Izsiljevalska programska oprema: napadi v porastu

Pravna ura št. 51 – september 2022.

Izsiljevalska programska oprema: napadi v porastu Novice o jeseni nas vračajo k ponavljajoči se skrbi upravljavcev podatkov: varnostnim kršitvam.

Kibernetski napad na bolnišnico Essonne in razširjanje več gigabajtov podatkov o pacientih nas spominjata, kako pomembno je sprejeti vse potrebne ukrepe za zaščito pred takimi napadi.

Ta dejstva odražajo stalen trend naraščanja napadov po vsej Evropi.

CNIL tako navaja 79,1 TP3T povečanje obvestil o kršitvah podatkov v letu 2021 v primerjavi z letom 2020 (5037 v letu 2021), kar je več kot 2150 obvestil o kršitvah, ki so posledica napada izsiljevalske programske opreme, prejetih v letu 2021, ali 43,1 TP3T celotnega obsega.

Poleg tega je bila polovica sankcij, ki jih je lani naložila CNIL, usmerjena v kršitve obveznosti glede varstva podatkov.

Ta oktober je zato priložnost za pregled bistvenih varnostnih ukrepov, k čemur pozivata CNIL in ANSSI, ki začenjata s svojimi Kampanja ozaveščanja »Kibernetski mesec« glede izsiljevalske programske opreme.

Ta kampanja je francoska različica evropske kampanje za kibernetsko varnost ECSM, ki jo podpira večina evropskih držav in evropska varnostna agencija ENISA.

Najprej se spomnimo priporočil CNIL, ki navajajo različne faze upravljanja varnosti obdelave podatkov, vključno z:

• Popis obdelave podatkov in njihovih podpor (strojna oprema, programska oprema, komunikacijski kanali, papirnati nosilci):

• Ocena tveganj, ki jih povzroča vsaka obdelava, ter njihovih morebitnih vplivov na pravice in svoboščine zadevnih oseb (zlasti kadar se obdelujejo občutljivi podatki).

• Viri tveganja (človeški in nečloveški viri).

• Realistične grožnje, tj. možni sprožilni dogodki (npr. vandalizem, naravna obraba, polna skladiščna enota, napad zavrnitve storitve).

• Obstoječi ali načrtovani ukrepi za obravnavo posameznega tveganja (npr. varnostne kopije, šifriranje), sorazmerni s tveganji.

• Resnost in verjetnost tveganj glede na prejšnje elemente.

ANSSI zagotavlja podrobnosti o bistvenih zaščitnih ukrepih:

• Zagotovite samodejne varnostne kopije, brez povezave z omrežjem;

• Redno testirajte varnostne kopije;

• Priprava načrta za neprekinjeno poslovanje (BCP);

• Zagotoviti krizno enoto;

• Izvajajte krizni mehanizem.

Agencija ponovno opozarja na previdnost pri neželenih e-poštnih sporočilih, zlasti če vsebujejo prilogo:

• Ne zaupajte telefonskim številkam ali hiperpovezavam, omenjenim v sporočilu,
• Preverite naslov pošiljatelja tako, da nanj kliknete, in pokličite njegov običajni stik, namesto da odgovorite na sumljivo sporočilo.

V primeru kršitve varnosti podatkov je treba nemudoma sprejeti ustrezne ukrepe za zaustavitev kršitve in omejitev vpliva na prizadete posameznike.

V primeru napada z izsiljevalsko programsko opremo ANSSI priporoča aktivacijo sanacijskih ukrepov in sistema za krizno odzivanje, nato pa obvestite pristojne organe (policija, žandarmerija, ANSSI), preden poiščete tehnično pomoč.

Če sumite na vdor, lahko koristne informacije najdete na spletni strani Vladnega centra za spremljanje, obveščanje in odzivanje na računalniške napade ter na vladni spletni strani, posvečeni kibernetski kriminaliteti.

Nenazadnje ne pozabite, da mora upravljavec v skladu s Splošno uredbo o kršitvi obvestiti CNIL v 72 urah po tem, ko jo je izvedel.

Kadar je verjetno, da bo uhajanje podatkov predstavljalo veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki (na primer v primeru kraje občutljivih podatkov, kot so zdravstveni podatki), je treba posameznika, na katerega se nanašajo osebni podatki, o tem obvestiti tudi individualno.

CNIL organizira dva spletna seminarja, 18. in 21. oktobra, o geslih in varnosti sistemov umetne inteligence. Prijava je obvezna. Podrobnosti najdete na spletni strani.

