Kršitve podatkov: CNIL opozarja na zaskrbljenost in mi se strinjamo.
Pred dvema tednoma me je panično poklical direktor. Eden od njegovih ponudnikov storitev je pravkar utrpel kibernetski napad. Njegove datoteke strank, za katere je menil, da so dobro zaščitene s "certificiranim" ponudnikom SaaS, so bile na javnem mestu. Prvo vprašanje, ki mi ga je postavil, je bilo: "No, to je njihov problem, kajne?" No, ne. Tudi njegov je. In prav to je eden ključnih sklepov iz letnega poročila, ki ga je objavila CNIL 18. maj: uhajanje podatkov eksplodirajo, veriga podizvajalcev pa je skoraj vedno v enačbi.
6.167 obvestil o kršitev podatkov zabeleženih leta 2025. Rekordnih 9,5 % več kot leta 2024, prvo četrtletje leta 2026 pa že sledi istemu trendu z 2730 incidenti. Za temi številkami stojijo milijoni prizadetih Francozov, pretresena podjetja in jasno sporočilo Marie-Laure Denis, predsednice CNIL tam kibernetska varnost tako država kot podjetja "daleč od zadovoljivega".
Skratka
- Absolutni rekord kršitve podatkov V Franciji leta 2025: 6.167 obvestil, +9,5 % v enem letu, prvo četrtletje leta 2026 pa potrjuje trend.
- TA uhajanje podatkov postajajo vse bolj obsežni, v ospredju pa je javna uprava, in zelo pogosto vključujejo ponudnika storitev.
- Okvir za ocenjevanje in pogodbene zadeve Podizvajalec GDPR so postale glavna obveznost: a DPA Skladnost, revizije in spremljanje so osnova.
- Večfaktorska avtentikacija (MFA) je zdaj mera, ki jo CNIL privzeto čaka. Leta 2026 se bo 50 % svojih kontrol osredotočilo na kibernetska varnost.
- Postopek obvestilo o kršitvi preizkušeno, posodobitev register dejavnosti obdelave in uresničitev AIPD naredite vso razliko na veliki dan.
- Skladnost se ne dokazuje z nameni, temveč z dokumenti: to je pač to.odgovornost.
Kaj (v resnici) pravi letno poročilo CNIL
"Vse bolj množične" kršitve
Poročilo ne šteje le. Naslika sliko. Približno štirideset incidentov v letu 2025 je prizadelo več kot milijon ljudi – deset več kot v letu 2024. Javna uprava je na prvem mestu z 19 milijoni prijavljenih incidentov, sledijo ji zdravstvo, socialne storitve ter finančne in zavarovalniške dejavnosti. In to še ni vse: ta številka sploh ne vključuje kibernetskih napadov na programsko opremo Weda in Harvest, ki so sami po sebi ustvarili več kot 11.600 obvestil strank. En sam incident prej, na tisoče podjetij naprej. To pove vse.
Tri lekcije, ki se jih je treba naučiti
Tam CNIL Pojavljajo se tri ključne ugotovitve, da bi moral vsak vodja pisati vidno v izvršnem odboru. Prvič: nihče ni prizanesen. Športne zveze, hotelske verige, vzajemne zavarovalnice, lokalne oblasti, mala in srednje velika podjetja ter velike korporacije – grožnja nima več tipičnega profila. Drugič: uhajanje podatkov Gre za vse večje količine. Tretjič, in tukaj se tema navezuje na naše prejšnje članke: ti incidenti so pogosto vpleteni ponudniki storitev. Podizvajalec GDPR je postala najbolj izpostavljena povezava.
Metoda napadalcev postaja vse bolj običajna.
Vdor v sistem predstavlja polovico vseh prijavljenih incidentov. Za to besedo se skriva cela vrsta težav: izsiljevalska programska oprema, lažno predstavljanje, prikrivanje poverilnic, kraja legitimnih uporabniških računov. Poleg tega 13 incidentov izvira iz napačnega prejemnika, ki je bil kopiran v e-pošti, 7 iz izgube strojne opreme in 7 iz nenamerne objave. Skratka, človeška napaka ostaja pomemben dejavnik. In potem je tu še generativna umetna inteligenca, ki po besedah predsednika CNILPrimer ANTS, v katerega je po vdoru v agencijo za varne dokumente vpleten 15-letni mladoletnik – »ne čudežni otrok,« je navedel tožilec, je srhljiv dokaz tega.
Zakaj so vaši podizvajalci (še vedno) v središču problema
Ko ponudnik storitev pade, padejo z njim tudi njegove stranke.
