Dacă am vrea să caracterizăm în câteva cuvinte timpurile pe care le trăim cu siguranță cele mai potrivite sunt: comunicații rapide și mobilitate.

Prima Revoluție industrială a dus la mecanizarea producției prin folosirea mijloacelor naturale (apă și abur). Producția pe scară largă (folosind  electricitatea) a fost rezultatul celei de-a doua Revoluție industriale. A treia Revoluție industrială a dus  la  automatizarea producției prin folosirea computerelor și dispozitivelor de prelucrări automate a datelor. A patra Revoluție industrială, pe care o trăim în acești ani, este revoluția digitală bazată pe comunicații de mare viteză (Internet), integrarea sistemelor și senzorilor într-un singur ecosistem (Internet of Things) și prin prelucrarea intensivă a unei cantități mari de date cu caracter personal, în scopul profilării persoanelor vizate (preferințe, simpatii, economice, de sănatate etc).

Dispozitivele automate de prelucrare a datelor și-au redus mereu dimensiunile, iar astăzi am ajuns să avem in nelipsitul telefon personal o putere de calcul mai mare decât cea folosită pentru trimiterea misiunilor cu echipaj uman pe Lună în anul 1969. Odată cu evoluția dispozitivelor mobile au evoluat și sistemele de comunicații, astfel că acum, aproape 90% din traficul de internet provine de pe dispozitive mobile (telefoane smart, tablete sau laptop-uri).

Evident că a crescut cantitatea de informații prelucrată, dar și riscurile asociate prelucrării ei.

Dispozitivele mobile inteligente au un impact puternic asupra felului cum organizațiile, fie ele instituții guvernamentale sau afaceri private, funcționează.   Puterea de calcul a dispozitivelor mobile le face pe acestea un concurent serios dispozitivelor  clasice fixe, de tip computere personale sau laptopuri și aduc în general beneficii deloc neglijabile: munca la distanță (de exemplu de pe teren), reduceri de cheltuieli,  satisfacție și ușurință în folosire. Totuși, deoarece prin dispozitivele mobile se procesează o cantitate mare de date cu caracter personal, folosirea lor poate fi un motiv de coșmar pentru responsabilii oricărei organizații.

Motivele principale de îngrijorare sunt cele exprimate în Regulamentul GDPR: controlul și legalitatea prelucrărilor de date, riscurile asociate cu prelucrările de date, securitatea datelor prelucrate și modurile de accesare a datelor astfel încât drepturile persoanelor vizate de prelucrări să fie respectate.

În acest sens, organismul european supervizor (European Data Protection Superviser) a emis un ghid de bune practici pentru prelucrările datelor prin dispozitive mobile care include recomandări de securitate (prin măsuri organizaționale și de natură tehnică), informații despre riscurile asociate prelucrărilor de date prin dispozitivele mobile, precum și un set de reguli pentru asigurarea conformității cu cerințele Regulamentului GDPR.

Lăsând la o parte aceste recomandări, mai mult sau mai puțin tehnice, vom detalia în continuare 3 aspecte critice cu care se va înfrunta orice organizație atunci când prelucrează date și dorește să se alinieze la cerințele Regulamentului GDPR.

Un prim punct critic este responsabilizarea conducerii. Responsabilul cu prelucrarea datelor are un rol esențial aici, și anume să identifice riscurile asociate cu prelucrările de date prin dispozitive mobile și le aducă la cunoștința conducerii într-un limbaj cât mai simplu și cât mai ușor de înțeles.

De câte ori nu ne-am confruntat cu situația în care conducerea unei firme sau instituții acordă o importanță doar formală conformării la Regulamentul GDPR?

De multe ori, managerul general nu înțelege complexitatea problemei și riscurile la care poate supune compania în cazul unei potențiale breșe de securitate.        Care este de obicei veriga cea mai slabă dintr-o organizație?

Angajatul!

Iar acesta, folosind dispozitivul personal în cadrul prelucrărilor din activatea lui curentă, poate produce breșe de securitate conștient sau nu.

Angajatul poate să folosească telefonul personal pentru a introduce date cu caracter personal în sistemul informatic al companiei. Compromiterea dispozitivului mobil va duce la compromiterea întregii baze de date a companiei! De fapt, majoritatea atacurilor informatice  (peste 90%) au la bază folosirea unor tehnici de inginerie socială care au ca țintă angajatul și, de regulă, dispozitivul mobil pe care acesta îl folosește de obicei atât în scop personal, cât și in interes de serviciu

Un hacker ar putea urmări interesele unui angajat (de exemplu, preferințele pentru cumpăraturi ale acestuia) și apoi să inițieze o campanie de tip phishing care să urmărească în prima fază obținerea controlului asupra dispozitivului acestuia.

