Izspiedējvīrusi: uzbrukumu skaits pieaug

Juridiskā uzraudzība Nr. 51 — 2022. gada septembris.

Izspiedējvīrusi: uzbrukumu skaits pieaug Ziņas par rudeni atgriež mūs pie datu pārziņu atkārtotām bažām: drošības pārkāpumiem.

Kiberuzbrukums Esonas slimnīcai un vairāku gigabaitu pacientu datu izplatīšana atgādina mums, cik svarīgi ir veikt visus nepieciešamos pasākumus, lai pasargātu sevi no šādiem uzbrukumiem.

Šie fakti atspoguļo pastāvīgu uzbrukumu pieauguma tendenci visā Eiropā.

Tādējādi CNIL norāda uz datu pārkāpumu paziņojumu skaita pieaugumu par 79,1 TP3T 2021. gadā salīdzinājumā ar 2020. gadu (5037 paziņojumi 2021. gadā), kas ir vairāk nekā 2150 paziņojumi par pārkāpumiem, kas radušies izspiedējvīrusu uzbrukuma rezultātā, kas ir 43,1 TP3T no kopējā apjoma.

Turklāt puse no CNIL pagājušajā gadā noteiktajām sankcijām bija vērstas uz datu drošības pienākumu pārkāpumiem.

Tāpēc šis oktobra mēnesis ir iespēja izvērtēt svarīgākos drošības pasākumus, kā aicinājušas CNIL un ANSSI, kas sāk savu darbību. “Kibermēneša” informatīvā kampaņa attiecībā uz izspiedējvīrusu.

Šī kampaņa ir Eiropas ECSM kiberdrošības kampaņas franču versija, ko atbalsta lielākā daļa Eiropas valstu un Eiropas drošības aģentūra ENISA.

Vispirms atcerēsimies CNIL ieteikumus, kuros uzskaitīti dažādi datu apstrādes drošības pārvaldības posmi, tostarp:

• Datu apstrādes un to atbalsta līdzekļu (aparatūras, programmatūras, sakaru kanālu, papīra atbalsta līdzekļu) inventarizācija:

• Katras apstrādes radīto risku novērtējums, kā arī to iespējamā ietekme uz attiecīgo personu tiesībām un brīvībām (īpaši, ja tiek apstrādāti sensitīvi dati).

• Riska avoti (cilvēku un citu faktoru radīti).

• Realizējami draudi, t. i., iespējamie izraisošie notikumi (piemēram, vandālisms, dabisks nolietojums, pilna noliktavas vienība, pakalpojuma atteices uzbrukums).

• Esošie vai plānotie pasākumi katra riska novēršanai (piemēram, dublējumkopijas, šifrēšana), kas ir samērīgi ar riskiem.

• Risku nopietnība un iespējamība, ņemot vērā iepriekšējos elementus.

ANSSI sniedz informāciju par būtiskiem drošības pasākumiem:

• Nodrošināt automātiskas dublējumkopijas, atvienojoties no tīkla;

• Regulāri pārbaudiet dublējumkopijas;

• Sagatavot uzņēmējdarbības nepārtrauktības plānu (UNP);

• Nodrošināt krīzes vienību;

• Izmantojiet krīzes mehānismu.

Aģentūra arī atkārtoti iesaka ievērot piesardzību attiecībā uz nevēlamiem e-pastiem, īpaši, ja tiem ir pielikums:

• Neuzticieties nevienam ziņojumā minētajam tālruņa numuram vai hipersaitēm.
• Pārbaudiet sūtītāja adresi, noklikšķinot uz tās, piezvaniet viņa parastajai kontaktpersonai, nevis atbildiet uz aizdomīgu ziņojumu.

Datu pārkāpuma gadījumā nekavējoties jāveic atbilstoši pasākumi, lai apturētu pārkāpumu un ierobežotu ietekmi uz attiecīgajām personām.

