Cât ne poate costa pierderea unui stick cu date personale? Un polițist a aflat!

Brese de securitate

Vizualizari: 6871

Facebooktwittergoogle_plusredditpinterestlinkedinmail

V-ați întrebat vreodată cât v-ar putea costa pierderea unui stick cu date personale? O încălcare a securității datelor cu care ne putem confrunta oricare dintre noi, oricât de grijulii ne place să credem că suntem.

Dar de ce să ne limităm la un stick și să nu luăm în calcul la pierderea oricărui tip de dispozitiv mobil pe care sunt stocate date cu caracter personal? Și aici aș include, pe lângă stick-uri, telefoane mobile, tablete, laptop-uri, HDD-uri externe, mai nou ceasuri, carduri de memorie și nu numai.

Apropo de costuri, v-ar putea interesa și articolul, publicat acum câteva zile, despre cum a ajuns o copie de buletin să coste 10.000 €, atunci când principiile prevăzute de GDPR nu sunt puse în practică. 

Cel mai bine este să învățăm din greșelile altora

Autoritatea de supraveghere maghiară (Autoritatea) a publicat pe site-ul său, în data de 06/25/2019 decizia NAIH/2019/2471/6, ca urmare a finalizării investigației unui incident de securitate raportat de Poliția din Budapesta (Poliția) la 25 februarie 2019.

Conform raportului incidentului, la 11 ianuarie 2019, în îndeplinirea sarcinilor sale la sediul Poliției din Budapesta, un angajat al acestei instituții (să-l numim Politistul X) a pierdut un stick de memorie care conținea o listă a angajaților Poliției alături de dosarele de personal ale acestora. Documentele conțineau informații personale ale celor 1.733 de polițiști, cum ar fi numele nașterii, data nașterii, numele mamei, numărul TAI (probabil CNP), titlul postului.

Cum poți pierde datele a peste 1700 de polițiști?

Polițistul X participase la o ședință a conducerii instituției, datele de pe stick fiind necesare analizei impactului unei schimbări legislative. Între locația unde s-a ținut ședința, hotelul unde a fost cazat și înapoi la sediul poliției în cea de-a doua zi, stick-ul, care ar fi trebui să fie legat la breloc alături de cheile polițistului, a „evadat” din custodia acestuia, fără urmă.

Așa cum era de așteptat, nici stick-ul de memorie și nici fișierele pe care le conținea nu au fost protejate împotriva accesul neautorizat, prin criptare sau parolare, astfel că puteau fi accesate de oricine intra în posesia stick-ului. Cu toate acestea, datele de pe stick erau în copie, putând fi recuperate din alte surse.

Lungmetrajul investigației dispariției misterioase

Deși Politistul X și-a anunțat imediat superiorul cu privire la incidentul de securitate respectiv și cu privire la informațiile pe care stick-ul le conținea, Poliția a informat autoritatea de supraveghere maghiară despre incidentului, în conformitate cu articolul 33 alineatul (5) din Regulamentul general privind protecția datelor, abia după mai bine de o lună de la pierderea stick-ului.

În urma acelei breșe, pentru a evita incidentele similare viitoare și pentru a atenua riscurile, Poliția a efectuat audituri interne pentru a înregistra, gestiona și documenta predarea suporturilor externe de stocare a datelor.

Investigațiile Poliției au durat pană în data de 8 februarie 2019, când DPO-ul instituției a luat legătura cu autoritatea de supraveghere maghiară solicitând o rezoluție cu privire la nivelul de risc prezentat de incident privind drepturile și libertățile persoanelor vizate. 

Autoritatea a opinat că incidentul este considerat fundamental riscant fiind vorba de date personale care nu sunt publice, cum ar fi numele și funcția, însă nu a identificat indicii ale accesului, dezvăluirea sau comunicarea neautorizată în urma pierderii stick-ului.

Cu toate acestea, autoritatea a considerat că riscul expunerii la o încălcare continuă a confidențialității justifică raportarea incidentului la autoritate în temeiul articolului 33 alineatul (1) din Regulamentul general privind protecția datelor. 

Poliția a trimis prin poștă, în data de 25 februarie 2019, Formularul de raportare a incidentelor, completat corespunzător art 33 (5).

Ce a decis autoritatea?

