5G este o nouă energie electrică și va fi factorul cheie al lumii inteligente

IT&C / Securitatea Informatiei

Vizualizari: 11700

Facebooktwittergoogle_plusredditpinterestlinkedinmail

WebSummit este evenimentul în care an de an giganții HiTech îsi prezintă inovațiile, prin care viața noastra ar trebui să devină mai simplă, mai confortabilă, mai sigură. Totodată este locul unde suntem invitați să privim prin gaura cheii spre partea senzațională a viitorului, în speranța că nu vom întrezări dezordinea de după paravan.

Tehnologia 5G nu se anunță o simplă evoluție, marcată prin o escaladare a vitezei, ci o reala revoluție digitală, având puterea de a transforma tot ceea ce astăzi ni se pare SF în realitatea zilei de mâine. Iar asta ar trebui sa ne înspăimânte.

Dar 5G-ul nu va porni sigur această revoluție digitală, Internet of Things (IoT), Artificial Intelligence (AI) sau Augmented Reality (AR) vor face și ele parte din acest puzzle complex despre care nimeni nu știe, în acest moment, cum va arata atunci când va fi finalizat. Mai mult, toate acestea vor fi interconectat și iar datele vor fi combustibilul care va alimenta aceste tehnologii.

Așadar, am mers să luăm pulsul viitorului.

5G în comparație cu 4G este ceea ce masina a reprezentat pentru cal sau televizorul pentru radio. Schimbări fundamentale.

Huawei și Vertizon, 2 dintre pionierii care investesc masiv în dezvoltarea tehnologiei 5G, au creionat o imagine de feerica, în care tehnologia va lucra pentru om și nu invers, cum se întâmplă să mai vedem prin filmele cu Arnold Schwarzenegger.

Guo Ping, Președintele Huawei, a fost cel care a spart gheata, prezentând viziunea gigantului tehnologic chinez asupra viitorului internetului. Ping a comparat dezvoltarea tehnologiilor 5G cu descoperirea curentului electric în secolul 19, ca abia un secol mai târziu lumea să beneficieze din plin de beneficiile ei, când toate industriile au ajuns să fie alimentate de aceasta.

Revoluțiile industriale au coincis cu inovații fundamentale care au condus la alte categorii de inovații viitoare. Motorul cu aburi, electricitatea, calculatorul personal sunt câteva dintre revoluțiile care au schimbat modul de viata a întregii planete, aducandu-ne acum în pragul celei de-a 4-a revoluții industriale caracterizată prin conectivitatea tehnologiilor.

Suntem deja familiari cu tehnologii ca IoT, mașini autonome, robotica avansată, realitate augmentata, însă încă nu suntem complet conștienți de posibilitatile pe care lumea 5G ni le va oferi”.

Deși se află într-un stadiu incipient al dezvoltării, se așteaptă ca în viitorul apropiat aceasta tehnologie să aducă modificări semnificative modului de viata de astăzi, modelând  activitățile de business și societatea în sine.

„5G este o nouă energie electrică, acesta va fi factor cheie al lumii inteligente”, a declarat Guo Ping în finalul prezentării sale.

Companiile nu sunt încă pregătite pentru cât de revoluționar este 5G

Pe aceeași scenă, Ronan Dunne, Executive Vice President & Group CEO al Verizon, a explicat de ce atât companiile cât și consumatori nu sunt încă pregătiți pentru cât de revoluționar este 5G. Acesta a încercat sa schiteze o imagine completă a modului în care tehnologia 5G va deschide noi posibilități pentru companii, consumatori și societate în anii ce vor urma. Și el a identificat 5G-ul ca fiind a patra revoluție industrială, subliniind faptul că această tehnologie este o oportunitate uimitoare, care în scurt timp va deveni coloana vertebrală a economiei mondiale. Acesta a analizat efectele tehnologiei 5G inclusiv prin prima schimbărilor climatice, un subiect extrem de sensibil al zilelor noastre. Astfel, tehnologia 5G necesită doar 10% din energia consumată de 4G, reducând substanțial Amprenta de Carbon, în timp ce suportă 1 milion de conexiuni  pe km2 (față de doar 100.000 în cazul 4G), putând transmite date de până la 10 GB/sec, la viteze nemaiîntâlnite.

Câteva exemple ale utilizării 5G prezentate la WebSummit

De la muzicieni care interpretează o melodie în perfectă sincronizare în timp ce se află la 20 km distanța, la roboți industriali care vor crește siguranta muncitorilor, vor eficientiza operațiunile și mentenanța, la inovații în domeniul medical, aceste exemple ne-au lăsat impresia că orice este posibil.

Inteligenta artificiala poate fi folosita este pentru disgnosticarea medicala și tratament. Zilnic 11.000 de copii se nasc cu deficiențe vizuale. Între 70 și 80% dintre acestea pot fi prevenite sau vindecate dacă sunt depistate rapid. Utilizând o platformă de învățare automată open-source a fost dezvoltat Track AI, care împreuna cu puterea de procesare a telefoanelor de ultima generatie poate captura cele mai mici tipare ale mișcărilor oculare. Aceste tipare pot indica anumite potențiale patologii, care în prezent sunt depistate doar în stadii avansate.

Orice monedă are două fețe. 5G-ul nu face excepție

Pe una dintre scenele secundare ale evenimentului am avut surpriza de a întâlni și opinii mai ceva mai puțin euforice, am putea spune, fiind aduse în discuție riscurile care vin la pachet cu implementarea tehnologiilor 5G și IoT. Cu siguranță o astfel de abordare a subiectului nu putea veni din partea unui CEO a unui gigant HiTech, ci din partea unui CCO (Chief Cybersecurity Officer) și anume Eduardo Cabrera de la Trend Micro (o mare companie de securitate cibernetică). Chiar dacă jobul actual nu ne spunea prea multe, faptul că acesta a fost timp de 20 fost angajat al departamentului de securitate cibernetică al Serviciul Secret al Statelor Unite, ne-a captat imediat atenția.

Conform acestuia, peste 26 de milioane de dispozitive vor fi conectate la internet pana la finalul anului 2021, astfel că nevoia de acces la internet va conduce inevitabil spre o cerere tot mai mare a sateliților de comunicații.

În acest moment ne aflăm în mijlocul unei curse furibunde a populării orbitei joase a Pâmântului cu sateliți care îndeplinesc funcții diverse, printre care se numără și comunicațiile. În timp ce constelația sateliților crește, gestionarea acestora devine mai dificilă, fiind nevoie de inteligență artificială pentru a ajuta la gestionarea, controlul și protejarea acestora”.

Mulți sateliți cu securitate primitivă ar putea deveni vectori de amenințare. Sateliții nu sunt ei înșiși vulnerabili ci sistemele și infrastructură de la sol care îi gestionează și care poate deveni în orice moment ținta unui atac al unui hacker sau a unui guvern străin.

Prin urmare, orice atac cibernetic poate fi o problema care poate conduce la dezastre, cum ar fi spre exemplu ciocnirea intenționată a doi sateliți.

Atacurile DDoS (Designated Denial of Service) asupra centrelor de comanda de la sol sau din spațiu, ascultarea comunicațiilor dintre sateliți, ajungându-se până la deturnarea sateliților și preluarea controlului, sunt doar cateva din amenințările care pot perturba funcționarea sateliților. Aceste amenințări nu sunt pură ficțiune, Eduardo mărturisind că NASA le-a trăit, în câteva rânduri, pe propria-i piele.

„Este nevoie ca toți actorii angrenați în Cursa Spațială 2.0 să înțeleagă aceste riscuri și să nu le neglijeze în viteza cu care dezvolta noi tehnologii și să găsească în special măsuri de prevenire a acestora”, a concluzionat Eduard.

Avem nevoie de o abordare fundamentală nouă

Între cele două abordări diametral opuse de mai sus, un pitch foarte apreciat l-a avut ca protagonist pe Brad Smith, Președintele Microsoft. Discursul lui Brad a fost unul inspirațional, acesta punând accent pe necesitatea unei abordări fundamentale noi a industriei IT, una bazată pe principii etice fundamentale.

Brad a discutat despre importanța unei noi perspective în gestionarea evoluției tehnologice pe care următoarea decadă o va înregistra, solicitând companiilor de toate dimensiunile să accepte o mai mare responsabilitate și să colaboreze inclusiv la nivel guvernamental pentru a modela împreună un viitor coerent. Acesta a făcut cateva predicții asupra modului în care va evolua industria IT și care vor fi efectele intersecției dintre tehnologie și societate, în următoarea decadă.

