EDPS - European Data Protection Supervisor - 11 sfaturi pentru un internet mai sigur

1. Utilizati retele de socializare cu responsabilitate si in cunostinta de cauza
2. Atentie la jocurile online gratuite, de cele mai multe ori acestea ascund malware si ajungeti sa platiti cu datele personale
3. Evitati sa utilizati retelele WIFI gratuite
4. Utilizati parole cu un grad ridicat de complexitate
5. Verificati cu regularitate setarile de securitate
6. Invatati sa recunoasteti spam-ul si phising-ul
7. Folositi antivirus si firewall
8. Faceti salvari de date (back-up) in mod regulat
9. Invata ce trebuie sa faci daca esti victima unui hacker
10. Asigura-te ca te delogezi din cont atunci cand folosesti retelele publice
11. Utilizeaza conexiuni criptate atunci cand oferi date personale (https)

In domeniul protecției datelor în România, anul 2021 a debutat cu relansarea pe piață a carții "GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016" ( Editia 1, Editura Wolters Kluwer). Cartea este disponibilă în webshop-ul dpo-net.ro si poate fi comandată la prețul promoțional de 110 lei. 

Conf. Univ. Dr. Nicolae Ploeșteanu - Directorul Centrului pentru Protecția Datelor - Universitatea de Medicină, Farmacie, Științe și Tehnologie „George Emil Palade” din Târgu Mureș a avut amabilitatea sa semneze prefața acestei ediții:

"Apariția volumului GDPR Aplicat, ediția a I-a, elaborat de autorii Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Pantilimon și Marius-Florian Dan, reprezintă valorificarea de către aceștia, într-o editură de prestigiu precum Wolters Kluwer, a unui „succes editorial”. Prima ediție a apărut în editura Lumen și, cred eu, că datorită confirmării valorii practice a volumului, autorii au trecut de faza „timidității” începutului editorial și se adresează în prezent prin elaborarea acestei a doua ediții către dimensiunea reală a publicului interesat de domeniul protecției datelor cu caracter personal și, mai ales, către nevoile pieței de a implementa exhaustiv Regulamentul General privind Protecția Datelor, la nivelul operatorilor de date din România.

Volumul GDPR Aplicat este o idee strălucită a unui colectiv de persoane cu experiență practică și însuflețite să își pună amprenta proprie într-un domeniu în emergență, anume domeniul protecției datelor cu caracter personal. Legislația specifică pe care o abordează într-o manieră utilă și formativă este aceea care privește mai ales „GDPR”. Autorii doresc atât să se implice cât și să ofere un instrument antrenant și imediat pentru probleme practice serioase și multiplicate în activitățile curente ale operatorilor de date cu caracter personal. Toate entitățile publice și private sunt interesate să se pună de acord cu ceea ce la momentul de față este „sperietoarea” activității lor. Această intenție are sinuozități și îndoieli dar, în final, se impune practic asemănător unui standard de calitate și, în același timp, complet diferit: este diferența dintre un tablou pictat, privit ca o operă și, pe de altă parte, evoluția și inițierea unui proces juridic; oare cine are dreptate? Răspunsul este oferit cu precauție în paginile volumului acestor pionieri….În final, practica și viitorul vor fi circumstanțele în baza cărora vom argumenta liniile decisive ale acestei îndrăznețe acțiuni: protecția datelor din perspectiva unei societăți mai sigure și a unei vieți private intime fiecărei persoane fizice.

Este necesară această lucrare și îi felicit pe autori și pe cei care au contribuit pe această linie, într-un fel sau altul, la formarea acestora, iar aici mă gândesc în special la cei care au avut inițiativa de a întreprinde la Universitatea suceveană un curs postuniversitar de protecție a datelor, pe care toți autorii acestui volum l-au urmat!

