Išpirkos reikalaujanti programinė įranga: atakų daugėja

„Legal Watch“ Nr. 51 – 2022 m. rugsėjis.

Išpirkos reikalaujanti programinė įranga: atakų daugėja Rudens naujienos grąžina mus prie nuolat pasikartojančio duomenų valdytojų rūpesčio: saugumo pažeidimų.

Kibernetinė ataka prieš Esono ligoninę ir kelių gigabaitų pacientų duomenų išplatinimas primena mums, kaip svarbu imtis visų būtinų priemonių apsisaugoti nuo tokių atakų.

Šie faktai atspindi nuolatinę išpuolių skaičiaus didėjimo tendenciją visoje Europoje.

Taigi CNIL nurodo, kad 2021 m., palyginti su 2020 m. (5037 pranešimai 2021 m.), duomenų saugumo pažeidimų pranešimų padaugėjo 79,1 TP3T, t. y. 2021 m. gauta daugiau nei 2150 pranešimų apie pažeidimus, atsiradusius dėl išpirkos reikalaujančios programinės įrangos atakos, arba 43,1 TP3T viso pranešimų skaičiaus.

Be to, pusė CNIL praėjusiais metais skirtų sankcijų buvo nukreiptos į duomenų saugumo įsipareigojimų pažeidimus.

Todėl šis spalio mėnuo yra proga įvertinti esmines saugumo priemones, kaip ragina CNIL ir ANSSI, kurios pradeda savo veiklą. „Kibernetinio mėnesio“ informavimo kampanija dėl išpirkos reikalaujančių programų.

Ši kampanija yra prancūziška Europos ECSM kibernetinio saugumo kampanijos versija, kurią remia dauguma Europos šalių ir Europos saugumo agentūra ENISA.

Pirmiausia prisiminkime CNIL rekomendacijas, kuriose išvardyti skirtingi duomenų tvarkymo saugumo valdymo etapai, įskaitant:

• Duomenų apdorojimo ir jų palaikymo priemonių (aparatinės ir programinės įrangos, ryšio kanalų, popierinių priemonių) inventorius:

• Kiekvieno tvarkymo keliamos rizikos vertinimas, taip pat jų galimas poveikis atitinkamų asmenų teisėms ir laisvėms (ypač kai tvarkomi neskelbtini duomenys).

• Rizikos šaltiniai (žmonių ir ne žmonių keliami šaltiniai).

• Realizuojamos grėsmės, t. y. galimi sukeliantys įvykiai (pvz., vandalizmas, natūralus nusidėvėjimas, pilnas sandėliavimo įrenginys, paslaugų trikdymo ataka).

• Esamos arba planuojamos priemonės kiekvienai rizikai spręsti (pvz., atsarginės kopijos, šifravimas), proporcingos rizikai.

• Rizikos rimtumas ir tikimybė, atsižvelgiant į ankstesnius elementus.

ANSSI teikia išsamią informaciją apie esmines apsaugos priemones:

• Užtikrinti automatines atsargines kopijas, atsijungus nuo tinklo;

• Reguliariai tikrinkite atsargines kopijas;

• Parengti verslo tęstinumo planą (VTP);

• Įkurti krizių valdymo padalinį;

• Pasinaudoti krizių valdymo mechanizmu.

Agentūra taip pat pakartoja savo patarimą būti atsargiems dėl nepageidaujamų el. laiškų, ypač kai juose yra priedas:

• Nepasitikėkite jokiais telefono numeriais ar nuorodomis, nurodytais pranešime,
• Patikrinkite siuntėjo adresą spustelėdami jį, skambinkite jo įprastam kontaktui, užuot atsakę į įtartiną pranešimą.

Duomenų saugumo pažeidimo atveju, nedelsiant reikia imtis tinkamų priemonių, kad būtų sustabdytas pažeidimas ir apribotas poveikis atitinkamiems asmenims.

