Bitdefender, despre programul de protecție a datelor personale – mai sunt 300 de zile până când Comisia Europeană începe să aplice amenzi

Liviu Arsene, Bitdefender

Cu mai puțin de un an până la intrarea în vigoare a noului Regulament privind Protecția Datelor cu Caracter Personal (GDPR), un studiu al institutului Ponemon arată că doar 9% dintre companii sunt compatibile cu noua politică impusă de Uniunea Europeană, în timp ce aproape o treime (32%) nu au nici măcar un plan pentru a corespunde cu noile cerințe. GDPR este un set de reglementări (2016/679) care urmărește să consolideze protecția datelor personale ale cetățenilor țărilor membre ale Uniunii Europene, inclusiv limitarea exportului acestor informații către state non-membre.

După patru ani de deliberări și o perioadă de tranziție de 24 de luni, reglementările urmează să intre în vigoare din luna mai 2018. Dacă până în prezent companiile se temeau doar de costurile financiare și reputaționale în cazul unor atacturi cibernetice, de anul viitor amenzile aplicate în cazul unor breșe de securitate pot ajunge până la 4% din cifra de afaceri, ceea ce ar putea genera pagube suplimentare.

Într-un peisaj în care amenințările informatice și atacurile cibernetice inundă săptămânal programele de știri, GDPR vine să reglementeze un spațiu în care date dintre cele mai sensibile au fost expuse la liber, pe internet, ca urmare a securității precare a infrastructurilor IT deținute de companii și a lipsei unor norme clare de bune practici. În eventualitatea unei breșe, companiile trebuie să aibă pregătite mecanisme de notificare a clienților despre care dețin date care intră sub incidența GDPR.

Ce aduce nou GDPR?

  • O definire mai largă a datelor personale și breșelor: datele personale se referă la orice informație care are legătură cu o persoană identificată sau identificabilă; o breșă legată de date personale este definită ca un incident de securitate care conduce la distrugerea, pierderea, alterarea, dezvăluirea neautorizată sau accesul la orice date personale – stocate, transmise sau procesate.
  • O extindere a ariei teritoriale: orice companie care lucrează cu date ale cetățenilor UE, indiferent de țara în care are sediul, se supune normelor GDPR
  • Un termen clar de notificare în cazul unei breșe: o companie trebuie să anunțe autoritatea de supraveghere și indivizii afectați în cel mult 72 de ore de la identificarea breșei
  • Dreptul victimelor de a primi facil despăgubiri: cetățenii ale căror date sunt expuse public, au acum un cadru legal în care pot solicita mai ușor și mai rapid bani de la administratorul datelor pentru prejudiciul creat
  • Puteri de investigație mai mari: autoritățile se bucură de puteri extinse și pot iniția proceduri de audit și emite atenționări publice către organizații.

Ce trebuie să facă organizațiile?

Primul lucru imperios necesar ar fi să identifice care dintre datele cu care lucrează cad sub incidența GDPR: acestea includ date personale pe care companiile din UE le strâng și le administrează, dar și date deținute de companii internaționale care operează însă pe teritoriul Uniunii.

În al doilea rând, companiile trebuie să documenteze felul în care datele sunt securizate. Dacă nu, ghidul de documentație oferă câteva repere. Organizațiile trebuie să știe unde se află datele care intră sub lupa GDPR, cum sunt protejate, cine are acces la acestea și cum este determinat și controlat accesul respectiv. În cazul unui atac, planul de răspuns trebuie să fie comprehensiv, pregătit și exersat în prealabil. De exemplu, dacă organizația colectează continuu noi date, o procedură clară trebuie să stabilească dacă datele colectate intră sau nu în categoria standardelor GDPR. De asemenea, dacă contractori externi sau terți colectează datele pentru o companie, felul în care aceștia administrează datele trebuie supravegheat de beneficiarul datelor. Politica de administrare a datelor de-a lungul timpului, de la colectare până la distrugere, trebuie să fie bine documentată și planificată.

Dincolo de securizarea datelor, companiile trebuie să creeze politici legate de intimitate și felul în care asigură protecția vieții private a clienților, precum dreptul de a fi uitat. În final, organizațiile trebuie să răspundă cerințelor GDPR și prin planuri ale departamentelor juridic, resurse umane, asigurări, relații publice și comunicare, în eventualitatea unui incident de securitate cibernetică.

