CLDR România: Aproximativ 500 de breşe de securitate, raportate în ultimul an, de la cele mai banale la cele mai grave

„Breşele, incidentele de securitate se produc atunci când prin anumite activităţi, în mod accidental sau ilegal, se încalcă securitatea datelor, prin distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor transmise, stocate sau prelucrate într-un alt mod sau prin accesarea datelor de către persoane neautorizate. În ultimul an, în România, au fost raportate în jurul a 500 de breşe de securitate, de la cele mai banale la cele mai grave, printre care amintim: pierderea unui telefon, sustragerea unui laptop din cadrul unei companii de asigurări, postarea neautorizată a unor imagini video pe o platformă socială de angajaţii unei staţii de carburanţi, sustragerea datelor dintr-o aplicaţie a unui furnizor de energie şi expunerea unui fişier cu datele aferente tranzacţiilor unui site de consultanţă”, a precizat Avram.

Potrivit specialistului, organizaţiile ar trebui, în mod categoric, să deţină specialiştii care să monitorizeze periodic sistemul pentru vulnerabilităţi şi să pună în aplicare simulări de atac pentru asigurarea sistemului, iar angajaţii să fie instruiţi.

„Uităm, uneori, faptul că greşeala este umană şi că problemele apăsătoare ne influenţează atenţia şi meticulozitatea în activitatea profesională. O soluţie pro-activă pentru acest aspect este conştientizarea la nivel de angajat a responsabilităţii saleşi apartenenţei la echipa organizaţiei. Atât timp cât acesta scapă de percepţia că ar reprezenta cu o piesă înlocuibilă la orice moment, acesta poate deveni mai mult decât un angajat, un activ al organizaţiei. Astfel, se recomandă organizaţiilor să incline în responsabilizarea angajaţilor, prin încurajarea participării la cursuri de formare profesională continuă, motivarea continuă etc. Este importat, dacă nu chiar vital, ca angajaţii să fie instruiţi şi să existe chiar afişe care să le reamintească cum identifică o vulnerabilitate, ameninţare sau breşă de securitate, cui trebuie să o raporteze şi ce are de făcut în acea situaţie (…) De multe ori, detectarea unei breşe poate dura o perioadă cuprinsă între 100 şi 250 de zile”, susţine oficialul CLDR România.

Acesta a adăugat că, în funcţie de natura şi implicaţiile incidentului, precum şi a datelor afectate, organizaţiile au un set de obligaţii de notificare a incidentului la Autoritatea Naţională de Supraveghere a Protecţiei Datelor cu Caracter Personal (ANSPDCP), la Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) şi la Autoritatea Naţională pentru Administrarea şi Reglementarea în Comunicaţii (ANCOM), precum şi către instituţiile specializate din cadrul Poliţiei Române.

La nivelul lunii iulie, în România, ANSPDCP a sancţionat trei operatori economici pentru încălcarea GDPR, aplicând amenzi în valoare de 3.000 euro pentru site-ul web al unei companii de servicii de consultanţă, 15.000 euro unui hotel din Capitală, respectiv 130.000 de euro unei instituţii bancare de prestigiu, a menţionat Sever Avram.

Catedra Internaţională Onorifică „Jean Bart” (CIO-SUERD), proiect fondat în parteneriat cu Academia Română (2012) şi Departamentul de Formare şi Consiliere al CLDR România, derulează Programul de Naţional de Formare, împreună cu partenerul logistic Euro Market Solutions. Astfel, este coordonat ştiinţific un program special de asistenţă şi consiliere privind incidentele de securitate, destinat pe termen scurt şi mediu instituţiilor publice şi companiilor private.

România ocupă locul al doilea, după Polonia, în topul amenzilor acordate în Europa Centrală şi de Est în acest prim an de aplicare a Regulamentului General privind Protecţia Datelor (GDPR), după ce Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a sancţionat cu 130.000 de euro o instituţie bancară, conform unui studiu Deloitte Legal, publicat recent.

Parlamentul European şi Consiliul European au adoptat, în data de 27 aprilie 2016, Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecţia Datelor – RGPD).

Regulamentul a fost publicat în Jurnalul Oficial al Uniunii din 4 mai 2016, iar prevederile acestuia sunt direct aplicabile în toate statele membre ale Uniunii Europene (UE), începând cu data de 25 mai 2018.

La nivel de sancţiuni, companiile care vor încălca noul GDPR vor plăti amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală anuală pentru încălcări ale normelor privind protecţia datelor, respectiv de până la 20 de milioane de euro sau 4% din cifra de afaceri globală anuală pentru încălcări ale principiilor de bază privind prelucrarea datelor, luându-se în calcul cea mai mare valoare.

Sursa: AGERPRES