Cloud-ul a schimbat natura accesului la computer [...] și a condus la o explozie a datelor. 2020 va începe cu de 25 de ori mai multe date decât aveam la începutul lui 2010. Progresele realizate în inteligenta artificiala, în special în jurul rețelelor neuronale, au transformat abilitățile noastre de a pune datele la lucru”.

Lumea a ajuns într-un punct de inflexiune în care tehnologia digitală este folosită atât ca instrument puternic, cât și ca armă formidabilă. Aceasta este și cazul Inteligenței Artificiale”.

„Noi toți cei care în prezent dăm putere calculatoarelor să ia decizii, pe care în trecut doar oamenii le luau, dacă dăm gesi, fiecare generație care va urma va plăti un preț. De aceea este important ca toate companiile de IT sa se focuseze pe problemele de etică și AI, definitivând și implementând principiile etice. Avem nevoie de o abordare fundamentală nouă.”

Mii de pasionați de tehnologie, actuali și viitori dezvoltatori de soluții HiTech, prezenți în arena WebSummit, au urmărit cu fascinație discursul lui Brad, dar oare câți l-au și auzit?

 

Mencanismele de aparare ale Uniunii Europeane sunt pregatite să intervina?

Uniunea Europeană a emis de curand un „Raport privind evaluarea coordonată la nivelul UE a riscurilor în materie de securitate a rețelelor 5G”, realizat de Agenția UE de Securitate Cibernetică (ENISA), în colaborare cu Statele Membre și cu Comisia Europeană.

Scopul acestui raport a fost de a sublinia faptul că este esențial să asigurăm securitatea și reziliența rețelelor 5G atâta timp cât această tehnologie va reprezenta fundamentul pe care economiile și societățile viitoare vor fi construite.

Comisia Europeană a identificat 6 riscuri majore la securitatea cibernetică ce decurg din inovațiile cheie ale 5G și din diversele servicii care vor apărea, precum și din gradul de dependență a sistemelor de un singur furnizor de tehnologie, însă fără a menționa în Raportul Comisiei și măsuri de ameliorare a acestor riscuri.

În completarea raportului statelor membre, ENISA a elaborat o cartografiere a  amenințărilor specifice legate de rețelele 5G, realizând astfel o analiză ceva mai detaliată și mai tehnică a riscurilor identificate în Raportul UE.

Sosirea rețelelor 5G aduce numeroase provocări în materie de securitate, provocări pe care le-am întâlnit și în trecut, în cazul evoluției tehnologiei de la 1G la 4G. Raportul de astăzi va sprijini părțile interesate să realizeze analize mai detaliate ale amenințărilor și evaluări ale riscurilor axate pe anumite elemente ale infrastructurii 5G pentru a ajuta la înțelegerea expunerii la amenințări”, a declarat Juhan Lepassaar, Director Executiv al ENISA.

O abordare mai practică este așteptată de la Grupul de cooperare NIS care urmează ca până la sfârșitul lui 2019 să lanseze un „5G toolbox”, un set de măsuri de reducere a riscurilor în materie de securitate cibernetică identificate atât la nivel statelor membre cât și la nivelul Uniunii.

Certificarea componentelor de arhitectură 5G este o acțiune probabilă, condiționată de desemnarea exactă a instrumentelor în cadrul inițiativei „5G toolbox”. Domeniul de aplicare al schemelor de certificare 5G ar urma să fie determinat de Comisia Europeană, în urma consultării Statelor Membre, însă ar trebui să fim conștienți că asemenea lucruri nu pot înfăptui de pe o zi pe alta.

Deși stabilirea unui cadru legal ferm la nivelul UE a utilizării tehnologiei 5G și de control a dezvoltării aplicațiilor ce vor deriva din aceasta, în special cele bazate pe Artificial intelligence și Internet of Things, este o necesitate stringentă, este deja evidentă imposibilitatea ca adoptarea unor asemenea reglementări să preîntâmpine lansările rețelelor 5G, deja programate pentru 2020.

Mai mult, dacă adoptarea unui asemenea cadru legal va urma același parcurs perecum ceea ce putem deja numi „telenovela ePrivacy”, vom asista din nou la o cursă de urmărire a legislației în încercarea acesteia de a prinde din urmă tehnologia.

Asa cum bine a subliniat Brad Smith, este necesara o abordare fundamentală nouă, altfel vom asista la o întrecere în care, la final, pierzătorii vom fi, cu siguranță noi.

5G-ul va remodela întreaga lume în timp ce viața privată riscă să devină o utopie

Un lucru este cert: ne îndreptăm cu pași repezi spre o „data driven world” în care interconectarea tuturor echipamentelor și a sistemelor va fi posibila odată cu implementarea tehnologiei 5G. Aceasta cursă furibundă a dezvoltatorilor acestei tehnologii, va avea un impact mod violent asupra vieții private a utilizatorilor. Cel mai probabil vom asista neputincioși la disiparea conceptului de confidențialitate, acesta urmând a deveni treptat doar o amintire nostalgică. Astăzi nu suntem pregătiți să permitem tehnologiei să ia decizii în locul nostru și probabil nu vom fi pregătiți niciodată datorită prețului mult prea mare pe care trebuie să îl platim: intimitatea și viața privată.

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

CUM POT INFLUENȚA STANDARDELE ISO/IEC 27001:2013 ȘI ISO/IEC 27701:2019 PROCESUL DE OBȚINERE A CONFORMITĂȚII GDPR

IT&C / Securitatea Informatiei

Vizualizari: 6358

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Regulamentul General privind Protecția Datelor (GDPR), la care vom face referire ca Regulamentul sau GDPR - acronimul consacrat în limba engleză, nu și-a propus niciodată să devină un standard similar ISO/IEC în domeniul protectiei datelor cu caracter personal, el trebuie văzut mai degrabă ca un reper, având în vedere complexitatea domeniului de aplicare, dacă ne gândim că el se aplică tuturor operatorilor din mediul public sau privat care au cel puțin un angajat sau care prelucrează datele personale ale cetățenilor europeni, indiferent unde este localizat operatorul la nivel internațional. 

Tocmai complexitatea domeniilor de activitate și a modului de organizare a operatorilor a făcut necesară introducerea unor principii în locul unor criterii limitative, măsurabile cantitativ și calitativ. Dacă s-ar fi introdus o listă de control limitativă, probabil operatorii s-ar fi rezumat doar la aceasta și ar fi fost o mare greșeală, având în vedere că nu există o rețetă universală pentru a diminua sau elimina riscurile dintr-o organizație. 

Regulamentul UE 679/2016 încurajează, totuși, utilizarea acestor sisteme de certificare ca instrumente utilizate pentru a demonstra nivelul de responsabilitate a operatorului prin implementarea procedurilor specifice, de exemplu în domeniul managementului calității sau a securității informatice

Totuși, nu considerăm că este suficientă implementarea unui astfel de standard pentru a demonstra complianța cu prevederile și principiile GDPR, acesta fiind, probabil, și motivul pentru care în tot textul Regulamentului nu găsim nici o referință directă la unul sau mai multe dintre aceste standarde internaționale.

Singurele mențiuni le găsim în articolul 42 față de “certificarea în domeniul protectiei datelor” prin care este încurajată” instituirea de mecanisme de certificare în domeniul protecţiei datelor, precum şi de sigilii şi mărci în acest domeniu, care să permită demonstrarea faptului că operaţiunile de prelucrare efectuate de operatori şi de persoanele împuternicite de operatori respectă prezentul regulament.” 

CARE SUNT PAȘII ÎN OBȚINEREA CERTIFICATELOR ISO/IEC RELEVANTE DIN PUNCT DE VEDERE GDPR ?

Nu există o rețetă unitară, dar opinia noastră este că orice organizație, înainte de a implementa standarde specifice în domeniul securității informatice sau a continuității afacerii, trebuie să pună bazele prin implementarea unui sistem de management al calității, acesta fiind descris în ISO/IEC 9001:2015

Chiar dacă acest standard stabilește cadrul în ce privește asigurarea garanției unor produse sau servicii care își propun un înalt grad de calitate, care se aplică inclusiv clientului, exista o serie de concepte comune cu cele GDPR. Dintre acestea reamintim procedurile specifice produselor sau serviciilor neconforme și a modalităților de rezolvare a reclamațiilor. Acest sistem de management al calității, fiind lansat anterior Regulamentului 679/2016, nu prevede adaptarea procedurilor în privința introducerii unor condiții specifice privind utilizarea datelor cu caracter personal, în schimb, face referire la respectarea condițiilor legale și, la momentul respectiv, era în vigoare Directiva 95/46 care era transpusa în legislația națională prin Legea 677/2001.

