Datu noplūdes: CNIL ceļ trauksmi, un mēs tam piekrītam.
Pirms divām nedēļām kāds vadītājs man panikā piezvanīja. Viens no viņa pakalpojumu sniedzējiem tikko bija cietis kiberuzbrukumā. Viņa klientu faili, kurus viņš uzskatīja par labi aizsargātiem pie "sertificēta" SaaS pakalpojumu sniedzēja, bija publiski pieejami. Pirmais jautājums, ko viņš man uzdeva, bija: "Nu, tā ir viņu problēma, vai ne?" Nu, nē. Tā ir arī viņa problēma. Un tieši tas ir viens no galvenajiem secinājumiem no gada pārskata, ko publicēja... CNIL 18. maijs: datu noplūdes eksplodēt, un apakšuzņēmēju ķēde gandrīz vienmēr ir vienādojumā.
6167 paziņojumi par datu noplūde reģistrēts 2025. gadā. Rekords. Par 9,5 % vairāk nekā 2024. gadā, un 2026. gada pirmajā ceturksnī jau ir vērojama tāda pati tendence ar 2730 incidentiem. Aiz šiem skaitļiem slēpjas miljoniem skarto franču, satricināti uzņēmumi un skaidrs vēstījums no Marijas Loras Denī, prezidentes. CNIL tur kiberdrošība gan valsts, gan uzņēmumu sniegums ir "tālu no apmierinoša".
Kopsavilkumā
- Absolūts rekords datu noplūdes Francijā 2025. gadā: 6167 paziņojumi, +9,5 % viena gada laikā, un 2026. gada pirmais ceturksnis apstiprina šo tendenci.
- THE datu noplūdes kļūst arvien masīvākas, ar valsts pārvaldi priekšplānā un ļoti bieži iesaistot pakalpojumu sniedzēju.
- Novērtēšanas un līgumiskais regulējums GDPR apakšuzņēmējs ir kļuvuši par galveno pienākumu: a DPA Pamats ir atbilstība, auditi un uzraudzība.
- Daudzfaktoru autentifikācija (MFA) tagad ir mērs, ko CNIL pēc noklusējuma gaida. 2026. gadā 50 % vadības elementi būs vērsti uz kiberdrošība.
- Procedūra, kas saistīta ar pārkāpuma paziņojums pārbaudīts, atjauninājums apstrādes darbību reģistrs un realizācija AIPD izšķir visu lielajā dienā.
- Atbilstību nepierāda nodomi, bet gan dokumenti: tā tas ir.atbildība.
Ko (patiesībā) saka CNIL gada pārskats
"Arvien masīvāki" pārkāpumi
Ziņojumā ne tikai ir uzskaitīti dati. Tas ataino ainu. Aptuveni četrdesmit incidenti 2025. gadā katrs skāra vairāk nekā miljonu cilvēku — par desmit vairāk nekā 2024. gadā. Valsts pārvalde ir līdere ar 19 miljoniem ziņotu incidentu, kam seko veselības aprūpe, sociālie pakalpojumi un pēc tam finanšu un apdrošināšanas darbības. Un tas vēl nav viss: šajā skaitā nav iekļauti kiberuzbrukumi Weda un Harvest programmatūrai, kas vien ģenerēja vairāk nekā 11 600 klientu paziņojumu. Viens incidents augšup, tūkstošiem uzņēmumu lejup pa straumi. Tas visu izsaka.
Trīs mācības, kas jāapgūst
Tur CNIL Rodas trīs galvenie novērojumi, ka katram vadītājam vajadzētu rakstīt redzamā vietā izpildkomitejas padomē. Pirmkārt: neviens netiek pasargāts. Sporta federācijas, viesnīcu ķēdes, savstarpējās apdrošināšanas kompānijas, vietējās pašvaldības, MVU, kā arī lielie uzņēmumi — draudiem vairs nav tipiska profila. Otrkārt: datu noplūdes Tie skar arvien ievērojamākus apjomus. Treškārt, un šeit tēma ir saistīta ar mūsu iepriekšējiem rakstiem: šajos incidentos bieži ir iesaistīti pakalpojumu sniedzēji. GDPR apakšuzņēmējs ir kļuvusi par visneaizsargātāko saiti.
