Acceptă GDPRovocarea acestui sfârșit de vară!

• 5 echipe formate din pasionați de GDPR vor concura pentru titlul de GDPR Summer Challenge Champion 2019.
• Nu este doar un concurs, este un antrenament! Îți oferim 5 zile de „cantonament GDPR” ca să revii în Septembrie în formă maximă!
• Încă te mai bucuri de vacanta? Stai fără grijă, te poți antrena stând pe șezlong, TOTUL SE DESFĂȘOARĂ ONLINE!

Ingrediente:

• un operator ipotetic
• 5 echipe a câte 4 GDPRiști curajoși
• Provocări zilnice inspirate din realitate, care vă vor întinde cunoștințele GDPR la maxim!
• „Autoritatea”, formată din specialiști, va juriza modalitatea de gestionare a situațiilor
• Multe surprize și sperăm, puține amenzi !

De ce să „pierzi” timp cu astfel de prostii?

• îți vei antrena cunoștințele
• vei colabora cu membri echipei tale și veți face schimb de idei și informații
• networking, vei cunoaște oameni noi
• vei lupta pentru cel mai râvnit trofeu din competițiile GDPR*

*cel mai râvnit pentru ca nu știm să mai fie alta competiție națională, de acest tip, în România. 

GDPR Summer Challenge este o simulare de caz la care participa mai multe echipe sub forma unui concurs national. Fiecare echipa va reprezenta acelasi tip de operator de date (vor primi acelasi set de instructiuni) si va trebui sa gestioneze o serie de situatii si provocari in domeniul protectiei datelor, care pot fi intalnite frecvent in viata de zi cu zi. 

Va exista un organism central care va reprezenta Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal si care va raspunde solicitarilor in maxim 24 de ore. Aceasta autoritate se va putea si autosesiza si va putea sa initieze solicitari catre operatori.. 

Scopul este ca participantii să dobândească cât mai multă experiență practică din interacțiunea cu alți specialiști.

La finalul acestui concurs, va fi publicat întreg studiul de caz al acestei simulări, incluzand toate măsurile întreprinse și documentele transmise de operatori către Autoritate, devenind astfel o resursă valoroasă pentru dezvoltarea profesională a oricărui Responsabil cu protectia datelor. 

Cui se adreseaza acest exercitiu ? Tuturor celor interesati de o specializare in acest domeniu, care doresc sa obtina o confirmare a cunostintelor pe care le poseda si isi doresc sa interactioneze cu cat mai multi viitori specialisti in domeniul protectiei datelor.   

Concursul se desfasoară pe parcursul a 5 zile, în perioada 12-16 August 2019, toate interactiunile desfăsurându-se în mediul online. Fiecare echipa va avea la dispozitie un canal de comunicare propriu, atat între membri echipei cât și în relația cu Autoritatea, pe platforma dpo-net.ro.

Înscrierile se fac individual, urmând a se stabili prin tragere la sorți membrii fiecărei echipe. La fel ca și în realitate, Responsabilul cu protectia datelor nu va fi inconjurat numai de prieteni și oameni cunoscuți. Credem totuși fiecare participant va cunoaște oameni cel puțin la fel de pasionați, împartâșind astfel din experiența fiecăruia 

Dacă te-am convins, te poți înscrie chiar acum! Grăbește-te, locurile sunt limitate! 

Participarea este GRATUITĂ și persoanele interesate s-au putut înscrie până la data de 8 August 2019.

Într-un drept la replică solicitat portalului Wall-Street.ro, Nemo Express confirmă un atac cibernetic care a avut drept tinta platforma myAWB, sectiunea de Confirmari, afirmând că scopul evident a fost de a compromite imaginea companiei.

"Prin intermediul unui program informatic a fost exploatata o functie a website-ului, cea de afisare a confirmarilor de primire pentru trimiterile postale livrate catre destinatar. Scriptul respectiv pornește de la un numar de AWB și aduna sau scade cu 1, incercand sa preia tracking-ul afisat pe site al numarului generat sperand ca este un AWB valabil. In momentul in care este gasit un AWB valabil se extrage automat link-ul valabil al confirmarii. Acest gen de atac poarta numele de BRUTE FORCE." transmit reprezentanții Nemo Express.

Sursa Wall-Street.ro bănuită că a participat la atacul cibernetic

Informatiile din platforma online se afla in stare de confidentialitate după ce "specialistii IT angajati de NemoExpress au verificat, din punctul de vedere al securitatii, toate fisierele platformei și au luat masurile ce se impun, iar in acest moment atacul a fost oprit. O prima concluzie ar fi ca nu orice om obisnuit poate intra in posesia unor astfel de informatii, ci numai o persoana cu cunoștințe informatice si cu tehnici speciale. Prin urmare, informația conform careia lista cu confirmarile de primire este „la liber” pe internet este eronata. Accesul a devenit posibil numai pentru un atacator, la cateva AWB-uri si numai pentru o perioada limitata de timp. Ceea ce ne duce cu gandul ca sursa dvs (pentru ca evident ca este totul pe surse...) ar putea avea o legatura directa cu atacul informatic."

