Un incident ce încalcă securitatea datelor cu caracter personal (cunoscut și ca data breach) poate afecta serios viețile persoanelor ale căror date au fost accesate, expuse, modificate sau distruse. Gândiți-vă ce înseamnă ca salariile unor angajați să fie expuse – odată informația indexată, ea devine accesibilă oricui, inclusiv unor posibili angajatori care dacă intervievează persoanele afectate, nu le vor da salariul pe care îl merită ci le vor da oferte cu +20% mai mari decât ce aveau înainte (notă: este ilegal să întrebi ce salariu are o persoană la un alt job).
Dacă data breach-ul implică și date cu caracter personal, s-ar putea să ai maxim 72h de la detecție pentru a raporta autorității (atenție, nu întotdeauna breach-ul trebuie raportat). Nu este nevoie ca hackerii să îți spargă serverul ca să pățești un data breach, este destul să pierzi un laptop (dacă hard-disk-ul nu era criptat sau back-up-at – pentru a asigura imposibilitatea accesului neautorizat faptul că nu sunt distruse datele), să trimiți un email cu toată lumea în CC sau în To (în cazul în care destinatarii nu se cunosc între ei), să trimiți o factură sau contract cu date personale unei persoane greșite. Procentual acestea sunt data breach-urile cele mai des întâlnite.
Drept urmare, este extrem de important să îți faci un audit de conformitate GDPR împreună cu un audit de securitate pentru a identifica TOATE sursele posibile de data breach și pentru a lua măsurile necesare limitării posibilității ca așa ceva să se întâmple.
În carieră m-am întâlnit cu numeroase probleme de securitate ce pot genera data breach-uri, iar din cele găsite la companiile de soluții IT pot aminti:
- Folosirea datelor de producție în scenarii de test și dezvoltare, fără niciun fel de anonimizare a datelor personale.
- Pentest-uri făcute prost.
- Aplicații uitate în modul „Admin”, aplicații ce generau log-uri de eroare ce conțineau și contul și parola de admin în clar.
- Scripturi cu contul și parola de admin în clar.
- Aplicații de test „uitate” public ani în șir. Exemplu: Digi Ungaria.
Cum poți scădea riscul unui data breach?
- Training la angajați cu ce pot și nu pot să facă, cu exemple concrete.
- Testarea angajaților.
- Folosirea tehnologiilor IT de business și nu „home” – sisteme de operare business, aplicații business, servicii business (nu conturi de gmail/yahoo/hotmail gratuite).
- Updatarea sistemelor IT.
- Audit de conformitate GDPR/security.
- Procedura de gestionare a unui data breach.
Și totuși dacă se întâmplă, ce facem?
- Pasul 1: Detectarea unui data breach – monitorizezi sistemele de securitate, logon-urile suspecte, sesizări de la colegi, parteneri, clienți, oameni obișnuiți.
- Pasul 2: Limitarea data breach-ului – detectarea cauzei, limitarea expunerii, identificarea datelor/ persoanelor expuse.
- Pasul 3: Eradicarea cauzei – analizarea și detectarea tuturor schimbărilor produse în sisteme.
- Pasul 4: Remedierea efectelor – eliminarea tuturor surselor cunoscute de data breach, eliminarea malware-urilor, patch-uirea tuturor sistemelor afectate.
- Pasul 5: Recuperarea datelor – recuperarea din back-up-uri, testarea datelor.
- Pasul 6: Documentarea data breach-ului – documentăm cauzele, modul de abordare, informații cheie pentru viitor.
- Pasul 7: Comunicarea data breach-ului – contactarea autorităților necesare (inclusiv ANSPDCP dacă se impune), contactarea persoanelor vizate, contactarea presei.
Cum arată o echipă virtuală de gestionare a unui data breach?
- Chief Information Security Officer (CISO)
- Data Protection Officer
- Avocatul firmei
- PR Manager
Odată planul implementat, el trebuie testat. Și re-testat; și re-testat. Să știi cum acționezi dacă se întâmplă neîntâmplata.
Și din experiența lucrului cu peste 150 de clienți vă spun un singur lucru: „mie nu mi se poate întâmpla așa ceva” nu funcționează absolut niciodată.
