Rançongiciels : des attaques en constante augmentation

Ransomware: aanvallen nemen toe

Legal Watch nr. 51 – september 2022.

Ransomware: aanvallen nemen toe :Het nieuws over de herfst brengt ons terug bij een terugkerende zorg van gegevensbeheerders: beveiligingsinbreuken.

De cyberaanval op het ziekenhuis in Essonne en de verspreiding van meerdere gigabytes aan patiëntgegevens herinneren ons eraan hoe belangrijk het is om alle nodige maatregelen te nemen om ons tegen dit soort aanvallen te beschermen.

Deze feiten weerspiegelen de constante trend van toenemende aanslagen in Europa.

De CNIL meldt dat het aantal meldingen van datalekken in 2021 met 79.% is gestegen ten opzichte van 2020 (5037 in 2021). In 2021 zijn er meer dan 2150 meldingen van datalekken ontvangen als gevolg van een ransomware-aanval, wat neerkomt op 43.% van het totale volume.

Bovendien was de helft van de sancties die de CNIL vorig jaar oplegde, gericht op schendingen van verplichtingen inzake gegevensbeveiliging.

Deze maand oktober is daarom een gelegenheid om de essentiële veiligheidsmaatregelen te inventariseren, zoals gevraagd door de CNIL en ANSSI, die hun inwerkingtreding beginnen. Bewustwordingscampagne “Cybermaand” over ransomware.

Deze campagne is de Franse versie van de Europese ECSM-cybersecuritycampagne, die wordt ondersteund door de meeste Europese landen en door het Europese veiligheidsagentschap ENISA.

Laten we eerst de aanbevelingen van de CNIL nog eens herhalen, waarin de verschillende fasen voor het beheer van de beveiliging van de gegevensverwerking worden opgesomd, waaronder:

  • Inventarisatie van de gegevensverwerking en de ondersteuning daarvan (hardware, software, communicatiekanalen, papieren ondersteuning):
  • De beoordeling van de risico's die elke verwerking met zich meebrengt, alsmede de mogelijke gevolgen daarvan voor de rechten en vrijheden van de betrokken personen (met name bij de verwerking van gevoelige gegevens).
  • Bronnen van risico (menselijke en niet-menselijke bronnen).
  • Realiseerbare bedreigingen, d.w.z. mogelijke triggergebeurtenissen (bijv. vandalisme, natuurlijke slijtage, volle opslagruimte, denial-of-service-aanval).
  • Bestaande of geplande maatregelen om elk risico aan te pakken (bijv. back-ups, encryptie), in verhouding tot de risico's.
  • De ernst en waarschijnlijkheid van de risico's, in het licht van de voorgaande elementen.

ANSSI verstrekt details over essentiële beschermingsmaatregelen:

  • Zorg voor automatische back-ups, losgekoppeld van het netwerk;
  • Test regelmatig back-ups;
  • Maak een bedrijfscontinuïteitsplan (BCP);
  • Zorg voor een crisiseenheid;
  • Maak gebruik van een crisismechanisme.

Het agentschap herhaalt ook zijn advies om voorzichtig te zijn met ongevraagde e-mails, vooral als deze een bijlage bevatten:

  • Vertrouw geen telefoonnummers of hyperlinks die in het bericht worden genoemd,
  • Controleer het adres van de afzender door erop te klikken en bel de gebruikelijke contactpersoon in plaats van te reageren op een verdacht bericht.

Indien er sprake is van een datalek, moeten er onmiddellijk passende maatregelen worden genomen om het lek te stoppen en de gevolgen voor de betrokken personen te beperken.

In het geval van een ransomware-aanval adviseert ANSSI om herstelmaatregelen en het crisisresponssysteem te activeren en vervolgens de bevoegde autoriteiten (politie, gendarmerie, ANSSI) te waarschuwen voordat u technische hulp inroept.

Als u vermoedt dat er een inbraak heeft plaatsgevonden, kunt u nuttige informatie vinden op de website van het Rijksoverheidscentrum voor monitoring, waarschuwing en reactie op computeraanvallen en op de overheidswebsite over cybercriminaliteit.

Houd er ten slotte rekening mee dat de verwerkingsverantwoordelijke volgens de AVG de CNIL binnen 72 uur na kennisname van de overtreding op de hoogte moet stellen.

Indien het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen (bijvoorbeeld bij diefstal van gevoelige gegevens, zoals gezondheidsgegevens), moet de betrokkene ook individueel worden geïnformeerd.

De CNIL organiseert op respectievelijk 18 en 21 oktober twee webinars over wachtwoorden en de beveiliging van kunstmatige-intelligentiesystemen. Registratie is verplicht. Meer informatie vindt u op de website.

