Ransomware: útoky na vzostupe

Právny prehľad č. 51 – september 2022.

Ransomware: útoky na vzostupe Správy z jesene nás opäť privádzajú k opakujúcemu sa problému prevádzkovateľov údajov: narušeniam bezpečnosti.

Kybernetický útok na nemocnicu Essonne a šírenie niekoľkých gigabajtov údajov o pacientoch nám pripomína, aké dôležité je prijať všetky potrebné opatrenia na ochranu pred takýmito útokmi.

Tieto fakty odrážajú neustály trend rastúceho počtu útokov v celej Európe.

CNIL teda uvádza nárast o 79 1 TP3T oznámení o porušeniach údajov v roku 2021 v porovnaní s rokom 2020 (5 037 v roku 2021), čo predstavuje viac ako 2 150 oznámení o porušeniach vyplývajúcich z útoku ransomvéru prijatých v roku 2021, čo predstavuje 43 1 TP3T z celkového objemu.

Okrem toho sa polovica sankcií uložených CNIL v minulom roku zameriavala na porušenia povinností v oblasti bezpečnosti údajov.

Tento mesiac október je preto príležitosťou na zhodnotenie základných bezpečnostných opatrení, k čomu nás vyzvali CNIL a ANSSI, ktoré začínajú svoje Kampaň na zvýšenie povedomia o „kybernetickom mesiaci“ ohľadom ransomvéru.

Táto kampaň je francúzskou verziou európskej kampane ECSM za kybernetickú bezpečnosť, ktorú podporuje väčšina európskych krajín a európska bezpečnostná agentúra ENISA.

Najprv si pripomeňme odporúčania CNIL, ktoré uvádzajú rôzne fázy riadenia bezpečnosti spracovania údajov vrátane:

• Zoznam spracovania údajov a ich podpory (hardvér, softvér, komunikačné kanály, papierové nosiče):

• Posúdenie rizík generovaných každým spracovaním, ako aj ich potenciálnych vplyvov na práva a slobody dotknutých osôb (najmä ak sa spracúvajú citlivé údaje).

• Zdroje rizika (ľudské a neľudské zdroje).

• Realizovateľné hrozby, t. j. možné spúšťacie udalosti (napr. vandalizmus, prirodzené opotrebovanie, plná skladovacia jednotka, útok typu „donier služby“).

• Existujúce alebo plánované opatrenia na riešenie každého rizika (napr. zálohy, šifrovanie), primerané rizikám.

• Závažnosť a pravdepodobnosť rizík vzhľadom na predchádzajúce prvky.

ANSSI poskytuje podrobnosti o základných ochranných opatreniach:

• Poskytovať automatické zálohy, odpojené od siete;

• Pravidelne testujte zálohy;

• Vypracovať plán kontinuity podnikania (BCP);

• Zabezpečiť krízovú jednotku;

• Vyskúšajte krízový mechanizmus.

Agentúra tiež opakuje svoju radu o opatrnosti, pokiaľ ide o nevyžiadané e-maily, najmä ak obsahujú prílohu:

• Nedôverujte žiadnym telefónnym číslam ani hypertextovým odkazom uvedeným v správe,
• Skontrolujte adresu odosielateľa kliknutím na ňu a namiesto odpovedania na podozrivú správu zavolajte jeho obvyklému kontaktu.

V prípade porušenia údajov sa musia okamžite prijať vhodné opatrenia na zastavenie porušenia a obmedzenie dopadu na dotknuté osoby.

V prípade útoku ransomvéru spoločnosť ANSSI odporúča aktivovať nápravné opatrenia a systém krízovej reakcie, následne upozorniť príslušné orgány (políciu, žandárstvo, ANSSI) a potom vyhľadať technickú pomoc.

Ak máte podozrenie na narušenie, užitočné informácie nájdete na webovej stránke Vládneho centra pre monitorovanie, varovanie a reakciu na počítačové útoky a na vládnej webovej stránke venovanej kybernetickej kriminalite.

Napokon nezabudnite, že podľa GDPR musí prevádzkovateľ oznámiť porušenie CNIL do 72 hodín od zistenia.

Ak únik údajov pravdepodobne predstavuje vysoké riziko pre práva a slobody dotknutých osôb (napríklad v prípade krádeže citlivých údajov, ako sú údaje o zdravotnom stave), musí byť dotknutá osoba informovaná aj individuálne.

CNIL organizuje 18. a 21. októbra dva webináre o heslách a bezpečnosti systémov umelej inteligencie. Registrácia je nutná. Podrobnosti nájdete na webovej stránke.

A tiež

Francúzsko:

8. septembra CNIL uložil spoločnosti GIE INFOGREFFE pokutu vo výške 250 000 eur, ktorá prostredníctvom svojej webovej stránky zverejňuje právne a oficiálne informácie o spoločnostiach. Spoločnosť Infogreffe je sankcionovaná za nesplnenie viacerých povinností podľa GDPR týkajúcich sa doby uchovávania a bezpečnosti osobných údajov.

