Cât ne poate costa pierderea unui stick cu date personale? Un polițist a aflat!

Brese de securitate

Vizualizari: 8229

Facebooktwittergoogle_plusredditpinterestlinkedinmail

V-ați întrebat vreodată cât v-ar putea costa pierderea unui stick cu date personale? O încălcare a securității datelor cu care ne putem confrunta oricare dintre noi, oricât de grijulii ne place să credem că suntem.

Dar de ce să ne limităm la un stick și să nu luăm în calcul la pierderea oricărui tip de dispozitiv mobil pe care sunt stocate date cu caracter personal? Și aici aș include, pe lângă stick-uri, telefoane mobile, tablete, laptop-uri, HDD-uri externe, mai nou ceasuri, carduri de memorie și nu numai.

Apropo de costuri, v-ar putea interesa și articolul, publicat acum câteva zile, despre cum a ajuns o copie de buletin să coste 10.000 €, atunci când principiile prevăzute de GDPR nu sunt puse în practică. 

Cel mai bine este să învățăm din greșelile altora

Autoritatea de supraveghere maghiară (Autoritatea) a publicat pe site-ul său, în data de 06/25/2019 decizia NAIH/2019/2471/6, ca urmare a finalizării investigației unui incident de securitate raportat de Poliția din Budapesta (Poliția) la 25 februarie 2019.

Conform raportului incidentului, la 11 ianuarie 2019, în îndeplinirea sarcinilor sale la sediul Poliției din Budapesta, un angajat al acestei instituții (să-l numim Politistul X) a pierdut un stick de memorie care conținea o listă a angajaților Poliției alături de dosarele de personal ale acestora. Documentele conțineau informații personale ale celor 1.733 de polițiști, cum ar fi numele nașterii, data nașterii, numele mamei, numărul TAI (probabil CNP), titlul postului.

Cum poți pierde datele a peste 1700 de polițiști?

Polițistul X participase la o ședință a conducerii instituției, datele de pe stick fiind necesare analizei impactului unei schimbări legislative. Între locația unde s-a ținut ședința, hotelul unde a fost cazat și înapoi la sediul poliției în cea de-a doua zi, stick-ul, care ar fi trebui să fie legat la breloc alături de cheile polițistului, a „evadat” din custodia acestuia, fără urmă.

Așa cum era de așteptat, nici stick-ul de memorie și nici fișierele pe care le conținea nu au fost protejate împotriva accesul neautorizat, prin criptare sau parolare, astfel că puteau fi accesate de oricine intra în posesia stick-ului. Cu toate acestea, datele de pe stick erau în copie, putând fi recuperate din alte surse.

Lungmetrajul investigației dispariției misterioase

Deși Politistul X și-a anunțat imediat superiorul cu privire la incidentul de securitate respectiv și cu privire la informațiile pe care stick-ul le conținea, Poliția a informat autoritatea de supraveghere maghiară despre incidentului, în conformitate cu articolul 33 alineatul (5) din Regulamentul general privind protecția datelor, abia după mai bine de o lună de la pierderea stick-ului.

În urma acelei breșe, pentru a evita incidentele similare viitoare și pentru a atenua riscurile, Poliția a efectuat audituri interne pentru a înregistra, gestiona și documenta predarea suporturilor externe de stocare a datelor.

Investigațiile Poliției au durat pană în data de 8 februarie 2019, când DPO-ul instituției a luat legătura cu autoritatea de supraveghere maghiară solicitând o rezoluție cu privire la nivelul de risc prezentat de incident privind drepturile și libertățile persoanelor vizate. 

Autoritatea a opinat că incidentul este considerat fundamental riscant fiind vorba de date personale care nu sunt publice, cum ar fi numele și funcția, însă nu a identificat indicii ale accesului, dezvăluirea sau comunicarea neautorizată în urma pierderii stick-ului.

Cu toate acestea, autoritatea a considerat că riscul expunerii la o încălcare continuă a confidențialității justifică raportarea incidentului la autoritate în temeiul articolului 33 alineatul (1) din Regulamentul general privind protecția datelor. 