Uzbrucēju metode kļūst par ikdienišķu parādību.
Uzlaušanas gadījumi veido pusi no visiem ziņotajiem incidentiem. Aiz šī vārda slēpjas vesela virkne problēmu: izspiedējvīrusi, pikšķerēšana, akreditācijas datu viltošana, likumīgu lietotāju kontu zādzības. Papildus tam 13 no incidentiem rodas no nepareiza adresāta e-pasta kopijas, 7 no aparatūras nozaudēšanas un 7 no nejaušas publicēšanas. Īsāk sakot, cilvēciskā kļūda joprojām ir būtisks faktors. Un tad vēl ir ģeneratīvais mākslīgais intelekts, kas, kā teica prezidents CNILANTS lieta, kurā pēc drošo dokumentu aģentūras uzlaušanas tiek iesaistīts 15 gadus vecs nepilngadīgais — "nevis brīnumbērns," precizēja prokurors, ir šausminošs šī apgalvojuma pierādījums.
Kāpēc jūsu apakšuzņēmēji (joprojām) ir problēmas centrā
Kad pakalpojumu sniedzējs krīt, līdzi krīt arī viņa klienti.
Atgriezīsimies pie stāsta par Weda un Harvest programmatūru. Tie bija divi kiberuzbrukumi, bet iestāde saņēma 11 600 paziņojumus. Jo katru reizi aiz programmatūras izdevēja stāv simtiem medicīnas prakšu, simtiem bagātības pārvaldības konsultantu, kas arī tiek skarti. datu pārzinis un ir jāziņo par noplūdi saviem klientiem. Tieši šāds scenārijs ir ar apakšuzņēmēju Mobius/Deezer, ko CNIL Līdz 2025. gada beigām tai tika piespriests viena miljona eiro sods, izņemot to, ka šeit izmaksas ir daudzkāršotas. Viens uzbrukums, tūkstoš profesionālu upuru, miljoniem skarto cilvēku.
Sākotnējais novērtējums: jūsu labākā (un vienīgā) aizsardzība
GDPR neatstāj nekādas šaubas: a datu pārzinis "izmanto tikai tos apakšuzņēmējus, kuri piedāvā pietiekamas garantijas." Šis pienākums, kas noteikts 28. panta 1. punktā, nav tukša vēlmju domāšana. Tas ir tas, ko inspektori meklēs. Konkrēti, vai jūs nosūtāt novērtējuma anketu katram pakalpojumu sniedzējam? Vai jūs jautājat par viņu drošības politiku, viņu... apstrādes darbību reģistrs, viņu vārds Datu aizsardzības speciālistsViņu sertifikāti? Vai esat identificējis savus datu pārsūtīšana Ārpus ES? Ja atbilde uz kādu no šiem jautājumiem ir "ēē", tad jūsu pirmā operatīvā prioritāte ir jūsu.
Ar līgumu vien nepietiek, arī ar auditu nepietiek, bet abiem kopā – jā.
A GDPR apakšuzņēmuma līgums labi uzrakstīts — proti, DPA Astoņu obligāto 28. panta 3. punkta klauzulu atkārtošana ir sākumpunkts, nevis galamērķis. Svarīga ir arī ilgtermiņa pārvaldība: ikgadējas revīzijas, nākamo apakšuzņēmēju pārskatīšana, uzraudzība. tehniskie un organizatoriskie pasākumi efektīvi piemērota. Lai strukturētu šo pieeju, Viqtor apakšuzņēmēju modulis centralizē novērtējumus, līgumus, auditus un darījumu vēsturi vienā krātuvē. Šāda veida pierādījumi ir nepieciešami pārzinim. CNIL Patīk redzēt.