In tudi

Francija:

8. septembra je CNIL naložil kazen v višini 250.000 evrov proti GIE INFOGREFFE, ki na svojem spletnem mestu objavlja storitve pravnega in uradnega obveščanja o podjetjih. Infogreffe je sankcioniran zaradi neizpolnjevanja več obveznosti GDPR glede obdobij hrambe in varnosti osebnih podatkov.

Umetna inteligenca: državni svet se izreče o upravljanju prihodnje evropske uredbe in objavi dve študiji na to temo.

– Državni svet v svojem dokumentu z dne 30. avgusta 2022 obravnava vprašanje kakovosti javnih storitev in postavlja temelje za francosko strategijo za umetno inteligenco.

On med drugim spodbuja krepitev pristojnosti CNIL in da bo formalno odgovorna za regulacijo sistemov umetne inteligence.

– Državni svet je preučil tudi regulacijo družbenih omrežij v kontekstu razvoja umetne inteligence.

27. septembra je objavil študijo, v kateri je oblikoval 17 priporočil za ponovno uravnoteženje sile v korist uporabnikov, opremljanje javnih organov v njihovi vlogi regulatorja in razmišljanje o družbenih omrežjih prihodnosti.

CE predlaga tudi vzpostavitev okrepljenega medresorskega središča, ki bi združilo različna strokovna področja države na tem področju. 

Evropa:

Evropski nadzornik za varstvo podatkov (EDPS) je 16. septembra 2022 vložil tožbo glede dveh določb nove uredbe, ki agenciji Europol retroaktivno dovoljujeta obdelavo podatkov državljanov tudi brez dokazane povezave s kriminalno dejavnostjo.

ENVP je Sodišče Evropske unije zaprosil za razveljavitev obeh določb te uredbe, ki je začela veljati 28. junija 2022.

V svoji drugi izdaji Glasilo TechSonarja, ENVP izbere 5 nastajajočih trendov: razvija vprašanja

• odkrivanje "lažnih novic",
• digitalna valuta centralne banke,
• Metaverzum,
• »Združeno učenje« in »sintetični podatki«, dve temi, povezani z umetno inteligenco.

Proti večji odgovornosti v umetni inteligenci?

Predlog Evropske komisije za revizijo direktive o odgovornosti za izdelke si prizadeva prilagoditi ureditev odgovornosti EU digitalni dobi.

Predlagana je bila dodatna direktiva, ki je usmerjena v specifično škodo, ki jo povzroča umetna inteligenca.

Odgovornost bi se nadaljevala tudi po lansiranju izdelka na trg in bi zajemala posodobitve programske opreme, neupoštevanje tveganj kibernetske varnosti in strojno učenje.

Z drugimi besedami, Razvijalci bi bili še naprej odgovorni za avtonomno učenje sistemov umetne inteligence in za posodobitve uvajanja oziroma njihovo pomanjkanje.

GDPR se lahko upošteva v kontekstu primerov konkurence Generalni pravobranilec Sodišča EU, g. Rantos, je 20. septembra izdal mnenje, v skladu s katerim lahko organi za varstvo konkurence upoštevajo GDPR pri ocenjevanju prevladujočega položaja družbe Meta na trgu.

Poslanci Evropskega parlamenta so obiskali irske oblasti varstvo podatkov med 21. in 23. septembrom in se zdijo nezadovoljni s svojim potovanjem: delegacija parlamentarnega odbora za državljanske svoboščine (LIBE) je izrecno želela preučiti izvajanje in uporabo GDPR, zlasti delovanje mehanizma „vse na enem mestu“.

Vodja delegacije je irski organ za varstvo podatkov opisal kot "ozko grlo mehanizma enotnega okna", in dodal, da bi bil "koristen neodvisen pregled postopkov in dejanj DPC".

13. septembra so člani skupina za digitalne pravice EDRi se je sestal z Evropskim odborom za varstvo podatkov (EDPB), da bi razpravljal možne izboljšave uporabe GDPR.

EDRi poudarja, da pomanjkanje usklajenosti nacionalnih določb in čezmejni primeri niso edine težave.

Po navedbah nevladne organizacije obstaja več nacionalnih primerov, ko nadzorni organi niso ustrezno obravnavali pritožb in kršitev GDPR, zlasti zaradi pomanjkanja virov.

Med težavami, s katerimi so se srečali, so bile zavrnitev nadaljnjega ukrepanja glede pritožbe, nepojasnjene zamude pri obravnavi pritožbe, pomanjkanje posodobitev statusa in težave že pri vložitvi pritožbe.

Berlinski pooblaščenec za varstvo podatkov in svoboščin (BInBDI) kaznoval skupino trgovcev na drobno s 525.000 EUR zaradi kršitve člena 38(6) GDPR zaradi navzkrižje interesov njihove pooblaščene osebe za varstvo podatkov: slednja je nadzorovala tudi odločitve, sprejete v svoji vlogi direktorja podjetja.

