Rançongiciels : des attaques en constante augmentation

Ransomware: ataques em ascensão

Legal Watch nº 51 – setembro de 2022.

Ransomware: ataques em ascensão :A notícia da queda nos traz de volta a uma preocupação recorrente dos controladores de dados: a das violações de segurança.

O ataque cibernético ao hospital de Essonne e a disseminação de vários gigabytes de dados de pacientes nos lembram o quão importante é tomar todas as medidas necessárias para nos proteger contra tais ataques.

Esses fatos refletem uma tendência constante de aumento de ataques em toda a Europa.

A CNIL indica assim um aumento de 79,% de notificações de violações de dados em 2021 em comparação com 2020 (5037 em 2021), mais de 2150 notificações de violações resultantes de um ataque de ransomware recebidas em 2021, ou seja, 43,% do volume total.

Além disso, metade das sanções impostas pela CNIL no ano passado tiveram como alvo violações de obrigações de segurança de dados.

Este mês de Outubro constitui, portanto, uma oportunidade para fazer um balanço das medidas essenciais de segurança, tal como foi convidado pela CNIL e pela ANSSI, que iniciam a sua Campanha de conscientização “Cybermonth” sobre ransomware.

Esta campanha é a versão francesa da campanha europeia de segurança cibernética do ECSM, apoiada pela maioria dos países europeus e pela agência europeia de segurança ENISA.

Recordemos, em primeiro lugar, as recomendações da CNIL, que elenca as diferentes etapas da gestão da segurança do tratamento de dados, nomeadamente:

  • O inventário do processamento de dados e seus suportes (hardware, software, canais de comunicação, suportes de papel):
  • A avaliação dos riscos gerados por cada processamento, bem como seus potenciais impactos nos direitos e liberdades das pessoas envolvidas (em especial quando dados sensíveis são processados).
  • Fontes de risco (fontes humanas e não humanas).
  • Ameaças realizáveis, ou seja, possíveis eventos desencadeadores (por exemplo, vandalismo, desgaste natural, unidade de armazenamento cheia, ataque de negação de serviço).
  • Medidas existentes ou planejadas para lidar com cada risco (por exemplo, backups, criptografia), proporcionais aos riscos.
  • A gravidade e a probabilidade dos riscos, à luz dos elementos precedentes.

A ANSSI fornece detalhes sobre medidas essenciais de salvaguarda:

  • Fornecer backups automáticos, desconectados da rede;
  • Teste backups regularmente;
  • Preparar um plano de continuidade de negócios (BCP);
  • Fornecer uma unidade de crise;
  • Exercer um mecanismo de crise.

A agência também reitera seu conselho de cautela em relação a e-mails não solicitados, principalmente quando contêm um anexo:

  • Não confie em nenhum número de telefone ou hiperlink mencionado na mensagem,
  • Verifique o endereço do remetente clicando nele e ligue para o contato habitual em vez de responder a uma mensagem suspeita.

Em caso de violação de dados, medidas apropriadas devem ser tomadas imediatamente para interromper a violação e limitar o impacto sobre os indivíduos envolvidos.

Em caso de ataque de ransomware, a ANSSI recomenda ativar medidas de remediação e o sistema de resposta a crises, alertando as autoridades relevantes (polícia, gendarmaria, ANSSI) antes de buscar assistência técnica.

Se você suspeitar de uma intrusão, poderá encontrar informações úteis no site do Centro Governamental de Monitoramento, Alerta e Resposta a Ataques de Computador e no site do governo dedicado ao crime cibernético.

Por fim, lembre-se de que, de acordo com o GDPR, o controlador deve notificar a CNIL sobre a violação no prazo de 72 horas após tomar conhecimento dela.

Quando o vazamento de dados provavelmente representa um alto risco aos direitos e liberdades dos titulares dos dados (por exemplo, no caso de roubo de dados confidenciais, como dados de saúde), o titular dos dados também deve ser informado individualmente.

A CNIL está organizando dois webinars nos dias 18 e 21 de outubro, respectivamente, sobre senhas e segurança de sistemas de inteligência artificial. Inscrições são necessárias. Mais detalhes podem ser encontrados no site.