Într-o altă situație în care compania nu a instituit un sistem de control al accesului la date și o jurnalizare a accesului la date, un angajat nemulțumit ar putea fura baza de date a companiei cu ajutorul unui telefonul mobil, în scopul vânzării acesteia către concurență. Compania nu va avea la dispoziție nici o metodă prin care să identifice persoana responsabilă de acest incident și nici momentul în care a avut loc.

Managerul companiei trebuie să înțeleagă toate aceste riscuri și să acorde atenție și următorului punct critic: managementul și monitorizarea dispozitivelor de prelucrare a datelor din cadrul unei companii, atât sub formă de bunuri ale firmei, cât și ca bunuri personale ale angajaților care sunt folosite de către aceștia pentru a accesa datele firmei.

Compania trebuie să facă o evaluare a acestora (un inventar care să conțină tipurile de dispozitive, persoanele care le folosesc, tipurile de date care sunt accesate prin acestea, precum și măsurile de securitate implementate la nivelul lor: parolare, criptare, antivirus, licență etc.).

Dar, toate aceste evaluări nu sunt de folos dacă dispozitivele nu sunt monitorizate în timp real pentru a se urmări orice perturbare a funcționării lor normale, de exemplu dacă nu se instalează software-uri cu probleme cunoscute (malware, viruși) sau dacă nu au un comportament ieșit din tiparul obișnuit (de exemplu, accesarea bazei de date a firmei în cursul nopții).

Compania trebuie să se asigure în acest caz că monitorizarea dispozitivelor mobile nu va fi percepută ca o intruziune în viața personală a angajatului și, prin accesul la telefonul acestuia, să nu fie excesivă și să ii afecteze drepturile și libertățile acestuia. O soluție la această problemă este containerizarea operațiunilor în cadrul dispozitivului, astfel încât zona personală a angajatului să fie separată pe dispozitiv de zona care ține de îndeplinirea activităților zilnice, zonă care poate fi monitorizată și logată în mod corespunzător.

O companie responsabilă ar trebui să ia măsura constituirii unui SOC (Security Operations Center) care să aibe și aceste responsabilități de monitorizare a logurilor generate de dispozitivele mobile ale angajaților, de realizare a backup-urilor de date de pe acestea și de analiză și intervenție rapidă în cazul semnalării unui incident.

În final, Regulamentul GDPR pune accent pe instruirea angajaților privind prelucrările de date. Toți au auzit de riscuri, toți au auzit de GDPR, dar cu toate astea mereu pot să apară greșeli, dacă angajații tratează cu nepăsare acest subiect ("oricum, mie nu mi se va întâmpa nimic deosebit", "sunt deranjat că sunt doar o grămadă de acte de completat", etc.). O metodă de diminuare a riscurilor este introducerea în cadrul organizației a unei "culturi de prelucrare securizată a datelor". Angajații ar trebui antrenați să perceapă că prelucrarea datelor în condiții de conformitate cu Regulamentul GDPR, prin orice fel de dispozitiv, în orice moment și prin orice mijloace trebuie sa fie o valoare a companiei. Toate activitățile zilnice ar trebui abordate din această perspectivă, inclusiv folosirea dispozitivelor mobile sau personale.

Cele 7 principii care stau la baza cultivării unei strategii organizaționale de securitate sunt:

• atitudine proactivă ("prelucrez date gandindu-mă la securitatea acestora");
• comportament ("nu fac lucruri care pot duce la compromiterea datelor");
• conștientizare ("știu că prelucrez date, știu cu ce prelucrez date, știu în ce scop și unde sunt folosite aceste date");
• comunicare ("dacă identific o problemă o comunic imediat și nu o ascund");
• conformare ("prelucrez date doar în mod legal, echitabil și transparent față de persoana vizată");
• normare ("respect proceduri și norme de conduită");
• responsabilitate ("prelucrez datele exacte, adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt colectate");

În concluzie, prelucrarea datelor cu caracter personal prin dispozitive mobile este o mare provocare în contextul conformării la cerințele Regulamentului GDPR.

Companiile trebuie să evalueze în mod clar situația și să realizeze un echilibru între investițiile în securizarea tehnică a datelor și securizarea procedurală și informativă a acestora, prin instruiri ale personalului și prin îmbunătățirea comunicării interdepartamentale.

