Duomenų nutekėjimas: CNIL kelia nerimą, ir mes su tuo sutinkame.

Prieš dvi savaites vienas vadovas man paskambino apimtas panikos. Vienas iš jo paslaugų teikėjų ką tik patyrė kibernetinę ataką. Jo klientų failai, kuriuos jis laikė gerai apsaugotais „sertifikuoto“ SaaS teikėjo, buvo paviešinti. Pirmas klausimas, kurį jis man uždavė, buvo: „Na, tai jų problema, tiesa?“ Na, ne. Tai ir jo. Ir būtent tai yra viena iš pagrindinių išvadų iš metinės ataskaitos, kurią paskelbė... CNIL Gegužės 18 d.: duomenų nutekėjimas sprogti, o subrangos grandinė beveik visada yra lygtyje.

6 167 pranešimai apie duomenų pažeidimas užregistruota 2025 m. Rekordas. 9,5 % daugiau nei 2024 m., o 2026 m. pirmąjį ketvirtį jau tęsiasi ta pati tendencija – 2 730 incidentų. Už šių skaičių slypi milijonai nukentėjusių prancūzų, sukrėstas verslas ir aiški Marie-Laure Denis, prezidentės, žinia. CNIL ten kibernetinis saugumas valstybės, kaip ir įmonių, padėtis „toli gražu nepatenkinama“.

Apibendrinant

  • Absoliutus rekordas duomenų pažeidimai Prancūzijoje 2025 m.: 6 167 pranešimai, +9,5 % per metus, o 2026 m. pirmasis ketvirtis patvirtina šią tendenciją.
  • THE duomenų nutekėjimas tampa vis masiškesnės, o priešakyje yra viešasis administravimas ir labai dažnai dalyvauja paslaugų teikėjas.
  • Vertinimo ir sutarčių sistema BDAR subrangovas tapo pagrindine pareiga: a DPA Atitiktis, auditai ir stebėsena yra pagrindas.
  • Daugiafaktorinis autentifikavimas (MFA) dabar yra matas, kuriuo CNIL pagal numatytuosius nustatymus laukia. 2026 m. 50 % valdiklių bus skirti kibernetinis saugumas.
  • Procedūra, pranešimas apie pažeidimą išbandytas atnaujinimas tvarkymo veiklos registras ir realizavimas AIPD viską pakeisti didžiąją dieną.
  • Atitiktis įrodoma ne ketinimais, o dokumentais: štai kas tai yra.atskaitomybė.

Ką (iš tikrųjų) sako CNIL metinė ataskaita

„Vis masiškesni“ pažeidimai

Ataskaita ne tik skaičiuoja. Ji piešia vaizdą. Maždaug keturiasdešimt incidentų 2025 m., kiekvienas paveikė daugiau nei milijoną žmonių – dešimčia daugiau nei 2024 m. Pirmauja viešojo administravimo sektorius – apie 19 milijonų praneštų incidentų, po jo seka sveikatos priežiūros, socialinės paslaugos, o tada finansinė ir draudimo veikla. Ir tai dar ne viskas: į šį skaičių neįtrauktos kibernetinės atakos prieš „Weda“ ir „Harvest“ programinę įrangą, kurios vien dėl to sugeneravo daugiau nei 11 600 pranešimų klientams. Vienas incidentas pirmyn ir atgal, tūkstančiai įmonių pasroviui. Tai viską pasako.

Trys pamokos, kurias reikia išmokti

Ten CNIL Išryškėja trys pagrindinės pastabos, kurias kiekvienas vadovas turėtų aiškiai matyti vykdomojo komiteto valdyboje. Pirma: niekas nėra apsaugotas. Sporto federacijos, viešbučių tinklai, savitarpio draudimo bendrovės, vietos valdžios institucijos, MVĮ ir didelės korporacijos – grėsmė nebėra tipiška. Antra: duomenų nutekėjimas Jie susiję su vis didesniais kiekiais. Trečia, ir čia tema susijusi su ankstesniais mūsų straipsniais: šie incidentai dažnai susiję su paslaugų teikėjais. BDAR subrangovas tapo labiausiai pažeidžiama grandimi.