Totuși, după data de 25 mai 2018, procedurile de rezolvare a reclamațiilor și procedurile de comunicare cu clienții s-au putut actualiza în sensul că se puteau introduce condiții specifice privind transferul și prelucrarea datelor personale ale clienților și definirea unor modalități distincte ca aceștia să își exercite drepturile prevăzute în GDPR, distinct de modalitățile de a reclama calitatea unui serviciu sau produs. 

După ce a fost construită baza, în sensul implementării standardului de management al calității, operatorii au posibilitatea de a trece la nivelul următor prin implementarea standardului privind securitatea informatică, mai ales că digitalizarea și utilizarea tehnologiei a cunoscut o dezvoltarea exponențială în ultimii 20 de ani. 

ISO/IEC 27001:2013 este un standard internațional cunoscut pe scară largă pentru furnizarea de cerințe privind sistemul de management al securității informațiilor denumit și ISMS. Un ISMS este o abordare sistematică pentru protejarea informațiilor confidențiale ale companiei, nu doar datele cu caracter personal și permite organizațiilor să își gestioneze riscurile de securitate a informațiilor. 

Standardul adoptă o abordare bazată pe proces pentru “stabilirea, implementarea, operarea, monitorizarea, întreținerea și îmbunătățirea unui sistem de management al securității informațiilor” (ISMS), deci se aplică indiferent de orice schimbări geopolitice care ar putea avea loc. La fel ca toate standardele ISO, este recunoscut la nivel global de către toți clienții și întreprinderile (și nu este controlat în niciun fel de UE), deci se va aplica oricărui operator care are relații client-vânzător sau de tip furnizor.

În anul 2019 a fost introdusă o extensie la ISO 27001 care oferă îndrumări pentru stabilirea, implementarea, menținerea și îmbunătățirea continuă a unui sistem de gestionare a informațiilor de confidențialitate. ISO/ IEC 27701:2019 oferă cadrul sistemului de management pentru a proteja informațiile de identificare personală și, astfel, standardul ISO 27701 ajută companiile să respecte GDPR, precum și alte cerințe legale și de reglementare.

Folosind instrumente precum aceste standarde (măsuri organizatorice) și tehnologia potrivită (măsuri tehnice), o companie poate stoca toate informațiile de conformitate într-un singur sistem, care oferă informații adecvate asupra riscului și oportunităților și poate monitoriza impactul potențial al modificărilor legislative și poate lua măsuri proactive pentru a atenua riscurile de conformitate. Acest lucru necesită o evaluare metodică adecvată a riscurilor pentru a identifica riscurile legate de conformitate și a implementa un tratament adecvat al acestora.

Implementarea standardelor ISO/IEC va permite operatorilor să îndeplinească cerințele GDPR privind „măsurile tehnice și organizaționale adecvate”, în sensul art. 32 din Regulament, precum și să le ajute să respecte multe alte reglementări privind protecția datelor.

Cele trei standarde (ISO 9001, ISO 27001 si ISO 27701), împreună, oferă un cadru pentru cele mai bune practici de gestionare a securității informațiilor care ajută operatorii să:

  • Gestioneze eficient riscurile pentru securitatea informațiilor
  • Gestioneze riscurile de confidențialitate 
  • Protejeze informațiile despre clienți și angajați
  • Respecte reglementările privind protecția datelor, cum ar fi GDPR și a  altor cerințe legale și de reglementare
  • Protejeze imaginea companiei.

CONȚINUTUL ȘI STRUCTURA STANDARDULUI ISO / IEC 27701

ISO / IEC 27701 este o extensie a standardelor ISO/IEC 27001 și ISO/IEC 27002 și trebuie aplicată împreună cu acestea. Standardul începe cu o parte introductivă în care sunt identificate obiectivele, domeniul de aplicare, alte standarde de referință și terminologia.

Cerințele care trebuie îndeplinite și puse în aplicare de către o organizație pentru a respecta ISO/IEC 27701 sunt:

  • Clauza 5 - descrie cerințele PIMS și preia în detaliu toate clauzele deja definite în ISO / IEC 27001 (înțelegerea contextului, conducerea, sprijinul, evaluarea riscurilor etc.) și le completează cu considerații pentru aspectele specifice ale datelor cu caracter personal;
  • Clauza 6 - preia liniile directoare de control cuprinse în ISO / IEC 27002 și le completează în ceea ce privește zona de confidențialitate și protecția datelor; este, prin urmare, un ghid detaliat pentru măsurile de atenuare a riscului de confidențialitate.
  • Clauzele 7 și 8 - sunt condiții suplimentare pentru operatorii de date și respectiv pentru persoanele împuternicite de operatori; se iau în considerare aspecte specifice, inclusiv colectarea consimțământului, evaluarea impactului asupra protecției datelor  și principiile “privacy by design” / “privacy by default”

Noul standard este clar aliniat la Regulamentul General privind Protecția Datelor (GDPR). Oferă organizațiilor un standard recunoscut, care va oferi în viitor certificarea în același mod ca și ISO 27001: 2013. 

Înainte de lansarea standardului, ISO 27001:2013 a fost privit ca un cadru bun pentru a ajuta la respectarea prevederilor Directivei 46/95, dacă este implementat în mod corespunzător. Trebuie să ținem cont și de faptul că articolul 42 din GDPR permite stabilirea unor mecanisme de certificare a protecției datelor pentru a ajuta organizațiile să demonstreze conformitatea - și există multe motive pentru care ISO 27701: 2019 ar putea furniza acest lucru, având în vedere faptul că este un standard recunoscut la nivel internațional, extinde un standard de securitate a informațiilor deja utilizat pe scară largă și că organizațiile pot fi certificate conform standardului de către auditori recunoscuți.

Acest nou standard ISO/ IEC 27701 oferă îndrumări specifice pentru:

  • Actualizarea politicilor pentru a include angajamentul de a respecta reglementările relevante privind datele cu caracter personal și acordurile contractuale cu clienții și terții
  • Desemnarea un punct de contact pentru întrebări cu privire la datele cu caracter personal
  • Asigurarea unei persoane sau a unei echipe responsabile pentru implementarea și menținerea unui program continuu de monitorizare și a asigurării respectării reglementărilor
  • Asigurarea că toți angajații relevanți sunt instruiți să fie conștienți de principiile datelor cu caracter personal și cum să raporteze incidentele
  • Implementarea de măsuri în ceea ce privește utilizarea suporturilor mobile de stocare a datelor și  reutilizarea echipamentelor
  • Introducerea unei politici de backup și recuperare referitoare în mod specific la datele cu caracter personal
  • Înregistrarea și monitorizarea accesului la datele personale și introducerea de măsuri pentru a se asigura că datele personale nu sunt stocate în mod accidental în jurnale
  • Introducerea de politici de dezvoltare a sistemului

Măsurile de atenuare a riscurilor de confidențialitate care provin din gestionarea datelor cu caracter personal (așa-numitele „controale”) reprezintă o extensie și o specializare a controalelor prevăzute de ISO/ IEC 27001. Acestea sunt cuprinse în anexele A și B și aceste controale sunt obligatorii, cu excepția cazului în care organizațiile au documentat excepția în „Declarația de aplicabilitate”. 

  • Anexa A : identifică controalele care trebuie implementate de un operator de date;
  • Anexa B : identifică controalele care trebuie implementate de un împuternicit;
  • Anexa C : este o mapare a clauzelor ISO / IEC 27701 cu privire la ISO / IEC 29100 Tehnologia informației - Tehnici de confidențialitate - Cadrul de confidențialitate ;
  • Anexa D : este o mapare a clauzelor ISO / IEC 27701 față de  GDPR;
  • Anexa E : conține maparea la ISO / IEC 27018 Tehnologia informației - Tehnici de securitate - Cod de practică pentru protecția informațiilor de identificare personală și la ISO / IEC 29151 Tehnologia informației - Tehnici de securitate - Cod de practică pentru protecția informațiilor identificabile personal ;
  • Anexa F : descrie alte modalități de aplicare a ISO / IEC 27001 și ISO / IEC 27002 

COMPATIBILITATEA DINTRE STANDARDELE ISO/IEC ȘI GDPR

La o analiza atentă observăm că foarte multe din controalele prevăzute de standardele ISO/IEC  27001:2013 sau 27701:2019 se regăsesc, într-o proporție foarte mare, în cele 99 de articole ale Regulamentului. Cu toate acestea, sunt mai multe concepte cheie, precum Responsabilul cu protectia datelor cu caracter personal, consimțământul și condițiile de obținere a acestuia, minimizarea datelor, stocarea limitată, prelucrarea transparentă sau drepturile persoanelor vizate privind accesul, ștergerea, opoziția, rectificarea sau portabilitatea care nu se regăsesc în standardul ISO/IEC 27001:2013. 