Umelá inteligencia: Štátna rada vyjadruje sa k riadeniu budúcej európskej regulácie a publikuje dve štúdie na túto tému.

– Štátna rada sa vo svojom dokumente z 30. augusta 2022 zaoberá otázkou kvality verejných služieb a kladie základy francúzskej stratégie pre umelú inteligenciu.

On okrem iného nabáda k posilneniu právomocí CNIL a aby bola formálne zodpovedná za reguláciu systémov umelej inteligencie.

– Štátna rada sa zaoberala aj reguláciou sociálnych sietí v kontexte rozvoja umelej inteligencie.

27. septembra publikoval štúdiu, v ktorej sformuloval 17 odporúčaní na obnovenie rovnováhy sily v prospech používateľov, vybavenie verejných orgánov v ich úlohe regulátora a premýšľanie o sociálnych sieťach zajtrajška.

CE tiež navrhuje vytvoriť posilnené medzirezortné centrum, ktoré by spojilo rôzne oblasti odborných znalostí štátu v tejto oblasti. 

Európa:

Dňa 16. septembra 2022 Európsky dozorný úradník pre ochranu údajov (EDPS) podal žalobu týkajúce sa dvoch ustanovení nového nariadenia, ktoré spätne umožňujú agentúre Europol spracovávať údaje občanov aj bez preukázanej súvislosti s trestnou činnosťou.

EDPS požiadal Súdny dvor Európskej únie o zrušenie dvoch ustanovení tohto nariadenia, ktoré nadobudlo účinnosť 28. júna 2022.

Vo svojom druhom vydaní Spravodaj TechSonar, EDPS vyberá 5 vznikajúcich trendov: rozvíja otázky týkajúce sa

• odhaľovanie „falošných správ“,
• digitálna mena centrálnej banky,
• Metaverzum,
• „Federované učenie“ a „syntetické dáta“, dve témy súvisiace s umelou inteligenciou.

Smerom k väčšej zodpovednosti v oblasti umelej inteligencie?

Návrh Európskej komisie na revíziu smernice o zodpovednosti za výrobok má za cieľ prispôsobiť režim zodpovednosti EÚ digitálnemu veku.

Bola navrhnutá dodatočná smernica zameraná na konkrétne škody spôsobené umelou inteligenciou.

Zodpovednosť by pokračovala aj po uvedení produktu na trh a zahŕňala by aktualizácie softvéru, neriešenie kybernetických bezpečnostných rizík a strojové učenie.

Inými slovami, Vývojári by naďalej boli zodpovední za autonómne učenie sa systémov umelej inteligencie a za aktualizácie nasadenia alebo ich nedostatok.

GDPR možno posudzovať v kontexte prípadov hospodárskej súťaže Generálny advokát Súdneho dvora EÚ, pán Rantos, vydal 20. septembra stanovisko, podľa ktorého môžu orgány hospodárskej súťaže zohľadniť GDPR pri posudzovaní dominantného postavenia spoločnosti Meta na trhu.

Poslanci Európskeho parlamentu navštívili írske úrady ochranu údajov medzi 21. a 23. septembrom a nezdá sa, že by boli so svojou cestou úplne spokojní: delegácia parlamentného Výboru pre občianske slobody (LIBE) si výslovne želala preskúmať vykonávanie a uplatňovanie GDPR, najmä fungovanie mechanizmu „jednotného kontaktného miesta“.

Vedúci delegácie opísal írsky úrad pre ochranu údajov ako „úzke miesto v mechanizme jednotného kontaktného miesta“, a dodal, že „nezávislé preskúmanie postupov a opatrení DPC by bolo užitočné“.

13. septembra členovia skupina pre digitálne práva EDRi stretol sa s Európskym výborom pre ochranu údajov (EDPB), aby prediskutoval možné vylepšenia uplatňovania GDPR.

EDRi poukazuje na to, že nedostatočná harmonizácia vnútroštátnych ustanovení a cezhraničné prípady nie sú jedinými problémami.

Podľa mimovládnej organizácie existuje viacero vnútroštátnych prípadov, v ktorých dozorné orgány riadne nevybavili sťažnosti a porušenia GDPR, najmä z dôvodu nedostatku zdrojov.

Medzi problémy, s ktorými sa stretli, patrilo odmietnutie reagovať na sťažnosť, nevysvetliteľné prieťahy pri spracovaní sťažnosti, nedostatok aktualizácií stavu a ťažkosti s jej samotným podaním.