Volumul este consistent: are 752 de pagini și, în esență, 14 capitole tematice, la care se adaugă anexe, bibliografie, figuri și tabele. Volumul se remarcă prin utilitate, nu prin argumentare științifică. Principala metodă de investigație utilizată în realizarea volumului este metoda experimentală.  În cele 14 capitole se tratează atât ideile de esență și directoare ale protecției datelor, precum și măsurile, acțiunile care trebuie întreprinse pentru a asigura implementarea GDPR la nivelul entităților, oferindu-se în mod constant exemple. În partea finală, referitoare la proceduri, modele și tabele ni se prezintă o varietate de exemple. Legat de structura volumul în acest context de evaluare pot fi extrem de încrezător în a afirma că este complet antamat pe necesitățile practice. Demersul autorilor va fi îmbogățit în edițiile viitoare, prin practica viitoare și abordarea unor tematici de nișă, cum este aceea a transferului internațional de date.

Pentru elaborarea volumului GDPR aplicat este cert că autorii au alocat un timp prețios și o disponibilitate aparte, poate chiar încercată și deloc ușoară. La momentul de față, astfel  cum se numește în partea secundă a sa, „Instrument de lucru pentru implementarea Regulamentului UE 679/2016” este instrumentul cel mai valoros de pe piața din România, pentru toți cei implicați în acest fenomen. Nu este un volum științific ci este exact ceea ce se numește: „Instrument de lucru…”. Dar este cel mai bun în domeniul GDPR. Îndrăznesc să afirm, pentru întreaga masă de profesioniști și interesați în domeniu, că utilizând acest volum pot să aibă siguranța conformității pentru o medie a entităților, într-un procent de aproximativ 90%. Oricum, până la apariția vreunui volum mai exhaustiv sau sintetic, acesta este, în opinia mea, sub aspect practic numărul 1 în România.

În mod interesant, lucrarea este utilă atât pentru practicieni cât și pentru directorii executivi ai companiilor. În prima parte, se oferă lecții nenumărate pentru management cum ar trebui să regândească sistemul propriu în care activează și, sigur că da, în același timp practicienii vor avea nenumărate soluții și documente la dispoziție pentru a sprijini companiile sau autoritățile în implementarea GDPR. Spre exemplu, la nivel de management este expusă povestea așteptării unui standard cumpărat și implementat imediat, cu deziluzia că așa ceva nu s-a putut întâmpla…Se caută vina la consultant și nu se poate direcționa juridic. Ce facem de aici încolo? Cât mai trebuie să stăm împiedicați de protecția datelor?

La nivel de executiv, lucrurile se complică deoarece pe lângă aceste instruiri, adevăratul specialist în protecția datelor trebuie să devină un real confident al companiei și să contribuie la rebreduirea acesteia. Va fi acceptat? Va fi înghițit? Volumul răspunde acestor întrebări într-o manieră sinceră și corectă!

Autorii au investit pasiune și interes suprapuse pe ideea importanței formării continue și a observației și cercetării cu demonstrații. Spuneam că autorii sunt într-o mare măsură pionieri: au simțit flexibilitatea și dinamica domeniului și au considerat că pot să afirme reguli, aspect care s-a confirmat în mod evident. De aici, apare una din primele trăsături ale lucrării, anume că la fiecare domeniu și secțiune se începe cu o „poveste” legată de ce se întâmplă în practică atunci când se urmărește implementarea GDPR: totul prinde contur și devine extrem de narativ și util în același timp. Spre exemplu, cuvântul introductiv debutează exact cu cea mai importantă parte a implementării GDPR, anume aceea a conștientizării și educației: „Etica reprezintă o invitație la conștientizarea consecințelor a ceea ce se face”

În al doilea rând, se face o descriere juridică a fiecărui concept principal utilizat în GDPR, inclusiv descrierea faptică alăturată. Dacă deschid la întâmplare volumul, ajung, spre exemplu la pagina 59, unde se vorbește de pseudonimizare, despre care se afirmă în mod corect că „are o componentă obligatorie și anume reversibilitatea acesteia. Reversibilitatea este tehnica inversă pseudonimizării, adică, folosind informații suplimentare, pe care doar operatorul le are, datele pot deveni, din nou, „clare”(…)” Aceasta este o obligație specifică în anumite condiții a operatorului de date.