În urma trimiterii formularului, Autoritatea a inițiat procedura formală de investigare prin a constată că Poliția nu a respectat dispozițiile privind protecția datelor cu caracter personal și nu a raportat fără întârziere incidentul, sancționând-o cu o amendă administrativă în valoare de 5.000.000 de HUF, însemnând aproximativ 15.000 de euro.

Morala

Dacă o copie de buletin poate ajunge să coste 10.000 de euro atunci când sunt ignorate prevederile GDPR, iartă că în aceleași condiții pierderea unui stick poate să ne coste chiar mai scump. 

Fiecare dintre noi putem sa ne trezim victime ale unei situații de genul acesta, indiferent ca discutam despre un stick, un telefon, un HDD extern, un laptop sau orice alt dispozitiv mobil care poate conține date personale. 

În cele mai multe cazuri, putem evita o mare bătaie de cap aplicând câteva soluții accesibile tuturor: backup periodic, pseudonimizarea datelor acolo unde este posibil, parolarea dispozitivelor și/sau criptarea lor sau a datelor personale pe care le conțin.

De reținut: Pseudonimizarea, criptarea și/sau parolarea ne pot scăpa de notificarea breșei

Art. 33 din GDPR, care instituie obligația notificării autorității de supraveghere în cazul încălcării securităţii datelor cu caracter personal include o excepție extrem de importantă.

Astfel în cazul în care o breșă de securitate este puţin probabil să genereze un risc pentru drepturile şi libertăţile persoanelor fizice, nu este obligatorie notificarea autorității.

Să luam exemplul stick-ului de memorie: dacă pierdem un stick care conține date personale dar este criptat, sau dacă fișierele stocate pe acesta sunt criptate, riscul asociat acestui incident este scăzut, nefiind necesara notificarea autorității. Dacă pierdem telefonul dar acesta este parolat și conținutul acestuia nu poate fi accesat, atunci am scăpat de notificarea autorității.

Apropo, asta nu înseamna că scăpam și de consemnarea acestor breșe în registrul de incidente! 

Cu ceva timp în urmă Elenea Marc ne-a recomandat 6 soluții IT esențiale în procesul de aliniere la GDPR, utile oricărui tip de business. 

Mai mult, unele dintre soluțiile software open source menționate în articolul de mai sus, dar și multe altele, pot fi descărcate și utilizate în mod gratuit de pe site-ul nostru, accesând pagina Resurse Utile > Aplicații software.

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Dacă ai votat pe listele suplimentare partidele au aflat totul despre tine. Iată ce poți face

Brese de securitate

Vizualizari: 1939

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Peste 1.700.000 de votanți au fost înscriși pe listele suplimentare din țară și din străinătate în timpul alegerilor pentru Președintele României din data de 10 Noiembrie 2019. Dacă te numeri printre ei, trebuie să știi ca este foarte probabil ca datele tale personale (nume, CNP, domiciliu, semnătura, seria și numărul actului de identitate) să fi ajuns ilegal în posesia partidelor politice. 

Eroare sau legalizarea furtului? Povestea pas cu pas, pe scurt

  • 12 Septembrie 2019 - Guvernul adoptă Ordonanța de urgență nr. 64/2019 prin care a fost modificată legea privind alegerea Președintelui și legea privind alegerea Senatului și a Camerei Deputaților, introducand prin art. VII al Ordonanței posibilitatea ca „Reprezentanții formațiunilor politice în birourile electorale ale secțiilor de votare pot primi, la cerere, copii ale listelor electorale suplimentare, în condițiile stabilite prin decizie a Biroului Electoral Central”.
  • În data de 4 Noiembrie 2019, cu doar 4 zile înaintea alegerilor pentru Președintele României, Biroul Electoral Central pentru alegerea Președintelui din anul 2019 (numit în continuare BEC) a emis Decizia nr. 84 / D / 04.11.2019 (numită în continuare decizia BEC) prin care se stabilesc condițiile în care reprezentanții formațiunilor politice în birourile electorale ale secțiilor de votare pot primi, la cerere, copii ale listelor electorale suplimentare.
  • În ziua votului, partidele politice au solicitat accesul la datele votanților înscriși pe listele suplimentare, fără a exista în toate cazurile indicii ale unei posibile fraude electorale, care ar valid interesul legitim invocat de partid. Vezi model solicitare.

De ce este periculos acest lucru? 

