Cel mai mare furt de date din Balcani! Mai mulți români afectați.

Brese de securitate

Vizualizari: 3426

Facebooktwittergoogle_plusredditpinterestlinkedinmail

După cum probabil ați tot citit în ultimele zile, vecini noștri de la sud de Dunăre, s-au confruntat cu cea mai mare breșă de securitate din Europa de Est: date personale, incluzând informații financiare a peste 5 milioane de persoane au fost sustrase din bazele de date ale le Agenției Naționale de Administrare Fiscală, autoritatea fiscală a Bulgariei, omologul bulgar al ANAF-ului nostru.

Conform autorităților bulgare, din populația de 7,1 milioane de bulgari, 70% dintre aceștia au aflat că datele pe care instituția respectivă le stoca, au căzut prada unui atac cibernetic.

Cum de au scapăt ceilalți 30%? Spre norocul lor, ANAF-ul bulgar deține doar date despre  contribuabili, din această categorie nefăcând parte, sper exemplu, persoanele minore. 

Câți români sunt afectați de acest incident?

Gabriel Puiu, expert în securitate cibernetică, a confirmat, într-un interviu acordat pentru pentru B1.ro, că mii de români care își au firma sau mașina înregistrată în Bulgaria se numără printre „victimele” acestui atac informatic.

"Cei care au înmatriculată mașina în Bulgaria au toate datele din buletin, plus probabil adresa curentă, probabil și numărul de telefon, în baza de date de acolo. Așa că cei care vor pune mâna pe date, le pot folosi, pentru că aceste date nu râmân într-un singur loc, ele ajung pe internet pe partea publică”.

„Sunt cazuri similare acum cu oameni care trimit mailuri, cu facturi false, cu linkuri, ei de acolo au mailurile din astfel de breșe. Când cineva pune mâna pe această breșă, va vedea că e și România pe acolo, va sorta și va extrage fiecare român și cel mai probabil, se vor trezi sunați cu tot felul de metode de păcăleală, de social engineering o să li se spună diferite chestii o să li se ceară tot felul de date și probabil vor fi păcăliți în diverse moduri", a declarat Gabriel Puiu.

Cum a început „telenovela”?

Conform celor de la NY Times, vulnerabilitatea sistemului autorității fiscale bulgare a fost exploatată încă din luna iunie și a continuat până în momentul în care a fost făcută publică, la începutul acestei săptămâni, după ce posturile de știri din Bulgaria au primit un e-mail (venit de pe o de e-mail rusească, Yandex), prin care o persoană își asuma „meritele” pentru nemilosul atac. 

"Valoarea acestui tip de date ar putea varia de la 10 dolari la câteva sute pe identitate. Ati asistat la un atac cibernetic care ar putea fi în valoare de 200 milioane de dolari" a declarat David Balson, Directorul de informații al Ripjar, o companie de securitate din Marea Britanie.

În același timp, prin prisma prevederilor Regulamentului privind protecția datelor (faimosul GDPR), ANAF-ul bulgăresc se poate aștepta la o amendă de 20 de milioane de euro pentru nerespectarea articolului 32 din GDPR, mai exact neimplementarea măsurilor tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

De ce consideră bulgarii că în spatele atacului s-ar afla Rusia

Deși poliția bulgară a declarat că ancheta este încă în faza incipientă, unii oficiali au sugerat că Rusia ar fi putut fi în spatele atacului, ca represalii pentru realizarea celei mai mari achiziții de echipament militar, cheltuind aproape 1,3 miliarde de dolari pentru a cumpăra opt avioane de luptă F-16 din Statele Unite.

Mladen Marinov, Ministrul de Interne al Bulgariei, a declarat că autoritățile trebuie să ia în considerare contextul politic în care a avut loc incidentull, o referire clară la relațiile Bulgariei cu Rusia.

Se cauta un țap ispășitor?

Investigația privind furtul informațiilor personale a aproape tuturor adulților din Bulgaria a condus la arestarea unui tânăr programator (20 de ani), angajat al unei firme de securitate cibernetică, a anunțat miercuri poliția bulgară. 

În ciuda acestei arestări, au existat unele speculații conform cărora furtul de date ar fi fost, de fapt, un atac ce poartă numele de "pălărie albă", adică un „ethical hacking” comis cu scopul de a expune vulnerabilitățile rețelelor guvernamentale și de a crea presiuni publice pentru remedierea acestora.