Dat fiind că cerințele necesită efort susținut, firma de consultanță IT Gartner anticipează că la finalul anului 2018, la șapte luni după termenul limită, cel puțin jumătate dintre companii nu vor avea puse la punct toate măsurile necesare respectării standardelor GDPR.

Ce atacuri pot apărea și ce soluții există?

Soluțiile de securitate vor răspunde pentru trei tipuri de atacuri cibernetice: protecție contra pierderii datelor (dispozitive pierdute sau furate), protecție contra furtului datelor (atacuri țintite și amenințări avansate și persistente – APT) și vizibilitate sporită asupra breșelor (pentru a monitoriza și reduce daunele suferite și a acționa cât mai rapid).

Circa 73% dintre directorii de IT declară că se tem de compensațiile financiare pe care compania în care lucrează ar trebui să le plătească în cazul unei breșe de securitate, în timp ce 66% se gândesc chiar că ar putea rămâne fără slujbă, arată un studiu global al Bitdefender realizat la finele anului trecut.​

Amenințările avansate persistente, menite să se infiltreze în sistemele informatice și să colecteze informații importante fără știința conducerii, pot avea consecințe devastatoare, de la pierderi financiare, până la efecte negative asupra reputației. Atacurile informatice inițiate de competitori sau de agenții statale ori contractorii lor sunt extrem de complexe și, de obicei, vizează tocmai vulnerabilități de tip zero-day în sistemele de operare sau în aplicații conexe (browsere, plugin-uri sau aplicații de vizualizat PDF-uri, procesatoare de text, etc). De multe ori, primul stadiu al atacului e compromiterea sau “păcălirea temporară” a scanner-ului anti-malware.

Sistemele de operare moderne (de la Windows 8, la Windows 10) permit soluției de antimalware să verifice ce se întamplă pe sistem atunci când acesta este cel mai vulnerabil – de exemplu, între perioada în care acesta e pornit de la buton și până la pornirea soluției de securitate. Pentru a neutraliza atacurile asupra soluției de securitate, aceasta trebuie rulată in hipervizor, un mod de izolare hardware care nu permite niciunei aplicații sau unui utilizator periculos să interacționeze cu soluția de securitate și să o închidă sau să o compromită.

Această tehnologie, denumită HVI (hypervisor introspection), este deocamdată o premieră mondială.

Organizațiile care dețin sau manipulează date sensibile, confidențiale sau cu caracter de proprietate intelectuală trebuie să-și mențină infrastructurile de tip cloud într-un mediu privat. Mai exact, accesul la acele date trebuie să se realizeze doar de către personalul din rețeaua locală și niciodată din exteriorul acesteia. Cloud-ul privat trebuie să existe într-o zonă izolată de accesul la rețeaua publică (de ex. internet), pentru a preveni producerea unor potențiale breșe de securitate și accesul neautorizat la date. Orice transfer de informații între client și serviciul de cloud trebuie criptat, pentru a evita interceptarea și descifrarea acestora de către răufăcători. Mai mult, datele stocate în cloud trebuie de asemenea criptate pentru a evita folosirea acestora în caz de furt, spionaj sau alte tipuri de atacuri care vizează accessul la date stocate în cloud.

Deși par a nu avea legătură directă cu GDPR, amenințările de tip ransomware, direct responsabile de pagube de peste zece miliarde de dolari doar în prima jumătate din 2017 (WannaCry și GoldenEye/NotPetya), pot produce consecințe neplăcute companiilor. Specialiștii Bitdefender anticipează că versiunile agresive ale ransomware nu se vor mai limita doar la criptarea fișierelor și la solicitarea de recompensă, ci vor trece la șantajul utilizatorilor și amenințarea lor cu publicarea documentelor pe Internet, dacă recompensa nu este platită. Astfel, deși victimele vor putea să recupereze gratuit datele criptate de pe Internet, acestea vor putea fi accesate și de către terți, cauzând importante prejudicii de imagine și încălcarea prevederilor GDPR.