Cu toate acestea, standardele ISO/IEC 27001:2013 și 27701:2019 sunt o bază de pornire extrem de importantă pentru a demonstra obligația operatorului de a întreprinde măsuri tehnice și organizatorice adecvate și considerăm că o organizație care a obținut o astfel de certificarea îndeplinește cel puțin jumătate din cerințele Regulamentului. 

În august 2019, Organizația Internațională pentru Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC) au elaborat un nou standard de referință și anume ISO/IEC 27701: 2019 pentru gestionarea informațiilor de confidențialitate. Noul standard este destinat să răspundă nevoii urgente a companiilor de a-și îndeplini obligațiile de reglementare a confidențialității și nevoia unui cadru de reglementare din ce în ce mai clar și partajat.

Considerăm că, prin apariția standardului ISO/IEC 27701:2019 s-a realizat chiar o punte între prevederile Regulamentului General privind Protecția Datelor (GDPR) și securitatea informatică.  Acesta reprezintă un pas important în definirea  schemelor de certificare pentru prelucrarea datelor cu caracter personal. Oferă instrumente operaționale cu privire la aspecte tehnice și organizaționale importante, care sunt lăsate din ce în ce mai mult la libera interpretare a fiecărei organizații prin legislația națională și europeană.

După intrarea în vigoare a Regulamentului General privind Protecția Datelor (GDPR), constatăm că s-a produs un adevărat “salt legislativ” privind protecția vieții private, mai ales datorită introducerii exprese a principiului cheie al responsabilității - art. 5, alin. (2) din GDPR.

Urmând acest principiu, GDPR impune operatorului de date să adopte politici și să pună în aplicare măsuri adecvate pentru a asigura și a arăta dovezi că prelucrarea datelor cu caracter personal este conformă cu regulamentul în sine.

Prin urmare, Regulamentului General privind Protecția Datelor (GDPR) nu oferă instrucțiuni pragmatice, dar solicită organizației să adopte o abordare proactivă și dinamică care nu se limitează la simpla conformitate cu reglementările, ci necesită implementarea ciclică a următoarelor etape:

  1. implementează măsuri care fac ca orice prelucrare să fie efectuată în conformitate cu prevederile regulamentului;
  2. să adopte măsuri legale, tehnice și organizatorice care să garanteze o astfel de conformitate;
  3. alegerea măsurilor se bazează pe analize de risc preventive;
  4. să demonstreze conformitatea astfel garantată tuturor părților interesate implicate (de exemplu, autoritățile competente pentru protecția datelor, organele de inspecție sau judiciare, persoanele vizate etc.).

Datorită acestei libertăți acordate de Regulament organizațiilor, la nivel internațional, ISO și IEC au proiectat standardul ISO/IEC 27701 ca un instrument practic pentru gestionarea informațiilor personale și o modalitate utilă de a demonstra conformitatea cu reglementările actuale privind confidențialitatea.

Standardul ISO/IEC 27001:2013 permite implementarea unui ISMS (Information Security Management System) pentru a asigura securitatea activelor informaționale ale companiei, prin satisfacerea cerințelor și controalelor specifice. Standardul ISO/IEC 27002 oferă îndrumări suplimentare pentru implementarea acestor controale. 

Cu toate acestea, aceste două standarde nu iau strict în considerare aspectele legate de confidențialitate. ISO/IEC 27701 a fost dezvoltat pentru a implementa unui sistem de management al securității informației specializat privind confidențialitatea, definit de standard ca PIMS - Privacy Information Management System. Respectarea standardului are un efect direct în sensul “producției de probe”, astfel că, implementarea acestui standard ajută în mod concret instituția să respecte principiul responsabilității prevăzut de GDPR.

CARE SUNT ELEMENTELE COMUNE DINTRE STANDARDELE ISO ȘI GDPR?

Prima caracteristică comună este că, atât Regulamentul 679/2016, cât și standardele ISO amintite introduc obligații pentru operatori privind adoptarea unor măsuri tehnice și organizatorice pentru a garanta confidentialitatea datelor, stocarea și utilizarea adecvată

Dacă ne gândim că GDPR introduce, prin articolul 32, obligația ca “operatorul și împuternicitul să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului”, atunci standardul ISO 27001 definește mijloacele necesare pentru a asigura această protecție. Conform GDPR, datele cu caracter personale sunt informații critice pe care toți operatorii trebuie să le protejeze, ele fiind doar o parte din categoria datelor și informațiilor pe care orice operator le protejează, fiind motivat în primul rând de nevoia de conservare a business-ului. 

Există și cerințe GDPR care nu sunt acoperite implicit de aceste standarde, dar, dacă prin implementarea măsurilor de securitate informatică sunt incluse / acoperite / protejate și datele cu caracter personal, atunci aceste certificări obținute pot fi catalogate ca măsuri tehnice și organizatorice adecvate

Revizuirea riscurilor, în mod continuu, reprezintă și principiul fundamental al unui sistem de management al securității informațiilor care își propune să gestioneze riscurile pentru toate activele, inclusiv datele cu caracter personal. În multe dintre cazuri este posibilă realizarea unei mapări dintre articolele GDPR și controalele ISO/IEC 27001 și 27701, având, în esență, un conținut asemănător. 

Am identificat câteva elemente comune între prevederile GDPR și controalele ISO/IEC pe care le prezentăm mai jos:

    1. Conformitatea, datorită controlului A.18.1.1 (Identificarea legislației aplicabile și a cerințelor contractuale) - este obligatorie existența unei liste a cerințelor legislative de reglementare și contractuale relevante. Având în vedere că fiecare operator trebuie să respecte normele și principiile  GDPR, Regulamentul General privind Protecția Datelor trebuie să facă parte din această listă. 
    2. Securitatea informațiilor și a datelor cu caracter personal nu se referă numai la măsuri de ordin tehnic, ambele referințe promovează o cultură de conștientizare a riscurilor și a incidentelor de securitate în cadrul organizațiilor. 
    3. Privacy by design este un concept întâlnit în ambele referințe. Controlul A.14 (Achiziționarea, dezvoltarea și întreținerea sistemelor) asigură faptul că “securitatea informațiilor este o parte integrantă a sistemelor informatice pe parcursul întregului ciclu de viață”.
    4. Pseudonimizarea și criptarea – Criptarea datelor este recomandată de acest standard ISO ca fiind una dintre măsurile tehnice care pot fi implementate pentru a reduce riscurile. 
    5. Evaluarea riscurilor – standardul ISO introduce ca obligație pentru organizații să realizeze o evaluare aprofundată a riscurilor prin identificarea amenințărilor și a vulnerabilităților care pot afecta activitățile. Organizațiile trebuie să ia măsuri pentru a asigura confidențialitatea, disponibilitatea și integritatea acestora. Și GDPR introduce obligația privind realizarea unei evaluări a riscurilor care pot afecta datele cu caracter personal. În conformitate cu controlul A.8.2.1 (Clasificarea informațiilor): “Informațiile trebuie clasificate în funcție de cerințele legale, valoare, critică și sensibilitate față de dezvăluirea sau modificarea neautorizată.”
  • Distincția între operatori și împuterniciți din GDPR este importantă atunci când vine vorba de ISO 27701, deoarece aceștia sunt supuși unor cerințe diferite. Operatorii sunt responsabili pentru crearea notificărilor de confidențialitate, implementarea mecanismelor pentru a se asigura că persoanele vizate își pot exercita drepturile și adoptarea de măsuri pentru a se asigura că prelucrarea datelor respectă principiul GDPR privind  confidențialitatea prin proiectare și implicit, în timp ce împuterniciții sunt responsabili pentru respectarea instrucțiunilor stabilite de operator, reducând, astfel, riscul ca datele să fie prelucrate excesiv sau fără o bază legală, furnizarea oricăror informații necesare pentru a ajuta operatorul să completeze o cerere de acces a persoanei vizate și informarea persoanelor vizate în prealabil dacă datele cu caracter personal sunt transferate între jurisdicții. Controlul A.15.1 (Securitatea informațiilor în relațiile cu furnizorii) necesită “protecția activelor organizației accesibile de către furnizori”.
  1. Măsuri tehnice și organizatorice adecvate pentru risc – ISO 27001 obligă organizațiile să implementeze măsuri adecvate prin controalele organizaționale și tehnice pentru a sprijini respectarea acestor cerințe. De exemplu, controlul A.10.1 specifică cerințele de criptare pentru organizare, care pot asigura confidențialitatea informațiilor personale, indiferent dacă acestea sunt folosite în rețea, în tranzit sau pe dispozitive mobile. Mai mult, controlul A.9 acoperă subiectul controlului accesului, care garantează că numai persoanele cu un drept legitim pot accesa informațiile în funcție de nivelul lor de privilegii. Controlul 18.2.3 recomandă companiilor să efectueze teste de vulnerabilitate și teste de penetrare astfel încât sistemele testate să nu fie compromise. În schimb, GDPR oferă doar sugestii specifice pentru ce tipuri de acțiuni de securitate ar putea fi considerate “adecvate pentru risc “, inclusiv pseudonimizarea și criptarea datelor cu caracter personal, abilitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența sistemelor și posibilitatea de a restabili disponibilitatea și accesul la datele personale în timp util, în cazul unei situații fizice sau incident tehnic. Regulamentul prevede  și un proces de testare, evaluare periodică pentru eficacitatea măsurilor tehnice și organizatorice de asigurare a securității procesării.
  2. Clasificarea informațiilor asigură manipularea corectă și monitorizarea informațiilor sensibile în interiorul și în afara unei afaceri. ISO 27001 nu descrie nivelurile de clasificare și oferă această  libertatea operatorilor de a stabili propriile reguli,  în funcție de complexitatea fluxurilor de date din organizație. 
  3. Gestionarea incidentelor și notificare privind încălcarea securității – Operatorii sunt obligați să notifice autoritățile de supraveghere în termen de 72 de ore de la descoperirea unei încălcări a datelor cu caracter personal. Implementarea controlului 27001 A.16.1 (Managementul incidentelor și îmbunătățirilor în materie de securitate a informațiilor) va asigura “o abordare consecventă și eficientă a gestionării incidentelor de securitate a informațiilor, inclusiv a comunicării privind evenimentele de securitate”. Potrivit GDPR, persoanele vizate trebuie să fie notificate numai dacă pierderea de date prezintă un ”risc ridicat pentru drepturile și libertatea acestora”. Managementul incidentelor trebuie să facă parte din politicile de securitate ale oricărei organizații, alături de procedurile de backup, continuitate în business, recuperarea în caz de dezastru, gestionarea riscurilor și gestionarea configurației.
  4. Gestionarea activelor – Controlul A2.8 (Asset Management) presupune includerea datelor cu caracter personal ca active de securitate și permite operatorilor să înțeleagă caracteristicile  acestor  date (localizare și termen de stocare, originea, nivelul de acces). Aceste cerințe se regasesc integral și în GDPR. 

