Reacția rapidă la atacurile cibernetice este vitală pentru limitarea pagubelor și protejarea utilizatorilor

Comunicate de presa

Vizualizari: 3557

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Ministerul Comunicațiilor și Societății Informaționale (MCSI) organizează în perioada 27-31 mai 2019, în parteneriat cu Universitatea Politehnica din București (UPB) și sub auspiciile Președinției României la Consiliul Uniunii Europene, evenimentul Bucharest CyberDrill, la sediul universității partenere.

Dezvoltat în cadrul celei de-a patra inițiative regionale europene a Uniunii Internaționale a Telecomunicațiilor (ITU) privind consolidarea încrederii în utilizarea tehnologiilor informaționale, Bucharest CyberDrill este un eveniment amplu care cuprinde o componentă de sesiuni de pregătire și instruire în materie securitate cibernetică pentru companii (27-28 mai), o conferință (29 mai) cu participare internațională din peste 17 țări ce aduce în prim planul discuțiilor problemele curente din domeniul securității cibernetice la nivel mondial și care se va încheia cu o prezentare a unor diverse scenarii ce implică cele mai comune tipuri de atacuri cibernetice.

”Atacurile cibernetice prejudiciază anual economia globală cu 400 miliarde euro, iar impactul economic al criminalității cibernetice a crescut de cinci ori din 2013, fiind considerată o provocare pentru însăși securitatea internă a UE. De aceea, reacția rapidă la astfel de incidente este vitală pentru limitarea pagubelor și protejarea utilizatorilor. Scopul evenimentului Bucharest CyberDrill este acela de a dezvolta și consolida capacitatea de răspuns în materie de securitate cibernetică, precum și capacitatea de comunicare/interacțiune a reprezentanților companiilor participante la acest exercițiu. De asemenea, evenimentul își propune să asigure un efort colectiv continuu în ceea ce privește contracararea amenințărilor cibernetice din cadrul centrelor de răspuns la incidente de securitate cibernetică din Europa”,  a declarat Alexandru Petrescu, ministrul Comunicațiilor și Societății Informaționale.

MCSI a lansat, la 2 mai 2019, prin Centrul Național de Răspuns la Incidente de Securitate Cibernetică, un număr unic, 1911, apelabil din toate rețelele, la care pot fi raportate incidentele de securitate cibernetică de către persoane fizice, juridice și instituții publice, oferindu-li-se prin Call Center o asistență primară și consiliere pentru diagnosticare și remediere.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

Un val de atacuri cibernetice vizează instituții sanitare din România

Comunicate de presa

Vizualizari: 1530

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Din notificările primite, CERT-RO a identificat o creștere semnificativă a atacurilor cu aplicații malițioase de tip ransomware la nivel național în ultima perioadă, observându-se că, pe lângă utilizatorii casnici, atacatorii și-au îndreptat atenția în special către instituții din domeniul sănătății, numărul entităților afectate fiind în creștere.

CERT-RO atrage atenția, atât utilizatorilor cât și personalului care se ocupa de serviciile IT, asupra următoarelor măsuri imediate ce pot fi luate pentru a preveni infectarea cu aceste tipuri de aplicații malițioase:

  • nu deschideți fișierele primite prin e-mail decât în situația în care cunoașteți expeditorul iar în cazul unei suspiciuni adresați-vă personalului de specialitate
  • evitați accesarea ”ofertelor ” irezistibile din mediul online, indiferent de forma prin care le primiți (email, whatsapp, messenger, facebook etc.)
  • asigurați-vă că aveți un backup al fișierelor pe un dispozitiv care nu este conectat la rețea
  • asigurați-vă că dispozitivele pe care le utilizați atunci când navigați online sunt updatate și au instalate soluții de securitate (firewall, antivirus, antimalware etc.)
  • apelați numărul unic 1911 pentru raportarea acestor incidente

"Fiecare organizație trebuie să implementeze un plan de răspuns la incidente de securitate care să identifice și să descrie rolurile și responsabilitățile echipei de răspuns în cazul unei breșe de securitate care va pune planul în acțiune si apoi sa realizeze simulari practice pentru a testa modul de reatie a angajatilor in cazul unui atac cibernetic.", a declarat Marius Dumitrescu, Director editorial DPO-NET.ro

Pe portalul dpo-net.ro a fost lansat un curs intitulat "Planul de răspuns la incidente de securitate" care se adreseaza in special responsabililor de protectia datelor si a responsabililor de securitate informatica. Costul acestui curs este de 190 ron si scopul acestui curs este de a a furniza o abordare cât mai clar definită și organizată pentru a gestiona amenințările reale sau potențiale asupra procesului de prelucrare a datelor cu caracter personal.

La finalul cursului  se va accesa un chestionar grila cu zece intrebari alese aleatoriu din baza de date si daca rezultatul final al raspunsurilor corecte depaseste procentul de 70%, cursantul obtine automat un Certificat de Absolvire. Pentru inscrierea la curs este nevoie sa aveti un cont cu acces la cursurile online dpo-NET.ro.