Vai jūsu apakšuzņēmēju līgumi un novērtējumi ir atjaunināti? Uzziniet faktus no Viktora eksperta
Ko dara valdība — un kas jums būtu jādara savukārt
200 miljoni eiro un jauna digitālā iestāde
Aprīļa beigās premjerministrs Sebastjēns Lekornu atklāja savu plānu: 200 miljoni eiro, lai stiprinātu kiberdrošība valsts, apvienojot starpministriju digitālo lietu direktorātu un publiskās pārveides direktorātu, lai izveidotu digitālo iestādi, kas pievienota premjerministra birojam. Pēc tamANSSI ir publicējusi jaunas vadlīnijas ministrijām: katrai jāieceļ padomnieks kiberdrošībaTas nav mazsvarīgi. Kad valsts veic reorganizāciju šādā līmenī, tas nozīmē, ka tā uzskata māju par degošu. Tomēr šajā ķēdē valdības iestādes daudz ko nodod ārpakalpojumā, un katrs pakalpojumu sniedzējs ir potenciāls ienākšanas punkts.
Daudzfaktoru autentifikācija: pasākums, kas varēja novērst daudzas traģēdijas
Tur CNIL uzsver vienkāršu vēstījumu: lielāko daļu neseno lielo uzbrukumu varēja novērst ar daudzfaktoru autentifikācija pareizi izvietots. MFATieši šis divējāds faktors padara lielu daļu metožu neefektīvas. akreditācijas datu papildināšana un pikšķerēšanaIestāde savu ieteikumu publicēja jau 2025. gada martā, dodot organizācijām laiku pielāgoties, un tagad paziņo par mērķtiecīgām kontrolēm. 2026. gadā 50 % no izpildes darbībām būs vērstas uz kiberdrošība, salīdzinot ar ceturtdaļu līdz trešdaļu 2025. gadā. Bāzēm, kurās ir vairāk nekā viens miljons cilvēku, pārbaudes būs prioritāte.
Šonedēļ tiks uzsākti daži konkrēti projekti
Nepārslogojot komandas, ir dažas darbības, ko var veikt ātri un kas incidenta gadījumā būtiski ietekmē situāciju. Lūk, ko es iesaku saviem klientiem-vadošajiem darbiniekiem, kad viņi man jautā, ar ko sākt.
- Aktivizēt MFA visos privilēģiju kontos un piekļuvē rīkiem, kas satur personas dati.
- Atjauniniet apakšuzņēmēju sarakstu un pārbaudiet, vai katram no tiem ir DPA parakstīti, un identificē tos, kas veic datu pārsūtīšana ārpus ES.
- Pārbaudiet savu procedūru pārkāpuma paziņojums Kas kuru informē? Vai varat izsekot notikumu ķēdei līdz pat... CNIL likumā noteiktajā termiņā 72 stundas ?
- Dokumentējot AIPD (ietekmes analīze) jūsu augsta riska ārstēšanai — tas ir vēl viens aspekts, ko CNIL sistemātiskas pārbaudes.
- Vēlreiz ātri paskatieties uz savu apstrādes darbību reģistrs : tas reti ir tik aktuāls, kā varētu domāt.
Un kas notiek pēc noplūdes? Incidentu pārvaldība, kur viss ir atkarīgs.
Pirmās 72 stundas izšķir pārējo
Kad pakalpojumu sniedzējs jūs brīdina, jums ir 72 stundas lai paziņotu CNIL ja datu noplūde rada risku cilvēkiem. Ne trīs nedēļas. Nepietiekami daudz laika, lai sasauktu vadības komiteju. Procedūrai jābūt gatavai, uzrakstītai, pārbaudītai un gatavai aktivizēšanai svētdienas vakarā. Mūsu lapa, kas veltīta datu pārkāpuma paziņojums detalizēti aprakstītas darbības, lai izvairītos no atkārtošanās.
