Sigurnost, curenje podataka i ransomware: napadi koje treba shvatiti ozbiljno.

Pravni nadzor br. 32 – Veljača 2021.

Sigurnost, curenje podataka i ransomware: napadi koje treba shvatiti ozbiljno. Tisak je odjeknuo krajem veljače Masovno curenje podataka u medicinskom sektoru.

Osjetljive informacije o više od 500.000 ljudi, uključujući krvne grupe i brojeve socijalnog osiguranja, prodane su na specijaliziranom forumu prije nego što su slobodno objavljene na internetu.

Na ovom popisu podataka nalaze se i korisnička imena i lozinke koji su tim pacijentima omogućili povezivanje s medicinskim centrima i analitičkim laboratorijima pogođenim curenjem podataka.

Sudska istraga je u tijeku, a slučaj su preuzeli i ANSSI i CNIL.

Ozbiljnost kršenja podataka leži jednako u broju pogođenih ljudi kao i u osjetljivoj prirodi podataka.

Ovo je prilika da se sagledaju mjere koje treba poduzeti kako bi se odgovorilo na takve napade, a prije svega, da se unaprijed zaštitimo od njih.

CNIL, kao i ANSSI i Ministarstvo pravosuđa, objavili su nekoliko vodiča kako bi pomogli kontrolorima podataka da se zaštite od takvih sigurnosnih propusta., bilo da se radi o unutarnjoj grešci ili napadu ransomwarea.

Preporuke koje je objavio posebno CNIL navode različite faze upravljanja sigurnošću obrade podataka.

U suštini, prikladno je:

• Identificirajte obradu podataka i njezinu podršku (hardver, softver, komunikacijski kanali, papirnati nosači):

• Procijeniti rizike koje generira svaka operacija obrade i utvrditi potencijalne utjecaje na prava i slobode dotičnih osoba u slučaju nezakonitog pristupa podacima, neželjene izmjene podataka ili nestanka podataka.

Kada se obrađuju posebne kategorije podataka, poput zdravstvenih podataka, utjecaj povrede podataka na ispitanike je još veći.

Stoga takav tretman zahtijeva temeljitu procjenu rizika.

• Identificirajte izvore rizika (ljudske izvore i neljudske izvore).
• Analizirajte moguće prijetnje, tj. moguće okidačke događaje (npr. vandalizam, degradacija zbog prirodnog habanja, puna skladišna jedinica, napad uskraćivanjem usluge).
• Utvrdite postojeće ili planirane mjere za rješavanje svakog rizika (npr. sigurnosne kopije, enkripcija). Mjere moraju biti proporcionalne rizicima. Kada su podaci koji se obrađuju osjetljivi, mora se zajamčiti posebno visoka razina sigurnosti. Stoga bi trebalo zabraniti pohranjivanje lozinki u običnom tekstu u datotekama kontrolora: informacije moraju biti šifrirane i moraju se usvojiti snažne mjere provjere autentičnosti.
• Procijenite ozbiljnost i vjerojatnost rizika, u svjetlu prethodnih elemenata.

U slučaju povrede podataka, moraju se odmah poduzeti odgovarajuće mjere kako bi se zaustavila povreda i ograničio utjecaj na dotične pojedince.

Odgovorna osoba također mora obavijestiti CNIL o kršenju u roku od 72 sata od saznanja o njemu.

Također ima obvezu pojedinačno obavijestiti dotične osobe kada je vjerojatno da će curenje podataka stvoriti visok rizik za njihova prava i slobode.  To je slučaj kada su u pitanju osjetljivi podaci, poput zdravstvenih podataka.

U kontekstu masovnog curenja podataka koje se dogodilo krajem veljače, stoga su potrebne informacije od onih na koje je to utjecalo.

Šteta može biti izuzetno ozbiljna za pacijente čija medicinska skrb može biti pogođena, ali i za kontrolore podataka, čiji su ugled i samo poslovanje ugroženi.

CNIL ističe da je broj obavijesti o kršenju podataka porastao za 24% u 2020. godini, te da se broj povreda povezanih s napadima kriptolokera na zdravstvene ustanove (bolnice, EPHAD-ove, domove za starije i nemoćne, laboratorije itd.) utrostručio u jednoj godini.