Daca nu ati solicitat inca un astfel de cont, o puteti face prin completarea urmatorului formular: https://dpo-net.ro/solicitare-cont-acces-cursuri-online/, urmand ca in maxim 48 de ore sa primiti un email de confirmare privind inregistrarea, cu detalii despre autentificarea in sistem. 

Din cuprinsul cursului reamintim urmatoarele capitole:

1. Introducere
2. Etapele unui plan de răspuns la incidente de securitate
3. Cum recunoaștem un incident de securitate ?
4. Echipa de management a incidentelor de securitate
5. Cronologia evenimentelor în cazul unui incident de securitate
6. Exemple de incidentele care ar trebui raportate
7. Identificarea incidentelor de securitate,
8. Implicarea departamentelor de management și  IT / Conformitate
9. Notificările în regim de urgență
10 Activități inițiale
10.1. Izolarea incidentelor de securitate
10.2.Cyber-Asigurări și externalizarea serviciilor de răspuns la inciente de securitate
10.3 Documentarea  și deschiderea rapoartelor de incident de securitate
10.4 Înființarea echipei de management a incidentului și analiza planurilor alternative
11. Activități port-incident
11.1 Analiza și planificarea
11.2 Investigația
11.3 Reducerea riscurilor și adoptarea măsurilor corective
11.4 Notificarea
11.5 Închiderea dosarului deschis pentru incidentul de securitate
11.6 Raportarea

ANEXA A -Formular de raportare a incidentelor de securitate
ANEXA B -Notificare de încălcare a securității datelor cu caracter personal
ANEXA C - Lista a celor mai frecvente amenințări de securitate

Ce este un Ransomware ?

Ransomware-ul este un malware (software malițios) ce împiedică accesul la fișiere, sau chiar la întregul
sistem informatic infectat, până la plata unei „recompense” (ransom). Astfel, ransomware-ul este una dintre cele mai supărătoare forme de malware, întrucât produce pagube financiare directe, iar de cele mai multe ori fișierele criptate de malware nu pot fi decriptate.
Pentru a îngreuna procesul de recuperare a fișierelor, ransomware-urile blochează accesul la fișiere
(documente, fotografii, muzică, video etc.) prin criptarea asimetrică a acestora.
Centrul Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO recomandă
utilizatorilor și organizațiilor din România să respecte următorul set minim de măsuri în scopul prevenirii infectării cu ransomware, dar și pentru diminuarea daunelor produse în eventualitatea infectării.

Măsuri de prevenție

CERT-RO vă recomandă implementarea următoarelor 10 măsuri de prevenire a infecțiilor cu diferite forme de malware, în special ransomware:

1. Fiți precauți
Această recomandare este general valabilă pentru a spori securitatea sistemelor informatice pe care
le utilizați/administrați. Este deja bine-cunoscut faptul că utilizatorul reprezintă veriga cea mai slabă
din lanțul ce formează securitatea cibernetică, fapt pentru care majoritatea atacurilor vizează
exploatarea componentei umane (social engineering, phishing, spear phishing, spam etc.). În
consecință, vă recomandăm să nu accesați link-urile sau atașamentele conținute de mesajele email
suspecte înainte de a verifica în prealabil sursa/legitimitatea acestora. De asemenea, o atenție sporită
trebuie acordată site-urilor web pe care le accesați și surselor online pe care le utilizați pentru
descărcarea sau actualizarea aplicațiilor.

2. Faceți copii de siguranță (backup) ale datelor
Cea mai eficientă metodă pentru combaterea amenințării ransomware este realizarea periodică de
backup pentru datele stocate/procesate cu ajutorul sistemelor informatice. Astfel, chiar dacă accesul
la date este blocat de către un ransomware, datele dumneavoastră vor putea fi restaurate rapid, iar
daunele provocate vor fi minime.
IMPORTANT! Pentru backup utilizați un mediu de stocare extern care nu este conectat în
permanență la sistem, altfel existând riscul ca, în cazul infectării cu ransomware, să fie criptate și
fișierele de pe respectivul mediu de stocare.

3. Activați opțiunile de tip „System Restore”
În cazul sistemelor de operare Windows, vă recomandăm activarea opțiunii „System Restore” pentru
toate partițiile de stocare. În cazul infectării sau cu malware sau compromiterii unor fișiere (chiar și
fișiere de sistem), datele ar putea fi rapid restaurate prin aducerea sistemului la o stare anterioară.
ATENȚIE! Nu vă bazați exclusiv pe această facilitate deoarece unele versiuni recente de ransomware
șterg datele din „System Restore”.

4. Implementați mecanisme de tip „Application Whitelisting”
„Application Whitelisting” presupune implementarea unui mecanism care să asigure faptul că în cadrul
unui sistem informatic rulează numai software autorizat/cunoscut. Conceptul în sine nu este nou,
reprezentând practic o extindere a abordării „default deny” (nu permite în mod implicit) utilizată de
mult timp de soluțiile de securitate de tip firewall. În prezent, „application whitelisting” este considerată
una dintre cele mai importante strategii de combatere a amenințării malware și există deja o varietate
de soluții tehnice cu ajutorul cărora poate fi implementată, inclusiv de către utilizatorii casnici, mai ales
în cadrul sistemelor de operare Windows unde implementarea se poate realiza utilizând uneltele deja
conținute de sistemul de operare: SRP (Software Restriction Policies), AppLocker (unealta recomandată
începând cu sistemul de operare Windows 7, având același scop ca și facilitatea SRP din Group Policy).