Bibliografie:

1. Raport evoluție utilizare internet - https://datareportal.com/reports/digital-2019-global-digital-overview
2. Opinia European Data Protection Superviser pe tema folosirii dispozitivelor mobile - https://edps.europa.eu/data-protection/data-protection/reference-library/mobile-devices_en
3. Built your security culture on the risk assessment expense - Ana-Maria Matejic (Mayday Conf, Cluj 2019)

Despre autor:

Paul Stoica Este inginer licențiat in Telecomunicații, formator, având un master în management și finanțare în administrația publică și o experiență de peste 13 ani în dezvoltarea de soluții software și aplicații online. Pasionat de domeniul securității datelor, este consultant GDPR și Responsabil cu protecția datelor pentru mai multe instituții și companii private din Arad, Timiș și Bihor. www.gdprarad.ro paul.stoica@gdprarad.ro

Mobilitatea este un termen folosit de experții din industria mobilă pentru a defini tehnologia mobilă și capacitatea de a ne deplasa liber și ușor în lumea digitală.

Mobilitatea a devenit o mare parte din viața noastră și aceasta se datorează faptului că are multe beneficii atât pentru persoane fizice, cât și pentru companii. De la primul telefon cu caracteristici din 1993 până la smartphone-urile de astăzi, tehnologia mobilă a crescut rapid, cu mai multe dispozitive mobile pe planetă decât oameni.

Utilizarea smartphone-urilor a crescut masiv din nevoia de disponibilitatea, am devenit  dependenți de lucrurile pe care le avem pe telefon, ne sunt disponibile tot timpul, oriunde ne-am afla,  accesăm aplicații și  utilizăm acest beneficiu pentru a afla unde vrem să mergem cu Google Maps, chemăm u taxi, cu Uber, partajăm capturile foto imediat pe Facebook,  ne dorim doar ca dispozitivul nostru mobil să fie portabil și disponibil oriunde ne-am afla.

Dar este important să înțelegem că mobilitatea nu se referă numai la aplicațiile mobile, ci și la toate obiectele „conectate” din jurul nostru. În prezent caracteristica pentru colectarea datelor este Internetul lucrurilor. Internet of Things (IoT) dezvoltă ideea că toate dispozitivele tehnologice pot fi conectate la internet și între ele în încercarea de a crea o legătură perfectă între lumea fizică și cea digitală permițându-le să colecteze și să partajeze date. Odată cu senzorii care captează fiecare informație din mediul înconjurător, îngrijorarea cu privire la confidențialitate și încălcarea datelor este din ce în ce mai mare.

Cum ne poate afecta acest lucru?

Depinde de domeniul în care activăm. De exemplu, pentru cei care lucrează în marketing, publicitate, mass-media sau managementul afacerilor, IoT ar putea oferi o multitudine de informații despre modul în care consumatorii caută produse prin urmărirea interacțiunilor lor cu dispozitivele digitale. La rândul lor, aceste date ar putea fi utilizate pentru optimizarea campaniilor de marketing și a experiențelor utilizatorilor.

Multe dovezi tehnologice sunt construite cu conectivitate WiFi, ceea ce înseamnă că pot fi conectate la Internet și unul la celălalt. IoT permite conectarea la dispozitive, aparate de uz casnic, mașini și multe altele  dar și schimbul de date prin Internet.

Care sunt beneficiile?

În calitate de consumatori, noi deja folosim și beneficiem de IoT: ne putem închide ușa de la distanță dacă uităm când plecăm la lucru și preîncălzim cuptoarele pe drumul spre casă de la serviciu. Deci accesăm avantajele Internet of Things.

Acest lucru presupune și riscuri. De exemplu  Majoritatea mașinilor noi vin cu o varietate de funcții conectate la internet, care colectează, utilizează și împărtășesc cantități vaste de informații despre mașină și pasagerii acesteiaDacă cineva este capabil să preia controlul mașinii dvs., ar putea schimba viteza. Acestea ar putea schimba modul în care îți folosești frânele și asta ar putea duce la un accident. Am dat doar cateva exemple, cert este că aceste dispozitive sunt din ce în ce mai populare, ceea ce duce la creșterea interacțiunii cu prevederile Regulamentului general privind protecția datelor (GDPR)

Control pe care oamenii îl au asupra datelor depinde, în mare măsură, de cât de bine informează producătorii despre ce date colectează dispozitivele, pentru ce sunt utilizate datele și care sunt consecințele probabile pentru utilizatori. Odată cu senzorii care captează fiecare informație din mediul înconjurător, îngrijorarea cu privire la confidențialitate și încălcarea datelor crește.