ESTE ISO 27701:2019 ESTE O CERTIFICARE GDPR IN SENSUL ARTICOLULUI 42?

În ciuda faptul că cele două standarde fac parte din aceeași familie, acestea acoperă diferite subiecte.  Primul se adresează controalelor de confidențialitate ale organizațiilor, în timp ce ISO 27001 abordează securitatea informațiilor. Putem spune că ISO 27001 se referă la modul în care o organizație păstrează datele corecte, disponibile și accesibile numai angajaților autorizați și că ISO 27701 se referă la modul în care o organizație colectează date cu caracter personal și împiedică utilizarea sau divulgarea neautorizată a acestora. 

De exemplu, dacă o organizație colectează cantități excesive de informații despre o persoană, aceasta reprezintă o încălcare a principiului minimizării. Același lucru este valabil și în cazul în care un angajat neautorizat sau un criminal cibernetic deține datele.

Atunci când construiesc un cadru de securitate a informațiilor, organizațiile trebuie să facă câțiva pași suplimentari pentru a se asigura că problemele legate de confidențialitate sunt luate în considerare. Abordarea ISO 27701 recunoaște acest lucru prin extinderea clauzelor ISO 27001 și controalelor care se referă în mod specific la confidențialitatea datelor, precum și prin furnizarea a două seturi suplimentare de controale specifice operatorilor de date și persoanelor împuternicite de aceștia. De asemenea, se bazează pe principiul securității informațiilor, direcționând către principiile de confidențialitate mai extinse din ISO 29100, standardul internațional care oferă un cadru de confidențialitate pentru datele cu caracter personal deținute în sistemele IT. Acestea acoperă o gamă mai largă de probleme de confidențialitate, inclusiv cele discutate în reglementările privind protecția datelor la nivel internațional. ISO 27701 răspunde la această întrebare, explicând cum să se asigure operatorii că confidențialitatea datelor este abordată în mod adecvat.

ISO 27701 oferă măsuri de control care servesc drept instrumente pentru a menține organizația sub control în ceea ce privește GDPR. Cu toate acestea, certificarea presupune un alt tip de schemă de acreditare și certificare decât cea utilizată pentru ISO 27001 sau ISO 27701. Legislația impune acreditarea ISO 17065 conform căreia produsele, serviciile sau procesele sunt certificate, nu afacerea.

Regulamentul GDPR (articolul 5, paragraful 2) prevede că operatorul trebuie să poată „demonstra conformitatea” cu legea. Există trei moduri diferite de a demonstra acest lucru:

  1. La cererea autorității, puneți la dispoziție totul ca dovadă a conformității organizației 
  2. Prin intermediul unui cod de conduită aprobat.
  3. Prin certificare GDPR. În momentul redactării acestui articol, în România nu există coduri de conduită sau certificări GDPR aprobate oficial. Certificarea GDPR este, cu siguranță, posibilă și acest lucru este menționat și în regulament (articolele 42 și 43). Cu toate acestea, pentru a putea certifica un operator în conformitate cu legislația GDPR, există o serie de obligații pe care un organism de certificare trebuie să le îndeplinească. Organizația trebuie să respecte o acreditare ISO 17065 cu care procesele, produsele și serviciile pot fi certificate. Trebuie să existe un sistem specific de certificare care să poată urmări întregul proces de prelucrare a datelor cu caracter personal și care poate fi evaluat de un auditor.

Implementarea ISO 27701 și ISO 27001 permite operatorilor să îndeplinească cerințele de confidențialitate și securitate a informațiilor din GDPR și alte regimuri de protecție a datelor și să demonstreze că și-au luat aranjamentul implementării unor „măsuri tehnice și organizaționale adecvate” pentru a proteja datele personale pe care le prelucrează și să respecte drepturile persoanelor vizate, în conformitate cu principiul responsabilității din GDPR - articolul 5 alineatul (2).

ISO / IEC 27701: 2019 este un standard important pentru a vă îmbunătăți afacerea și pentru a demonstra responsabilitatea față de legislația în materie de confidențialitate în vigoare și, de asemenea, oferă un sistem de management clar și util tuturor părților interesate implicate în prelucrarea și protecția datelor cu caracter personal. Deși are „protecția datelor” în numele său, GDPR este la fel de preocupat de confidențialitatea datelor ca și standardele internaționale ISO/IEC. Cu toate acestea, acesta nu include îndrumări cu privire la modul de îndeplinire a cerințelor sale, pentru a se preveni ca GDPR să devină depășit pe măsură ce cele mai bune practici evoluează și noile tehnologii devin disponibile. 

La 2 aprilie 2020, Autoritatea Franceză pentru Protecția Datelor („CNIL”) a publicat un comunicat de presă subliniind importanța standardului ISO / IEC 27701 pentru protecția datelor cu caracter personal. 

CNIL afirmă că standardul ISO / IEC 27701 este un standard cu adevărat global. A fost elaborat la nivel internațional, cu contribuții ale experților de pe toate continentele și participarea multor autorități de protecție a datelor. Regulamentul General privind Protecția Datelor (GDPR) și alte legi importante privind protecția datelor (cum ar fi cele adoptate în Australia, Brazilia, California și Canada) au fost luate în considerare la elaborarea standardului. 

Standardul ISO / IEC 27701 acordă o atenție specială GDPR, așa cum este demonstrat de anexa D la standardul respectiv, care mapează fiecare clauză a standardului în raport cu articolul GDPR corespunzător. Totuși, CNIL subliniază că standardul ISO / IEC 27701 nu este specific GDPR și, prin urmare, nu constituie un instrument de certificare în sensul articolului 42 din GDPR. În schimb, implementarea standardul ISO / IEC 27701 reprezintă cel mai înalt nivel al calității unui sistem de management în domeniul protecției vieții private. În viziunea CNIL, standardul permite organizațiilor care îl adoptă să crească nivelul de calitate al programului lor de conformitate cu protecția datelor și să demonstreze o abordare proactivă a protecției datelor cu caracter personal

Concluzionăm că implementarea controalelor din standardele ISO/IEC asigură premisele  pentru eliminarea situațiilor în care sunt aplicate sancțiuni sub forma de avertisment, amendă sau măsuri în baza art. 32 din Regulament. 