Išpirkos reikalaujančios programinės įrangos atakos atveju ANSSI rekomenduoja aktyvuoti taisomąsias priemones ir krizių valdymo sistemą, o tada prieš kreipiantis techninės pagalbos įspėti atitinkamas institucijas (policiją, žandarmeriją, ANSSI).

Jei įtariate įsilaužimą, naudingos informacijos galite rasti Vyriausybės kompiuterinių atakų stebėsenos, įspėjimo ir reagavimo į jas centro svetainėje ir vyriausybės svetainėje, skirtoje kibernetiniams nusikaltimams.

Galiausiai, nepamirškite, kad pagal BDAR duomenų valdytojas privalo pranešti CNIL apie pažeidimą per 72 valandas nuo tada, kai apie jį sužinojo.

Kai duomenų nutekėjimas gali kelti didelę riziką duomenų subjektų teisėms ir laisvėms (pavyzdžiui, neskelbtinų duomenų, tokių kaip sveikatos duomenys, vagystės atveju), duomenų subjektas taip pat turi būti informuotas individualiai.

CNIL organizuoja du internetinius seminarus atitinkamai spalio 18 ir 21 dienomis apie slaptažodžius ir dirbtinio intelekto sistemų saugumą. Būtina registracija. Išsamesnės informacijos galite rasti jos svetainėje.

Ir taip pat

Prancūzija:

Rugsėjo 8 d. CNIL skyrė GIE INFOGREFFE 250 000 eurų baudą, kuri savo interneto svetainėje skelbia teisinės ir oficialios informacijos apie įmones platinimo paslaugą. „Infogreffe“ skirta sankcija už tai, kad nesilaikė kelių BDAR įsipareigojimų, susijusių su duomenų saugojimo terminais ir asmens duomenų saugumu.

Dirbtinis intelektas: Valstybės taryba pasisako dėl būsimo Europos reguliavimo valdymo ir skelbia du tyrimus šia tema.

– 2022 m. rugpjūčio 30 d. dokumente Valstybės Taryba nagrinėja viešųjų paslaugų kokybės klausimą ir kloja Prancūzijos dirbtinio intelekto strategijos pagrindus.

Jis ragina, be kita ko, stiprinti CNIL įgaliojimus ir oficialiai padaryti ją atsakingą už dirbtinio intelekto sistemų reguliavimą.

– Valstybės taryba taip pat nagrinėjo socialinių tinklų reguliavimą dirbtinio intelekto plėtros kontekste.

Rugsėjo 27 d. jis paskelbė tyrimą, kuriame suformulavo 17 rekomendacijų dėl perbalansavimo pajėgos vartotojų naudai, aprūpinant valdžios institucijas reguliavimo institucijomis ir galvojant apie ateities socialinius tinklus.

EK taip pat siūlo sukurti sustiprintą tarpžinybinį centrą, kuris suburtų įvairias valstybės šios srities ekspertų sritis. 

Europa:

2022 m. rugsėjo 16 d. Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) pateikė ieškinį dėl dviejų naujojo reglamento nuostatų, kurios atgaline data leidžia Europolo agentūrai tvarkyti piliečių duomenis net ir neturint nustatyto ryšio su nusikalstama veikla.

EDAPP paprašė Europos Sąjungos Teisingumo Teismo panaikinti dvi šio reglamento, įsigaliojusio 2022 m. birželio 28 d., nuostatas.

Antrajame savo leidime „TechSonar“ naujienlaiškis, EDAPP pasirenka 5 besiformuojančias tendencijas: jis plėtoja klausimus, susijusius su

• „netikrų naujienų“ aptikimas,
• centrinio banko skaitmeninė valiuta,
• Metavisata,
• „Federalinis mokymasis“ ir „sintetiniai duomenys“ – dvi su dirbtiniu intelektu susijusios temos.

Siekiant didesnės atskaitomybės dirbtinio intelekto srityje?