E também

França:

Em 8 de setembro, a CNIL impôs uma multa de 250.000 euros ao GIE INFOGREFFE, que publica o serviço de divulgação de informações legais e oficiais sobre empresas por meio de seu website. A Infogreffe é sancionada por não cumprir diversas obrigações do GDPR relativas aos períodos de retenção e à segurança de dados pessoais.

Inteligência Artificial: o Conselho de Estado pronuncia-se sobre a governança da futura regulamentação europeia e publica dois estudos sobre o assunto.

– Em seu documento de 30 de agosto de 2022, o Conselho de Estado aborda a questão da qualidade do serviço público e estabelece as bases para uma estratégia francesa para a IA.

Ele incentiva, entre outras coisas, o reforço dos poderes da CNIL e torná-lo formalmente responsável pela regulamentação dos sistemas de IA.

– O Conselho de Estado também analisou a regulamentação das redes sociais no contexto do desenvolvimento da IA.

Em 27 de setembro, ele publicou um estudo no qual formulou 17 recomendações para reequilíbrio as forças em favor dos usuários, equipando o poder público em seu papel de regulador e pensando nas redes sociais do amanhã.

O CE também propõe a criação de um polo interministerial fortalecido para reunir as diversas áreas de atuação do Estado nessa área. 

Europa:

Em 16 de setembro de 2022, a Autoridade Europeia para a Proteção de Dados (AEPD) entrou com uma ação judicial sobre duas disposições do novo regulamento que permitem retroactivamente à agência Europol processar dados dos cidadãos mesmo sem um vínculo estabelecido com atividade criminosa.

A AEPD solicitou ao Tribunal de Justiça da União Europeia a anulação das duas disposições deste regulamento, que entrou em vigor em 28 de junho de 2022.

Em sua segunda edição de seu Boletim informativo TechSonar, a AEPD seleciona 5 tendências emergentes: desenvolve as questões de

  • a detecção de 'notícias falsas',
  • a moeda digital do banco central,
  • o Metaverso,
  • “aprendizagem federada” e “dados sintéticos”, dois tópicos relacionados à inteligência artificial.

Rumo a uma maior responsabilização na IA?

A proposta da Comissão Europeia para uma revisão da Diretiva de Responsabilidade do Produto visa adaptar o regime de responsabilidade da UE à era digital.

Uma diretiva adicional foi proposta, visando danos específicos causados pela inteligência artificial.

A responsabilidade continuaria após o lançamento do produto no mercado, abrangendo atualizações de software, falha em abordar riscos de segurança cibernética e aprendizado de máquina.

Em outras palavras, Os desenvolvedores continuariam sendo responsáveis pelo aprendizado autônomo dos sistemas de IA e pelas atualizações de implantação ou pela falta delas.

O RGPD pode ser considerado no contexto de casos de concorrência :Em 20 de setembro, o Advogado-Geral do TJUE, Sr. Rantos, emitiu um parecer segundo o qual o RGPD pode ser levado em consideração pelas autoridades de concorrência quando avaliam a posição dominante da Meta no mercado.

Os eurodeputados visitaram as autoridades irlandesas proteção de dados entre 21 e 23 de setembro e não parecem totalmente satisfeitos com a viagem: a delegação da Comissão das Liberdades Cívicas do Parlamento (LIBE) desejou expressamente examinar a implementação e a aplicação do RGPD, em particular o funcionamento do mecanismo de "balcão único".

O chefe da delegação descreveu a autoridade irlandesa de protecção de dados como "um gargalo do mecanismo de janela única", acrescentando que "uma revisão independente dos procedimentos e ações do DPC seria útil".

Em 13 de setembro, os membros da grupo de direitos digitais EDRi reuniu-se com o Conselho Europeu para a Protecção de Dados (CEPD) para discutir possíveis melhorias na aplicação do RGPD.

A EDRi ressalta que a falta de harmonização das disposições nacionais e os casos transfronteiriços não são os únicos problemas.

De acordo com a ONG, há vários casos nacionais em que reclamações e violações do GDPR não foram tratadas adequadamente pelas autoridades de supervisão, principalmente devido à falta de recursos.