Strategiile campaniilor electorale se bazează în proporție covârșitoare pe datele statistice. Odată finalizat votul aceștia pot afla cu aproximare care a fost intenția de vot pe anumite zone, în funcție de vârsta etc., însă niciodată nu au putut identifica intenția de vot a unui votant. Până acum. Acum, având acces la datele celor care au votat pe listele suplimentare, partidele vor putea stabili, procentual, care a fost intenția de vor a fiecăruia dintre cei aflați pe aceste liste.

Ce pot face cu aceste informații? Scandalul Cambridge Analytica ne-a arătat cum pot fi influențate alegerile prin micro-targetarea alegătorilor. Este cunoscut faptul că atât Cambridge Analytica cât și alte companii de consultanță politică au acționat în România și probabil încă o fac, departe de urechile și ochii alegătorilor. Vezi prima parte a interviului dat de curând de Brittany Kaiser (fost Director fost Director la Cambridge Analytica), pentru  dpo-NET.ro, în care confirma cele afirmate anterior - LINK VIDEO.

Chiar am asistat de curând la o campanie care instigă la boicotarea alegerilor din turul 2. Am observat pe pielea noastră faptul că prezenta masiva la vot de obicei înclină balanța alegerilor într-o direcția inversă față de o prezență scăzută. Vezi aici un articol publicat de G4Media pe acest subiect.   

Cum a fost posibil ca partidele politice să aibă acces la listele suplimentare?

Cum spuneam mai sus, Decizia BEC, emisă cu doar 4 zile înainte de ziua alegerilor, acordă dreptul reprezentanților partidelor politice în secțiile de votare să solicite, „prin ORICE mijloace, inclusiv prin fotografierea sau filmareacopii ale listelor suplimentare, sau copii electronice a listei electronice suplimentare în cazul secțiilor de votare din străinătate. Asta înseamnă că reprezentanții partidelor politice au putut fotografia listele suplimentare cu telefonul personal, fotografii pe care le-au transmis ulterior către „Centru” prin WhatsApp sau similare. 

Sunt curios cum ar putea cineva să susțină că fotografierea cu telefoanele personale a listelor care conțin atâtea date personale și transmiterea acestora prin canale nesecurizate, poate fi realizata cu respectarea principiilor impuse de Regulamentul General Privind Protecția Datelor (mai cunoscut fiind sub acronimul de GPDR). 

Zis și făcut! 

Din informațiile noastre, neoficiale ce-i drept dar sigure, confirmate de la persoane care au fost membri în comisiile secțiilor de votare, peste 90% din președinții secțiilor de votare au aprobat astfel de cereri. În proporție covârșitoare, tot din informații neoficiale, cererile au venit preponderent din partea unui singur partid, pe care nu-l vom numi, însă acest fapt ne-a trezit suspiciunea că cineva își dorea cu ardoare aceste date. 

De ce a fost nevoie de o asemenea decizie cu doar câteva zile înainte de alegeri? De ce până acum partidele nu au avut dreptul de a accesa listele suplimentare? Acestea sunt întrebări care cu siguranță vor rămâne fără răspuns.

Dar asta nu înseamnă ca nu putem să reacționăm. Iată cum îți poți proteja drepturile:

Într-un comunicat de presă în care Asociația Specialiștilor în Confidențialitate și Protecția Datelor din România (ASCPD) atrage atenția asupra faptului ca accesul partidelor politice la datele alegătorilor, fără a exista un interes legitim real al partidelor, este o ingerință în viața privată și constituie o încălcare a drepturile omului și implicit o încălcare a Regulamentului General privind Protecția Datelor, ASCPD a inclus 3 modele de cereri care îți vor fi de folos în cazul în care ești curios dacă partidele au obținut datele tale, dacă au făcut-o în mod legal și cum poți preveni astfel de abuzuri în viitor, mai ales ca duminica mergem iar la vot. 

  • Înainte de toate trebuie să obții confirmarea că datele tale au ajuns pe mana partidelor politice

Poți afla dacă partidele politice au avut acces la listele suplimentare trimițănd către BEC o solicitare de acces la informații în baza art. 13-14 din GDPR.

  • Eventual, în același timp, puteți trimite o solicitare de acces la informații și partidelor politice.

Dacă ai bănuiala că un anumit partid ti-a accesat datele și vrei sa te convingi de acest lucru sau sa aflii ce fac cu datele tale, poți trimite o solicitare de acces la date și acestora.

Atenție! Dacă BEC-ul sau partidele politice nu va oferă un răspuns în termen de o lună (sau maxim doua luni în situația în care vă comunica în prima lună că termenul inițial insuficiente pentru a răspunde cererii dumneavoastră) aveți dreptul de a înainta o plângere autorității naționale de supraveghere.