5. Dezactivați execuția programelor din directoare precum %AppData% și %Temp%
O soluție alternativă la mecanismul de tip „Application Whitelisting” (nu la fel de eficientă, însă care
aduce un spor semnificativ de securitate) este blocarea execuției programelor din directoare ca
%AppData% și %Temp%, prin intermediul politicii de securitate (GPO – Group Policy Object) sau
utilizând o soluție de tip IPS (Intrusion Prevention Software).

6. Afișați extensiile fișierelor
Unele tipuri de ransomware, precum Cryptolocker, sunt livrate sub forma unor fișiere cu extensie
cunoscută (.doc, .docx, .xls, .xlsx, .txt etc.) la care se adaugă extensia „.exe”, caracteristică fișierelor
executabile, rezultând extensii de forma „.docx.exe”, „.txt.exe” etc. Astfel, afișarea extensiilor
fișierelor poate facilita observarea fișierelor suspicioase/malițioase. Este recomandat să nu rulați
niciodată fișiere executabile venite prin email.

7. Actualizați în permanență sistemele de operare și aplicațiile
Actualizarea aplicațiilor/programelor utilizate reprezintă o măsură obligatorie pentru asigurarea unui
nivel de securitate ridicat al sistemul informatic. De cele mai multe ori, un software neactualizat este
echivalentul unei uși deschise (backdoor) pentru infractorii din mediul cibernetic. În general
producătorii de software, precum Microsoft și Adobe, publică în mod regulat actualizări (update-uri)
pentru sistemele de operare și aplicații, utilizatorul având posibilitatea să configureze descărcarea și
instalarea automată a acestora. Astfel, vă recomandăm să activați opțiunea pentru actualizări
automate acolo unde este posibil și să aveți în vedere modalitatea cea mai eficientă pentru
actualizarea celorlalte programe (verificarea periodică a versiunilor pe site-ul producătorilor).
ATENȚIE! Deseori, programele malițioase au fost livrate sub forma unui update de software. Verificați
cu atenție sursele utilizate pt. descărcarea/actualizarea de software.

8. Utilizați soluții de securitate eficiente și actualizate
O măsură absolut necesară pentru prevenirea infecțiilor cu diferite tipuri de malware o reprezintă
utilizarea uneia sau mai multor soluții software de securitate eficiente și actualizate care să dispună
de facilități/servicii de tip antivirus, antimalware, antispyware, antispam, firewall etc.

9. Utilizați instrumente software pentru monitorizarea fișierelor
Utilizarea de instrumente software pentru monitorizarea fișierelor (accesare, modificare, ștergere
etc.) poate fi de ajutor pentru observarea rapidă a unor comportamente suspicioase în cadrul
sistemelor informatice sau rețelei.

10. Manifestați atenție sporită la accesarea reclamelor web
Unele dintre versiunile de ransomware investigate de CERT-RO în ultimul timp au fost livrate prin
intermediul unor reclame malițioase (malvertising) afișate pe site-uri web populare (știri, magazine
online etc.). Vă recomandăm să evitați pe cât posibil accesarea reclamelor și chiar utilizarea unor
instrumente software (de tip „add block”) care să blocheze automat încărcarea/afișarea reclamelor.

Măsuri de eradicare și limitare a efectelor

În eventualitatea infectării cu ransomware, CERT-RO vă recomandă implementarea următoarelor 8 măsuri de eradicare și limitare a afectelor ransomware:

1. Deconectați mediile de stocare externe
Deconectați urgent toate mediile de stocare externe conectate la PC (memorie USB, card de
memorie, hard disk extern etc.), de-conectați cablul de rețea și dezactivați orice alte conexiuni de
rețea (WiFi, 3G etc.). Astfel se previne afectarea fișierelor stocate pe mediile de stocare externe sau
celor accesibile prin rețea (network share, cloud storage etc.).

2. [Opțional]. Realizați o captură de memorie (RAM)
În cazul în care se urmărește investigarea ulterioară a incidentului și eventual încercarea de a
recupera cheile de criptare utilizate de ransomware din memorie, realizați cât mai rapid o captură de
memorie (RAM), înainte de oprirea PC-ului, utilizând o unealtă specializată.
ATENȚIE! Există riscul ca până la finalizarea procesului de realizare a unei capturi de memorie să fie
afectate (criptate) cât mai multe fișiere (sau chiar toate). Decizia de a opri imediat PC-ul sau de a
efectua mai întâi o captură de memorie trebuie luată în funcție de priorități (sunt mai importante
datele sau posibilitatea efectuării unei analize ulterioare?). Spre exemplu, dacă există un backup
pentru datele stocate pe PC-ul afectat, sau fișierele nu sunt considerate importante, se poate lua
decizia de a efectua o captură de memorie.