Cu toate acestea, avocatul domnului Boikov (tânărul suspectat pentru atac), a declarat că 

acesta a fost denunțat politiei de către o companie concurențială în domeniul securității informatice, susținând că acesta nu ar avea nici o implicare în atacul asupra sistemelor informatice ale ANAF-ului bulgar. Acesta a mai adăugat ca Boikov este un expert în domeniul său și nu ar fi fost niciodată prins dacă ar fi dorit să comită un asemenea atac. 

După ce a fost arestat suspectul, mass-media a primit un nou e-mail.

Marți, în aceeași zi în care suspectu la fost reținut, buletinele de știri bulgare au primit un alt e-mail de pe aceeași adresă rusească. Presa bulgară scrie că autorul critică guvernul bulgar, ironizându-i chiar, susținând că securitatea cibernetică a bulgarilor este o glumă. 

Acesta le-a transmis că autoritățile bulgare nu îl vor găsi niciodată. "Ei vor acoperi doar adevărul real", a scris presupusul hacker. 

Ce rămâne de făcut după ce ți-au fost furate datele a 70% din populația tării?

Imediat după răspândirea în media a știrii, Premierul bulgar Boiko Borisov a convocat o reuniune de urgență a tuturor serviciilor din domeniul aplicării legii, în vederea examinării riscurilor la adresa securității naționale.

Poate cea mai importantă măsura a fost decizia Guvernului de a solicita ajutorul agenției europene în domeniul securității cibernetice.

Este de așteptat ca sistemele critice din Bulgaria să înregistreze o creștere a numărului atacurilor cibernetice, în urma „succesului” răsunător al acestui atac, instituțiile Bulgare dovedindu-se a fi nepregătite în prevenirea și combaterea unor astfel de incidente.

ONG-urile sar în ajutorul victimelor acestui furt de date

Conform estimărilor, mii de români care își au firma sau mașina înregistrată în Bulgaria sunt „victimele” acestui atac informatic, având dreptul conform art.77 din Regulamentul 679/2016 (GDPR) să depună o plângere la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și la Autoritatea de Supraveghere din Bulgaria (Комисия за защита на личните данни).

ASCPD militează pentru îmbunătățirea gradului de conștientizare ale persoanelor vizate cu privire la tehnologiile și legile care pun în pericol viață privată, pentru a se asigura că publicul este informat și implicat. În cazul acestui incident de securitate deosebit de grav, membrii ASCPD au decis să ofere asistență și consiliere de specialitate gratuită persoanelor vizate afectate.

Accesând site-ul asociației (https://ascpd.ro/consiliere//) fiecare persoană din România care se află în evidențele Agenției Naționale de Administrare Fiscală din Bulgaria, poate să solicite ajutorul ASCPD, prin completarea unui simplu formular. Membrii ASCPD vor asista fiecare solicitant în procesul de exercitare a drepturilor care provin din Regulamentul UE 679/2016. 

Uniunea Europeana se înarmează pentru a lupta cu astfel de atacuri

Regulamentul 679/2016 (GDPR) este poate cea mai cunoscută măsură legislativă la nivel european privind protecția persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal, dar nu este singurul as din mâneca UE în  lupta cu pericolele pe care era digitala le-a creat.

Directiva NIS (Networking Information Security) este unul dintre răspunsurile Uniunii Europene la atacurile cibernetice tot mai virulente și care profită de vulnerabilitățile infrastructurilor IT depășite din punct de vedere tehnologic.  Scopul ei este creșterea încrederii cetățenilor și stimularea dezvoltării Pieței Digitale Unice. 

Află mai multe despre directiva NIS într-un articol publicat pe dpoconsulting.ro

Impactul directivei NIS va consta în crearea de structuri și mecanismele necesare pentru cooperarea strategică și operațională între statele membre, pentru a asigura creșterea nivelului de rezistență al rețelelor și al sistemelor informatice de pe teritoriul Uniunii Europene.

O altă „armă” a Uniunii Europene este Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor, cunoscut drept Legea privind securitatea informatică (Cybersecurity Act), care stabilește cadrul UE pentru certificarea securității informatice, care promovează securitatea informatică a produselor și serviciilor digitale în Europa. 

Găsești mai multe despre Cybersecurity Act într-un alt articol publicat pe dpo-net.ro.

