Saugumas, duomenų nutekėjimas ir išpirkos reikalaujanti programinė įranga: atakos, į kurias reikia žiūrėti rimtai.

Teisinis stebėjimas Nr. 32 – 2021 m. vasaris

Saugumas, duomenų nutekėjimas ir išpirkos reikalaujanti programinė įranga: atakos, į kurias reikia žiūrėti rimtai. Vasario pabaigoje spauda atkartojo... Didelio masto duomenų nutekėjimas medicinos sektoriuje.

Prieš laisvai publikuojant internete, specializuotame forume buvo parduodama neskelbtina informacija apie daugiau nei 500 000 žmonių, įskaitant kraujo grupes ir socialinio draudimo numerius.

Šiame duomenų sąraše taip pat yra vartotojo vardai ir slaptažodžiai, kurie leido šiems pacientams prisijungti prie medicinos centrų ir analizės laboratorijų, kurias paveikė duomenų nutekėjimas.

Vyksta teisminis tyrimas, o bylą ėmėsi nagrinėti ANSSI ir CNIL.

Duomenų pažeidimo rimtumas priklauso tiek nuo nukentėjusių žmonių skaičiaus, tiek nuo duomenų jautrumo.

Tai proga įvertinti priemones, kurių reikia imtis reaguojant į tokius išpuolius ir, svarbiausia, kaip iš anksto nuo jų apsisaugoti.

CNIL, ANSSI ir Teisingumo ministerija paskelbė keletą vadovų, kurie padeda duomenų valdytojams apsisaugoti nuo tokių saugumo pažeidimų., nesvarbu, ar tai vidinis gedimas, ar išpirkos reikalaujančios programinės įrangos ataka.

Visų pirma CNIL paskelbtose rekomendacijose išvardyti skirtingi duomenų tvarkymo saugumo valdymo etapai.

Iš esmės tikslinga:

• Nustatyti duomenų apdorojimą ir jo palaikymo priemones (aparatinę ir programinę įrangą, ryšio kanalus, popierines priemones):

• Įvertinkite kiekvienos tvarkymo operacijos keliamą riziką ir nustatykite galimą poveikį atitinkamų asmenų teisėms ir laisvėms neteisėtos prieigos prie duomenų, nepageidaujamo duomenų pakeitimo ar duomenų dingimo atveju.

Kai tvarkomi specialių kategorijų duomenys, pavyzdžiui, sveikatos duomenys, duomenų saugumo pažeidimo poveikis duomenų subjektams yra dar didesnis.

Todėl toks gydymas reikalauja išsamaus rizikos įvertinimo.

• Nustatyti rizikos šaltinius (žmogiškus ir nežmogiškus šaltinius).
• Išanalizuokite įmanomas grėsmes, t. y. galimus sukeliančius įvykius (pvz., vandalizmas, natūralaus nusidėvėjimo sukelta degradacija, pilnas sandėliavimo įrenginys, paslaugų trikdymo ataka).
• Nustatykite esamas arba planuojamas priemones kiekvienai rizikai spręsti (pvz., atsargines kopijas, šifravimą). Priemonės turi būti proporcingos rizikai. Kai tvarkomi duomenys yra jautrūs, turi būti užtikrintas ypač aukštas saugumo lygis. Todėl turėtų būti draudžiama saugoti slaptažodžius paprasto teksto formatu duomenų valdytojo bylose: informacija turi būti užšifruota ir turi būti imtasi griežtų autentifikavimo priemonių.
• Įvertinkite rizikos rimtumą ir tikimybę, atsižvelgdami į ankstesnius elementus.

Duomenų saugumo pažeidimo atveju, nedelsiant reikia imtis tinkamų priemonių, kad būtų sustabdytas pažeidimas ir apribotas poveikis atitinkamiems asmenims.

Atsakingas asmuo taip pat privalo pranešti CNIL apie pažeidimą per 72 valandas nuo jo sužinojimo.

Ji taip pat privalo individualiai informuoti atitinkamus asmenis, kai duomenų nutekėjimas gali sukelti didelę riziką jų teisėms ir laisvėms.  Taip yra, kai kalbama apie neskelbtinus duomenis, pavyzdžiui, sveikatos duomenis.

Atsižvelgiant į didžiulį duomenų nutekėjimą vasario pabaigoje, iš nukentėjusiųjų reikalaujama informacijos.

Žala gali būti itin rimta pacientams, kurių medicininė priežiūra gali būti paveikta, bet taip pat ir duomenų valdytojams, kurių reputacijai ir pačiam verslui kyla pavojus.