Mai mult, va puteți adresa Autorității naționale de supraveghere (ANSPDCP) și dacă considerați (iar noi așa considerăm) că transmiterea datelor personale de pe listele suplimentare către partidele politice v-au încălcat drepturile și s-au realizat cu încălcarea Regulamentului general privind protectia datelor (GDPR). 

  • Restricționarea accesului la datele în perspectiva turului 2 al alegerilor prezidențiale

În prag de alegeri în turul 2, pentru a preveni ca astfel de ingerințe a partidelor politice în viața dvs. privată să nu se mai repete, puteți depune, în momentul în care mergeți la vot o solicitare de restricționare a accesului a partidelor politice la datele dvs. dacă acestea nu demonstrează existența unui interes legitim real, în conformitate cu art. 18 din GDPR.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

UniCredit a suferit o nouă breșă de securitate. Datele a 3 mil. de clienți italieni compromise

Brese de securitate

Vizualizari: 3252

Facebooktwittergoogle_plusredditpinterestlinkedinmail

UniCredit a descoperit o nouă încălcare a datelor care implică înregistrările a 3 milioane de clienți italieni, anunță agenția de presă Reuters. Acesta este cel de-al treilea incident de securitate al băncii din Italia din ultimii ani.

Această încălcare de securitate vizează un fișier din 2015, care conține e-mailuri și numere de telefon a milioane de clienți italieni.

UniCredit a cheltuit 2,4 miliarde de euro din 2016 până în prezent pentru a-și moderniza sistemele IT și a spori securitatea cibernetică.

Unicredit a anunțat, într-o declarație oferită luni, că înregistrările compromise nu conțineau detalii care să permită accesul la conturile clienților sau pentru a realiza tranzacții neautorizate.

Banca a notificat clienții potențial afectați prin poștă sau prin notificări bancare online. 

O anchetă internă este în curs de desfășurare, iar un purtător de cuvânt al UniCredit a spus că nu pot fi dezvăluite detalii cu privire la modul în care a avut loc încălcarea.

Primele dovezi ale incidentului au apărut joia trecută și au fost confirmate în weekend, ceea ce a determinat UniCredit să informeze imediat toate autoritățile relevante, inclusiv poliția, a declarat purtătorul de cuvânt al companiei.

UniCredit a fost victimă în trecut a două atacuri cibernetice care au avut loc în septembrie-octombrie 2016 și iunie-iulie 2017, care au afectat 400.000 de clienți italieni.

Aceste atacuri au fost efectuate prin intermediul unui partener comercial extern pe care UniCredit nu l-a identificat, a declarat atunci banca.

Purtătorul de cuvânt a declarat că cel mai recent incident nu a fost în niciun fel legat de episoadele anterioare.

Și UniCredit Bank România a făcut subiectul unei încălcări a Regulamentului general privind protecția datelor

UniCredit Bank România a fost prima organizație din România care este sancționată de autoritatea națională de supraveghere pentru încălcarea prevederilor Regulamentului general privind protecția datelor. 

Aceasta a fost sancționată contravențional cu amendă în cuantum de 613.912 lei, echivalentul în euro al sumei de 130.000 Euro pentru încălcarea art. Art. 25 din GDPR referitor la asigurarea protecției datelor începând cu momentul conceperii şi în mod implicit (privacy by design & by default)

Instituțiile bancare sunt asediate de atacuri cibernetice

Ieri am văzut cum un atac de tip DDoS poate bloca întreaga activitate a unei bănci. Serviciile internet și mobile banking, website-urile garantibank.ro și bonuscard.ro, precum și plățile de e-commerce ale Garanti Bank au fost sunt indisponibile mai bine de o zi ca urmare a unui atac informatic asupra Băncii Garanti BBVA din Turcia (banca-mamă a Garanti Bank România).

