Bezpečnosť, úniky údajov a ransomvér: útoky, ktoré treba brať vážne.

Právne upozornenie č. 32 – Február 2021

Bezpečnosť, úniky údajov a ransomvér: útoky, ktoré treba brať vážne. Tlač sa koncom februára odrazil Masívny únik údajov v zdravotníckom sektore.

Citlivé informácie o viac ako 500 000 ľuďoch vrátane krvných skupín a čísel sociálneho poistenia boli predané na špecializovanom fóre predtým, ako boli voľne zverejnené na internete.

V tomto zozname údajov sú zahrnuté aj používateľské mená a heslá, ktoré týmto pacientom umožnili pripojiť sa k zdravotníckym centrám a analytickým laboratóriám postihnutým únikom údajov.

Prebieha súdne vyšetrovanie a prípadom sa zaoberajú ANSSI aj CNIL.

Závažnosť úniku údajov spočíva rovnako v počte postihnutých ľudí, ako aj v citlivej povahe údajov.

Toto je príležitosť zhodnotiť opatrenia, ktoré treba prijať v reakcii na takéto útoky, a predovšetkým sa pred nimi vopred chrániť.

CNIL, ako aj ANSSI a ministerstvo spravodlivosti vydali niekoľko príručiek, ktoré majú pomôcť prevádzkovateľom údajov chrániť sa pred takýmito narušeniami bezpečnosti., či už ide o interné zlyhanie alebo útok ransomvéru.

Odporúčania zverejnené najmä CNIL uvádzajú rôzne fázy riadenia bezpečnosti spracovania údajov.

V podstate je vhodné:

• Identifikujte spracovanie údajov a jeho podporu (hardvér, softvér, komunikačné kanály, papierové nosiče):

• Posúďte riziká generované každou operáciou spracovania a identifikujte potenciálne vplyvy na práva a slobody dotknutých osôb v prípade nelegitímneho prístupu k údajom, nechcenej úpravy údajov alebo zmiznutia údajov.

Pri spracúvaní špeciálnych kategórií údajov, ako sú napríklad zdravotné údaje, je dopad porušenia ochrany údajov na dotknuté osoby ešte väčší.

Takáto liečba si preto vyžaduje dôkladné posúdenie rizika.

• Identifikujte zdroje rizika (ľudské zdroje a neľudské zdroje).
• Analyzujte uskutočniteľné hrozby, t. j. možné spúšťacie udalosti (napr. vandalizmus, degradácia v dôsledku prirodzeného opotrebovania, plná skladovacia jednotka, útok typu „donier služby“).
• Identifikujte existujúce alebo plánované opatrenia na riešenie každého rizika (napr. zálohy, šifrovanie). Opatrenia musia byť primerané rizikám. Ak sú spracovávané údaje citlivé, musí byť zaručená obzvlášť vysoká úroveň zabezpečenia. Uchovávanie hesiel v obyčajnom texte v súboroch prevádzkovateľa by preto malo byť zakázané: informácie musia byť šifrované a musia sa prijať silné overovacie opatrenia.
• Posúďte závažnosť a pravdepodobnosť rizík vzhľadom na predchádzajúce prvky.

V prípade porušenia údajov sa musia okamžite prijať vhodné opatrenia na zastavenie porušenia a obmedzenie dopadu na dotknuté osoby.

Zodpovedná osoba musí tiež oznámiť porušenie CNIL do 72 hodín od zistenia.

Má tiež povinnosť individuálne informovať dotknuté osoby, keď únik údajov pravdepodobne predstavuje vysoké riziko pre ich práva a slobody.  To je prípad, keď ide o citlivé údaje, ako sú napríklad zdravotné údaje.

V súvislosti s rozsiahlym únikom údajov, ku ktorému došlo koncom februára, sú preto potrebné informácie od dotknutých osôb.

Škoda môže byť mimoriadne vážna pre pacientov, ktorých zdravotná starostlivosť môže byť ovplyvnená, ale aj pre prevádzkovateľov údajov, ktorých reputácia a samotné podnikanie sú v stávke.

CNIL poukazuje na to, že počet oznámení o narušení bezpečnosti údajov v roku 2020 vzrástol o 241 TP3T a že počet narušení súvisiacich s útokmi na kryptouzamykateľné zariadenia (nemocnice, EPHAD, opatrovateľské domy, laboratóriá atď.) sa za jeden rok strojnásobil.