Poliția a trimis prin poștă, în data de 25 februarie 2019, Formularul de raportare a incidentelor, completat corespunzător art 33 (5).

Ce a decis autoritatea?

În urma trimiterii formularului, Autoritatea a inițiat procedura formală de investigare prin a constată că Poliția nu a respectat dispozițiile privind protecția datelor cu caracter personal și nu a raportat fără întârziere incidentul, sancționând-o cu o amendă administrativă în valoare de 5.000.000 de HUF, însemnând aproximativ 15.000 de euro.

Morala

Dacă o copie de buletin poate ajunge să coste 10.000 de euro atunci când sunt ignorate prevederile GDPR, iartă că în aceleași condiții pierderea unui stick poate să ne coste chiar mai scump. 

Fiecare dintre noi putem sa ne trezim victime ale unei situații de genul acesta, indiferent ca discutam despre un stick, un telefon, un HDD extern, un laptop sau orice alt dispozitiv mobil care poate conține date personale. 

În cele mai multe cazuri, putem evita o mare bătaie de cap aplicând câteva soluții accesibile tuturor: backup periodic, pseudonimizarea datelor acolo unde este posibil, parolarea dispozitivelor și/sau criptarea lor sau a datelor personale pe care le conțin.

De reținut: Pseudonimizarea, criptarea și/sau parolarea ne pot scăpa de notificarea breșei

Art. 33 din GDPR, care instituie obligația notificării autorității de supraveghere în cazul încălcării securităţii datelor cu caracter personal include o excepție extrem de importantă.

Astfel în cazul în care o breșă de securitate este puţin probabil să genereze un risc pentru drepturile şi libertăţile persoanelor fizice, nu este obligatorie notificarea autorității.

Să luam exemplul stick-ului de memorie: dacă pierdem un stick care conține date personale dar este criptat, sau dacă fișierele stocate pe acesta sunt criptate, riscul asociat acestui incident este scăzut, nefiind necesara notificarea autorității. Dacă pierdem telefonul dar acesta este parolat și conținutul acestuia nu poate fi accesat, atunci am scăpat de notificarea autorității.

Apropo, asta nu înseamna că scăpam și de consemnarea acestor breșe în registrul de incidente! 

Cu ceva timp în urmă Elenea Marc ne-a recomandat 6 soluții IT esențiale în procesul de aliniere la GDPR, utile oricărui tip de business. 

Mai mult, unele dintre soluțiile software open source menționate în articolul de mai sus, dar și multe altele, pot fi descărcate și utilizate în mod gratuit de pe site-ul nostru, accesând pagina Resurse Utile > Aplicații software.

 

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Un val de campanii de tip scam se folosesc de imaginea magazinelor Profi, Mega Image, Carefour, Lidl, Ikea sau Kaufland

Brese de securitate

Vizualizari: 3887

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Specialistii de la Cert.ro au transmis mai multe alerte privind valul de campanii de tip scam care se folosesc de imaginea celor mai cunoscute magazine din Romania. Printre acestea se numara Profi, Mega Image, Carefour, Lidl,  Ikea sau Kaufland. Potențialelor victime li se servește un scurt chestionar cu întrebări generale despre preferințele de shopping. După ce răspund la întrebări, utilizatorii sunt redirecționați către o pagină unde au posibilitatea să aleagă dintre opțiuni multiple, pentru a încerca să 'nimerească' premiul. Desigur, atacatorii simulează o extragere reală, victima nu nimerește niciodată din prima, dar în cele din urmă 'câștigă' pentru că are la dispoziție 3 încercări.