 

Tot ieri am văzut cum atacurile cibernetice pot paraliza infrastructură IT a unui oraș întreg

 

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Platformele digitale ale Garanti Bank indisponibile în urma unui atac cibernetic

  Banca Garanti BBVA (banca-mamă a Garanti Bank România și totodată a doua mare bancă privată din Turcia) şi compania de telecomunicaţii Türk Telekom au fost țintele unor […]

Johannesburg asediat de atacurile hackerilor. Infrastructură IT a orașului a fost paralizată

Ziua de ieri a fost una tensionată pentru orașul Johannesburg. Două grupuri de hackeri aparent separate au amenință că vor închide sectorul financiar și administrația locală a orașului […]

7,5 milioane de conturi Adobe au fost expuse

Datele a  7,5 milioane de utilizatori Adobe Creative Cloud au fost descoperite de un cercetător de securitate în această lună într-o bază de date expusă inadecvat și care […]

Un nou atac phishing vizeaza compania FanCourier

La numai trei luni de la un astfel de incident in cadrul aceleiasi companii, FanCourier anunta, tot printr-un comunicat postat pe pagina web, ca fost lansat un nou […]

55.000 euro amenda GDPR aplicată unui SPITAL pentru nedesemnarea DPO-ului

Conform unui comunicat al Comitetul European pentru Protecția Datelor, la 12 august 2019, Autoritatea de supraveghere austriacă a aplicat o amendă administrativă unui operator care activează în sectorul […]

British Airways se îndreaptă spre noi recorduri privind costurile unei breșe de securitate

British Airways este pe cale să bată cu mult recordul pentru cea mai mare sancțiune financiară din Europa în era postGDPRistă. ICO, omologul englez al ANSPDCP-ului nostru, în […]

Cum ajunge o copie de buletin să coste 10.000 €? Încălcând GDPR-ul, desigur!

În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunțat o sancțiune de 10.000 de euro pentru nerespectarea minimizării datelor […]

Amendă GDPR pentru sancționarea unui angajat folosind filmările făcute cu telefonul

Autoritatea de supraveghere spaniolă  a sancționat un restaurant cu amendă de 12.000 EURO pentru aplicarea unei sancțiuni disciplinare unui angajat, în baza înregistrărilor video realizate cu telefonului mobil […]

Soluții pentru managementul și securitatea dispozitivelor mobile

Telefoanele mobile și tabletele nu mai sunt doar simple gadget-uri pe care le folosim ocazional ci au devenit extensii ale noastre, fără de care nu mai putem lipsi. […]

De ce românilor nu le pasă de viața lor privată ?

La începutul săptămânii trecute citeam despre implementarea unui sistem de recunoaștere facială care va folosi camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare și camere […]

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

Peste 500.000 Euro amendă GDPR pentru o bancă din Bulgaria

Autoritatea pentru protecția datelor cu caracter personal din Bulgaria a anuțat pe data de 28 august 2019, aplicarea unei amenzi în valoare de un milion de leva (aproximativ […]

Sursa Wall-Street.ro bănuită de Nemo Express că a participat la atacul cibernetic

Într-un drept la replică solicitat portalului Wall-Street.ro, Nemo Express confirmă un atac cibernetic care a avut drept tinta platforma myAWB, sectiunea de Confirmari, afirmând că scopul evident a […]

Baza de date a unui lanț de bordeluri a fost compromisă

Nu te panica, este vorba despre un lanț de bordeluri din Spania, așa că n-ai de ce să îți faci griji dacă n-ai mai ajuns de mult prin […]

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

AWB-urile NEMO Express sunt publice!

Portalul Wall-Street.ro a dezvăluit astăzi, 9 august 2019, o posibilă breșă de securitate în cadrul companiei de curierat Nemo Express, datele de pe documentele de transport (AWB-urile) ale […]

Alertă Bitdefender: vulnerabilitatea procesoarelor Intel

Bitdefender, companie românească producătoare de soluții de securitate cibernetică și totodată una dintre cele mai apreciate la nivel mondial, au emis astăzi o alertă ca urmare a descoperirii  […]

GDPR Summer Challenge este pregătit de lansare!

Sâmbătă, 10 August 2019, începe primul concurs național din România destinat aprofundarii și mai ales verificării cunoștințelor în domeniul protecției datelor. Scopul este ca participantii să dobândească cât […]

Te-ai înscris la GDPR Summer Challenge?

Peste 50 de persoane s-au înscris până acum în concursul „GDPR Summer Challenge”, motiv pentru care organizatorii au decis creșterea numărului de membrii într-o echipă la 5 persoane, […]

Înscrie-te acum la GDPR Summer Challenge!

Acceptă GDPRovocarea acestui sfârșit de vară! 5 echipe formate din pasionați de GDPR vor concura pentru titlul de GDPR Summer Challenge Champion 2019. Nu este doar un concurs, […]