Okrem toho sa dve tretiny sankcií uložených CNIL týkajú porušenia povinností v oblasti bezpečnosti údajov, čo je trend, ktorý sa odráža v celej Európe.

A tiež

Francúzsko:

Aplikácia „tousanticovid“ sa vyvíja s cieľom integrovať systém upozornení používateľov s ohľadom na možné znovuotvorenie športových hál, reštaurácií alebo vystúpení. 

CNIL, ktorá dostala návrh dekrétu, vo všeobecnosti vydala pozitívne hodnotenie, pričom požadovala, aby systém zaznamenávania návštev bol povinný iba pre miesta predstavujúce vysoké riziko (ťažko implementovateľné bariérové opatrenia) a aby nebol povinný na miestach, kde je pravdepodobné, že návšteva odhalí citlivé údaje (napríklad miesta bohoslužieb).

Po zverejnení jeho pokyny k používaniu súborov cookie Vlani v októbri CNIL pripomenula, že lehota na splnenie požiadaviek vyprší koncom marca.

Poslala list dvom stovkám verejných orgánov, ako aj hlavným súkromným aktérom, v ktorom zdôraznila najmä potrebu umožniť používateľovi prijať alebo odmietnuť súbory cookie s rovnakou mierou jednoduchosti (tlačidlo „konfigurovať“, ktoré sa často nachádza v banneroch, túto požiadavku nespĺňa).

Európa:

• Belgicko: Úrad na ochranu údajov zverejňuje podrobný návod na techniky čistenia dát a ničenia dátových médií, reflex, ktorý sa príliš často zanedbáva pri zbavovaní sa počítačového nástroja.

• Spojené kráľovstvo: Európska komisia zverejňuje návrh rozhodnutia, ktorým sa úroveň ochrany zaručená Spojeným kráľovstvom na spracovanie osobných údajov ako rovnocenné so spracovaním v Európskej únii.

Ak Európsky výbor pre ochranu údajov a zástupcovia členských štátov toto posúdenie podporia, prenosy údajov do Spojeného kráľovstva môžu pokračovať bez dodatočných podmienok.

Treba tiež poznamenať, že Európsky dozorný úradník pre ochranu údajov vydal 22. februára stanovisko, v ktorom zopakoval, že ochrana údajov ako základné právo nie je predmetom rokovaní v kontexte obchodných dohôd medzi Európskou úniou a Spojeným kráľovstvom.

• Európa – elektronické súkromie Po štyroch rokoch rokovaní členské štáty EÚ konečne prijali spoločné stanovisko k ochrane elektronických komunikácií.

Očakáva sa, že nariadenie o súkromí a elektronických komunikáciách aktualizuje súčasnú smernicu tým, že okrem iného špecifikuje pravidlá týkajúce sa dôvernosti komunikácie, ochrany metadát a pravidlá platné pre súbory cookie a iné sledovacie nástroje.

Text je ešte potrebné prerokovať v Európskom parlamente a jeho konečná verzia nadobudne účinnosť dva roky po jeho zverejnení.

• Európa – zdravotný pas Európska komisia 1. marca oznámila, že pripravuje projekt spoločného pasu pre členské štáty, ktorý by uľahčil pohyb osôb v súčasnom kontexte pandémie.

Tento pas by obsahoval osobné údaje o očkovaní, získanej imunite alebo testoch vykonaných dotknutou osobou.

Komisia zabezpečuje, že budú prijaté opatrenia na zabránenie akejkoľvek diskriminácii alebo zneužívaniu súvisiacemu so súkromím dotknutých osôb.

Medzinárodné:

SPOJENÉ ŠTÁTY AMERICKÉ: Po Kalifornii pripravuje legislatívu o ochrane osobných údajov približne desať amerických štátov, vrátane štátu New York a štátu Washington.

Vo všeobecnosti tieto zákony poskytujú používateľom menej rozsiahle práva ako GDPR a uprednostňujú im právo namietať proti spracovaniu ich údajov, než aby sa od nich žiadal predchádzajúci súhlas.

V každom prípade majú tú výhodu, že zlepšujú transparentnosť spracovania údajov a poskytujú americkým spotrebiteľom možnosť nápravy.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.