3. Opriți PC-ul (Shutdown)
În cazul în care suspectați că un PC a fost infectat cu ransomware și decideți să nu realizați o captură
de memorie (conform pct. 2), vă recomandăm să-l opriți imediat pentru a limita cât mai mult numărul
fișierelor criptate.

4. [Opțional] Realizați o copie (imagine) de HDD
În cazul în care se urmărește investigarea ulterioară a incidentului și eventual încercarea de a
recupera o parte din fișiere cu ajutorul unor instrumente de tip „Data Recovery”, realizați o copie de
tip „bit cu bit” (imagine) a hard-disk-urilor afectate de ransomware, utilizând o unealtă specializată.

5. Realizați un back-up „offline” al fișierelor
Porniți PC-ul (boot) utilizând un sistem de operare care se încarcă de pe un mediu de stocare extern
(CD, DVD, memorie USB etc.), majoritatea distribuțiilor moderne de Linux oferind această facilitate.
Copiați pe un alt mediu de stocare toate fișierele de care aveți nevoie, inclusiv pe cele care au fost
compromise (criptate).

6. Restaurați fișierele compromise
Cea mai simplă metodă de recuperare a fișierelor afectate de ransomware este restaurarea acestora
din cadrul unor back-up-uri. În cazul în care astfel de back-up-uri nu sunt disponibile, vă recomandăm
să încercați recuperarea fișierelor prin „System Restore” sau utilizând instrumente software
specializate de recuperare date (de tip „Data Recovery”).
ATENȚIE! Vă recomandăm să încercați recuperarea datelor cu uneltele software de tip „Data
Recovery” numai de pe imaginile (copiille) de HDD (realizate conform pct. 4), altfel existând riscul să
compromiteți șansele de reușită ale unor proceduri mai complexe ce presupun recuperarea datelor
direct de pe mediile de stocare. Există soluții pentru a încerca recuperarea datelor direct de pe
mediile de stocare, însă acestea necesită un nivel ridicat de expertiză și dotări tehnice speciale.

7. Dezinfectați sistemele informatice afectate
Cea mai sigură metodă prin care vă puteți asigura că sistemul informatic nu mai conține malware (sau
rămășițe de malware) este re-instalarea completă a sistemului de operare, prin formatarea tuturor
HDD-urilor/partițiilor în prealabil. În cazul în care acest lucru nu este posibil (spre exemplu în cazul în
care se intenționează recuperarea datelor direct de pe HDD-urile afectate), vă recomandăm să
utilizați una sau mai multe soluții de securitate de tip antivirus/antimalware /antispyware pentru
scanarea sistemului și dezinfectare acestuia.
ATENȚIE! În cazul în care intenționați să încercați recuperarea de date de pe HDD-urile afectate,
conform indicațiilor de la pct. 6, vă recomandăm să nu încercați dezinfectarea acestora și să utilizați
alte HDD-uri pentru re-instalarea sistemului de operare.

8. Raportați incidentul către CERT-RO
CERT-RO vă recomandă să raportați incidentele de securitate cibernetică, inclusiv infecțiile cu
ransomware, la adresa de email alerts@cert.ro sau la numarul 1911, beneficiind astfel de suport tehnic și indicații de rezolvare a incidentelor si/sau limitare a efectelor acestora.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

Așteptăm prima amendă sau ne ocupăm de conformitate înainte să ni se întâmple ceva?

Comunicate de presa

Vizualizari: 1670

Facebooktwittergoogle_plusredditpinterestlinkedinmail

GDPR Talks a fost primul eveniment din Romania organizat anul acesta pe tema noilor reglementari GDPR, după un an de la intrarea in vigoare. La discuții  au participat specialiști care vin din diferite culturi, cu diferite experiențe, din mediul public sau privat, reprezentând companii mai mari sau mai mici, asociații profesionale sau consultanți independenți, dar toți animați aceeași dorință de a împărtăși din propriile experiențe.

Temele evenimentului au abordat realizările și dificultățile GDPR din perspectiva sectorului public si a celui privat. Al treilea panel a fost o premieră pentru Romania, abordând tematica Digital Ethycs, o temă de care se va vorbi tot mai mult, pe măsura asimilării noilor tehnologii, care vin cu noi riscuri pentru protecția datelor personale și a drepturilor și libertăților fundamentale. La GDPR Talks, pentru perspectiva sectorului public, au participat Simona Zanfir – Consilier Birou Juridic ANSPDCP, Cătălin Giulescu – consultant GDPR, Nelu Munteanu – Director Tehnic CERT.RO, Yugo Neumorni – Președinte CIO Council România, Silvia Axinescu – Senior Managing Associate Reff & Associates / Deloitte Romania, Iurie Cojocaru – Managing Associate CIPP/E NNDKP și Marius Dumitrescu – Președinte Asociația Specialiștilor în Confidențialitate și Protecția Datelor România.

