Nouă din zece companii nu sunt pregătite pentru GDPR. Atacuri cibernetice masive pot conduce la amenzi istorice

July 2017


Cu mai puțin de un an până la intrarea în vigoare a noului Regulament privind Protecția Datelor cu Caracter Personal (GDPR), un studiu al institutului Ponemon arată că doar 9% dintre companii sunt compatibile cu noua politică impusă de Uniunea Europeană, în timp ce aproape o treime (32%) nu au nici măcar un plan pentru a corespunde cu noile cerințe.

GDPR este un set de reglementări (2016/679) care urmărește să consolideze protecția datelor personale ale cetățenilor țărilor membre ale Uniunii Europene, inclusiv limitarea exportului acestor informații către state non-membre.

După patru ani de deliberări și o perioadă de tranziție de 24 de luni, reglementările urmează să intre în vigoare din luna mai 2018. Dacă până în prezent companiile se temeau doar de costurile financiare și reputaționale în cazul unor atacturi cibernetice, de anul viitor amenzile care vor urma să fie date companiilor în cazul unor breșe de securitate pot ajunge până la 4% din cifra de afaceri, ceea ce ar putea genera inclusiv scăderi ale prețului acțiunilor, deci pagube suplimentare.

Într-un peisaj în care amenințările informatice și atacurile cibernetice inundă săptămânal programele de știri, GDPR vine să reglementeze un spațiu în care date dintre cele mai sensibile au fost expuse la liber pe internet ca urmare a securității precare a infrastructurilor IT deținute de companii și a lipsei unor norme clare de bune practici.

De fapt, cerința numărul unu este ca datele clienților să fie protejate corespunzător. În eventualitatea unei breșe, companiile trebuie să aibă pregătite mecanisme de notificare a clienților despre care dețin date care intră sub incidența GDPR.

Ce aduce nou GDPR?

O definire mai largă a datelor personale și breșelor: datele personale se referă la orice informație care are legătură cu o persoană identificată sau identificabilă; o breșă legată de date personale este definită ca un incident de securitate care conduce la distrugerea, pierderea, alterarea, dezvăluirea neautorizată sau accesul la orice date personale - stocate, transmise sau procesate.

O extindere a ariei teritoriale: orice companie care lucrează cu date ale cetățenilor UE, indiferent de țara în care are sediul, se supune normelor GDPR

Un termen clar de notificare în cazul unei breșe: o companie trebuie să anunțe autoritatea de supraveghere și indivizii afectați în cel mult 72 de ore de la identificarea breșei

Dreptul victimelor de a primi facil despăgubiri: cetățenii ale căror date sunt expuse public au acum un cadru legal în care pot solicita mai ușor și mai rapid bani de la administratorul datelor pentru prejudiciul creat

Puteri de investigație mai mari: autoritățile se bucură de puteri extinse și pot iniția proceduri de audit și emite atenționări publice către organizații

Ce trebuie să facă organizațiile?

Primul lucru imperios necesar ar fi să identifice care dintre datele cu care lucrează cad sub incidența GDPR: acestea includ date personale pe care companiile din UE le strâng și le administrează, dar și date deținute de companii internaționale care operează însă pe teritoriul Uniunii.

În al doilea rând, companiile trebuie să documenteze felul în care datele sunt securizate. Dacă nu, ghidul de documentație oferă câteva repere. Organizațiile trebuie să știe unde se află datele care intră sub lupa GDPR, cum sunt protejate, cine are acces la acestea și cum este determinat și controlat accesul respectiv. În cazul unui atac, planul de răspuns trebuie să fie compehensiv, pregătit și exersat în prealabil. De exemplu, dacă organizația colectează continuu noi date, o procedură clară trebuie să stabilească dacă datele colectate intră sau nu în categoria standardelor GDPR. De asemenea, dacă contractori externi sau terți colectează datele pentru o companie, felul în care aceștia administrează datele trebuie supravegeat de beneficiarul datelor. Politica de administrare a datelor de-a lungul timpului, de la colectare până la distrugere, trebuie să fie bine documentată și planificată.

Dincolo de securizarea datelor, companiile trebuie să creeze politici legate de intimitate și felul în care asigură protecția vieții private a clienților, precum dreptul de a fi uitat. În final, organizațiile trebuie să răspundă cerințelor GDPR și prin planuri ale departamentelor juridic, resurse umane, asigurări, relații publice și comunicare, în eventualitatea unui incident de securitate cibernetică.