Elementele de identificare a tentativei de fraudă sunt și ele prezente și destul de evidente: text incorect gramatical, așezare în pagină defectuoasă, grafică ciudată, website care nu folosește domeniul oficial (decorada-jablonna[.]eu), componentă de mesaje pe social media pentru veridicitate, redirecționarea utilizatorului pe alte pagini malițioase sau necesitatea abonării la anumite servicii cu plată, pentru a ajunge să ridici în cele din urmă un premiu care nu există. Suma oferită ca premiu de către atacatori pare să crească de la campanie la campanie, ajungând la o valoare de 5000 de ron.
Deși textul este unul care nu respectă reguli elementare de ortografie și gramatică a limbii române, există destui utilizatori care cad victimă acestei păcăleli și oferă date, sunt purtați pe site-uri malițioase de unde ar putea să își infecteze dispozitivele cu malware sau ajung să trimită sms-uri la numere cu suprataxă, în speranța că vor primi în cele din urmă acel voucher.

Pentru a distrage atenția de la astfel de elemente clare de detectare a păcălelii, atacatorii se folosesc de idea că numărul premiilor este limitat, oferind în acest sens și un countdown (numătăroare inversă) a disponibilității acestor vouchere. Mai mult, în unele cazuri, în partea de jos a site-ului sunt integrate și imagini care simulează comentarii oferite de pe conturi de Facebook, pentru a lăsa potențialelor victime falsa impresie că există mulți oameni care au făcut asta deja.

De regulă, atacatorii se folosesc de o serie întregă de adrese IP pentru a menține scam-ul activ. Astfel, imediat ce site-ul respectiv este dat jos ca urmare a raportărilor primite de cei care se ocupă de hosting, acesta reapare pe o altă adresă IP. Prin urmare, lupta împotriva unor astfel de inițiative frauduloase este un efort continuu de monitorizare și raportare a lor la nivel internațional, aceste site-uri nefiind găzduite în România.

Echipa CERT-RO vă recomandă să:

  • Evitați accesarea unor astfel de link-uri și redistribuirea lor.
  • Fiți atenți la corectitudinea gramaticală a textului
  • În cazul ofertelor promoționale sau a concursurilor organizate online, validați existența unor astfel de inițiative pe canalele oficiale ale companiilor implicate (webiste, canale oficiale de social media). Valului de campanii de tip scam care a apărut în ultimul timp, se folosea de domeniu .club și nu .ro, care este un alt indiciu care ar trebui să ridice suspiciuni în rândul utilizatorilor.
  • Scanați-vă dispozitivele cu o soluție antivirus, pentru a fi siguri că nu v-ați infectat cu malware.
  • Pentru cei care au raportat primirea a numeroase email-uri nesolicitate după furnizarea unor date personale și a adresei de e-mail, recomandăm să le raportați ca SPAM, să blocați adresele de expediere în a vă mai trimite mesaje și să le ștergeți.
  • Dacă ați introdus pe astfel de site-uri date personale, date de acces la conturi sau date financiare, schimbați parolele pentru conturile aferente, activați autentificarea în doi pași (acolo unde există) și notificați de urgență banca, dacă vi s-a cerut la un moment dat date de card. În cazul în care sesizați tranzacții suspecte din cont și ați suferit pagube financiare, ne puteți scrie despre cazul dvs. la adresa alerts@cert.ro. Pentru deschiderea unei investigații, va fi totodată necesar depuneți o plângere la cea mai apropiată secție de poliție.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Atenție la e-mail-urile care falsifică identitatea reală a expeditorului

Brese de securitate

Vizualizari: 4513

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Confom CERT.RO, în vreme ce tot mai multe persoane sunt nevoite să lucreze de la distanță, în această perioadă marcată de restricțiile de circulație determinate de răspândirea COVID-19, activitățile pe internet sunt pe un trend ascendent. Atacatorii sunt conștienți de acest lucru și văd situația specială în care ne aflăm ca pe o oportunitate de a lansa diferite forme de atacuri, mai mult sau mai puțin complexe.