En ook

Frankrijk:

Op 8 september heeft de CNIL een boete van 250.000 euro opgelegd aan de GIE INFOGREFFE, Infogreffe publiceert via haar website de juridische en officiële informatieverspreidingsdienst over bedrijven. Infogreffe is gesanctioneerd wegens het niet nakomen van verschillende AVG-verplichtingen met betrekking tot bewaartermijnen en de beveiliging van persoonsgegevens.

Kunstmatige intelligentie: de Raad van State spreekt zich uit over het bestuur van de toekomstige Europese regelgeving en publiceert hierover twee studies.

– In zijn document van 30 augustus 2022 gaat de Raad van State in op de kwestie van de kwaliteit van de overheidsdienst en legt de basis voor een Franse strategie voor AI.

Hij moedigt onder meer aan de bevoegdheden van de CNIL te versterken en om het formeel verantwoordelijk te maken voor de regulering van AI-systemen.

– De Raad van State heeft zich ook gebogen over de regulering van sociale netwerken in het kader van de ontwikkeling van AI.

Op 27 september publiceerde hij een studie waarin hij formuleerde 17 aanbevelingen voor herbalancering de krachten ten behoeve van de gebruikers, door de overheid toe te rusten voor haar rol als regelgever en door na te denken over de sociale netwerken van morgen.

De CE stelt ook voor om een versterkt interministerieel knooppunt op te richten, waar de verschillende expertisegebieden van de staat op dit gebied worden samengebracht. 

Europa:

Op 16 september 2022 heeft de Europese Toezichthouder voor gegevensbescherming (EDPS) een rechtszaak aangespannen betreffende twee bepalingen van de nieuwe verordening die het Europol-agentschap met terugwerkende kracht toestaan de gegevens van burgers te verwerken zelfs zonder dat er een bewezen verband is met criminele activiteiten.

De EDPS heeft het Hof van Justitie van de Europese Unie verzocht de twee bepalingen van deze verordening, die op 28 juni 2022 in werking is getreden, nietig te verklaren.

In de tweede editie van zijn TechSonar-nieuwsbrief, De EDPS selecteert 5 opkomende trends: hij ontwikkelt de kwesties van

  • het detecteren van 'nepnieuws',
  • de digitale valuta van de centrale bank,
  • de Metaverse,
  • “federated learning” en “synthetische data”, twee onderwerpen die verband houden met kunstmatige intelligentie.

Op weg naar meer verantwoording in AI?

Het voorstel van de Europese Commissie voor een herziening van de productaansprakelijkheidsrichtlijn is erop gericht het aansprakelijkheidsregime van de EU aan te passen aan het digitale tijdperk.

Er is een aanvullende richtlijn voorgesteld die gericht is op specifieke schade veroorzaakt door kunstmatige intelligentie.

De aansprakelijkheid blijft ook na de marktintroductie van het product bestaan en geldt voor software-updates, het niet aanpakken van cyberbeveiligingsrisico's en machine learning.

Met andere woorden, Ontwikkelaars blijven verantwoordelijk voor autonoom lerende AI-systemen en voor implementatie-updates, of het uitblijven daarvan.

De AVG kan in de context van concurrentiezaken worden overwogen Op 20 september heeft de advocaat-generaal van het HvJ-EU, de heer Rantos, een advies uitgebracht waaruit blijkt dat mededingingsautoriteiten rekening kunnen houden met de AVG wanneer zij de dominante positie van Meta op de markt beoordelen.

Europarlementariërs bezochten de Ierse autoriteiten gegevensbescherming tussen 21 en 23 september en lijken niet geheel tevreden over hun reis: de delegatie van de Commissie burgerlijke vrijheden (LIBE) van het Parlement wilde uitdrukkelijk de uitvoering en toepassing van de AVG onderzoeken, met name de werking van het "one-stop shop"-mechanisme.

Het hoofd van de delegatie beschreef de Ierse autoriteit voor gegevensbescherming als "een knelpunt van het enkelvoudige venstermechanisme", en voegde daaraan toe dat "een onafhankelijk onderzoek naar de procedures en acties van de DPC nuttig zou zijn."

Op 13 september kwamen leden van de digitale rechtengroep EDRi heeft met de Europese Raad voor Gegevensbescherming (EDPB) gesproken mogelijke verbeteringen in de toepassing van de AVG.

EDRi wijst erop dat het gebrek aan harmonisatie van nationale bepalingen en grensoverschrijdende gevallen niet de enige problemen zijn.

Volgens de NGO zijn er meerdere nationale gevallen waarin klachten en schendingen van de AVG niet op de juiste wijze zijn afgehandeld door toezichthoudende autoriteiten, met name als gevolg van een gebrek aan middelen.

Problemen die werden ondervonden, waren onder andere het weigeren om een klacht op te volgen, onverklaarbare vertragingen bij de verwerking van een klacht, het ontbreken van statusupdates en problemen bij het indienen van een klacht.