Dat fiind că drumul spre a corespunde cerințelor necesită efort susținut, firma de consultanță IT Gartner anticipează că la finalul anului 2018, la șapte luni după termenul limită, cel puțin jumătate dintre companii nu vor avea puse la punct toate măsurile necesare respectării standardelor GDPR.

Ce atacuri pot apărea și ce soluții există?

Soluțiile de securitate cibernetică va trebui să răspundă eficient așadar la trei tipuri de atacuri cibernetice: protecție contra pierderii datelor (dispozitive pierdute sau furate prin criptarea datelor de pe acestea), protecție contra furtului datelor (atacuri țintite și amenințări avansate și persistente - APT) și vizibilitate sporită asupra breșelor (pentru a monitoriza și reduce daunele suferite și a acționa cât mai rapid).

Circa 73% dintre directorii de IT declara ca se tem de compensatiile financiare pe care compania in care lucreaza ar trebui sa le plateasca in cazul unei brese de securitate, in timp ce 66% se gandesc chiar ca ar putea ramane fara slujba, arata un studiu global al Bitdefender realizat la finele anului trecut.​

Amenintarile avansate persistente, menite sa se infiltreze in sistemele informatice si sa colecteze informatii importante fara stiinta conducerii, pot avea consecinte devastatoare, de la pierderi financiare, pana la efecte negative asupra reputatiei. Atacurile informatice initiate de competitori sau de agentii statale sau contractorii lor sunt extrem de complexe si, de obicei, vizeaza tocmai vulnerabilitati de tip zero-day in sistemele de operare sau in aplicatii conexe (browsere, plugin-uri sau aplicatii de vizualizat PDF-uri, procesatoare de text, etc). De multe ori, primul stadiu al atacului e compromiterea sau “pacalirea temporara” a scanner-ului anti-malware.

Sistemele de operare moderne (de la Windows 8, la Windows 10) permit solutiei de antimalware sa verifice ce se intampla pe sistem atunci cand acesta este cel mai vulnerabil – de exemplu, intre perioada in care acesta e pornit de la buton si pana la pornirea solutiei de securitate. Pentru a neutraliza atacurile asupra solutiei de securitate, Bitdefender a cercetat metode noi de izolare a solutiei de calculatorul gazda. Pentru companii, produsele Bitdefender pot fi rulate in hipervizor, un mod de izolare hardware care nu permite nici unei aplicatii sau utilizator periculos sa interactioneze cu solutia de securitate si sa o inchida sau sa o compromita. Aceasta tehnologie, denumita HVI (hypervisor introspection), este deocamdata o premiera mondiala care nu are un concurent pe piata.

Organizatiile care detin sau manipuleaza date sensibile, confidentiale sau cu caracter de proprietate intelectuala trebuie sa-si mentina infrastructurile de tip cloud intr-un mediu privat. Mai exact, accesul la acele date trebuie sa se realizeze doar de catre personalul din reteaua locala si niciodata din exteriorul acesteia. Cloud-ul privat trebuie sa existe intr-o zona izolata de accesul la reteaua publica (de ex. Internet), pentru a preveni producerea unor potentiale brese de securitate si accesul neautorizat la date. Orice transfer de informatii intre client si serviciul de cloud trebuie criptat, pentru a evita interceptarea si descifrarea acestora de catre raufacatori. Mai mult, datele stocate in cloud trebuie de asemenea criptate pentru a evita folosirea acestora in caz de furt, spionaj sau alte tipuri de atacuri care vizeaza accessul la date stocate in cloud.

Deși par a nu avea legătură directă cu GDPR, amenințările de tip ransomware, direct responsabile de pagube de peste zece miliarde de dolari doar în prima jumătate din 2017 (WannaCry și GoldenEye/NotPetya), pot produce consecințe neplăcute companiilor. Specialistii Bitdefender anticipeaza ca versiunile agresive ale ransomware nu se vor mai limita doar la criptarea fisierelor si la solicitarea de recompensa, ci vor trece la santajul utilizatorilor si amenintarea lor cu publicarea documentelor pe Internet, daca recompensa nu este platita. Astfel, desi victimele vor putea sa recupereze gratuit datele criptate de pe Internet, acestea vor putea fi accesate si de catre terti, cauzand importante prejudicii de imagine si incalcarea prevederilor GDPR.