Proprietatea datelor este un aspect important de luat în considerare pentru confidențialitate. Adesea, utilizatorii presupun că cumpără și instalează dispozitive IoT, că dețin și controlează dispozitivele și datele partajate și colectate, ceea ce nu este neapărat corect. Mulți producători afirmă implicit, în obositorul „Acord de termeni și condiții”, că datele colectate de aceste dispozitive le aparțin și că sunt liberi să le partajeze sau să le vândă terților.

Orice obiect conectat la internet este predispus atacurilor, iar produsele IoT nu fac excepție de la această regulă. Mai mult decât atât, problemele pierderii încălcării intimității și a monitorizării permanente intră și ele în discuțiile cu privire la riscul extinderii internetului lucrurilor. Securitatea IoT presupune , cunoștințele despre cloud, analiza datelor, automatizarea, înțelegerea sistemelor încorporate, cunoașterea  dispozitivelor. De asemenea, producătorii ar trebui să se asigure că utilizatorii acordă consimțământ „liber, specific, informat și lipsit de ambiguitate”, în loc să se bazeze pe consimțământul tacit și implicit.

Sursa:

https://www.researchgate.net/publication/331991225_GDPR_Privacy_Implications_for_the_Internet_of_Things

https://www.automotive-iq.com/autonomous-drive/articles/mobility-and-the-gdpr-an-important-but-uneasy-partnership

Devine accesul liber la internet în era GDPR o problemă pentru operatori? Într-o proporție covârșitoare operatorii au pagini web de prezentare, contact sau  magazine online, pagini de Facebook, conturi de Whatsapp și adrese de e-mail profesionale.  De câte ori apare o oportunitate de promovare (free) foarte mulți operatori apelează la ea fără a face o analiză preliminară din punct de vedere al gradului de confidențialitate sau chiar protecție a datelor personale asigurate de noua aplicație.

Dacă după 25 mai 2019 și până acum s-a făcut un pic de curățenie în newsletterele primite fără acordul consumatorului, anul acesta de Black Friday au explodat din nou SMS-urile și e-mailurile trimise de magazinele online. Și asta în condițiile în care până acum Autoritatea de Supraveghere a sancționat cu amendă 3 operatori pentru transmiterea de mesaje comerciale nesolicitate. Să fie de vină slaba diseminare a veștilor despre sancțiuni sau pur și simplu operatorii se gândesc că nu li se va întâmpla lor?

Întorcându-ne la paginile web ale operatorilor, am constatat atât înainte dar mai ales în perioada de Black Friday, că magazinele online deși au publicat politici de protectia datelor si politici de cookie, au în continuare cookie-uri prebifate, înregistrarea la newsletter prebifată sau pur și simplu mesajul “prin continuarea navigarii pe acest site vă dați acordul cu privire la utilizarea cookie-urilor” fără a da posibilitatea utilizatorilor de a opta pentru diversele categorii de cookie.

Mulți operatori care au pagini web de prezentare care conțin “doar” formular de contact sau chiar Secțiunea Cariere prin care se solicită transmitere de CV consideră că nu prelucrează date personale, neglijând să informeze utilizatorii site-ului despre scopul prelucrării acestor date personale și despre prelucrare în general. Oare să coste un specialist în GDPR atât de mult încât să nu-și permit operatorii consultanța de specialitate? Atât de mult încât să riști o amendă?!?

Cât despre paginile de Facebook/Instagram ale operatorilor, așa cum déjà știm, aceștia devin operatori de date personale (și) prin intermediul acestor pagini de pe rețelele sociale, fapt ignorat total de către operatori.

Orice operator utilizează în activitatea sa adresa de e-mail în scop profesional, foarte mulți având conturi de yahoo sau gmail, adrese prin intermediu cărora circulă ștate de plată, acte de angajare, investigații medicale, pe scurt date personale. Sunt conștienți operatorii de riscurile asumate? Dar clienții/pacienții/angajații? Considerăm că nici unii, nici ceilalți nu sunt știu (încă) cât de importante sunt datele personale și ignoră protecția temeinică a acestora.

Cât de posibilă este implementarea GDPR la nivelul unui astfel de operator? Poate fi realizată corect sau e privită ca pe încă o obligație de a avea un “dosar”? Cât de departe sunt operatorii de acest tip de respectarea principiilor GDPR? Este de ajuns să-și desemneze un DPO sau trebuie regândită toată strategia de management? Până unde se întind brațele caracatiței GDPR în organizație? Răspunsul este peste tot! Deși mulți operatori își imaginează că dacă au un dosar de formulare și politici sunt acoperiți de riscurile GDPR, în realitate lipsa de măsuri tehnice și organizatorice este mult mai periculoasă decât lipsa unei politici iar legătura cu tot ce presupune internetul este una dintre verigile care trebuie securizată în mod special.