Užpuolikų metodas tampa įprastu.

Pusė visų praneštų incidentų sudaro įsilaužimą. Už šio žodžio slypi daugybė problemų: išpirkos reikalaujanti programinė įranga, sukčiavimas sukčiavimu, kredencialų klastojimas, teisėtų vartotojų paskyrų vagystės. Be to, 13 incidentų kyla dėl neteisingo gavėjo el. laiško nukopijavimo, 7 – dėl aparatinės įrangos praradimo ir 7 – dėl atsitiktinio paskelbimo. Trumpai tariant, žmogiškoji klaida išlieka reikšmingu veiksniu. Be to, yra generatyvinis dirbtinis intelektas, kuris, pasak prezidento, CNILANTS byla, kurioje po įsilaužimo į saugių dokumentų agentūros sistemą įtariama 15 metų nepilnametė – „ne vunderkindas“, – teigė prokuroras, yra šiurpus to įrodymas.

Kodėl jūsų subrangovai (vis dar) yra problemos centre

Kai krenta paslaugų teikėjas, kartu krenta ir jo klientai.

Grįžkime prie „Weda“ ir „Harvest“ programinės įrangos istorijos. Tai buvo dvi kibernetinės atakos, tačiau institucija gavo 11 600 pranešimų. Nes kiekvieną kartą už programinės įrangos leidėjo slypi šimtai medicinos įstaigų, šimtai turto valdymo konsultantų, kurie taip pat nukenčia. duomenų valdytojas ir privalo pranešti apie nuotėkį savo klientams. Būtent toks yra subrangovo „Mobius“ / „Deezer“ scenarijus, kai CNIL Jai buvo skirta milijono eurų bauda iki 2025 m. pabaigos, tačiau čia kaina išaugo kelis kartus. Vienas išpuolis, tūkstantis profesionalių aukų, milijonai nukentėjusių žmonių.

Preliminarus vertinimas: jūsų geriausia (ir vienintelė) apsauga

BDAR nepalieka jokių abejonių: duomenų valdytojas „naudojasi tik tais subrangovais, kurie suteikia pakankamas garantijas.“ Šis 28 straipsnio 1 dalyje nustatytas įpareigojimas nėra svajonių svajonės. Būtent to ir ieškos inspektoriai. Konkrečiai, ar siunčiate vertinimo klausimyną kiekvienam paslaugų teikėjui? Ar klausiate apie jų saugos politiką, jų... tvarkymo veiklos registras, jų vardas Duomenų apsaugos pareigūnasJų sertifikatai? Ar nustatėte savo duomenų perdavimas Už ES ribų? Jei į bent vieną iš šių klausimų atsakymas yra „na“, jūsų pirmasis operatyvinis prioritetas yra jūsų.

Vien sutarties nepakanka, kaip ir audito, bet abiejų kartu – taip.

A BDAR subrangos sutartis gerai parašyta – kitaip tariant, DPA Pakartoti aštuonias privalomas 28 straipsnio 3 dalies nuostatas – tai atspirties taškas, o ne galutinis tikslas. Taip pat labai svarbus ilgalaikis valdymas: metiniai auditai, vėlesnių subrangovų peržiūra, stebėsena. techninės ir organizacinės priemonės veiksmingai taikomas. Siekiant struktūrizuoti šį požiūrį, „Viqtor“ subrangovų modulis centralizuoja vertinimus, sutartis, auditus ir operacijų istoriją vienoje saugykloje. Tai yra įrodymai, kuriuos duomenų valdytojas CNIL Mėgstu matyti.