Europos Komisijos pasiūlymu dėl Gaminių atsakomybės direktyvos peržiūros siekiama pritaikyti ES atsakomybės tvarką prie skaitmeninio amžiaus.

Pasiūlyta papildoma direktyva, skirta konkrečiai dirbtinio intelekto daromai žalai spręsti.

Atsakomybė išliktų ir po produkto pateikimo rinkai, apimdama programinės įrangos atnaujinimus, nesugebėjimą išspręsti kibernetinio saugumo rizikos ir mašininį mokymąsi.

Kitaip tariant, Kūrėjai ir toliau būtų atsakingi už savarankiškai besimokančias dirbtinio intelekto sistemas ir diegimo atnaujinimus arba jų nebuvimą.

BDAR gali būti svarstomas konkurencijos bylų kontekste Rugsėjo 20 d. ESTT generalinis advokatas p. Rantosas paskelbė nuomonę, pagal kurią konkurencijos institucijos, vertindamos „Meta“ dominuojančią padėtį rinkoje, gali atsižvelgti į BDAR.

EP nariai lankėsi Airijos valdžios institucijose duomenų apsaugos rugsėjo 21–23 d. ir, regis, nėra visiškai patenkinti savo kelione: Parlamento Piliečių laisvių komiteto (LIBE) delegacija aiškiai norėjo išnagrinėti BDAR įgyvendinimą ir taikymą, ypač „vieno langelio“ mechanizmo veikimą.

Delegacijos vadovas Airijos duomenų apsaugos instituciją apibūdino kaip „vieno langelio mechanizmo kliūtis“, pridurdamas, kad „būtų naudinga atlikti nepriklausomą DPC procedūrų ir veiksmų peržiūrą“.

Rugsėjo 13 d. nariai skaitmeninių teisių grupė EDRi susitiko su Europos duomenų apsaugos valdyba (EDAV), kad aptartų galimi BDAR taikymo patobulinimai.

EDRi atkreipia dėmesį, kad nacionalinių nuostatų nesuderinamumas ir tarpvalstybiniai atvejai nėra vienintelės problemos.

Pasak NVO, yra daug nacionalinių atvejų, kai priežiūros institucijos tinkamai neišnagrinėjo skundų ir BDAR pažeidimų, visų pirma dėl išteklių trūkumo.

Susidūrė su šiomis problemomis: atsisakymas imtis tolesnių veiksmų dėl skundo, nepaaiškinamas skundo nagrinėjimo vėlavimas, statuso atnaujinimų trūkumas ir sunkumai pateikiant skundą.

Berlyno duomenų apsaugos ir laisvių komisaras (BInBDI) mažmeninės prekybos grupei skyrė 525 000 EUR baudą už BDAR 38(6) straipsnio pažeidimą dėl to, kad jų duomenų apsaugos pareigūno interesų konfliktas: pastarasis taip pat kontroliavo sprendimus, priimamus einant bendrovės direktoriaus pareigas.

Ta pačia tema, Islandijos duomenų apsaugos institucija manė, kad interesų konfliktas kilo, kai duomenų apsaugos pareigūnas tuo pat metu buvo vyresnysis teisininkas, generalinio direktoriaus pavaduotojas arba bendrovės direktorių valdybos narys..

Tačiau duomenų apsaugos pareigūnas gali eiti atitikties pareigūno pareigas.

Šiuo atžvilgiu reikėtų pažymėti, kad duomenų apsaugos pareigūno paskyrimas ir funkcijos bus kitų Europos duomenų apsaugos komiteto koordinuotų stebėsenos veiksmų objektas.

Karlsrūhės prekybos rūmai panaikino Badeno-Viurtembergo viešųjų pirkimų rūmų sprendimą, kuriame, be kita ko, buvo nuspręsta, kad vien tai, jog duomenų tvarkytojas yra trečiosios šalies komercinės grupės dukterinė įmonė, nekelia abejonių dėl tvarkytojo įsipareigojimo tvarkyti asmens duomenis išimtinai Europos ekonominėje erdvėje.