În al treilea rând se oferă de către autori la fiecare argumentare sistematic prezentată, un exemplu, de regulă referit de ghidurile de implementare și orientare realizate de fostul Grup de lucru articolul 29, în prezent înlocuit de Comitetul european pentru protecția datelor stabilit prin GDPR. Această modalitate de expunere conferă instruire și înțelegere cititorului și practicianului, deoarece exemplele sunt extrem de relevante și fin relevate.

Nu în ultimul rând, trebuie remarcată referirea la practica instanțelor din România și a instanțelor europene în domeniul protecției datelor cu caracter personal, chestiune utilă deoarece contribuie la statuarea definitivă a unor linii de interpretare a domeniului analizat.

Consider că fiecare practician trebuie să aibă această lucrare pentru că îl va ajuta în implementarea GDPR. Lucrarea conține atât conținut cu documentare științifică cât și conținut aplicativ corect dar orientativ și specific ghidurilor.

În ceea ce mă privește, sunt încântat că autorii  Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Lungu și Marius-Florian Dan, mi-au fost pentru o scurtă perioadă „studenți”, deoarece orice dascăl este împlinit când este depășit de proprii studenți. I-am întâlnit cu ocazia unei competiții în domeniul protecției datelor, desfășurată la Târgu Mureș, și am simțit că este vorba de un grup cu potențial reformator. Au demonstrat în interesul comunității din România acest lucru. Le doresc mult succes și felicitări pentru demersurile continue pe care le întreprind în domeniul protecției datelor cu caracter personal."

În urmă cu câteva zile a fost publicat un Raport al experților Website Planet care anunța o breșă de securitate a portalului imobiliare.ro, fiind vorba accesul nesecurizat a 201.087 fișiere din baza de date a companiei.

Lansat în 2000, imobiliare.ro este cel mai mare portal imobiliar din România, oferind serviciile sale atât agențiilor imobiliare, cât și persoanelor fizice din România. Compania Realmedia Network SA este o filială a grupului media elvețian Ringier. Pe acest portal, clienții își pot publica ofertele astfel că, potrivit companiei, peste 1.000 de agenții imobiliare beneficiază de serviciile sale și susțin că înregistrează peste 1 milion de vizitatori unici pe lună. Imobiliare.ro promovează o selecție de proprietăți, inclusiv construcții noi în cadrul complexelor rezidențiale și comerciale moderne. Compania este activă și în promovarea serviciilor sale prin parteneriate cu publicații și portaluri de prestigiu din România.

Breșa de securitate a fost posibilă datorită unor configurări greșite a mediului unde este stocată baza de date (AWS S3 Bucket), oricine putând să acceseze aceste date introducând adresa URL. Acest lucru ar fi putut fi ușor evitat dacă ar fi fost adoptate măsuri de securitate de bază, cum ar fi de exemplu protecția cu o parola. Amazon Web Services ( AWS ) Simple Storage Service ( S3 ) este un mediu de stocare in cloud, similar cu un folder de fișiere și în acest caz nu poate fi considerat responsabil pentru lipsa măsurilor de securitate care cad sarcina operatorului.

Echipa Website Planet a sesizat prima dată proprietarii Imobiliare.ro privind această breșă de securitate pe 1 decembrie 2020, transmițând totodată un mesaș și către Amazon Web Services (AWS ) pe 11 decembrie 2020, dar nu au primit nici un fel de răspuns. In luna ianuarie 2021, după câteva încercări suplimentare, Echipa Website Planet a contactat direct Compania Ringier (care deține Imobiliare.ro) care a luat măsuri și a remediat eroarea de configurare pe 11 ianuarie 2021.