La nivel de reglementare, bilanțul ultimului an arată cam așa:

  • Legea nr. 129/2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înființarea, organizarea şi funcționarea ANSPDCP, precum şi pentru abrogarea Legii nr. 677/2001
  • Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679.
  • Decizia nr. 99/2018 privind încetarea aplicabilității unor acte normative cu caracter administrativ emise în aplicarea Legii nr. 677/2001.
  • Decizia nr. 128/2018 privind aprobarea formularului tipizat al notificării de încălcare a securității datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679
  • Decizia nr. 133/2018 privind aprobarea Procedurii de primire și soluționare a plângerilor
  • Decizia nr. 161/2018 privind aprobarea Procedurii de efectuare a investigațiilor
  • Decizia nr. 174/2018 privind lista operațiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal.

Până acum la nivelul autorității de reglementare au fost înregistrate: 391 încălcări de securitate a datelor notificate până la 17 mai 2019, 69 investigații efectuate ca urmare a sesizărilor primite, 456 investigații efectuate la plângerile persoanelor vizate de către Autoritate până la 01 mai 2019, 9335 de persoane DPO până la data de 1 mai 2019.

Cătălin Giulescu,  consultant GDPR, a fost printre primii specialiști în protecția datelor din România, este DPO certificat de EIPA și a fost coordonatorul echipei tehnice care a gestionat negocierile la nivel european pentru elaborarea și adoptarea GDPR. Principalul sfat al lui Cătălin Giulescu a fost să nu ne lăsăm copleșiți de complexitatea unei situații și să încercăm să abordăm dificultățile cu calm: ”Un process de obținere a conformității GDPR este un fenomen extrem de complex și de fluid și fiecare etapă sau problemă trebuie abordată cu mult calm”. Cătălin a răspuns la un mare număr de întrebări venite din sală și chiar din partea celorlalți paneliști, dezamorsând una dintre cele mai critice probleme, aceea a aplicării unui sistem diferit de penalizare pentru organizațiile din sectorul public și privat. Exista falsa impresie că această situație se regăsește numai în România, în realitate, acest sistem a fost gândit chiar la nivelul Uniunii Europene, ca o consecință a capacității restrânse de adaptare la risc ce se manifestă în sectorul public.

Începând din data de 2 mai 2019 a devenit disponibil numărul unic 1911 pe care Centrul Național de Răspuns la Incidente de Securitate Cibernetică îl pune la dispoziție pentru raportarea incidentelor de Securitate. Nelu Munteanu, director tehnic la CERT.RO a oferit câteva detalii, la GDPR Talks, despre înființarea acestui call-center care poate oferi o asistență primară și consiliere persoanelor fizice, juridice și instituțiilor publice care raportează incidente de Securitate cibernetică.

Din perspectiva GDPR, care vine cu obligativitatea ca fiecare organizație să aibă un plan de raportare a breșelor și o echipă de intervenție în caz de breșă, existența acestui serviciu de urgență specializat oferă operatorilor de date personale posibilitatea efectuării unei analize mult mai exacte cu privire la natura incidentului și amploarea lui, ajutând la luarea deciziei de notificare a breșei către Autoritate, atunci când este cazul, în termenul de 72 de ore hotărât. Nelu Munteanu a prezentat și alte activități și proiecte de conștientizare în care este implicate CERT.RO, precum supervizarea aplicării NIS în România, dar și buna colaborare cu Autoritatea și alte instituții publice și private pentru creșterea gradului de Securitate în spațiul cibernetic.

Printre cei mai profund implicați în problemele ridicate de GDPR sunt directorii informatici, care se află în prima linie în continua bătălie cu atacurile cibernetice dar și cu asigurarea măsurilor interne de reducere a vulnerabilităților datorate erorilor umane. Yugo Neumorni, Președinte CIO Council România, prezent la GDPR Talks, s-a referit la preocupările concrete ale asociației profesionale a directorilor informatici, care în ultimii doi an a derulat o serie de proiecte speciale destinate asigurării condițiilor optime de securizare și eficientizare a sistemelor informatice. ”Există, din păcate, destule organizații în care aplicarea GDPR este percepută în mod eronat ca fiind o responsabilitate exclusivă a CIO când aceasta aparține, în realitate, Board-ului. Din perspectiva CIO, fenomenul GDPR aduce o mare provocare profesională și mult stres, dar și un sprijin și o argumentație în plus la constituirea bugetelor IT” a apreciat Yugo Neumorni.

Una dintre marile probleme ridicate de GDPR este asigurarea efectivă a dreptului la ștergere a datelor personale ale unei persoane vizate. Se știe foarte bine că este destul de dificil din punct de vedere tehnic și costisitor, în același timp, să se asigure ștergerea unor seturi de date în cazul unor sisteme informatice, în marea lor majoritate heterogene, unde sistemele de backup sunt implementate pe diferite nivele și, evident, în diferite locații. Specialiștii așteaptă elaborarea unor seturi de recomandări care să faciliteze efectuarea operațiunilor necesare în cazul în care e nevoie să se răspundă la solicitări de acest fel.

De la aspectele tehnice s-a trecut în mod natural la cele legale, ce pot fi însoți uneori cauze tehnice, precum procedurile asociate administrării multivalente a incidentelor de Securitate și rolul analizelor de impact în asigurarea conformității.