Cert este că toate aceste directive și regulamente europene, aplicabile în întreg Spațiul Economic European,  urmăresc întărirea sistemului de apărare, dezvoltând un cadru omogen și coerent în întreaga UE și instaurând mecanisme de cooperare extrem de importante în special în situațiile de criză. Deși sunt în vigoare în acest moment, acestea încă nu au ajuns la maturitatea absolută, însa au impus un traseu care va trebui inevitabil urmat și care va împinge atât operatorii cât și instituțiile europene să depună eforturile necesare pentru a preveni astfel de atacurile informatice.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

CERT-RO protejează digital sănătatea României

Brese de securitate

Vizualizari: 8129

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Faptul că sectorul medical din România este puternic solicitat de pandemia COVID-19 nu este o noutate. Din păcate, chiar săptămâna trecută unul dintre spitalele municipale din România a fost ținta unui atac cibernetic, baza de date fiind serios afectată. În urma atacului a fost criptată şi blocată întreaga bază de date, respectiv toate informaţiile şi fişierele existente în serverele unităţii sanitare. Conducerea Spitalului Clinic Municipal „Dr. Gavril Curteanu” Oradea anunţa că au fost sesizate toate instituţiile competente cu privire la acest incident de securitate, precum şi instituţiile în relaţia cu care acest incident ar fi putut avea repercursiuni directe și că s-au făcut eforturi imediate pentru recuperarea datelor criptate, astfel încât activitatea medicală să nu fie perturbată.

Nu este prima dată când se întâmplă acest lucru, în luna iunie 2019, activitatea a cinci spitale din România fiind afectată de atacturile cibernetice. 

În acest context, CERT-RO, împreună cu un grup de profesioniști în domeniul securității cibernetice, au dezvoltat programul de voluntariat CV19.RO, lansat în luna mai 2020, în sprijinul furnizorilor de servicii de sănătate, pentru a face față provocărilor crizei.

CERT-RO a invitat conducerile spitalelor, care nu au completat până acum formularul de solicitare pentru sprijin cu titlu gratuit și includerea în programul de management al incidentelor de securitate cibernetică, să trimită documentul la adresa alerte.spitale@cert.ro.

"Facem eforturi să prevenim, să identificăm și să răspundem posibilelor vulnerabilități de natură informatică ale furnizorilor de servicii de sănătate, înainte de a fi prea târziu. Dorim sa protejăm digital sănătatea României!" au declarat reprezentantii CERT-RO.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Proleasing Motors SRL a fost sancționat contravențional cu amendă GDPR în cuantum de 15.000 EURO

Brese de securitate

Vizualizari: 4025

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Conform unui anunț postat pe website, Autoritatea Națională de Supraveghere a finalizat în data de 23.06.2020 o investigație la operatorul Proleasing Motors SRL și a constatat încălcarea dispozițiilor art. 32 alin. (1) și (2) din Regulamentul General privind Protecția Datelor.

Operatorul Proleasing Motors SRL a fost sancționat contravențional cu amendă în cuantum de 72.642 lei, echivalentul a 15.000 EURO.

Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări privind încălcarea securității datelor cu caracter personal, prin completarea formularului specific stabilit în baza Regulamentului General privind Protecția Datelor.

Încălcarea securității a constat în faptul că, pe pagina de Facebook pe care operatorul a desfășurat un concurs on-line de atragere a clienților participanți în service-ul auto, a fost postat un document cu o captură din codul sursă al website-ului în care era inclusă și parola de acces la formularele completate de participanții la concurs.

Această situație a condus la vizualizarea și accesul neautorizat la datele cu caracter personal ale unui număr de 436 de clienți ai operatorului, pe website-ul Proleasing Motors SRL, și la divulgarea neautorizată a acestor date, contrar obligațiilor prevăzute de art. 32 din Regulamentul General privind Protecția Datelor.

Ca atare, sancțiunea a fost aplicată operatorului ca urmare a faptului că acesta nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod sau accesul neautorizat la acestea.

De asemenea, operatorului i s-a aplicat și măsura corectivă de revizuire şi actualizare a măsurilor tehnice şi organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor referitoare la comunicațiile electronice, astfel încât să fie evitate incidente similare de dezvăluire neautorizată a datelor cu caracter personal prelucrate, raportat la art. 58 alin. (2) lit. d) din Regulamentul General privind Protecția Datelor.