În acest moment nu se cunoaște cu exactitate dacă au fost și alte persoane care au profitat de disponibilitatea acestor date în spațiul public. O combinație de nume complet, adresă, carte de identitate națională și semnătură sunt suficiente pentru furtul de identitate și fraudă. În plus, detaliile personale ale utilizatorului ar putea fi utilizate pentru a comite fraude pe alte platforme fără ca victima să conștientizeze faptul că are loc o astfel de activitate.

Conform raportului, datele expuse au fost stocate în 35.738 fișiere .PDF și 165.316 .JPG și au inclus informații de identificare personală (PII), cum ar fi:

• Nume complete
• Numere de telefon
• Adresa de acasa
• E-mailuri
• Coduri Numerice Personale
• Semnături personale

Alte informații confidențiale despre clienți au inclus:

• Contracte imobiliare între clienți și agenție.
• Documente de proprietate, inclusiv planuri arhitecturale, specificații detaliate și locații ale proprietății.
• Extrase funciare și documente ANCPI (Agenția Națională pentru Cadastru și Publicitate)
• Imagini de profil utilizator.
• Copii scanate ale cărților de identitate naționale, inclusiv coduri de identificare.
• Prețul solicitat al proprietății.
• Descriere detaliată a proprietăților, inclusiv locația, împrejurimile și serviciile locale.

Având în vedere că Realmedia Network SA nu a publicat până în acest moment (07.02.2021-12:00) nici o informare publică pe site privind această breșă, nu putem ști cu exactitate cum a gestionat compania breșa de securitate și dacă și-a îndeplinit obligațiile legale în aceste situații. 

Redactia dpo-net.ro a contactat Realmedia Network SA cu scopul de a obtine un punct de vedere, pe care il vom publica imediat ce va intra in posesia noastra.

Cum trebuie să reacționeze o companie în cazul unei breșe de securitate?

Fiecare operator de date este obligat să protejeze în mod corespunzător toate informațiile referitoare la angajații săi, precum și să protejeze informațiile comerciale confidențiale (inclusiv informații referitoare la clienți, angajați, afiliați). Pentru a atinge acest obiectiv și pentru a  minimiza riscul pierderii, furtului sau compromiterii informațiilor legate de afaceri sau de clienți, sistemele, procedurile operaționale și politicile corespunzătoare care sunt în vigoare trebuie revizuite și actualizate în mod regulat. Problemele de securitate sunt inregistrate zilnic, in absolut toate domeniile de activitate.

Art. 4 alin. (12) din Regulamentul UE 2016/679 definește "încălcarea securităţii datelor cu caracter personal" ca o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Regulamentul UE 2016/679 care a intrat in vigoare la 25 mai 2016 și se aplică în toate statele membre din 25 mai 2018 prevede că „în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente (...), fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice".

Raportarea trebuie făcută cât mai rapid posibil şi, în orice caz, în maximum 72 de ore de la producerea incidentului de securitate. In mod excepţional, operatorii pot raporta incidentul peste  limita de 72 de ore, dar trebuie să motiveze întârzierea. De exemplu, pot exista cazuri când incidentul este descoperit la câteva luni de la producere.

Fiecare organizație trebuie să implementeze un plan de răspuns la incidente de securitate care să identifice și să descrie rolurile și responsabilitățile echipei de răspuns în cazul unei breșe de securitate care va pune planul în acțiune.

Etapele care trebuie parcurse în cazul unui incident de securitate, sunt umătoarele:

1. Investigarea incidentului intern (în cooperare cu autoritățile de aplicare a legii, dacă este necesar);
2. Limitarea și, dacă este posibilă, reducerea prejudiciului potențial asupra părților afectate;
3. Minimizarea impactului negativ asupra operatorului de date cu caracter personal într-o manieră etică și legală adecvată, care să includă minimizarea reducerii operațiunilor, a daunelor reputaționale și a daunelor financiare
4. Comunicați corespunzător incidentul sau pierderea către:
   a. Părțile afectate
   b. Agențiile de reglementare - Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal
   c. Personalului ( în special către conducere);
5. Oferă îndrumare sau asistență în elaborarea acțiunilor corective specifice (inclusiv acțiunile disciplinare, după caz);
6. Realizați revizuiri post-incident, instruire și educație și furnizați comunicări interne pentru a minimiza potențialele incidente viitoare

Incidentele au o cronologie care conține, în general, o fază de acțiuni inițiale și o fază de acțiuni post-incident. Acțiunile inițiale încep de îndată ce un incident este descoperit sau raportat și includ acțiuni de răspuns în timp real pentru a limita daunele în timp ce se planifică un plan de acțiuni mai organizat.