Nadalje, dvije trećine sankcija koje je nametnuo CNIL odnose se na kršenje obveza sigurnosti podataka, što je trend koji se odražava diljem Europe.

I također

Francuska:

Aplikacija „tousanticovid“ razvija se kako bi integrirao sustav upozorenja korisnika s obzirom na moguće ponovno otvaranje sportskih dvorana, restorana ili dvorana za izvedbe. 

CNIL, koji je primio nacrt uredbe, općenito je dao pozitivnu ocjenu, uz zahtjev da sustav za evidentiranje posjeta bude obavezan samo za mjesta koja predstavljaju visoki rizik (teško je provesti mjere ograničenja) i da ne bi trebao biti obavezan na mjestima gdje bi posjet vjerojatno otkrio osjetljive podatke (poput bogomolja).

Nakon objave njegovog smjernice o korištenju kolačića Prošlog listopada, CNIL je podsjetio da rok za usklađivanje istječe krajem ožujka.

Poslala je pismo dvjestotinjak javnih tijela, kao i glavnim privatnim igračima, posebno naglašavajući potrebu da se korisniku omogući prihvaćanje ili odbijanje kolačića s istim stupnjem jednostavnosti (gumb "konfiguriraj" koji se često nalazi u bannerima ne ispunjava taj zahtjev).

Europa:

• Belgija: Tijelo za zaštitu podataka objavljuje detaljan vodič o tehnike čišćenja podataka i uništavanja medija s podacima, refleks koji se prečesto zanemaruje prilikom rješavanja računalnog alata.

• Ujedinjeno Kraljevstvo: Europska komisija objavljuje nacrt odluke u vezi s razina zaštite koju jamči Ujedinjeno Kraljevstvo na obradu osobnih podataka kao ekvivalentnu onoj u Europskoj uniji.

Ako Europski odbor za zaštitu podataka i predstavnici država članica podrže ovu procjenu, prijenosi podataka u Ujedinjenu Kraljevinu mogu se nastaviti bez dodatnih uvjeta.

Također treba napomenuti da je Europski nadzornik za zaštitu podataka 22. veljače izdao mišljenje u kojem je ponovio da se o zaštiti podataka, kao temeljnom pravu, ne može pregovarati u kontekstu trgovinskih sporazuma između Europske unije i Ujedinjene Kraljevine.

• Europa – e-privatnost Nakon četiri godine pregovora, države članice EU konačno su usvojile zajednički stav o zaštiti elektroničkih komunikacija.

Očekuje se da će Uredba o e-privatnosti ažurirati trenutnu direktivu određivanjem, između ostalog, pravila o povjerljivosti komunikacija, zaštiti metapodataka i pravila koja se primjenjuju na kolačiće i druge alate za praćenje.

Tekst još treba raspraviti u Europskom parlamentu, a njegova konačna verzija stupit će na snagu dvije godine nakon objave.

• Europa – zdravstvena putovnica Europska komisija je 1. ožujka objavila da priprema projekt zajedničke putovnice za države članice, koja bi olakšala kretanje ljudi u trenutnom kontekstu pandemije.

Ta bi putovnica sadržavala osobne podatke o cijepljenju, stečenom imunitetu ili testovima koje je dotična osoba provela.

Komisija jamči da će se poduzeti mjere kako bi se spriječila svaka diskriminacija ili zlouporaba u vezi s privatnošću dotičnih osoba.

Međunarodno:

SJEDINJENE AMERIČKE DRŽAVE: Nakon Kalifornije, desetak američkih država priprema zakonodavstvo o zaštiti osobnih podataka. uključujući države New York i Washington.

Općenito govoreći, ovi zakoni pružaju manje opsežna prava korisnicima od GDPR-a i radije im daju pravo prigovora na obradu njihovih podataka nego traženje njihovog prethodnog pristanka.

U svakom slučaju, njihova je prednost poboljšanje transparentnosti obrade podataka i davanje mogućnosti za zaštitu američkih potrošača.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.