Rumunijos oficialioji vystymosi parama leidėjui skirta 5000 eurų bauda už tinkamų techninių ir organizacinių priemonių trūkumas, po dviejų duomenų saugumo pažeidimų, kurie paveikė 10 739 (buvusius) jos klientus ir 100 darbuotojų bei partnerių.

Ispanijos oficialioji vystymosi parama padarė išvadą, kad duomenų valdytojas pažeidė BDAR 6 straipsnį, paskelbęs nuotrauką „Instagram“ tinkle be galiojančio teisinio pagrindo.

Duomenų apsaugos institucija duomenų valdytojui skyrė 10 000 eurų baudą.

Danijos oficialioji vystymosi parama nustatė, kad politinė partija turėjo pakankamą teisinį pagrindą pagal BDAR 6(1)(f) straipsnį tirti vieno iš savo narių veiksmus dėl įtariamo seksualinio smurto.

Tačiau ji papeikė duomenų valdytoją ir tvarkytoją už tai, kad jie neinformavęs duomenų subjektas, kurio duomenys tvarkomi, kaip reikalaujama 14 straipsnio 2 dalies b punkte.

Belgijos oficialioji vystymosi parama medicinos laboratorijai skirta 20 000 EUR bauda už kelių BDAR 5(1)(f) straipsnio ir 35(3) straipsnio įpareigojimų pažeidimą dėl to, kad saugumo ir konfidencialumo politikos nebuvimas jos svetainėje ir duomenų apsaugos poveikio analizės nebuvimas (nacionaliniai sprendimai, užregistruoti „GDPRhub“).

JK ir JAV duomenų prieigos susitarimas, leidžianti abiejų šalių tyrėjams prieiti prie elektroninių duomenų, susijusių su sunkiais nusikaltimais, įsigaliojo spalio 3 d.

Tekstas leidžia Britanijos ir Amerikos teisėsaugos institucijoms prašyti duomenų, kuriuos jų atitinkamose jurisdikcijose turi telekomunikacijų paslaugų teikėjai.

Šveicarijos kurjerių bendrovės „Proton“ ir „Threema“ kartu su kitomis užsienio bendrovėmis pasirašė chartiją, įpareigojančią jas rinkti kuo mažiau duomenų ir šifruoti pranešimus. Tikslas – kad prie jų prisijungtų ir kiti technologijų žaidėjai.

Tarptautinis:

Pagal naują JT ataskaita (Žmogaus teisių biuras), 2022 m. rugsėjo 16 d.dėl tinklinių skaitmeninių technologijų naudojimo asmenų teisė į privatumą patiria vis didesnį spaudimą.

Ataskaitoje teigiama, kad šios technologijos yra galingi stebėjimo, kontrolės ir priespaudos įrankiai, kuriems reikalingas veiksmingas reguliavimas, pagrįstas įstatymais ir tarptautiniais žmogaus teisių standartais.

Ataskaitoje nagrinėjamos trys pagrindinės sritys:

• Šnipinėjimo programų netinkamas naudojimas valdžios institucijų,
• Stiprių šifravimo metodų pagrindinis vaidmuo ginant žmogaus teises internete
• Plačiai paplitusio viešųjų erdvių skaitmeninio stebėjimo pasekmės tiek neprisijungus, tiek prisijungus.

Ten Indonezijos Atstovų Rūmai priėmė įstatymo projektą dėl asmens duomenų apsaugos.

„Google“ įrankis „Rezultatai apie jus“ Remiantis bendrovės pranešimu, pradedama diegti priemonė, skirta supaprastinti paieškos rezultatų, kuriuose yra asmeninė informacija, pvz., el. pašto adresas ar telefono numeris, pašalinimo procesą.

„Google“ apie šią funkciją paskelbė anksčiau šiais metais, teigdama, kad ji netrukus bus pasiekiama „Google“ programėlėje.

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.