataka (nacionalne odluke koje je zabilježio GDPRhub).

Sporazum o pristupu podacima između Ujedinjenog Kraljevstva i SAD-a, koji istražiteljima iz bilo koje zemlje omogućuje pristup elektroničkim podacima koji se odnose na teška kaznena djela, stupio je na snagu 3. listopada.

Tekst omogućuje britanskim i američkim agencijama za provođenje zakona da zatraže podatke koje posjeduju telekomunikacijski pružatelji usluga u njihovim odgovarajućim jurisdikcijama.

Švicarske kurirske tvrtke Proton i Threema potpisali su, zajedno s drugim stranim tvrtkama, povelju kojom se od njih zahtijeva da prikupljaju što manje podataka i da šifriraju poruke. Cilj je da se pridruže i drugi tehnološki igrači.

Međunarodno:

Prema novom Izvješće UN-a (Ured za ljudska prava) od 16. rujna 2022., pravo na privatnost pojedinaca je pod sve većim pritiskom zbog korištenja umreženih digitalnih tehnologija.

Prema izvješću, te tehnologije predstavljaju moćne alate za nadzor, kontrolu i ugnjetavanje, što zahtijeva učinkovitu regulaciju temeljenu na zakonu i međunarodnim standardima ljudskih prava.

Izvješće se bavi trima ključnim područjima:

  • Zlouporaba špijunskog softvera od strane javnih vlasti,
  • Ključna uloga snažnih metoda šifriranja u zaštiti ljudskih prava na internetu
  • Posljedice široko rasprostranjenog digitalnog nadzora javnih prostora, i offline i online.

Tamo Indonezijski Zastupnički dom usvojila je prijedlog zakona o zaštiti osobnih podataka.

Googleov alat "Rezultati o vama" Alat osmišljen za pojednostavljenje postupka uklanjanja rezultata pretraživanja koji sadrže osobne podatke poput e-pošte ili telefonskog broja počinje se uvoditi, prema izvješću tvrtke.

Google je ovu značajku najavio ranije ove godine, navodeći da će uskoro biti dostupna u Google aplikaciji.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.

Otkrijte Viqtor®
hrHR
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL hrHR