Care au fost măsurile luate de operator ?

Nemo Express a dispus suplimentarea masurilor de securitate ale platformei si afirma ca vor informa clientii ale caror AWB—uri ar fi putut fi descarcate sau vizualizate de catre hackeri.

In urma raportului final de analiza a acestui atac cibernetic, cu sprijinul unei firme de avocatura vor intreprinde o serie de actiuni impotriva celor care au incercat intr-o oarecare masura sa aduca prejudicii de imagine companiei. Compania solicita si ajutorul organelor abilitate pentru identificarea vinovatilor, mentionand ca in intervalul prevazut de lege vor notifica persoanele vizate si autoritatile in legatura cu aceasta situatie.

Nu te panica, este vorba despre un lanț de bordeluri din Spania, așa că n-ai de ce să îți faci griji dacă n-ai mai ajuns de mult prin Peninsulă Iberică. Totuși știrea este pe cât se poate de serioasă iar dacă analizăm puțin volumul și sensibilitatea datelor „scăpate”, parcă nu nu se mai pare atât de amuzant.

Cum a fost posibilă această breșă

Conform celor de la PrivSec Report, cercetătorul de securitate, Bob Diachenko a descoperit o bază de date care expunea informații extrem de sensibile. Baza de date aparținea unei companii spaniole care administrează un lanț de „cluburi de bărbați” răspândite în toată Spania. 

3.350 de angajate și 4.636 clienți expuși

Baza de date conținea informații extrem de sensibile, inclusiv profiluri complete a 3.350 de fete, incluzând printre altele numele lor reale, date de naștere, naționalitatea, cărțile de identitate scanate.

Baza de date conținea, de asemenea, 4.636 de comentarii ale clienților, cu IP-urile, adresele de e-mail, nume și caracteristicile dispozitivelor utilizate. 

Pe lângă datele menționate mai sus, datele financiare ale companiei, parole de admin, log-uri și altele asemenea par de-a dreptul neinteresante.

Imediat ce a descoperit breșa, Diachenko a notificat compania, notificare în urma căreia a închis tot accesul la baza de date expusă.

Considerând daune reputaționale, fizice sau emoționale pe care persoanele vizate de această breșă le pot suferi, Diachenko a ales să nu facă public numele companiei care administrează acele cluburi. Dar mă întreb eu.. or fi oare atât de multe astfel de lanțuri de cluburi încât să nu îți dai seama despre cine este vorba?

„Singurul meu obiectiv este să nu mă concentrez asupra naturii datelor expuse, ci a igienei cibernetice în general și să subliniez din nou importanța păstrării securizate a datelor sensibile - în special a celor care ar putea fi ușor manipulate dacă / atunci când sunt expuse."

„Pericolul de a avea o bază de date MongoDB sau alte baze de date similare NoSql este imens”, a subliniat Diachenko.

„Configurația publică permite posibilitatea ca cybercriminalii să gestioneze întregul sistem cu privilegii administrative complete. Odată ce programul malware este în loc, infractorii ar putea accesa de la distanță resursele serverului și chiar să lanseze o execuție de cod pentru a fura sau distruge complet orice date salvate pe care le conține serverul. "

Las` că le avem și noi pe ale noastre

Acum trei zile scriam despre o breșă de securitate suferită de o firmă de curierat, breșă în urma căreia documentele de transport, care conțin date personale expeditorilor și ale destinatarilor, au fost făcute publice, putând fi accesate de toată lumea care intra pe site-ul companiei. Pe aceste documente se regăseau nume, adrese poștale, numere de telefon, specimene de semnături, informații privind comenzile efectuate și conținutul coletelor precum și seria și numărul actului de identitate și/sau CNP-ul persoanei care le-a recepționat. Destul de multe informații de doar juma` de foaie, am putea spune.

Citește mai multe despre breșă de la Nemo Express aici

Iar amenzile au început să curgă

Site-ul avocatoo.ro, care printre altele oferă și servicii de consultanță GDPR,  a fost „victima” unei situații similare, datele personale ale clienților (nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate) care au efectuat tranzacții pe site în perioada 10 decembrie 2018 – 1 februarie 2019 fiind accesibile public. 

Pentru această breșă, operatorul a fost sancționat cu amendă de aproximativ 3.000 euro pentru lipsa „măsurilor tehnice și organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării”.

Citește mai multe despre breșă înregistrată de avocatoo.ro aici 

Un lucru este cert! 

Puteți să vă îngropați în hârtii de tot felul, politici, contracte, proceduri, să introduceți disclaimere peste tot și orice vă mai trece prin cap, însă atâta timp cât toate acestea nu sunt însoțite și de măsurile tehnice adecvate, aveți toate șansele să le călcați pe urme celor de mai sus. 

Dacă „băiatul de la IT” vă spune că totul este protejat, nu vă lăsați pradă tentației de a evita costul unui specialist. Într-adevăr, orice măsură suplimentară costă, dar ați calculat vreodată cât v-ar putea costa o eventuală breșă? Ați luat în calcul costurile reputationale? Dar faptul că puteți risca să vi se ceară daune în instanță?