Os problemas encontrados incluíram recusa em dar seguimento a uma reclamação, atrasos inexplicáveis no processamento de uma reclamação, falta de atualizações de status e dificuldades em registrar uma reclamação em primeiro lugar.

O Comissário de Berlim para a Proteção de Dados e Liberdades (BInBDI) multou um grupo retalhista em 525 000 euros por violação do artigo 38.º (6) do RGPD devido à conflito de interesses do seu DPO: este último também controlava as decisões tomadas na sua qualidade de diretor da empresa.

Sobre o mesmo assunto, a Autoridade Islandesa de Proteção de Dados considerou-se que existia um conflito de interesses quando um DPO era simultaneamente advogado sénior, director-geral adjunto ou membro do conselho de administração de uma empresa.

Um DPO pode, no entanto, ocupar o cargo de responsável pela conformidade.

Importa referir, a este respeito, que a designação e a função do DPO serão objecto da próxima acção coordenada de monitorização do Comité Europeu de Protecção de Dados.

Câmara de Comércio de Karlsruhe anulou uma decisão da Câmara de Contratação Pública de Baden-Württemberg que sustentava, entre outras coisas, que o simples fato de um processador de dados ser uma subsidiária de um grupo comercial de um país terceiro não coloca em questão o compromisso do processador de processar dados pessoais exclusivamente no Espaço Econômico Europeu.

ODA romena multou uma editora em € 5.000 por falta de medidas técnicas e organizacionais adequadas, após duas violações de dados que afetaram 10.739 de seus (antigos) clientes e 100 de seus funcionários e parceiros.

ODA Espanhola concluiu que um controlador violou o Artigo 6 do RGPD após publicar uma foto no Instagram sem base legal válida.

A DPA impôs uma multa de € 10.000 ao controlador.

ODA dinamarquesa concluiu que um partido político tinha base jurídica suficiente, nos termos do Artigo 6(1)(f) do RGPD, para investigar um dos seus membros por alegada violência sexual.

No entanto, ela repreendeu o controlador e o processador por não não tendo informado o titular dos dados do tratamento, conforme exigido pelo Artigo 14(2)(b).

ODA belga multou um laboratório médico em € 20.000 por violação de várias obrigações nos termos dos artigos 5(1)(f) e 35(3) do RGPD devido a a ausência de uma política de segurança e confidencialidade no seu website e a inexistência de uma análise de impacto da proteção de dados (decisões nacionais registradas pelo GDPRhub).

Acordo de acesso a dados entre o Reino Unido e os EUA, que permite que investigadores de ambos os países acessem dados eletrônicos relacionados a crimes graves, entrou em vigor em 3 de outubro.

O texto permite que agências policiais britânicas e americanas solicitem dados mantidos por provedores de telecomunicações em suas respectivas jurisdições.

Empresas de courier suíças Proton e Threema assinaram, juntamente com outras empresas estrangeiras, uma carta que as obriga a coletar o mínimo de dados possível e criptografar mensagens. O objetivo é que outros players do setor de tecnologia participem.

Internacional:

De acordo com um novo Relatório da ONU (Escritório de Direitos Humanos) de 16 de setembro de 2022, o direito à privacidade dos indivíduos está sob crescente pressão devido ao uso de tecnologias digitais em rede.

Segundo o relatório, essas tecnologias constituem ferramentas formidáveis de vigilância, controle e opressão, que exigem regulamentação eficaz baseada na lei e nos padrões internacionais de direitos humanos.

O relatório analisa três áreas principais:

  • O uso indevido de spyware por autoridades públicas,
  • O papel fundamental dos métodos de criptografia fortes na proteção dos direitos humanos online
  • As consequências da vigilância digital generalizada de espaços públicos, tanto offline quanto online.

Câmara dos Representantes da Indonésia aprovou seu projeto de lei sobre a proteção de dados pessoais.

Ferramenta "Resultados sobre você" do Google Uma ferramenta projetada para simplificar o processo de remoção de resultados de pesquisa que contêm informações pessoais, como e-mail ou número de telefone, está começando a ser implementada, de acordo com um relatório da empresa.

O Google anunciou esse recurso no início deste ano, afirmando que ele estaria disponível em breve no aplicativo Google.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.

Descubra Viqtor®
pt_PTPT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL pt_PTPT