Vrnimo se k zgodbi o programski opremi Weda in Harvest. To sta bila dva kibernetska napada, vendar je oblast prejela 11.600 obvestil. Vsakič namreč za založnikom programske opreme stoji na stotine zdravniških ordinacij, na stotine svetovalcev za upravljanje premoženja, ki so prav tako prizadeti. upravljavec podatkov in morajo o uhajanju poročati svojim strankam. Točno to je scenarij podizvajalca Mobius/Deezer, da CNIL Do konca leta 2025 je bila kaznovana z milijonom evrov – le da se tukaj stroški pomnožijo. En napad, tisoč poklicnih žrtev, milijoni prizadetih ljudi.
Predhodna ocena: vaša najboljša (in edina) zaščita
GDPR ne pušča prostora za dvome: a upravljavec podatkov „uporablja le podizvajalce, ki ponujajo zadostna jamstva.“ Ta obveznost, določena v členu 28, odstavku 1, ni pobožna želja. To je tisto, kar bodo inšpektorji iskali. Natančneje, ali vsakemu ponudniku storitev pošljete vprašalnik za ocenjevanje? Ali vprašate o njihovi varnostni politiki, njihovi register dejavnosti obdelave, ime njihovega Pooblaščena oseba za varstvo podatkovNjihove certifikate? Ste že prepoznali svoje prenosi podatkov Zunaj EU? Če je odgovor na katero koli od teh vprašanj "eh", imate svojo prvo operativno prioriteto.
Samo pogodba ni dovolj, prav tako ne revizija, ampak oboje skupaj, da.
A Pogodba o podizvajanju v skladu z GDPR dobro napisano – torej DPA Ponovitev osmih obveznih določb iz člena 28 §3 – je izhodišče. Ne končni cilj. Bistveno je tudi dolgoročno upravljanje: letni pregledi, pregledi nadaljnjih podizvajalcev, spremljanje tehnični in organizacijski ukrepi učinkovito uporabljeno. Za strukturiranje tega pristopa je Modul za podizvajalce Viqtor centralizira ocene, pogodbe, revizije in zgodovino transakcij v enem samem repozitoriju. To je vrsta dokazov, ki jih upravljavec CNIL Rad vidim.
Ali so vaše pogodbe s podizvajalci in ocene ažurne? Pridobite dejstva od strokovnjaka Viqtor
Kaj počne vlada – in kaj bi morali storiti tudi vi
200 milijonov evrov in nov digitalni organ
Konec aprila je premier Sébastien Lecornu predstavil svoj načrt: 200 milijonov evrov za okrepitev kibernetska varnost države, združitev medresorskega direktorata za digitalne zadeve in direktorata za javno preobrazbo, da bi ustvarili digitalni organ, povezan s kabinetom predsednika vlade. Po tem jeANSSI je objavila nove smernice za ministrstva: vsako mora imenovati svetovalca kibernetska varnostTo ni nepomembno. Ko se država reorganizira na tej ravni, to pomeni, da ima za ogenj v hiši. Vendar pa v verigi vladni oddelki veliko oddajo zunanjim izvajalcem – in vsak ponudnik storitev je potencialna vstopna točka.
Večfaktorska avtentikacija: ukrep, ki bi lahko preprečil številne tragedije
Tam CNIL poudarja preprosto sporočilo: večini nedavnih večjih napadov bi se lahko izognili z večfaktorska avtentikacija pravilno nameščen. MFAPrav ta dvojni dejavnik naredi velik del tehnik neučinkovitih. polnjenje poverilnic in lažno predstavljanjeOrgan je svoje priporočilo objavil že marca 2025, kar je organizacijam omogočilo čas za prilagoditev, zdaj pa napoveduje ciljno usmerjene nadzore. Leta 2026 se bo 50 % izvršilnih ukrepov osredotočilo na kibernetska varnost, v primerjavi s četrtino do tretjino leta 2025. Za baze, v katerih je več kot milijon ljudi, bodo preverjanja prednostna naloga.
Nekaj konkretnih projektov, ki se bodo začeli ta teden
Brez preobremenitve ekip obstaja nekaj ukrepov, ki jih je mogoče hitro izvesti in ki v primeru incidenta resnično spremenijo stvari. To priporočam svojim strankam na vodilnih položajih, ko me vprašajo, kje začeti.
- Aktivirajte MFA na vseh privilegiranih računih in na dostopu do orodij, ki vsebujejo osebni podatki.
- Posodobite seznam podizvajalcev in preverite, ali ima vsak DPA podpisani in identificirati tiste, ki izvajajo prenosi podatkov zunaj EU.
- Preizkusite svoj postopek obvestilo o kršitvi Kdo koga obvesti? Ali lahko sledite verigi dogodkov nazaj do ... CNIL v zakonskem roku 72 ur ?
- Dokumentiranje AIPD (analiza vpliva) za vaše visoko tvegane tretmaje – to je druga točka, ki jo CNIL sistematični pregledi.