Astfel, în căsuțele de e-mail, pe lângă mesajele legitime, începem să identificăm din ce  în ce mai multe mesaje nesolicitate. Acestea, de regulă, au ca scop păcălirea potențialelor victime, prin determinarea acestora să efectueze anumite acțiuni, care pot duce la compromiterea/infectarea dispozitivelor și la scurgerea de informații/colectarea de date.

spoofing

Una dintre tehnicile folosite de către atacatori în acest sens este spoofing-ul. Spoofing-ul se referă la acțiunea de a falsifica adresa de retur a e-mailurilor trimise, pentru a ascunde identitatea adresei reale de unde provine mesajul.

Practic, atunci când identitatea expeditorului este falsificată, mesajul primit pare să provină de la o altă persoană, sau din altă zonă, decât sursa reală. Această tehnică este adesea folosită în campaniile de tip phishing sau în răspândirea de malware, pentru că oferă destinatarului falsa impresie că mesajul vine de fapt de la o sursă de încredere, lucru care îl poate face mai puțin vigilent.

Menționăm că asemenea tehnici malitioase au afectat, în ultima vreme, inclusiv companii din România.

Cum te poți proteja?

Recomandări pentru utilizatorii obișnuiți

  • Evitați accesarea de link-uri sau atașamente din e-mail-uri, efectuarea unor plăți sau transmiterea de date confidențiale, fără o minimă documentare în prealabil, în special în cazul mesajelor venite din surse necunoscute;
  • Atenție la calitatea textului furnizat, precum eventuale greșeli de redactare, gramaticale sau de exprimare! De multe ori atacatorii se folosesc de instrumente automate de traducere;
  • Atunci când nu sunteți siguri de veridicitatea mesajului, puteți valida telefonic cu expeditorul transmiterea lui;
  • Folosiți o soluție de securitate (antivirus) actualizată;
  • Efectuați back-up (copierea datelor pe alte medii de stocare decât cel local) regulat și aplicați actualizările de securitate, imediat ce acestea devin disponibile.

Recomandări pentru administratorii de rețea

  • Configurarea serverului de e-mail pe care-l administrați, la nivel de înregistrări DNS, SPF (Sender Policy Framework) și DKIM (Domain Key Identified Mail), în funcție de politica de securitate a companiei/instituției

SPF

Prin SPF se controlează adresele IP, cărora le este permis să trimită emailuri în numele domeniului. În mod normal, toate email-urile sunt trimise de pe adresa IP alocată serverului. Dacă domeniul are un IP dedicat, atunci acesta trebuie să fie autorizat pentru a trimite email-uri.

 

DKI

Pentru generarea cheii, accesați opendkim.org

Este foarte important să vă asigurați că totul este în regulă din punct de vedere al  setărilor SPF și DKIM! Altfel, puteți ajunge în situația în care și email-urile legitime să fie respinse de serverul-destinație.

  • Recomandăm utilizarea politicii QUARANTINE în cazul DMARC

    DMARC este protocolul de autentificare și raportare a email-urilor, care vă protejează identitatea digitală pe internet, pentru a nu fi folosită în activități ilicite (ex. tranzacții financiare neautorizate).

    DMARC
     = acronim pentru Domain Based Message Authentication, Reporting and Conformance.
    Authetication = are la bază două metode de autentificare,  SPF (Sender Policy Framework) și DKIM (DomainKeys Identified Mail)
    Reporting = obține vizibilitate pentru emailurile respinse
    Conformance = standardizează modul în care se gestionează e-mail-urile respinse, prin aplicarea unor politici flexibile, respectiv: nonequarantine sau reject.

Sunt trei tipuri de politici DMARC:

– NONE: Toate emailurile vor fi expediate. Se pot analiza raporturile DMARC pentru a găsi persoana care trimite email-uri în numele tău. Ulterior, poți trece la următoarea politică, Quarantine;
– QUARANTINE: Toate email-urile care nu trec validarea DMARC vor fi marcate ca spam și vor fi filtrate automat de serverul destinație (se duc în directorul SPAM/JUNK);

– REJECT: Dacă se folosește această politică restrictivă, în eventualitatea în care DMARC eșuează, se transmite serverului destinație comanda să respingă e-mail-ul, fără a mai fi filtrat. Dacă se va folosi această metodă, nimeni nu va putea să trimită e-mail-uri în numele tău.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