Silvia Axinescu, Senior Managing Associate la Reff & Associates / Deloitte Romania a prezentat o interesantă abordare a utilității analizei de impact în cazul adoptării de noi tehnologii sau procese ce ar putea induce riscuri majore pentru securitatea datelor personale. O importanță apare o au și analizele de tip LIA (Legitim Interest Analyse) care sunt absolut obligatorii în cazurile în care legitimul interes este principalul temei legal la prelucrarea de date personale și unde trebuie menținută în permanență balanța între ceea ce pentru operator este interes legitim, iar pentru persoana vizată un drept de asigurare a drepturilor și libertăților fundamentale.

Iurie Cojocaru, Managing Associate la casa de avocatură NNDKP  a făcut o scurtă trecere în revistă a măsurilor organizatorice ce trebuie adoptate pentru reducerea riscurilor de apariție a unor incidente de Securitate, printre care și cele asociate instruirii corecte a angajaților și implementării politicilor și normelor interne. Sunt situații în care riscul apariției unor incidente de Securitate este datorat în proporție de peste 60-70% unor vulnerabilități interne, asupra cărora se poate acționa.

O prezență activă la organizarea și desfășurarea evenimentului a avut-o asociația profesională a DPO, reprezentată la discuțiile primului panel de Marius Dumitrescu, Președinte Asociația Specialiștilor în Confidențialitate și Protecția Datelor România, iar în sală de o numeroasă delegație de membrii ai asociației. Obiectivul ASCPD este de a oferi soluții concrete la problemele cu care se confruntă specialiștii în confidențialitate și protecția datelor, de a crește gradul de conștientizare a legislației și de a oferi membrilor săi un forum în care aceste subiecte să poată fi dezbătute, precum și un loc de pregătire profesională continuă.

ASCPD militează pentru îmbunătățirea gradului de conștientizare cu privire la tehnologiile și legile care pun în pericol viață privată, pentru a se asigura că publicul este informat și implicat. Una dintre problemele ridicate de Marius Dumitrescu în cadrul discuțiilor din panel a fost cea legată de persoanele care sunt puse în postura de a activa ca DPO prin numirea conducerii și care nu posedă cunoștințele obligatorii necesare pentru exercitarea acestei funcții sau se află într-un posibil conflict de interese.

În Privat totul se vede altfel și orice risc poate deveni fatal pentru business

Fiecare dintre invitații prezenți la discuțiile dedicate sectorului privat acumulează o bogată experiență în proiecte de implementare sau educație legate de GDPR, ceea ce a permis asigurarea unui climat de discuții deschis, colocvial, unde chiar diferențele de opinii au fost prezentate într-o manieră constructivă: Sînziana Oghină – Avocat Medlife, Ciprian Timofte – Managing Associate Țuca Zbârcea & Asociații, Bogdan Manolea – Trusted.ro, Daniel Suciu – Consultant GDPR, DPO Extern, iar ca moderator Tudor Galoș – ECPC-B DPO, Senior Consultant GDPR.

Sînziana Oghină, Avocat Medlife a prezentat câteva dintre experiențele în domeniul privat, unde companiile mari au fost nevoite să ia mult mai în serios provocările GDPR. Cu toate eforturile pentru conformare depuse, elaborarea unor proceduri și a unor politici cu resurse interne sau externe și comunicarea acestora către angajați nu asigură conformitatea organizației. ”O soluție pentru o eficientă implementare și funcționare a Regulamentului este o mai buna informare, poate chiar organizarea unor workshopuri din partea Autorității, deoarece Regulamentul lasă multe locuri de interpretare”, a spus Sînziana Oghină.

Ciprian Timofte, Managing Associate, Țuca Zbârcea & Asociații a pus accentul,  la GDPR Talks, pe necesitatea elaborării unor strategii la nivel de organizație, care să urmărească asimilarea regulilor și procedurilor la nivel intern. Din discuții a reieșit dificultatea acestui demers, oamenii fiind în general reticenți la schimbare. Constatare susținută cu exemple din situații reale și de ceilalți paneliști. O altă zonă de activitate importantă care a fost destul de puternic influențată de GDPR este marketingul. Noile condiții de obținere a consimțământului corelate cu obligativitatea respectării principiilor  promovate de GDPR determină departamentele și organizațiile de marketing să adopte o nouă disciplină, în care pe primul loc se găsește persoana vizată.

Bogdan Manolea – co-fondator Trusted.ro și Director Executiv al asociației pentru Tehnologie și Internet, a venit la GDPR Talks cu perspectiva provocărilor din zona de comerț electronic, unde există un cumul de norme, directive și regulamente ce guvernează funcționarea magazinelor online. Deși aici lucrurile par mai simple decât în alte zone de business, fiind vorba de Internet, totul ține de transparență, dar tocmai necesitatea respectării acestui principiu ridică o serie de mari probleme pentru cei care nu sunt pregătiți pentru asta, crezând că orice se poate posta pe Web. Marca de Încredere TRUSTED.ro este un program special de atestare dedicat magazinelor online și site-urilor profesionale.

