Protectia datelor personale a esuat pentru sute de milioane de oameni! Sa luam pe rand exemplele…
Desi protectia datelor personale ar fi trebuit sa reprezinte o prioritate majora, cel putin pentru firmele care din asta traiesc si pentru autoritati, incidentele apar suficient de des pentru a deveni banalitate. Gravitatea lor ar trebui sa fie suficienta pentru a genera reactii ferme, menite sa repare atat de multe deficiente… sa le luam pe rand.
Unul dintre incidente este cel suferit de Ticketmaster si descris aici. Un fleac, 40,000 de persoane s-au trezit cu conturile compromise (de la nume si data de nastere, pana la detaliile cardurilor bancare).
Cele mai mari dintre aceste brese in securitatea datelor personale pot fi gasite aici:
Timehop este o aplicatie care se conecteaza la retele sociale. Numele, adresele de email si alte informatii au fost compromise pentru 21 de milioane de persoane. MyHeritage: 92 de milioane de persoane afectate. MyFitnessPal: 150 de milioane de oameni! Equifax: 145 de milioane!!
MyHealthRecord, sistemul electronic al beneficiarilor sistemului public australian al asigurarilor de sanatate, a fost coplesit de solicitarile care i-au dezvaluit vulnerabilitati majore. Pana si British Airways s-a facut de ras, prin solicitari ridicole descrise aici si aici, cerand pasagerilor sa publice date personale… pe Twitter?
In Singapore, hackerii au reusit sa intre prin atacuri succesive in posesia datelor medicale pentru 1,5 milioane de oameni, inclusiv premierul, conform stirii publicate aici. Ce urmeaza? GDPR face viata mai usoara celor care intercepteaza date personale sau ies la iveala tot felul de diletanti?
Iata ca riscurile s-au concretizat pentru sute de milioane de persoane, ale caror date au fost expuse unor utilizari neautorizate. Desi frecventa si complexitatea atacurilor evolueaza, masurile tehnice de securizare par sa intarzie, iar oamenii par sa accepte astfel de situatii ca pe un lucru obisnuit. Protectia datelor personale pare sa devina derizorie…
Protectia datelor personale: bilantul incidentelor, varful icebergului. Ce urmeaza?
Pentru protectia datelor personale la nivelul UE, GDPR defineste un Consiliu (Board) alcatuit din presedintii autoritatilor nationale responsabile in acest domeniu din statele membre. Articolele 68-76 din Regulamentul UE 679/2016 descriu atributiile, organizarea si functionarea acestui Consiliu (EDPB). Deciziile acestuia se iau independent, cu o majoritate simpla sau de ⅔, in anumite cazuri, devin obligatorii si se aplica intocmai in toate statele membre UE. Vezi aici o grafica explicativa.
Pana la primul bilant al aplicarii GDPR emis de EDPB, cele doua plenare au publicat scrisori catre ICANN si Sophie in’t Veld MEP, cu referire la reglementari privind datele personale prelucrate in legatura cu detinatorii de domenii Internet si cu proceduri privind platile electronice. In paralel, publicatii de specialitate tin evidenta ingrijoratoare a incidentelor de incalcare a confidentialitatii datelor personale prelucrate de o serie de companii vizate de atacuri cibernetice.
Pana acum, este vizibil doar varful icebergului – rapoarte publice despre incalcari ale masurilor si reglementarilor pentru protectia datelor personale. Cate incidente vor fi ramas nedescoperite si neanuntate? Exista o piata neagra pentru vanzarea datelor personale si se pare ca preturile au crescut, ironic, dupa intrarea in vigoare a GDPR.
Raportul la zi al autoritatii din Marea Britanie arata o crestere cu 15% in 2017-2018 a numarului de reclamatii si de 30% pentru numarul de incidente raportate de buna voie, asa cum reiese de aici. S-au aplicat 26 de sanctiuni, totalizand 3,28 milioane de lire sterline pentru incalcari privind comunicarile electronice de marketing prin apeluri si mesaje nesolicitate.
Costurile incidentelor privind protectia datelor personale
IBM a publicat un studiu privind costurile unor astfel de incidente de securitate, estimandu-le la 148 USD pentru fiecare inregistrare, costul mediu al unui incident fiind de 3,86 milioane USD. Mai multe detalii pot fi gasite aici. In cazul incidentelor majore, costurile au crescut si prin afectarea increderii clientilor si investitorilor (in cazul companiilor listate la bursa).
Unul dintre factorii negativi, cu impact ridicat asupra costurilor, este si detectarea tarzie a intruziunilor in sistemele informatice. Durata medie necesara descoperirii si anihilarii unei accesari neautorizate a datelor personale a fost de 197 de zile, dintre care 69 de zile reprezinta partea de remediere si reconstituire, respectiv de revizuire si inlocuire a zonelor afectate (procese, echipamente, protocoale, politici, etc.).
Metodele care pot reduce costurile, imbunatatind protectia datelor personale, includ infiintarea unei echipe de reactie in caz de incident si criptarea datelor personale si a cailor de acces, inclusiv prin utilizarea autentificarii in doi pasi (sau cu doi factori). De asemenea, implementarea unor masuri tehnice este esentiala pentru a diminua riscurile si impactul negativ in astfel de situatii.
Fara gluma, este timpul sa-ti iei masuri de precautie consistente. Incidentele costa mult, fara a lua in calcul amenda aplicata de autoritati. Merita riscul? O mica virusare a unui computer, un atac nedectat zile si saptamani la rand, o eroare umana sau un simplu accident inevitabil – iata cateva situatii care pot fi prevenite. Masurile tehnice reprezinta o solutie solida pentru astfel de pericole. Ce zice balanta dintre efort si risc, se mai poate amana decizia corecta?