SRI avertizează asupra unei campanii malware de furt de date

În contextul asociat pandemiei de SARS-CoV-2, Serviciul Român de Informații anunță că fost identificată o campanie de distribuire de malware care vizează furtul de credenţiale bancare de pe terminalele […]

Digisign ofera un cadou fiecarui absolvent al cursului online GRATUIT

Astazi, 23 Aprilie 2020, este lansat un nou curs online actualizat, oferit GRATUIT, avand tema „Informatii introductive despre utilizarea semnaturilor electronice” si care isi propune sa ofere informații […]

Peste 500.000 de conturi Zoom sunt de vânzare

În cazul în care platforma de videoconferințe „Zoom” nu a avut suficientă publicitate negativă, aflăm astăzi că datele utilizatorilor sunt tranzacționate pe DarkWeb. Peste jumătate de milion de […]

Președintele Republicii Moldova a făcut public numele unui pacient infectat cu coronavirus

Conform site-ului de striri realitatea.md,  Igor Dodon, Președintele Republicii Moldova,  a dezvăluit în timpul conferinței de presă  numele si prenumele femeii care a fost diagnosticată pozitiv cu coronavirus […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Decathlon: 123 de milioane de înregistrări cu date cu caracter personal au fost publicate accidental

Potrivit cercetătorilor de la vpnMentor, peste 123 de milioane de înregistrări cu date cu caracter personal aparținând atât clienților cât și angajaților companiei Decathlon au fost expuse accidental. […]

Datele a zeci de mii de consumatori de canabis medicinal din SUA a fost expuse accidental

Conform vpnMentor, datele a zeci de mii de consumatori de canabis din SUA au fost expuse accidental, datorita unor erori de configurație a mediilor de stocare(cloud). Peste 85.000 […]

Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

PECB semnează un acord de parteneriat cu NeoPrivacy România și lansează cursuri de certificare recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

11 Februarie 2020: HAPPY SAFER INTERNET DAY!

Astăzi,  marți, 11 februarie 2020,  sărbătorim Ziua internetului mai sigur (Safer Internet Day -SID). Niciodată nu ne-am bucurat de atâtea oportunități de a învăța și de a comunica la […]

ALERTA! Imaginea serviciilor de curierat, folosită în răspândirea e-mail-urilor cu atașamente malițioase

Campaniile recente prin care se încearcă răspândirea de malware via e-mail capătă aproape zilnic o nouă formă.   Atacatorii s-au folosit de imaginea sau reputația unor instituții publice sau companii private […]

Universitatea din Maastricht confirmă că a plătit hackerilor o răscumpărare de 200.000 de euro

Conform Reuters, Universitatea din Maastricht a confirmat că a plătit hackerilor o răscumpărare de 30 de bitcoin –  în valoare de 200.000 de euro (220.000 de dolari) – […]

Numărul amenințărilor informatice va atinge în 2020 pragul istoric de un miliard

Specialiștii în securitate informatică de la Bitdefender estimează că numărul total al amenințărilor informatice va depăși în premieră în acest an pragul de un miliard de unități, cea […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Șase din zece companii au suferit o breșă de securitate în ultimii trei ani – studiu

Circa șase din zece companii au suferit o breșă de securitate informatică în ultimii trei ani, iar o treime dintre specialiștii în securitate IT care nu au avut […]

EȘTI FUMĂTOR ? O platformă românească a British Amercan Tabacco a suferit o scurgere de date și un atac ransomware

Echipa de cercetare vpnMentor a descoperit recent o breșă de securitate într-o platformă web românească deținută de compania internațională de tutun British American Tobacco, companie care are sediul […]

Cyber Hygiene – cum să te aperi de cele mai întîlnite amenințări de securitate cibernetică

Cu ocazia Lunii Europene a Securității Cibernetice, Microsoft, Poliția Română și Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), cu sprijinul  Școlii Naționale de Studii Politice și […]