De Berlijnse Commissaris voor Gegevensbescherming en Vrijheden (BInBDI) een boete van € 525.000 opgelegd aan een retailgroep wegens overtreding van artikel 38(6) van de AVG vanwege de belangenconflict van hun DPO: deze laatste controleerde ook de beslissingen die hij in zijn hoedanigheid van bestuurder van de vennootschap nam.

Over hetzelfde onderwerp, de IJslandse Autoriteit voor gegevensbescherming was van mening dat er sprake was van een belangenconflict wanneer een DPO tegelijkertijd senior jurist, adjunct-directeur-generaal of lid van de raad van bestuur van een bedrijf was.

Een DPO kan echter wel de functie van compliance officer bekleden.

In dit verband moet worden opgemerkt dat de benoeming en de functie van de FG het onderwerp zullen zijn van de volgende gecoördineerde toezichtsactie van het Europees Comité voor gegevensbescherming.

De Kamer van Koophandel van Karlsruhe vernietigde een besluit van de Kamer voor overheidsopdrachten Baden-Württemberg, waarin onder meer werd geoordeeld dat het enkele feit dat een gegevensverwerker een dochteronderneming is van een commerciële groep uit een derde land, niet afdoet aan de verplichting van de verwerker om persoonsgegevens uitsluitend binnen de Europese Economische Ruimte te verwerken.

Roemeense ODA een uitgever een boete van € 5.000 opgelegd voor gebrek aan adequate technische en organisatorische maatregelen, na twee datalekken die 10.739 (voormalige) klanten en 100 van haar werknemers en partners troffen.

Spaanse ODA concludeerde dat een verwerkingsverantwoordelijke artikel 6 van de AVG had geschonden door een foto op Instagram te plaatsen zonder geldige wettelijke basis.

De AP heeft de verwerkingsverantwoordelijke een boete van € 10.000,- opgelegd.

Deense ODA oordeelde dat een politieke partij over een voldoende wettelijke basis beschikte op grond van artikel 6(1)(f) van de AVG om een van haar leden te onderzoeken op vermeend seksueel geweld.

Ze heeft echter de verwerkingsverantwoordelijke en de verwerker berispt omdat ze niet niet geïnformeerd hebben de betrokkene van de verwerking zoals vereist door artikel 14(2)(b).

Belgische ODA een medisch laboratorium een boete van € 20.000 opgelegd wegens het schenden van diverse verplichtingen uit de artikelen 5(1)(f) en 35(3) van de AVG vanwege het ontbreken van een beveiligings- en vertrouwelijkheidsbeleid op haar website en het ontbreken van een gegevensbeschermingseffectanalyse (nationale beslissingen vastgelegd door GDPRhub).

De overeenkomst tussen het Verenigd Koninkrijk en de VS over toegang tot gegevens, die onderzoekers uit beide landen toegang geeft tot elektronische gegevens met betrekking tot ernstige misdrijven, trad op 3 oktober in werking.

De tekst maakt het mogelijk voor Britse en Amerikaanse wetshandhavingsinstanties om gegevens op te vragen die in het bezit zijn van telecommunicatieaanbieders in hun respectieve rechtsgebieden.

Zwitserse koeriersbedrijven Proton en Threema hebben samen met andere buitenlandse bedrijven een charter ondertekend dat hen verplicht zo min mogelijk data te verzamelen en berichten te versleutelen. Het is de bedoeling dat andere techbedrijven zich hierbij aansluiten.

Internationaal :

Volgens een nieuwe VN-rapport (Bureau voor de Mensenrechten) van 16 september 2022Het recht op privacy van individuen staat steeds meer onder druk door het gebruik van digitale netwerktechnologieën.

Volgens het rapport vormen deze technologieën geduchte instrumenten voor toezicht, controle en onderdrukking, die een effectieve regulering vereisen, gebaseerd op de wet en internationale normen op het gebied van mensenrechten.

Het rapport richt zich op drie belangrijke gebieden:

  • Het misbruik van spyware door overheidsinstanties,
  • De sleutelrol van sterke encryptiemethoden bij het beschermen van de mensenrechten online
  • De gevolgen van wijdverbreide digitale bewaking van de openbare ruimte, zowel offline als online.

Daar Indonesische Huis van Afgevaardigden heeft een wetsvoorstel aangenomen over de bescherming van persoonsgegevens.

De tool 'Resultaten over jou' van Google Volgens een rapport van het bedrijf wordt er nu een tool uitgerold die het proces voor het verwijderen van zoekresultaten met persoonlijke informatie, zoals e-mailadressen of telefoonnummers, vereenvoudigt.

Google kondigde deze functie eerder dit jaar aan en gaf aan dat deze binnenkort beschikbaar zou zijn in de Google-app.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.

Ontdek Viqtor®
nl_NL_formalNL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL nl_NL_formalNL