Iesaistīto personu informēšana, patiesības brīdis
Ja pārkāpums rada augstu risku indivīdu tiesībām un brīvībām, GDPR arī nosaka, ka katra persona ir jāinformē tieši. Bieži vien tieši šajā brīdī krīzes komunikācija ir prioritāra salīdzinājumā ar tiesvedību. Ja tā tiek slikti pārvaldīta, uzticība sabrūk — Marija Lorena Denī pat runā par "uzticības saites sairšanu starp valsti un tās pilsoņiem" saistībā ar informācijas noplūdēm no valdības. Privātam uzņēmumam tas nozīmē, ka klients aiziet un ierodas advokāts.
Sankcija un ko tā liecina par organizācijas briedumu
Tur CNIL Tas nesoda pašu bēgšanas aktu; tas soda neveiksmes, kas to padarīja iespējamu vai saasināja.daudzfaktoru autentifikācijanepilnīgs reģistrs, vispārīgi apakšuzņēmuma līgumi, novēlota paziņošana, atbildība neeksistē. Šeit tiek veidota aizstāvība — vai nosodījums. Lai visa šī struktūra būtu uzticama, mūsu Pilnīgs ceļvedis par GDPR atbilstības auditiem izklāsta mūsu konsultantu izmantoto metodoloģiju.
Bieži uzdotie jautājumi
Mans pakalpojumu sniedzējs ir cietis no datu noplūdes. Vai esmu atbildīgs?
Ciktāl datu pārzinisJā, jūs joprojām esat juridiski atbildīgs par datu apstrādi, pat ja noplūde rodas no jūsu apakšuzņēmēja. Jums ir jāanalizē risks un jāpaziņo CNIL ja nepieciešams, 72 stundasun attiecīgā gadījumā informēt attiecīgās personas. Jūsu apakšuzņēmuma līgums GDPR jāplāno, kā pakalpojumu sniedzējs jūs brīdina un sadarbojas.
Vai daudzfaktoru autentifikācija ir obligāta?
GDPR tas nav tieši norādīts, bet CNIL uzskata to par sagaidāmu tehnisku pasākumu jebkādai piekļuvei personas dati sensitīvs vai liela mēroga. Tās 2025. gada marta ieteikums ir nepārprotams, un 2026. gada auditi galvenokārt būs vērsti uz organizācijām, kas to nav ieviesušas. Īsāk sakot: tas vairs nav izvēles jautājums.
Kāds ir termiņš CNIL paziņošanai par datu noplūdi?
72 stundas no brīža, kad par incidentu tiek ziņots, ja vien pārkāpums, visticamāk, neradīs risku personu tiesībām un brīvībām. Pēc šī brīža novēlots paziņojums ir jāpamato. Ziņojums tiek iesniegts, izmantojot tiešsaistes pakalpojumu CNIL un jāapraksta pārkāpuma raksturs, iesaistīto datu kategorijas un veiktie pasākumi.
Kādas ir pirmās darbības, kas jāievieš attiecībā uz MVU?
Plānojiet ārstēšanas metodes un saglabājiet apstrādes darbību reģistrs sekot līdzi jaunumiem, identificēt un pienācīgi noslēgt līgumus par katru apakšuzņēmēju, izmantojot DPAizvietot MFAuzrakstīt procedūru pārkāpuma paziņojumsun norādiet atsauci vai Datu aizsardzības speciālistsŠīs piecas būvlaukumi aptver būtiskos kontroles punktus. CNIL.
Kāds ir datu aizsardzības ietekmes novērtējuma (DPIA) mērķis un kad tas būtu jāveic?
L'AIPD (ietekmes analīzeRiska novērtējums ir obligāts apstrādes darbībām, kas rada augstu risku tiesībām un brīvībām: liela mēroga novērošana, sensitīvi dati, automatizēta profilēšana utt. Tajā dokumentēti riski, pasākumi to mazināšanai un parādīta jūsu riska pārvaldības pieeja.atbildībaŠis ir viens no pirmajiem dokumentiem, ko CNIL pieprasījums pārbaudes gadījumā.
Vai vēlaties šīs atziņas pārvērst konkrētā rīcības plānā?
Lai uzzinātu vairāk, atrodiet visus mūsu resursus vietnē datu pārvaldība un atbilstība GDPR prasībām Viktora platforma.