Izspiedējvīrusa uzbrukuma gadījumā ANSSI iesaka aktivizēt novēršanas pasākumus un krīzes reaģēšanas sistēmu, pēc tam brīdināt attiecīgās iestādes (policiju, žandarmeriju, ANSSI), pirms meklēt tehnisko palīdzību.

Ja jums ir aizdomas par ielaušanos, noderīgu informāciju varat atrast Datoru uzbrukumu uzraudzības, brīdināšanas un reaģēšanas valdības centra tīmekļa vietnē un kibernoziegumiem veltītajā valdības tīmekļa vietnē.

Visbeidzot, atcerieties, ka saskaņā ar GDPR pārzinim ir jāpaziņo CNIL par pārkāpumu 72 stundu laikā no brīža, kad tas ir kļuvis zināms.

Ja datu noplūde, visticamāk, radīs augstu risku datu subjektu tiesībām un brīvībām (piemēram, sensitīvu datu, piemēram, veselības datu, zādzības gadījumā), datu subjekts ir jāinformē arī individuāli.

CNIL rīko divus tīmekļa seminārus attiecīgi 18. un 21. oktobrī par parolēm un mākslīgā intelekta sistēmu drošību. Nepieciešama reģistrācija. Sīkāka informācija atrodama tās tīmekļa vietnē.

Un arī

Francija:

8. septembrī CNIL uzlika GIE INFOGREFFE 250 000 eiro sodu, kas savā tīmekļa vietnē publicē juridisko un oficiālo informācijas izplatīšanas pakalpojumu par uzņēmumiem. Infogreffe tiek sodīts par vairāku GDPR saistību neizpildi attiecībā uz datu glabāšanas periodiem un personas datu drošību.

Mākslīgais intelekts: Valsts padome sniedz viedokli par turpmākā Eiropas regulējuma pārvaldību un publicē divus pētījumus par šo tēmu.

– Valsts padome savā 2022. gada 30. augusta dokumentā pievēršas sabiedrisko pakalpojumu kvalitātes jautājumam un liek pamatus Francijas mākslīgā intelekta stratēģijai.

Viņš cita starpā mudina stiprināt CNIL pilnvaras un padarīt to oficiāli atbildīgu par mākslīgā intelekta sistēmu regulēšanu.

– Valsts padome arī pētīja sociālo tīklu regulējumu mākslīgā intelekta attīstības kontekstā.

27. septembrī viņš publicēja pētījumu, kurā formulēja 17 ieteikumi līdzsvarošanai spēki lietotāju labā, sagatavojot valsts iestādes to regulatora lomai un domājot par rītdienas sociālajiem tīkliem.

CE arī ierosina izveidot stiprinātu starpministriju centru, lai apvienotu valsts dažādās kompetences jomas šajā jomā. 

Eiropa:

2022. gada 16. septembrī Eiropas Datu aizsardzības uzraudzītājs (EDAU) iesniedza prasību tiesā par diviem jaunās regulas noteikumiem, kas ar atpakaļejošu spēku ļauj Eiropola aģentūrai apstrādāt pilsoņu datus pat bez pierādītas saistības ar noziedzīgu darbību.

EDAU ir lūdzis Eiropas Savienības Tiesu atcelt šīs regulas, kas stājās spēkā 2022. gada 28. jūnijā, abus noteikumus.

Savā otrajā izdevumā TechSonar jaunumi, EDAU izvēlas 5 jaunākās tendences: tas attīsta jautājumus par

• "viltus ziņu" atklāšana,
• centrālās bankas digitālā valūta,
• Metaverss,
• “federālā mācīšanās” un “sintētiskie dati” — divas ar mākslīgo intelektu saistītas tēmas.

Ceļā uz lielāku atbildību mākslīgā intelekta jomā?

Eiropas Komisijas priekšlikums par Produkta atbildības direktīvas pārskatīšanu ir vērsts uz to, lai pielāgotu ES atbildības režīmu digitālajam laikmetam.