Totodată, precizăm că, potrivit considerentului (75) din Regulamentul General privind Protecția Datelor, ”Riscul pentru drepturile şi libertăţile persoanelor fizice, prezentând grade diferite de probabilitate de materializare şi de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identităţii, pierdere financiară, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile şi libertăţile lor sau împiedicate să-şi exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenenţa sindicală; sunt prelucrate date genetice, date privind sănătatea sau date privind viaţa sexuală sau privind condamnările penale şi infracţiunile sau măsurile de securitate conexe; sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal şi afectează un număr larg de persoane vizate.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

ALERTA CERT-RO: Campanie frauduloasă privind subiectele de la Bacalaureat 2020

La începutul lunii aprilie, echipa CERT-RO publica o alertă referitoare la folosirea platformelor care permit crearea unui site web gratuit în răspândirea unor atacuri de tip phishing. Atunci, platforma […]

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Un val de campanii de tip scam se folosesc de imaginea magazinelor Profi, Mega Image, Carefour, Lidl, Ikea sau Kaufland

Specialistii de la Cert.ro au transmis mai multe alerte privind valul de campanii de tip scam care se folosesc de imaginea celor mai cunoscute magazine din Romania. Printre […]

Atenție la e-mail-urile care falsifică identitatea reală a expeditorului

Confom CERT.RO, în vreme ce tot mai multe persoane sunt nevoite să lucreze de la distanță, în această perioadă marcată de restricțiile de circulație determinate de răspândirea COVID-19, […]

SRI avertizează asupra unei campanii malware de furt de date

În contextul asociat pandemiei de SARS-CoV-2, Serviciul Român de Informații anunță că fost identificată o campanie de distribuire de malware care vizează furtul de credenţiale bancare de pe terminalele […]

Digisign ofera un cadou fiecarui absolvent al cursului online GRATUIT

Astazi, 23 Aprilie 2020, este lansat un nou curs online actualizat, oferit GRATUIT, avand tema „Informatii introductive despre utilizarea semnaturilor electronice” si care isi propune sa ofere informații […]

Peste 500.000 de conturi Zoom sunt de vânzare

În cazul în care platforma de videoconferințe „Zoom” nu a avut suficientă publicitate negativă, aflăm astăzi că datele utilizatorilor sunt tranzacționate pe DarkWeb. Peste jumătate de milion de […]

Președintele Republicii Moldova a făcut public numele unui pacient infectat cu coronavirus

Conform site-ului de striri realitatea.md,  Igor Dodon, Președintele Republicii Moldova,  a dezvăluit în timpul conferinței de presă  numele si prenumele femeii care a fost diagnosticată pozitiv cu coronavirus […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Decathlon: 123 de milioane de înregistrări cu date cu caracter personal au fost publicate accidental

Potrivit cercetătorilor de la vpnMentor, peste 123 de milioane de înregistrări cu date cu caracter personal aparținând atât clienților cât și angajaților companiei Decathlon au fost expuse accidental. […]

Datele a zeci de mii de consumatori de canabis medicinal din SUA a fost expuse accidental

Conform vpnMentor, datele a zeci de mii de consumatori de canabis din SUA au fost expuse accidental, datorita unor erori de configurație a mediilor de stocare(cloud). Peste 85.000 […]

Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

11 Februarie 2020: HAPPY SAFER INTERNET DAY!

Astăzi,  marți, 11 februarie 2020,  sărbătorim Ziua internetului mai sigur (Safer Internet Day -SID). Niciodată nu ne-am bucurat de atâtea oportunități de a învăța și de a comunica la […]

ALERTA! Imaginea serviciilor de curierat, folosită în răspândirea e-mail-urilor cu atașamente malițioase

Campaniile recente prin care se încearcă răspândirea de malware via e-mail capătă aproape zilnic o nouă formă.   Atacatorii s-au folosit de imaginea sau reputația unor instituții publice sau companii private […]

Universitatea din Maastricht confirmă că a plătit hackerilor o răscumpărare de 200.000 de euro

Conform Reuters, Universitatea din Maastricht a confirmat că a plătit hackerilor o răscumpărare de 30 de bitcoin –  în valoare de 200.000 de euro (220.000 de dolari) – […]

Numărul amenințărilor informatice va atinge în 2020 pragul istoric de un miliard

Specialiștii în securitate informatică de la Bitdefender estimează că numărul total al amenințărilor informatice va depăși în premieră în acest an pragul de un miliard de unități, cea […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]