Ar jūsų subrangovų sutartys ir vertinimai yra atnaujinti? Gaukite faktus iš „Viqtor“ eksperto

Ką daro vyriausybė – ir ką jūs turėtumėte daryti savo ruožtu

200 milijonų eurų ir nauja skaitmeninė institucija

Balandžio pabaigoje ministras pirmininkas Sébastien Lecornu pristatė savo planą: 200 mln. eurų sustiprinti kibernetinis saugumas valstybės, tarpžinybinio skaitmeninių reikalų direktorato ir Viešosios transformacijos direktorato sujungimas, siekiant sukurti skaitmeninę instituciją, prijungtą prie Ministro Pirmininko biuro. Po toANSSI paskelbė naujas gaires ministerijoms: kiekviena privalo paskirti patarėją kibernetinis saugumasTai nėra nereikšminga. Kai valstybė reorganizuojasi tokiu lygmeniu, tai reiškia, kad ji mano, jog namas degantis. Tačiau grandinėje vyriausybės departamentai perduoda daug paslaugų išorės tiekėjams – ir kiekvienas paslaugų teikėjas yra potencialus patekimo taškas.

Daugiafaktorinis autentifikavimas: priemonė, kuri galėjo užkirsti kelią daugeliui tragedijų

Ten CNIL pabrėžia paprastą žinią: daugumos pastarųjų didelių išpuolių būtų buvę galima išvengti su daugiafaktorinis autentifikavimas teisingai dislokuotas. MFABūtent šis dvejopas veiksnys didelę dalį metodų daro neveiksmingais. įgaliojimų pildymas ir sukčiavimas sukčiavimo būduInstitucija savo rekomendaciją paskelbė jau 2025 m. kovo mėn., suteikdama organizacijoms laiko prisitaikyti, o dabar skelbia apie tikslines kontrolės priemones. 2026 m. 50 % vykdymo užtikrinimo veiksmų bus skirti... kibernetinis saugumas, palyginti su ketvirtadaliu ar trečdaliu 2025 m. Bazėms, kuriose yra daugiau nei milijonas žmonių, patikrinimai bus prioritetas.

Šią savaitę bus pradėti įgyvendinti keli konkretūs projektai

Neperkraunant komandų, yra keletas veiksmų, kurių galima imtis greitai ir kurie incidento atveju iš tiesų pakeis situaciją. Štai ką rekomenduoju savo klientams vadovams, kai jie klausia, nuo ko pradėti.

  • Aktyvuoti MFA visose privilegijuotose paskyrose ir prieigoje prie įrankių, kuriuose yra asmens duomenys.
  • Atnaujinkite subrangovų sąrašą, patikrinkite, ar kiekvienas jų turi DPA pasirašyti ir nustatyti asmenis, kurie tai atlieka duomenų perdavimas už ES ribų.
  • Išbandykite savo procedūrą pranešimas apie pažeidimą Kas kam praneša? Ar galite atsekti įvykių grandinę iki... CNIL per įstatymų nustatytą laiką 72 valandos ?
  • Dokumentuojant AIPD (poveikio analizė) jūsų didelės rizikos gydymui – tai dar vienas aspektas, į kurį reikia atkreipti dėmesį CNIL sistemingi patikrinimai.
  • Dar kartą greitai žvilgtelėkite į savo tvarkymo veiklos registras : jis retai kada būna toks modernus, kaip galima manyti.

O kas nutinka po nutekėjimo? Incidentų valdymas – viskas priklauso nuo aplinkybių.

Pirmosios 72 valandos nulemia likusią dalį

Kai paslaugų teikėjas jus įspėja, turite 72 valandos pranešti CNIL jei duomenų nutekėjimas kelia pavojų žmonėms. Ne trys savaitės. Nepakanka laiko sušaukti valdymo komitetą. Procedūra turi būti parengta, parašyta, išbandyta ir paruošta aktyvavimui sekmadienio vakarą. Mūsų puslapis, skirtas duomenų pažeidimo pareiškimas išsamiai aprašomi žingsniai, kaip išvengti veiksmų atbulomis.