- Še enkrat na hitro poglejte svoje register dejavnosti obdelave : redko je tako posodobljeno, kot si kdo morda misli.
In kaj se zgodi po puščanju informacij? Upravljanje incidentov, kjer je vse odvisno.
Prvih 72 ur odloča o preostalem
Ko vas ponudnik storitev opozori, imate 72 ur obvestiti CNIL če uhajanje podatkov predstavlja tveganje za ljudi. Ne tri tedne. Ni dovolj časa za sklic usmerjevalnega odbora. Postopek mora biti pripravljen, napisan, preizkušen in pripravljen za aktivacijo v nedeljo zvečer. Naša stran, posvečena izjava o kršitvi podatkov podrobno opisuje korake, kako se izogniti temu, da bi to storili v obratni smeri.
Obveščanje vpletenih, trenutek resnice
Če kršitev predstavlja veliko tveganje za pravice in svoboščine posameznikov, GDPR zahteva tudi, da je vsak posameznik neposredno obveščen. Pogosto je na tej točki krizno komuniciranje prednost pred pravnimi ukrepi. Če je slabo upravljano, se zaupanje poruši – Marie-Laure Denis v zvezi z uhajanjem vladnih informacij celo govori o "eroziji zaupanja med državo in njenimi državljani". Za zasebno podjetje to pomeni, da stranka odide, odvetnik pa pride.
Sankcija in kaj pove o zrelosti organizacije
Tam CNIL Ne kaznuje samega dejanja bega, temveč kaznuje pomanjkljivosti, ki so ga omogočile ali poslabšale. Odsotnostvečfaktorska avtentikacijanepopoln register, generične pogodbe o podizvajanju, pozna obveščanja, odgovornost neobstoječe. Tu se gradi obramba – ali obsodba. Da bi bila celotna struktura zanesljiva, naša Popoln vodnik za revizije skladnosti z GDPR opisuje metodologijo, ki jo uporabljajo naši svetovalci.
Pogosta vprašanja
Moj ponudnik storitev je utrpel kršitev varnosti podatkov. Ali sem odgovoren?
V kolikor upravljavec podatkovDa, še vedno ste pravno odgovorni za obdelavo podatkov, tudi če uhajanje izvira od vašega podizvajalca. Analizirati morate tveganje in o tem obvestiti CNIL če je potrebno v 72 urin po potrebi obvestite zadevne osebe. Vaš pogodba o podizvajanju GDPR načrtovati morate, kako vas bo ponudnik storitev opozoril in sodeloval.
Ali je večfaktorska avtentikacija obvezna?
V GDPR to ni izrecno navedeno, vendar CNIL meni, da je to pričakovan tehnični ukrep za kakršen koli dostop do osebni podatki občutljivo ali obsežno. Njegovo priporočilo iz marca 2025 je izrecno, revizije leta 2026 pa bodo namenjene predvsem organizacijam, ki ga niso izvedle. Skratka: ni več neobvezno.
Kakšen je rok za obveščanje CNIL o kršitvi varnosti podatkov?
72 ur od trenutka prijave incidenta, razen če kršitev verjetno ne bo predstavljala tveganja za pravice in svoboščine posameznikov. Po tej točki je treba pozno obvestilo utemeljiti. Prijava se odda prek spletne storitve CNIL in mora opisati naravo kršitve, kategorije zadevnih podatkov in sprejete ukrepe.
Kateri so prvi ukrepi, ki jih je treba izvesti za mala in srednje velika podjetja?
Kartiranje tretmajev in vzdrževanje register dejavnosti obdelave biti na tekočem, identificirati in pravilno skleniti pogodbe z vsakim podizvajalcem prek DPArazporediti MFAnapišite postopek za obvestilo o kršitviin določite referenta ali Pooblaščena oseba za varstvo podatkovTeh pet gradbišč pokriva bistvene kontrolne točke. CNIL.
Kakšen je namen ocene učinka na varstvo podatkov (DPIA) in kdaj jo je treba izvesti?
L'AIPD (analiza vplivaOcena tveganja je obvezna za dejavnosti obdelave, ki predstavljajo veliko tveganje za pravice in svoboščine: obsežni nadzor, občutljivi podatki, avtomatizirano profiliranje itd. Dokumentira tveganja, ukrepe za njihovo ublažitev in prikazuje vaš pristop k obvladovanju tveganj.odgovornostTo je eden prvih dokumentov, ki jih je CNIL zahteva v primeru pregleda.
Ali želite te lekcije spremeniti v konkreten akcijski načrt?
Če želite izvedeti več, poiščite vse naše vire na upravljanje podatkov in skladnost z GDPR na Platforma Viqtor.