Acțiunile post-incident includ toate activitățile desfășurate necesare pentru închiderea unui incident și includ investigarea, corectarea proceselor, notificarea persoanelor afectate și raportarea către agențiile de reglementare, conform legii.

Următorul tabel conține datele de contact ale terțelor persoane care ar putea fi utile, în funcție de natura incidentului.

Din 2 mai 2019 a fost lansat prin Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, CERT-RO, un număr unic, 1911, apelabil din toate reţelele, la care pot fi raportate incidentele de securitate cibernetică de către persoanele fizice, juridice şi instituţiile publice, oferindu-se prin call-center o asistenţă primară şi consiliere pentru diagnosticare şi remediere.

Lista a celor mai frecvente amenințări de securitate

Aceasta este o listă a celor mai frecvente amenințări de securitate de care organzația Dumneavoastră și angajații trebuie să fie conștienți. Există, desigur, mai multe amenințări și aceată listă își propune sa fie doar un punct de plecare pentru a conștientiza existența lor.

Conștientizarea pericolelor în materie de securitate este o problemă de conformitate și este necesară pentru a asigura respectarea unor
standarde precum ISO27001.

Conștientizarea pericolelor în domeniul securității este o parte esențială a formării angajaților și este cel mai eficient mod de a menține companiile în siguranță de la intruși și hackeri.