Berlínsky komisár pre ochranu údajov a slobôd (BInBDI) pokutovala maloobchodnú skupinu vo výške 525 000 EUR za porušenie článku 38(6) GDPR z dôvodu konflikt záujmov ich zodpovednej osoby za ochranu údajov: táto osoba tiež kontrolovala rozhodnutia prijaté vo svojej funkcii riaditeľa spoločnosti.

Na tú istú tému, islandský úrad pre ochranu údajov usúdil, že ide o konflikt záujmov, keď je zodpovedná osoba súčasne vedúcim právnikom, zástupcom generálneho riaditeľa alebo členom predstavenstva spoločnosti.

Zodpovedná osoba za ochranu údajov však môže zastávať pozíciu zodpovednej osoby za dodržiavanie predpisov.

V tejto súvislosti treba poznamenať, že určenie a funkcia zodpovednej osoby budú predmetom ďalšej koordinovanej monitorovacej činnosti Európskeho výboru pre ochranu údajov.

Obchodná komora v Karlsruhe zrušil rozhodnutie Komory verejného obstarávania Bádenska-Württemberska, v ktorom okrem iného rozhodol, že samotná skutočnosť, že spracovateľ údajov je dcérskou spoločnosťou obchodnej skupiny z tretej krajiny, nespochybňuje záväzok spracovateľa spracovávať osobné údaje výlučne v Európskom hospodárskom priestore.

Rumunská oficiálna rozvojová pomoc pokutoval vydavateľa vo výške 5 000 eur za nedostatok primeraných technických a organizačných opatrenípo dvoch únikoch údajov, ktoré ovplyvnili 10 739 jej (bývalých) zákazníkov a 100 jej zamestnancov a partnerov.

Španielska oficiálna rozvojová pomoc dospel k záveru, že prevádzkovateľ porušil článok 6 GDPR zverejnením fotografie na Instagrame bez platného právneho základu.

Úrad pre ochranu údajov uložil prevádzkovateľovi pokutu 10 000 eur.

Dánska oficiálna rozvojová pomoc (ODA) zistil, že politická strana mala podľa článku 6(1)(f) GDPR dostatočný právny základ na vyšetrovanie jedného zo svojich členov pre údajné sexuálne násilie.

Pokarhala však prevádzkovateľa a spracovateľa za to, že neinformoval dotknutá osoba spracúvania údajov podľa požiadaviek článku 14 ods. 2 písm. b).

Belgická oficiálna rozvojová pomoc (ODA) uložil lekárskemu laboratóriu pokutu 20 000 eur za porušenie viacerých povinností podľa článku 5(1)(f) a článku 35(3) GDPR z dôvodu absencia politiky bezpečnosti a dôvernosti na jeho webovej stránke a neexistencia analýzy vplyvu na ochranu údajov (vnútroštátne rozhodnutia zaznamenané systémom GDPRhub).

Dohoda o prístupe k údajom medzi Spojeným kráľovstvom a USA, ktorá umožňuje vyšetrovateľom z oboch krajín prístup k elektronickým údajom týkajúcim sa závažných trestných činov, nadobudla účinnosť 3. októbra.

Text umožňuje britským a americkým orgánom činným v trestnom konaní vyžiadať si údaje, ktoré majú k dispozícii poskytovatelia telekomunikačných služieb v ich príslušných jurisdikciách.

Švajčiarske kuriérske spoločnosti Proton a Threema podpísali spolu s ďalšími zahraničnými spoločnosťami chartu, ktorá od nich vyžaduje zhromažďovanie čo najmenej údajov a šifrovanie správ. Cieľom je, aby sa k nim pridali aj ďalší technologickí hráči.

Medzinárodné:

Podľa nového Správa OSN (Úrad pre ľudské práva) zo 16. septembra 2022, právo na súkromie jednotlivcov je pod čoraz väčším tlakom v dôsledku používania sieťových digitálnych technológií.

Podľa správy tieto technológie predstavujú impozantné nástroje dohľadu, kontroly a útlaku, ktoré si vyžadujú účinnú reguláciu založenú na zákone a medzinárodných normách v oblasti ľudských práv.

Správa sa zameriava na tri kľúčové oblasti:

• Zneužívanie špionážneho softvéru verejnými orgánmi,
• Kľúčová úloha silných šifrovacích metód pri ochrane ľudských práv online
• Dôsledky rozsiahleho digitálneho sledovania verejných priestorov, offline aj online.

Tam Indonézska snemovňa reprezentantov prijala návrh zákona o ochrane osobných údajov.

Nástroj „Výsledky o vás“ od spoločnosti Google Podľa správy spoločnosti sa začína zavádzať nástroj určený na zjednodušenie procesu odstraňovania výsledkov vyhľadávania obsahujúcich osobné informácie, ako je e-mail alebo telefónne číslo.

Spoločnosť Google oznámila túto funkciu začiatkom tohto roka s tým, že čoskoro bude dostupná v aplikácii Google.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.