Suinteresuotųjų informavimas, tiesos akimirka

Jei pažeidimas kelia didelę grėsmę asmenų teisėms ir laisvėms, BDAR taip pat reikalauja, kad kiekvienas asmuo būtų informuotas tiesiogiai. Dažnai būtent šiuo metu krizinė komunikacija yra svarbesnė už teisinius veiksmus. Jei ji blogai valdoma, pasitikėjimas žlunga – Marie-Laure Denis netgi kalba apie „pasitikėjimo ryšio tarp valstybės ir jos piliečių eroziją“, kalbėdama apie vyriausybės informacijos nutekinimą. Privačiai įmonei tai reiškia, kad klientas išeina, o advokatas atvyksta.

Sankcija ir ką ji sako apie organizacijos brandą

Ten CNIL Tai nebaudžia patį bėgimo veiksmą; tai baudžia trūkumus, kurie jį įgalino arba paaštrino. Nebuvimasdaugiafaktorinis autentifikavimasnepilnas registras, bendros subrangos sutartys, pavėluotas pranešimas, atskaitomybė neegzistuoja. Čia ir kuriama gynyba – arba pasmerkimas. Kad visa ši struktūra būtų patikima, mūsų Išsamus BDAR atitikties auditų vadovas aprašoma mūsų konsultantų naudojama metodologija.

DUK

Tiek, kiek duomenų valdytojasTaip, jūs išliekate teisiškai atsakingi už duomenų tvarkymą, net jei nutekėjimas kyla iš jūsų subrangovo. Privalote išanalizuoti riziką ir pranešti subrangovui. CNIL jei reikia, 72 valandosir, jei reikia, informuoti atitinkamus asmenis. Jūsų subrangos sutartis BDAR turite suplanuoti, kaip paslaugų teikėjas jus įspės ir bendradarbiaus.

BDAR tai nėra aiškiai nurodyta, tačiau CNIL mano, kad tai yra tikėtina techninė priemonė bet kokiai prieigai prie asmens duomenys jautrus arba didelio masto. Jos 2025 m. kovo mėn. rekomendacija yra aiški, o 2026 m. auditai pirmiausia bus skirti organizacijoms, kurios jos neįgyvendino. Trumpai tariant: ji nebėra neprivaloma.

72 valandos nuo pranešimo apie incidentą momento, nebent pažeidimas neturėtų kelti pavojaus asmenų teisėms ir laisvėms. Vėliau pavėluotas pranešimas turi būti pagrįstas. Pranešimas teikiamas per internetinę CNIL ir turi būti aprašytas pažeidimo pobūdis, susijusių duomenų kategorijos ir imtos priemonės.

Gydymo būdų planavimas ir palaikymas tvarkymo veiklos registras nuolat atnaujinti, identifikuoti ir tinkamai sudaryti sutartis su kiekvienu subrangovu per DPAdislokuoti MFAparašykite procedūrą, skirtą pranešimas apie pažeidimąir paskirti referentą arba Duomenų apsaugos pareigūnasŠios penkios statybvietės apima pagrindinius kontrolės taškus. CNIL.

L'AIPD (poveikio analizėRizikos vertinimas yra privalomas tvarkymo veiklai, kuri kelia didelę riziką teisėms ir laisvėms: didelio masto stebėjimui, neskelbtiniems duomenims, automatizuotam profiliavimui ir kt. Jame dokumentuojama rizika, priemonės jai mažinti ir parodomas jūsų rizikos valdymo metodas.atskaitomybėTai vienas pirmųjų dokumentų, kuriuos CNIL prašymas patikrinimo atveju.

Ar norite šias pamokas paversti konkrečiu veiksmų planu?

Norėdami sužinoti daugiau, raskite visus mūsų išteklius svetainėje duomenų valdymas ir BDAR atitikties Viktoro platforma.

lt_LTLT