Ir ierosināta papildu direktīva, kas vērsta uz konkrētu kaitējumu, ko rada mākslīgais intelekts.

Atbildība turpinātos arī pēc produkta laišanas tirgū, aptverot programmatūras atjauninājumus, kiberdrošības risku nenovēršanu un mašīnmācīšanos.

Citiem vārdiem sakot, Izstrādātāji arī turpmāk būtu atbildīgi par mākslīgā intelekta sistēmu autonomu mācīšanos un ieviešanas atjauninājumiem vai to trūkumu.

GDPR var tikt ņemta vērā konkurences lietu kontekstā 20. septembrī EST ģenerāladvokāts Rantos kungs sniedza atzinumu, saskaņā ar kuru konkurences iestādes, izvērtējot Meta dominējošo stāvokli tirgū, var ņemt vērā GDPR.

Eiropas Parlamenta deputāti apmeklēja Īrijas iestādes datu aizsardzību laikposmā no 21. līdz 23. septembrim, un nešķiet pilnībā apmierināti ar savu braucienu: Parlamenta Pilsoņu brīvību komitejas (LIBE) delegācija nepārprotami vēlējās izskatīt GDPR īstenošanu un piemērošanu, jo īpaši "vienas pieturas aģentūras" mehānisma darbību.

Delegācijas vadītājs Īrijas datu aizsardzības iestādi raksturoja kā "viena loga mehānisma sašaurinājums", piebilstot, ka "noderētu neatkarīga DPC procedūru un darbību pārskatīšana".

13. septembrī biedri digitālo tiesību grupa EDRi tikās ar Eiropas Datu aizsardzības kolēģiju (EDAK), lai apspriestu iespējamie uzlabojumi GDPR piemērošanā.

EDRi norāda, ka nacionālo noteikumu saskaņošanas trūkums un pārrobežu gadījumi nav vienīgās problēmas.

Saskaņā ar NVO sniegto informāciju, ir vairāki valsts mēroga gadījumi, kad uzraudzības iestādes nav pienācīgi izskatījušas sūdzības un GDPR pārkāpumus, jo īpaši resursu trūkuma dēļ.

Problēmas, ar kurām saskārās, ietvēra atteikšanos rīkoties saistībā ar sūdzību, neizskaidrojamas kavēšanās sūdzības apstrādē, statusa atjauninājumu trūkumu un grūtības iesniegt sūdzību vispār.

Berlīnes datu aizsardzības un brīvību komisārs (BInBDI) mazumtirdzniecības grupai tika piespriests 525 000 eiro sods par VDAR 38. panta 6. punkta pārkāpumu saistībā ar viņu DAS interešu konflikts: pēdējais arī kontrolēja lēmumus, kas tika pieņemti viņa kā uzņēmuma direktora amatā.

Par to pašu tēmu, Islandes Datu aizsardzības iestāde uzskatīja, ka pastāv interešu konflikts, ja datu aizsardzības speciālists vienlaikus ir vecākais jurists, ģenerāldirektora vietnieks vai uzņēmuma direktoru padomes loceklis..

Tomēr DPO var ieņemt atbilstības amatpersonas amatu.

Šajā sakarā jāatzīmē, ka DAS iecelšana un funkcijas būs Eiropas Datu aizsardzības komitejas nākamās koordinētās uzraudzības darbības priekšmets.

Karlsrūes Tirdzniecības palāta atcēla Bādenes-Virtembergas Publisko iepirkumu palātas lēmumu, kurā cita starpā tika atzīts, ka pats fakts, ka datu apstrādātājs ir trešās valsts komercgrupas meitasuzņēmums, neapšauba apstrādātāja apņemšanos apstrādāt personas datus tikai Eiropas Ekonomikas zonā.