Na isto temo, islandski organ za varstvo podatkov štelo se je, da obstaja navzkrižje interesov, kadar je bila pooblaščena oseba za varstvo podatkov hkrati višji odvetnik, namestnik generalnega direktorja ali član upravnega odbora podjetja.

Vendar pa lahko pooblaščena oseba za varstvo podatkov opravlja funkcijo pooblaščenca za skladnost poslovanja.

V zvezi s tem je treba opozoriti, da bosta imenovanje in funkcija pooblaščene osebe za varstvo podatkov predmet naslednjega usklajenega spremljanja Evropskega odbora za varstvo podatkov.

Gospodarska zbornica Karlsruhe razveljavilo odločitev Zbornice za javna naročila Baden-Württemberga, v kateri je med drugim razsodilo, da zgolj dejstvo, da je obdelovalec podatkov hčerinska družba komercialne skupine iz tretje države, ne postavlja pod vprašaj zaveze obdelovalca, da bo osebne podatke obdeloval izključno v Evropskem gospodarskem prostoru.

Romunska uradna razvojna pomoč kaznoval založnika s 5000 evri zaradi pomanjkanje ustreznih tehničnih in organizacijskih ukrepov, po dveh kršitvah podatkov, ki sta prizadeli 10.739 njenih (nekdanjih) strank in 100 njenih zaposlenih in partnerjev.

Španska uradna razvojna pomoč ugotovilo, da je upravljavec kršil 6. člen GDPR, potem ko je objavil fotografijo na Instagramu brez veljavne pravne podlage.

Organ za varstvo podatkov je upravljavcu naložil globo v višini 10.000 evrov.

Danska uradna razvojna pomoč ugotovilo, da je imela politična stranka zadostno pravno podlago v skladu s členom 6(1)(f) GDPR za preiskavo enega od svojih članov zaradi domnevnega spolnega nasilja.

Vendar je upravljavcu in obdelovalcu izrekla opomin, ker nista ne da bi obvestil posameznik, na katerega se nanašajo osebni podatki, se nanaša obdelava, kot to zahteva člen 14(2)(b).

Belgijska uradna razvojna pomoč (ODA) kaznoval medicinski laboratorij z 20.000 evri zaradi kršitve več obveznosti iz členov 5(1)(f) in 35(3) GDPR zaradi odsotnost varnostne in zaupne politike na spletni strani ter neobstoj analize vpliva na varstvo podatkov (nacionalne odločitve, ki jih je zabeležil GDPRhub).

Sporazum o dostopu do podatkov med Združenim kraljestvom in ZDA, ki preiskovalcem iz obeh držav omogoča dostop do elektronskih podatkov v zvezi s hudimi kaznivimi dejanji, je začel veljati 3. oktobra.

Besedilo britanskim in ameriškim organom pregona dovoljuje, da zahtevajo podatke, ki jih hranijo ponudniki telekomunikacijskih storitev v njihovih pristojnostih.

Švicarski kurirski družbi Proton in Threema so skupaj z drugimi tujimi podjetji podpisali listino, ki od njih zahteva zbiranje čim manj podatkov in šifriranje sporočil. Cilj je, da se jim pridružijo tudi drugi tehnološki akterji.

Mednarodno:

Glede na novo Poročilo ZN (Urad za človekove pravice) z dne 16. septembra 2022, je pravica do zasebnosti posameznikov zaradi uporabe omrežnih digitalnih tehnologij pod vse večjim pritiskom.

Glede na poročilo te tehnologije predstavljajo mogočna orodja za nadzor, kontrolo in zatiranje, ki zahtevajo učinkovito regulacijo, ki temelji na pravu in mednarodnih standardih človekovih pravic.

Poročilo obravnava tri ključna področja:

• Zloraba vohunske programske opreme s strani javnih organov,
• Ključna vloga močnih metod šifriranja pri varovanju človekovih pravic na spletu
• Posledice razširjenega digitalnega nadzora javnih prostorov, tako v živo kot na spletu.

Tam Indonezijski predstavniški dom sprejela zakon o varstvu osebnih podatkov.

Googlovo orodje »Rezultati o vas« Orodje, zasnovano za poenostavitev postopka odstranjevanja rezultatov iskanja, ki vsebujejo osebne podatke, kot sta e-pošta ali telefonska številka, se začenja uvajati, je sporočilo podjetje.

Google je to funkcijo napovedal že v začetku letošnjega leta in navedel, da bo kmalu na voljo v aplikaciji Google.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.