DESPRE AUTOR

Marius Dumitrescu este licențiat în științe politice, având un master în domeniul marketingului și o experiență de peste 16 ani în implementarea și gestionarea soluțiilor software medical și farmaceutic. Este președintele Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) și a absolvit în iulie 2018 studiile postuniversitare de lungă durată privind protecția datelor în cadrul Facultății de Științe Economice, Juridice și Administrative – Centrul pentru Protecția Datelor (CPD) din Tîrgu-Mureș. Este directorul editorial a două publicații, una destinată profesioniștilor în protecția și securitatea datelor cu caracter personal și una adresată comunității medicale și farmaceutice din România. Este formator și lector, susținând mai multe sesiuni educaționale pe teme precum securitatea datelor, Regulamentul General privind Protectia Datelor și managementul organizațional. Este implicat activ în organizarea unor evenimente cu tradiție în domeniul sanitar românesc, în special în sfera medicală, a farmacoeconomiei și a managemetului sanitar. Este inregistrat ca PECB Certified DPO din ianuarie 2021 si Trainer PECB.

 

Tabel 1 - Corespondența dintre articolele GDPR și clauzele ISO/IEC 27701

Articole din Regulamentul General privind Protecția Datelor (GDPR) Clauze ISO/IEC 27701:2019
  • Art. 24 “Responsabilitatea operatorului”, alin. (3);
  • Art. 25 “Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit”, alin. (3);
  • Art. 28 “Persoana împuternicită de operator”, alin. (5), (6) și (10);
  • Art. 32 “Securitatea prelucrării”, alin. (3);
  • Art. 40 “Coduri de conduită”, alin. (1), alin. (2), lit. a) - k), alin. (3) - (11);
  • Art. 41 “Monitorizarea codurilor de conduită aprobate”, alin. (1), alin. (2), lit. a) - d), alin (3) - (6);
  • Art. 42 “Certificare”, alin. (1) - (8).
5.2.1 Înțelegerea organizației și a contextului acesteia
  • Art. 31 “Cooperarea cu autoritatea de supraveghere;
  • Art. 35 “Evaluarea impactului asupra protecției datelor”, alin. (9);
  • Art. 36 “Consultarea prealabilă”, alin. (1) - (2), alin. (3), lit. a) - f ), alin. (5).
5.2.2 Înțelegerea nevoilor și așteptărilor părților interesate
  • Art. 32 “Securitatea prelucrării”, alin. (2).
5.2.3 Determinarea sferei de aplicare a sistemului de management al securității informațiilor
  • Art. 32 “Securitatea prelucrării”, alin. (2).
5.2.4 Sistem de management al securității informațiilor
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. b), alin. (2).
5.4.1.2 Evaluarea riscului de securitate a informațiilor
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. b), alin. (2).
5.4.1.3 Tratarea riscului de securitate a informațiilor
  • Art. 24 “Responsabilitatea operatorului”, alin. (2).
6.2.1.1 Politici de securitate a informațiilor
  • Art. 27 “Reprezentanții operatorilor sau ai persoanelor împuternicite de operatori care nu își au sediul în Uniune”, alin. (1), alin. (2), lit. a) - b), alin. (3) - (5);
  • Art. 37 “Desemnarea responsabilului cu protecția datelor”, alin. (1), lit. a) - c), alin. (2) - (7);
  • Art. 38 “Funcția responsabilului cu protecția datelor”, alin. (1) - (6);
  • Art. 39 “Sarcinile responsabilului cu protecția datelor”, alin. (1), lit. a) - e), alin. (2).
6.3.1.1 Roluri și responsabilități de securitate a informațiilor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f)
6.3.2.1 Politica dispozitivelor mobile
  • Art. 39 “Sarcinile responsabilului cu protecția datelor”, alin. (1), lit. b).
6.4.2.2 Conștientizarea, educarea și instruirea în domeniul securității informațiilor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 32 “Securitatea prelucrării”, alin. (2).
6.5.2.1 Clasificarea informațiilor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.5.2.2 Etichetarea informațiilor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. a).
6.5.3.1 Gestionarea suporturilor amovibile
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.5.3.2 Eliminarea materialelor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. a).
6.5.3.3 Transfer fizic de date
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.6.2.1 Înregistrarea și ștergerea utilizatorului
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.6.2.2 Provizionarea accesului utilizatorului
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.6.4.2 Proceduri de conectare sigure
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. a).
6.7.1.1 Politica privind utilizarea controalelor criptografice
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.8.2.7 Eliminarea sau refolosirea în siguranță a echipamentelor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.8.2.9 Politica de birou curat și ecran  protejat 
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. c).
6.9.3.1 Backup de informații
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.9.4.1 Înregistrarea evenimentelor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.9.4.2 Protecția informațiilor din jurnal
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.10.2.1 Politici și proceduri privind transferul de informații
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. b);
  • Art. 38 “Funcția responsabilului cu protecția datelor”, alin. (5).
6.10.2.4 Acorduri de confidențialitate sau nedivulgare
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. a).
6.11.1.2 Securizarea serviciilor de aplicații în rețelele publice
  • Art. 25 “Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit”, alin. (1).
6.11.2.1 Politica de dezvoltare sigură
  • Art. 25 “Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit”, alin. (1).
6.11.2.5 Principii sigure de inginerie a sistemelor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.11.3.1 Protecția datelor de testare
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 28 “Persoana împuternicită de operator”, alin. (1), alin. (3), lit. a) - h);
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (2), lit. d);
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. b).
6.12.1.2 Abordarea securității în cadrul acordurilor cu furnizorii
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 33 “Notificarea autorităţii de supraveghere în cazul încălcării securităţii datelor cu caracter personal”, alin. (1), alin. (3), lit. a) - d), alin. (4) - (5);
  • Art. 34 “Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal”, alin. (1) - (2), alin. (3), lit. a) - c), alin. (4)
6.13.1.1 Responsabilități și proceduri
  • Art. 33 “Notificarea autorităţii de supraveghere în cazul încălcării securităţii datelor cu caracter personal”, alin. (1) - (2), alin. (3), lit. a) - d), alin. (4) - (5);
  • Art. 34 “Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal”, alin. (1) - (2).
 