CNIL atkreipia dėmesį, kad 2020 m. pranešimų apie duomenų pažeidimus skaičius išaugo 24%, o su „kriptovaliutų“ atakomis prieš sveikatos priežiūros įstaigas (ligonines, EPHAD, slaugos namus, laboratorijas ir kt.) susijusių pažeidimų skaičius per vienerius metus išaugo trigubai.

Be to, du trečdaliai CNIL skirtų sankcijų yra susijusios su duomenų saugumo įsipareigojimų pažeidimais – ši tendencija pastebima visoje Europoje.

Ir taip pat

Prancūzija:

„Tousanticovid“ programa plėtojama siekiant integruoti naudotojų įspėjimo sistemą, atsižvelgiant į galimą sporto salių, restoranų ar renginių salių vėl atidarymą. 

CNIL, gavusi dekreto projektą, iš esmės pateikė teigiamą vertinimą, tačiau prašė, kad apsilankymų registravimo sistema būtų privaloma tik didelės rizikos vietose (sunku įgyvendinti apsaugos priemones) ir kad ji nebūtų privaloma tose vietose, kur lankymas gali atskleisti neskelbtinus duomenis (pvz., maldos namuose).

Po jo paskelbimo slapukų naudojimo gairės Praėjusių metų spalį CNIL priminė, kad atitikties terminas baigiasi kovo pabaigoje.

Ji išsiuntė laišką dviem šimtams viešųjų įstaigų, taip pat pagrindiniams privatiems subjektams, ypač pabrėždama poreikį sudaryti sąlygas vartotojui priimti arba atsisakyti slapukų tokiu pat paprastumo lygiu (reklamose dažnai esantis mygtukas „konfigūruoti“ neatitinka šio reikalavimo).

Europa:

• Belgija: Duomenų apsaugos institucija paskelbė išsamus vadovas apie duomenų valymo ir duomenų laikmenų naikinimo metodai, refleksas, per dažnai pamirštamas atsikratant kompiuterinio įrankio.

• Jungtinė Karalystė: Europos Komisija paskelbė sprendimo projektą, kuriame atsižvelgiama į Jungtinės Karalystės garantuojamas apsaugos lygis asmens duomenų tvarkymui prilygstančiam Europos Sąjungos duomenų tvarkymui.

Jei Europos duomenų apsaugos valdyba ir valstybių narių atstovai pritars šiam vertinimui, duomenų perdavimas į Jungtinę Karalystę galės būti tęsiamas be papildomų sąlygų.

Taip pat reikėtų atkreipti dėmesį į tai, kad Europos duomenų apsaugos priežiūros pareigūnas vasario 22 d. paskelbė nuomonę, kurioje pakartojo, kad duomenų apsauga, kaip pagrindinė teisė, nėra derybų objektas Europos Sąjungos ir Jungtinės Karalystės prekybos susitarimų kontekste.

• Europa – E. privatumas Po ketverių metų derybų ES valstybės narės pagaliau priėmė bendrą poziciją dėl elektroninių ryšių apsaugos.

Tikimasi, kad E. privatumo reglamentas atnaujins dabartinę direktyvą, be kita ko, nurodant komunikacijos konfidencialumo, metaduomenų apsaugos ir slapukams bei kitiems sekimo įrankiams taikomas taisykles.

Tekstas dar turi būti aptartas Europos Parlamente, o galutinė jo versija įsigalios po dvejų metų nuo jo paskelbimo.

• Europa – sveikatos pasas Kovo 1 d. Europos Komisija paskelbė rengianti bendro valstybių narių paso projektą, kuris palengvintų žmonių judėjimą dabartinėmis pandemijos aplinkybėmis.

Šiame pase būtų pateikti asmens duomenys apie skiepijimą, įgytą imunitetą ar atitinkamo asmens atliktus tyrimus.

Komisija užtikrina, kad bus imtasi priemonių siekiant užkirsti kelią bet kokiai diskriminacijai ar piktnaudžiavimui, susijusiam su atitinkamų asmenų privatumu.

Tarptautinis:

JUNGTINĖS AMERIKOS VALSTIJOS: Po Kalifornijos dar apie dešimt Amerikos valstijų rengia įstatymus dėl asmens duomenų apsaugos, įskaitant Niujorko valstiją ir Vašingtono valstiją.

Apskritai šie įstatymai suteikia vartotojams mažiau teisių nei BDAR ir pirmenybę teikia teisei nesutikti su jų duomenų tvarkymu, o ne prašo išankstinio jų sutikimo.

Bet kuriuo atveju, jie turi pranašumą, nes pagerina duomenų tvarkymo skaidrumą ir suteikia Amerikos vartotojams teisių gynimo priemones.

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.