Rumānijas oficiālā attīstības palīdzība (OAP) izdevējam piesprieda 5000 eiro lielu naudas sodu par atbilstošu tehnisko un organizatorisko pasākumu trūkums, pēc diviem datu pārkāpumiem, kas skāra 10 739 tā (bijušos) klientus un 100 tā darbiniekus un partnerus.

Spānijas oficiālā attīstības palīdzība (OAP) secināja, ka pārzinis ir pārkāpis VDAR 6. pantu pēc fotoattēla publicēšanas vietnē Instagram bez derīga juridiska pamata.

Datu aizsardzības iestāde (DPA) uzlika datu pārzinim 10 000 eiro lielu naudas sodu.

Dānijas oficiālā attīstības palīdzība (OAP) konstatēja, ka politiskajai partijai bija pietiekams juridiskais pamats saskaņā ar VDAR 6. panta 1. punkta f) apakšpunktu, lai izmeklētu vienu no tās biedriem par iespējamu seksuālu vardarbību.

Tomēr viņa aizrādīja pārzinim un apstrādātājam par to, ka tie nebija neesot informējis apstrādes datu subjekts, kā noteikts 14. panta 2. punkta b) apakšpunktā.

Beļģijas oficiālā attīstības palīdzība (OAP) uzlika medicīnas laboratorijai 20 000 eiro naudas sodu par vairāku GDPR 5. panta 1. daļas f) punkta un 35. panta 3. daļas 3. punkta pārkāpumu, jo drošības un konfidencialitātes politikas trūkums tās tīmekļa vietnē un datu aizsardzības ietekmes analīzes neesamība (valstu lēmumi, ko reģistrējis GDPRhub).

Apvienotās Karalistes un ASV datu piekļuves nolīgums, kas ļauj abu valstu izmeklētājiem piekļūt elektroniskiem datiem, kas saistīti ar smagiem noziegumiem, stājās spēkā 3. oktobrī.

Teksts ļauj Lielbritānijas un Amerikas tiesībaizsardzības iestādēm pieprasīt datus, kas atrodas telekomunikāciju pakalpojumu sniedzēju rīcībā to attiecīgajās jurisdikcijās.

Šveices kurjeru kompānijas Proton un Threema kopā ar citiem ārvalstu uzņēmumiem ir parakstījuši hartu, kas tiem pieprasa apkopot pēc iespējas mazāk datu un šifrēt ziņojumus. Mērķis ir panākt, lai arī citi tehnoloģiju spēlētāji pievienotos.

Starptautiskās:

Saskaņā ar jaunu ANO ziņojums (Cilvēktiesību birojs), 2022. gada 16. septembristīklveida digitālo tehnoloģiju izmantošanas dēļ aizvien vairāk tiek apdraudētas personu tiesības uz privātumu.

Saskaņā ar ziņojumu šīs tehnoloģijas ir ievērojami novērošanas, kontroles un apspiešanas rīki, kuriem nepieciešams efektīvs regulējums, kas balstīts uz likumu un starptautiskajiem cilvēktiesību standartiem.

Ziņojumā aplūkotas trīs galvenās jomas:

• Valsts iestāžu ļaunprātīga spiegprogrammatūras izmantošana,
• Spēcīgu šifrēšanas metožu galvenā loma cilvēktiesību aizsardzībā tiešsaistē
• Plaši izplatītas digitālās novērošanas sekas publiskās telpās gan bezsaistē, gan tiešsaistē.

Tur Indonēzijas Pārstāvju palāta pieņēma likumprojektu par personas datu aizsardzību.

Google rīks “Rezultāti par jums” Saskaņā ar uzņēmuma ziņojumu tiek sākta rīka ieviešana, kas paredzēta, lai vienkāršotu tādu meklēšanas rezultātu noņemšanas procesu, kas satur personisku informāciju, piemēram, e-pastu vai tālruņa numuru.

Google paziņoja par šo funkciju šī gada sākumā, norādot, ka tā drīz būs pieejama Google lietotnē.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.