6.13.1.5 Răspuns la incidente de securitate a informațiilor

  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 28 “Persoana împuternicită de operator”, alin. (1), alin. (3), lit. a) - h);
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (2), lit. d);
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. b).
6.15.1.1 Identificarea legislației aplicabile și a cerințelor contractuale
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (2);
  • Art. 24 “Responsabilitatea operatorului”, alin. (2).
6.15.1.3 Protecția înregistrărilor
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. d), alin. (2).
6.15.2.1 Revizuirea independentă a securității informațiilor
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. d), alin. (2).
6.15.2.3 Revizuirea conformității tehnice
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. b);
  • Art. 32 “Securitatea prelucrării”, alin. (4).
7.2.1 Identificarea și documentarea scopului
  • Art. 10 “Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni;
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. a);
  • Art. 6 “Legalitatea prelucrării”, alin. (1), lit. a) - f), alin. (2) - (3), alin. (4), lit. a) - e);
  • Art. 8 “Condiții aplicabile în ceea ce privește consimțământul copiilor în legătură cu serviciile societății informaționale”, alin. (3);
  • Art. 9 “Prelucrarea de categorii speciale de date cu caracter personal”, alin. (1), alin. (2), lit. b) - j), alin. (3) - (4);
  • Art. 17 “Dreptul la ștergerea datelor („dreptul de a fi uitat”)”, alin. (3), lit. a), alin. (3), lit. b) - e);
  • Art. 18 “Dreptul la restricționarea prelucrării”, alin. (2);
  • Art. 22 “Procesul decizional individual automatizat, inclusiv crearea de profiluri”, alin. (2), lit. a) - c), alin. (4).
7.2.2 Identificarea bazei legale
  • Art. 8 “Condiții aplicabile în ceea ce privește consimțământul copiilor în legătură cu serviciile societății informaționale”, alin. (1) - (2).
7.2.3 Determinarea situațiilor când și cum trebuie obținut consimțământul
  • Art. 7 “Condiții privind consimțământul”, alin. (1) - (2);
  • Art. 9 “Prelucrarea de categorii speciale de date cu caracter personal”, alin. (2), lit. a).
7.2.4 Obținerea și înregistrarea consimțământului
  • Art. 35 “Evaluarea impactului asupra protecției datelor”, alin. (1) - (2), alin. (3), lit. a) - c), alin. (4) - (5), alin. (7), lit. a) - d), alin. (8) - (11);
  • Art. 36 “Consultarea prealabilă”, alin. (1), alin. (3), lit. a) - f), alin. (5).
7.2.5 Evaluarea impactului asupra confidențialității
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (2);
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. e), alin. (9).
7.2.6 Contracte cu împuterniciții PII
  • Art. 26 “Operatori asociați”, alin. (1) - (3).
7.2.7 Operatorii asociați
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (2);
  • Art. 24 “Responsabilitatea operatorului”, alin. (1);
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (1), lit. a) - d) și lit. f) - g), alin. (3) - (5).
7.2.8 Înregistrări legate de procesarea împuterniciților
  • Art. 12 “Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, alin. (2).
7.3.1 Determinarea și îndeplinirea obligațiilor față de împuterniciți
  • Art. 11 “Prelucrarea care nu necesită identificare”, alin. (2);
  • Art. 13 “Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, alin. (3), alin. (1), lit. a) - f), alin. (2), lit. c) - e), alin. (4);
  • Art. 14 “Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, alin. (1), lit. a) - f), alin. (2), lit. b) și lit. e) - f), alin. (3), lit. a) - c), alin. (4), alin. (5), lit. a) - d);
  • Art. 15 “Dreptul de acces al persoanei vizate”, alin. (1), lit. a) - h), alin. (2);
  • Art. 18 “Dreptul la restricționarea prelucrării”, alin. (3);
  • Art. 21 “Dreptul la opoziție”, alin. (4).
7.3.2 Determinarea informațiilor pentru împuterniciți
  • Art. 11 “Prelucrarea care nu necesită identificare”, alin. (2);
  • Art. 12 “Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, alin. (1) și (7);
  • Art. 13 “Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, alin. (3);
  • Art. 21 “Dreptul la opoziție”, alin. (4).
7.3.3 Furnizarea de informații către împuterniciți
  • Art. 7 “Condiții privind consimțământul”, alin. (3);
  • Art. 13 “Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, alin. (2), lit. c);
  • Art. 14 “Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, alin. (2), lit. d);
  • Art. 18 “Dreptul la restricționarea prelucrării”, alin. (1), lit. a) - d).
7.3.4 Furnizarea mecanismului de modificare sau retragere a consimțământului
  • Art. 13 “Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, alin. (2), lit. b);
  • Art. 14 “Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, alin. (2), lit. c);
  • Art. 21 “Dreptul la opoziție”, alin. (1) - (3), alin. (5) - (6).
7.3.5 Furnizarea mecanismului de a obiecta la procesarea de către împuterniciți
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. d);
  • Art. 13 “Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, alin. (2), lit. b);
  • Art. 14 “Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, alin. (2), lit. c);
  • Art. 16 “Dreptul la rectificare;
  • Art. 17 “Dreptul la ștergerea datelor („dreptul de a fi uitat”)”, alin. (1), lit. a) - f), alin. (2).
7.3.6 Acces, corectare și / sau ștergere
  • Art. 19 “Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării.
7.3.7 Obligațiile operatorilor PII de a informa terții
  • Art. 15 “Dreptul de acces al persoanei vizate”, alin. (3) - (4);
  • Art. 20 “Dreptul la portabilitatea datelor”, alin. (1) - (4).
7.3.8 Furnizarea copiei cu datele procesate
  • Art. 15 “Dreptul de acces al persoanei vizate”, alin. (1), lit. a) - h);
  • Art. 12 “Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, alin. (3) - 6).
7.3.9 Gestionarea cererilor
  • Art. 13 “Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, alin. (2), lit. f);
  • Art. 14 “Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, alin. (2), lit. g);
  • Art. 22 “Procesul decizional individual automatizat, inclusiv crearea de profiluri”, alin. (1) și (3).
7.3.10 Luarea automată a deciziilor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. b) - c).
7.4.1 Limitarea colectării
  • Art. 25 “Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit”, alin. (2).
7.4.2 Limitarea procesării
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. d).
7.4.3 Acuratețe și calitate
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. c) și e).
7.4.4 Obiective de minimizare
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. c) și e);
  • Art. 6 “Legalitatea prelucrării”, alin. (4), lit. e);
  • Art. 11 “Prelucrarea care nu necesită identificare”, alin. (1);
  • Art. 32 “Securitatea prelucrării”, alin. (1), lit. a).
7.4.5 Anonimizarea și ștergerea la sfârșitul procesării
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. c).
7.4.6 Fișiere temporare
  • Art. 13 “Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, alin. (2), lit. a);
  • Art. 14 “Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, alin. (2), lit. a).
7.4.7 Termenul de păstrare
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
7.4.8 Eliminarea / Ștergerea
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
7.4.9 Transferul de date 
  • Art. 15 “Dreptul de acces al persoanei vizate”, alin. (2);
  • Art. 44 “Principiul general al transferurilor;
  • Art. 45 “Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecție”, alin. (1), alin. (2), lit. a) - c), alin. (3) - (9);
  • Art. 46 “Transferuri în baza unor garanții adecvate”, alin. (1), alin. (2), lit. a) - f), alin. (3), lit. a) - b), alin. (4) - (5);
  • Art. 47 “Reguli corporatiste obligatorii”, alin. (1), lit. a) - c), alin. (2), lit. a) - n), alin. (3);
  • Art. 49 “Derogări pentru situații specifice”, alin. (1), lit. a) - g), alin. (2) - (6);
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (1), lit. e);
  • Art. 48 “Transferurile sau divulgările de informații neautorizate de dreptul Uniunii.
7.5.1 Identificarea temeiului pentru transferul către terți 
  • Art. 15 “Dreptul de acces al persoanei vizate”, alin. (2);
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (1), lit. e).
7.5.2 Țări și organizații internaționale către care poate fi transferate date
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (1), lit. e).
7.5.3 Înregistrări ale transferului
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (1), lit. d).
7.5.4 Înregistrări ale divulgării către terți
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. f), alin. (3), lit. e), alin. (9);
  • Art. 35 “Evaluarea impactului asupra protecției datelor”, alin. (1).
8.2.1 Acordul clientului
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. a) - b);
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. a);
  • Art. 29 “Desfășurarea activității de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de operator;
  • Art. 32 “Securitatea prelucrării”, alin. (4).
8.2.2 Scopurile organizației
  • Art. 7 “Condiții privind consimțământul”, alin. (4).
8.2.3 Utilizarea marketingului și a publicității
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. h).
8.2.4 Informarea încălcărilor de securitate
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. h).
8.2.5 Obligațiile clienților
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (3) - (5), alin. (2), lit. a) - b).
8.2.6 Înregistrări legate de procesare
  • Art. 15 “Dreptul de acces al persoanei vizate”, alin. (3);
  • Art. 17 “Dreptul la ștergerea datelor („dreptul de a fi uitat”)”, alin. (2);
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. e).
8.3.1 Obligații față de împuterniciți
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. c).
8.4.1 Fișiere temporare
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. g);
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (1), lit. f).
8.4.2 Returnarea, transferul sau eliminarea datelor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
8.4.3 Controlul transferurilor
  • Art. 44 “Principiul general al transferurilor;
  • Art. 46 “Transferuri în baza unor garanții adecvate”, alin. (1), alin. (2), lit. a) - f), alin. (3), lit. a) - b);
  • Art. 48 “Transferurile sau divulgările de informații neautorizate de dreptul Uniunii;
  • Art. 49 “Derogări pentru situații specifice”, alin. (1), lit. a) - g), alin. (2) - (6).
8.5.1 Temeiul transferului între jurisdicții
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (2), lit. c).
8.5.2 Țări și organizații internaționale către care pot fi transferate date
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (2), lit. d).
8.5.3 Înregistrări ale divulgării către terți
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. a).
8.5.4 Notificarea cererilor de divulgare
  • Art. 48 “Transferurile sau divulgările de informații neautorizate de dreptul Uniunii.
8.5.5 Dezvăluiri obligatorii din punct de vedere legal
  • Art. 28 “Persoana împuternicită de operator”, alin. (2) și (4).
8.5.6 Dezvăluirea subcontractanților utilizați pentru procesarea datelor
  • Art. 28 “Persoana împuternicită de operator”, alin. (2), alin. (3), lit. d).
8.5.7 Angajarea unui subcontractant pentru procesarea datelor
  • Art. 28 “Persoana împuternicită de operator”, alin. (2).
8.5.8 Schimbarea subcontractantului pentru procesarea datelor

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Ransomware KEVERSEN – acum și în România!