1. Pierderi de date - O "scurgere" de date poate fi intenționată sau neintenționată și se refară în general la un set de date confidențiale și poate genera consecințe grave pentru individ și pentru organizație
2. Ransomware -  este malware sau un virus care criptează datele de pe computer sau în unele cazuri o rețea întreagă. Nu puteți accesa fișierele sau imaginile până când veți plăti răscumpărarea, sau uneori chiar și după.
3. Blocarea telefonului - Documentele, notele, e-mailurile și persoanele de contact pot fi furate dacă lăsați telefonul deblocat.
   Este important să protejați informațiile. Păstrați întotdeauna telefonul blocat când nu îl folosiți.
4. Vishing - este echivalentul termenului "phishing" atunci când implică telefonul mobil. Este descris ca act de utilizare neautorizată a telefonului mobil în încercarea de a înșelă utilizatorul să ofere informații confidențiale precum date sensibile, date financiare, ducând până la furtul de identitate.
5. Calculator nesupravegheat - Lăsând computerul deblocat și
   nesupravegheat poate provoca repercursiuni grave dacă altcineva are acces la el.
6. Aceeași parolă - Gestionarea mai multor parole poate fi dificilă,
   dar este esențial să utilizați diferite parole pentru diferite conturi sensibile.
7. Atașamente rău-intenționate - Emailul este un instrument foarte important în comunicare, atât pentru persoanele fizice cât și pentru organizațiile de afaceri. Fișiere atașate reprezintă un potențial risc de securitate. Ele pot conține viruși prin intermediul cărora expuneți neintenționat datele dumneavoastră sau ale companiei.
8. Medii de stocare mobile - sunt un mod deja obișnuit de a transfera
   cantități  mari de date. Riscurile sunt numeroase, inclusiv pierderi de date, trasferul neintenționat de viruși malware care conduc astfel la daune, de multe ori ireparabile.
9. USB Key Drop - este un mecanism utilizat de heakeri. Aceștia lasă pe stradă sau pe o masă aleasă la întamplare un memory stick care odata introdus în computer le oferă acestora acces nelimitat.
10. Social Engineering - presupune manipularea și uneri șantajarea  persoanelor și obținerea informațiilor confidențiale pentru a fi folosite în scopuri frauduloase, forțând astfel oamenii să încalce procedurile de securitate.
11. Dumpster Diving - este o tehnică pentru a prelua informații sensibile care ar putea fi folosite pentru a accesa de exemplu o rețea de calculatoare. În gererel se referă la căutarea prin gunoi a documentelor distruse parțial și din care se pot recupera informații.
12. Spyware - Spyware și malware sunt tipuri de software care permit unui hacker să obțină informații transmise direct din computerul infectat.
13. Chain Mail - este corespondență în lanț, astfel că un se încearcă convingerea destinatarului de a transmite un mesaj și altora. Riscul este ca adresele de e-mail să fe distribuite către o persoană rău intenționată, iar în email poate fi incluse link-uri către malware.
14. CEO Scam - este atunci când un hacker se dă drept o altă persoană, de exemplu un director și păcălește angajați pentru a
    transmite de informații sensibile.
15. Politica biroului curat - Menținerea unui birou curat presupune a nu lăsa documentele sensibile pe birou, nu se scriu parole pe bilețele lipite de monitor, se șterg informațiilor delicate de pe tabla, și nu se lăsă cardurile de acces de unde ar putea fi furate.
16. Actualizarea aplicațiilor software - Mențineți sistemele de operare și aplicațiile software actualizate la zi pentru a vă apăra împotriva virușilor sau  a programelor spyware sau alte tipuri de malware.
17. Parola - Alegerea unei parole bune este necesară. Alegeți una care are cel puțin 8-10 caractere și folosiți cel puțin un număr, o litară mare, o literă mică și un caracter-simbol special. Nu utilizați niciun cuvânt care să fie în dicţionar.  Alegerea unei parole bune este doar începutul. Utilizați parole diferite pentru diferite conturi și nu lăsați parolele acolo se poate fi ușor găsite. Nu trimiteți parole prin
    e-mail sau să le stocați într-o locație nesigură.
18. Documentele imprimate - Imprimarea documentelor și lăsarea acestora în imprimantă poate oferi altor persoane acces neautorizat la date confidențiale.
19. Tailgating - uneori numit piggybacking, este o încălcare a securității fizice în cazul în care o persoana neautorizată se folosește de o alta persoană autorizată să intre într-un spațiu securizat.
20. Phishingul - este practica frauduloasă care presupune trimiterea de e-mailuri care par a fi trimise de către companii renumite pentru a pacăli  persoane fizice să dezvăluie informații personale,
    cum ar fi parolele și numerele cărților de credit.
21. HTTPS - Hyper Text Transfer Protocol Securizat
    (HTTPS) este o variantă a protocolului web standard de transfer de  date (HTTP) care are suplimentar setări de securitate.
22. Spear Phising - este practica de a studia indivizii și obiceiurile lor, apoi folosirea acelor informații pentru a trimite e-mailuri specifice
    de la o adresă cunoscută sau de încredere pentru a obține informații confidențiale.
23. Shoulder Surfing -  este un tip de Social Engineering prin cate o persoană obține informații privind identitatea, diverse coduri, parole și alte informații confidențiale prin supravegherea "peste umărul" victimei.
24. Free WiFi - Oamenii folosesc de obicei WiFi gratuit fără să se gândească. Una dintre cele mai frecvente atacuri prin rețelele WiFi gratuite se numește atac de tip Om-in-Mijloc (MitM) unde un hacker poate monitoriza tot traficul și poate obține informații sensibile.
25. Home WiFi - Rețelele de la domiciliu sunt adesea nesecurizate, de multe ori sărind peste acest pas fin grabă. Majoritatea oamenilor nu iau nici un fel de măsuri pentru a asigura rețeaua lor de la domiciliu, făcându-le vulnerabile pentru hackeri.
26. Keylogger - este un software rău intenționat sau un dispozitiv hardware ( de exemplu un memory stick) care înregistrează fiecare apăsare de tastă pe care o faceți pe o tastatură.