Cum  Internetul este un mediu transnaţional, iar reglementările legale pentru protecţia consumatorului nu pot fi singurul element care aduc dezvoltarea afacerilor online, sprin programele initiate și dezvoltate de Trust.ro se încearcă implicarea activă a mediului de afaceri în creşterea încrederii în domeniul în care activează. Chiar prin directiva privind comerţul electronic s-a încercat stipularea acestui lucru prin promovarea codurilor de conduită şi a metodelor extra-judiciare de rezolvare a disputelor ca opțiuni ce pot creşte comerţul electronic.

Daniel Suciu – Consultant GDPR, DPO Extern are o bogată experiență în zona de protecție a datelor personale, atât la nivel de corporații, cât și pentru companii mici și mijlocii. Prin tot ceea ce face, Daniel încearcă să faciliteze accesul la informația generală, punând accentul pe aspectele practice din activitățile de zi cu zi, cu o grijă deosebită pentru detalii. Toate intervențiile susținute de Daniel au demonstrat o reală capacitate de transpunere în rolul clientului și de identificare cu cerințele acestuia.

Una dintre temele de discuție de interes general a fost legată de provocările speciale cu care GDPR vine pentru companiile mici și mijlocii, care teoretic nu dispun de resursele necesare pentru investiții în tehnologie, fiind la fel de expuse la riscuri precum companiile mari. ”Soluții și abordări există pentru orice organizație implicată într-un proces de prelucrare a datelor personale. Diferența aici este că dacă sunt conștienți de amploarea acestor provocări pentru continuitatea în business, managerii unor companii mici sunt mult mai deschiși și mai dispuși să se implice direct în eforturile de asigurare a asigurare a conformității”, a spus Daniel Suciu.

Despre Etica Digitală din perspectiva unei noi generații de tehnologii de graniță, la  de la GDPR Talks

În premieră pentru evenimentele din România, cel de-al treilea panel de la GDPR Talks, a avut ca temă majoră modul în care transformările digitale respectă principiile GDPR și drepturile noastre fundamentale, adică articolele Art. 7 (Respectarea vieții private și de familie) și Art. 8 (Protecția datelor cu caracter personal) din Carta Drepturilor Fundamentale a UE. Revoluția digitală vine cu siguranță cu o grămadă de lucruri benefice, dar și cu foarte multe semne de întrebare legate de modul în care tehnologiile de graniță precum Cloud Computing, BigData, Analytics, IoT , Blockchain sau Inteligența Artificială pot garanta drepturile fundamentale ale utilizatorilor. În același timp, protecția datelor nu se face doar prin adoptarea de politici. Un rol de bază îl au și tehnologiile. Dar, e bine știut: orice nouă tehnologie vine cu noi provocări, cu noi vulnerabilități de securitate care nu au apucat încă să fie studiate și evaluate. Cât este de importantă analiza de impact în adoptarea de noi soluții și ce se înțelege de fapt prin conceptele By Design si By Default?

În deschiderea discuțiilor, de la GDPR Talks, legate de etica digitală, Cătălin Gligan – Marketing Coordonator la ESET Romania a prezentat un studiu de piață realizat de IDC pentru compania ESET, precum și o serie de considerente care recomandă soluțiile ESET Data Loss Prevention pentru endpoint și pentru rețea ca alternative viabile pentru asigurarea prevederilor stipulate în Art.32 din GDPR, prin care operatorii și procesatorii de date sunt obligați să adopte și să implementeze măsuri tehnice şi organizatorice adecvate pentru garantarea securității datelor personale.

La discuții au mai participat Andreea Lisievici, CIPP/E și Tudor Galoș care a venit cu experiența a  mulți ani lucrați și cu abilități acumulate în ultima perioadă, de când și-a dedicat timpul consultanței pentru business transformation și GDPR. Cătălin Gligan a avut ocazia să răspundă unor întrebări din public legate de caracteristicile și funcționalitățile soluțiilor ESET. Discuțiile în cadrul panelului de la GDPR Talks au pornit de la necesitatea ca orice nouă tehnologie revoluționară și disruptivă să servească în primul rând omului. Nu va exista niciodată un pericol real și critic de a fi înlocuiți în totalitate de roboți, drone și mașini care învață singure. Andreea a discutat despre capcanele abordării greșite a unei politici de cookies și ce trebuie să conțină o informare corectă despre folosirea acestora, dar neuitând să facem același lucru pentru toate tehnicile de urmărire a unor parametrii ce reflectă locația sau preferințele noastre de consumatori. Alte teme discutate în care s-a implicat activ și Tudor se referă la așa zisa incompatibilitate între tehnlogia Blockchain și GDPR și la boomul pe care îl înregistrează tehnlogiile de Inteligență Artificială și refuzul de utilizare a tehnicilor de Recunoaștere Facială.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

România aderă la Recomandările privind Inteligența Artificială

Alexandru Petrescu, ministrul Comunicațiilor și Societății Informaționale, prezent miercuri, 22 mai 2019, la Paris, la reuniunea Consiliului Ministerial 2019 al Organizaţiei pentru Cooperare şi Dezvoltare Economică (OCDE) având […]

Unele formulare medicale din România nu respectă principiile GDPR

Conform Agerpres, Asociaţia Română Anti SIDA solicită modificarea fişei medicale pentru obţinerea permisului auto, astfel încât să nu mai fie specificat diagnosticul, ci să fie menţionat doar “apt”, […]

De ce se retrage UniCredit de pe Facebook ?