IT&C / Securitatea Informatiei

Vizualizari: 3965

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Virusul Keversen a cauzat deja prejudicii unor organizații care activează în România, însă înainte de a defini acest tip de virus, oferim câteva cifre despre criza de atacuri ransomware care se află în continuă creștere în 2021 față de 2020.

Conform Raportului 2021 Global Security Attitude Survey realizat de compania CrowdStrike, 66% dintre organizațiile participante la studiu au fost victimele unui atac de timp ransomware în ultimele 12 luni și 96% dintre companiile care au achitat recompensa solicitată de hacker au fost nevoite să achite și așa-zise „taxe de extorcare” adică costuri de șantaj adiacente.

De asemenea, 57% dintre companiile atacate prin ransomware nu aveau implementată o strategie comprehensivă (aplicabilă în concret) pentru a reacționa în mod eficient (incident response) la situația generată de respectivul incident de securitate.

Numai 42% dintre organizațiile care au participat la studiul CrowdStrike au implementat un program de awarness continuu la nivelul organizației cu privire la igiena cibernetică a angajaților prin desfășurarea unor sesiuni de training.

Virusul Keversen este un tip de malware (tehnologie malițioasă) care criptează fișiere și solicită plata unei recompense pentru redobândirea accesului la acestea. Redenumește fișierele cu extensia „ .keversen ”, spre exemplu 10.jpg, 10.keversen și creează o cerere (o notă) scrisă de recompensă sub forma unui fișier =READMY=!.txt.

No alt text provided for this image

De regulă, notele de solicitare a recompensei oferă informații de contact ale hackerului și detaliile privind realizarea de către organizația victimă a plății sumei solicitate. Companiile pot contacta atacatorii prin adrese de mail utilizate de acestea (nu sunt adrese uzuale de Microsoft sau Gmail!) cu referirea la ID-ul oferit de atacator victimei (da, victimele au ID-uri de „client”!).

Din informațiile disponibile despre virusul Keversen, tentativele de restaurare a accesului la fișierele criptate le va corupe în mod permanent, accesul fiind realizat numai de către hackerul care a creat acest ransomware, așadar numai atacatorul poate să ajute victima pentru decriptarea fișierelor. În eventualitatea în care organizația victimă nu plătește suma solicitată cu titlu de recompensă, fișierele sunt vândute către terțe părți și/sau sunt publicate online.

Vânzarea fișierelor către terțe părți poate expune informațiile confidențiale concurenților organizației și altor hackeri interesați de bonitatea financiară a organizației și de operațiunile acesteia, iar diseminarea pe internet a datelor cu caracter personal a clienților sau angajaților reprezintă o încălcare a Regulamentului General privind Protecția Datelor (GDPR) ceea ce conduce la declanșarea unei investigații și cel puțin la plata unei amenzi. Mai mult, lovitura de imagine suferită de organizate și lipsa neîncrederii pieței în serviciile sau produsele acesteia, adesea este adevărata pierdere suferită de organizație...

Încrederea, se pierde o singură dată!

O altă trăsătură caracteristică a ransomware-ului Keversen, este aceea că are capacitatea de a cripta în continuare alte fișiere (further encryption) și poate infecta dispozitive legate în aceeași rețea. Recomandarea noastră este aceea de a stabili o soluție de back-up automatizată a fișierelor, ceea ce reprezintă și o soluție de continuare a activității organizației (Busines Continuity), neexistând în prezent nicio soluție software care să poată decripta un ransomware Keversen. Nu este recomandată plata recompensei pentru recuperarea datelor (a fișierelor) pierdute, nefiind siguri dacă hackerul va restaura accesul la respectivele fișiere. În definitiv, orice discuție angajată cu atacatorul după realizarea cu succes a atacului cibernetic, reprezintă un dialog cu un răufăcător.

De asemenea, realizarea update-urilor sistemelor și aplicațiilor utilizate și implementarea unor politici de gestionare a parolelor (password management) și de acces la respectivele dispozitive (access management) este deosebit de importantă în stabilirea regulilor de igienă cibernetică corespunzătoare. În practică, am observat că, dacă există politici (măsuri organizatorice) implementate, de regulă acestea sunt greu de înțeles de către angajați, nu sunt explicate în cadrul unor sesiuni de implementare și în cele mai multe dintre organizații, dacă producerea unui incident de securitate IT este observată, personalul nu știe cui să se adreseze mai întâi. Astfel, organizația atacată pierde timp prețios, iar timpul este esențial în astfel de momente pe care noi le asimilăm de fiecare dată unui incendiu.

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Telekom Romania primeste a cincea amendă GDPR

A cincea amendă GDPR a fost inclusă în „palmaresul” Telekom România. Singura noutate este că, față de cele patru amenzi anterioare, Autoritatea Națională de Supraveghere a constatat, de […]

Fiecare practician GDPR trebuie să aibă această carte

In domeniul protecției datelor în România, anul 2021 a debutat cu relansarea pe piață a carții „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016” ( Editia 1, […]

Peste 80% dintre români nu știu cum să raporteze criminalitatea informatică!

România ocupă locul al doilea în acest top, întrucât 84% dintre români nu au nici o idee despre cum să raporteze o infracțiune cibernetică sau un comportament online […]

Ce întrebări să punem unui consultant în securitate cibernetică, înainte de a-l angaja?

Securitatea cibernetică este de interes în fiecare industrie și arie geografică, așa cum pericolul atacurilor online vizează orice organizație. În consecință, numeroase companii sunt în căutare de expertiză […]

Noi e-mail-uri înșelătoare țintesc victime din România cu mesaje care pretind că sunt trimise de către Poșta Română și Banca Transilvania

Bitdefender avertizează asupra unei noi campanii de e-mail-uri frauduloase care pretind a fi trimise din partea unor entități cunoscute, precum Banca Transilvania sau Poșta Română Specialiștii în securitate […]

OSIM și EUIPO sunt ținta unui atac cibernetic de tip malware EMOTET

În ultimele luni, o serie de entități publice și private din România au fost puternic afectate de valuri succesive de atacuri cu malware de tip EMOTET, care au […]

IMPACTUL INVALIDĂRII PRIVACY SHIELD SI POSIBILE SOLUTII PENTRU OPERATORII DE DATE PERSONALE

16 iulie 2020. O dată de referință pentru istoria protecției datelor personale. O dată de la care aproape toți operatorii de date personale din România ar trebui să-și […]

CERT-RO protejează digital sănătatea României

Faptul că sectorul medical din România este puternic solicitat de pandemia COVID-19 nu este o noutate. Din păcate, chiar săptămâna trecută unul dintre spitalele municipale din România a […]

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Belgia: Ghid privind verificările temperaturii la intrarea în incinte

În data de 5 iunie 2020, Autoritatea de Supraveghere din Belgia a publicat un ghid cu privire la verificările de temperatură în timpul crizei COVID-19, având în vedere […]

Twitter blochează postările care leagă pandemia Covid19 de tehnologia 5G

În urma distribuirii pe rețelele de socializare sau sistemele de mesagerie precum WhatsApp a mai multor mesaje care leagă riscurile introduse de coronavirus de tehnologia 5G mai multe antene […]

Alexandru Gheorghe: Nu am găsit în România experți care să realizeze o „autopsie” a unui telefon mobil

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Inperspective. El a format și condus […]

Digisign ofera un cadou fiecarui absolvent al cursului online GRATUIT

Astazi, 23 Aprilie 2020, este lansat un nou curs online actualizat, oferit GRATUIT, avand tema „Informatii introductive despre utilizarea semnaturilor electronice” si care isi propune sa ofere informații […]

Bitdefender oferă gratis soluții de securitate tuturor organizațiilor din domeniul sanitar

Soluțiile de securitate sunt menite să ajute angajații din sănătate în contextul în care numărul atacurilor informatice care exploatează subiectul coronavirus a crescut de aproape cinci ori pe […]

Hai să facem împreună analiza unei tentative de phishing

Cred că nu ne preocupă îndeajuns de mult o realitate infracțională care capătă proporții sub ochii noștri, fără a sesiza impactul pe care îl are asupra vieților noastre […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Decathlon: 123 de milioane de înregistrări cu date cu caracter personal au fost publicate accidental

Potrivit cercetătorilor de la vpnMentor, peste 123 de milioane de înregistrări cu date cu caracter personal aparținând atât clienților cât și angajaților companiei Decathlon au fost expuse accidental. […]

Datele a zeci de mii de consumatori de canabis medicinal din SUA a fost expuse accidental

Conform vpnMentor, datele a zeci de mii de consumatori de canabis din SUA au fost expuse accidental, datorita unor erori de configurație a mediilor de stocare(cloud). Peste 85.000 […]

Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

gazduire website gazduire web