Reprezentanții UniCredit Bank România au anunțat că, începând din 1 iunie, se vor retrage complet de pe toate canalele social media. „UniCredit a suspendat orice fel de publicitate pe […]

Facebook anunță schimbări majore privind confidențialitatea

În cadrul conferinței anuale F8, Facebook a anuntat schimbari majore ale produselor sale, în special ale aplicațiilor Facebook Messenger si WhatsApp. Schimbările vin după un an 2018 dificil, […]

Hitler ar fi iubit rețelele de socializare

Bob Iger, Directorul Executiv al Disney, a criticat în termeni foarte duri platformele de social media afirmând chiar că „Hitler ar fi iubit rețelele de socializare pentru ca […]

Se lansează numărul unic 1911 pentru raportarea incidentelor de securitate cibernetică

Conform declaratiilor ministrului Comunicaţiilor, Alexandru Petrescu, România va avea un număr de telefon unic, 1911, la care vor putea fi raportate incidentele de securitate cibernetică de către persoanele […]

ICO amendează o companie de pompe funebre cu 92500 EUR

ICO a lansat o investigație după ce un ziar național a raportat acuzații de practici ilegale la un call-center din Cheshire, condus de o companie care la vremea […]

ASCPD: Știrile false, adevărate bombe invizibile

În contextul Zilei Internaționale a Păcălelilor, anunțul Asociației Specialiștilor în Confindențialitate și Protecția Datelor (ASCPD) prin care se anunța lansarea pe data de 1 Aprilie 2019 a unei […]

Managerii instituțiilor publice se pregătesc în domeniul securității cibernetice

În perioada 18-21 și respectiv 25-28 martie 2019 se desfășoară două sesiuni de training în domeniul securității cibernetice dedicate personalului cu funcții de management din instituții publice. Activitatea […]

CERT-RO a participat la CYBERSECURITY FORUM

CERT-RO a participat marți, 12 martie 2019, la CYBERSECURITY FORUM, eveniment care a reunit oficiali ai autorităților de stat, ambasadori, oameni de business, top management de companii din domenii […]

Facebook sau Fakebook ? Despre eliminarea comportamentului inadecvat coordonat din România

Conform unui comunicat de presa din 7 Martie 2019, semnat de Nathaniel Gleicher, șeful pentru cyber-security al Facebook, au fost eliminate mai multe Pagini, grupuri și conturi care […]

Parteneriat public-privat pentru protecția datelor cu caracter personal în Republica Moldova

Inspectoratul General al Poliției și Asociaţia pentru Protecţia Vieţii Private își propun consolidarea eforturilor comune în vederea promovării domeniului protecţiei datelor cu caracter personal şi al dreptului la […]

Peste 97% dintre români cer sa fie informați despre datele lor personale

Conform unui comunicat de presă primit la redacție, Asociaţia Specialiştilor în Confidențialitate şi Protecţia Datelor (ASCPD) a lansat în luna Februarie 2019, în premieră pentru România, un studiu […]

dpo-NET.ro va oferă un CURS ONLINE GRATUIT

Incepand cu 1 martie 2019, portalul dpo-NET.ro lanseaza un nou modul de Cursuri Online, dedicat atat profesionistilor cat si angajatilor operatorilor de date. Persoanele interesate pot obtine un […]

ENISA face recomandări privind siguranța cibernetică a alegerilor

În contextul viitoarelor alegeri pentru Parlamentul European, ENISA a publicat un ghid privind securitatea informatică a alegerilor și oferă recomandări concrete pentru a îmbunătăți securitatea informatică a proceselor […]

Asociația pentru Protecția Vieții Private și-a lansat Codul de conduită și principiile de etică

Asociația pentru Protecția Vieții Private din Republica Moldova (www.privacy.md ) a elaborat și aprobat Codul de conduită și principiile de etică pentru a asigura respectarea principiilor de transparență, […]

Membrii comunității Global IT Manager s-au întâlnit la o nouă ediție a conferinței “Securitatea informației în era digitală”

Joi, 21 februarie, membrii comunității Global IT Manager s-au întâlnit în cadrul celei de-a doua ediții a conferinței Securitatea informației în era digitală. Au participat 93 de specialiști în managementul și […]

EDPS lansează primul raport anual privind noua eră de protecție a datelor

2018 a fost un an foarte aglomerat pentru Autoritatea Europeană pentru Protecția Datelor (EDPS) și un an esențial pentru protecția datelor în general. În conformitate cu noile norme privind protecția datelor , […]

Transparența oferă consumatorilor un sentiment de control și, prin urmare, răspund pozitiv.

În august 2018, autoritatea franceză de confidențialitate CNIL a citat două companii franceze (Fidzup și Teemo) privind neconformitatile în relație cu  regulile privind validitatea consimțământului GDPR (precum și cu […]

Cum stăm până acum cu GDPR-ul în Europa ?

Regulamentul general privind protecția datelor (GDPR) se aplică începând cu 25 mai 2018. Primele analize realizate de European Data Protection Board asupra breselor de securitate, printre care si pierderile […]