Incidentele de securitate au costat deja unele companii întreaga lor activitate, iar predicțiile nu arată mai bine. În 2020, costul mediu al unui incident de securitate a crescut cu 9,8% față de 2019. 80% dintre aceste incidente au dus la expunerea informațiilor personale confidențiale ale clienților. Costul mediu al unei breşe de securitate a înregistrat, pe fondul pandemiei COVID-19, un nivel record de 4,24 milioane de dolari pe incident. Un studiu global realizat de IBM Security arată că acesta este cel mai scump cost înregistrat în istoria de 17 ani a raportului. Acesta după ce, în ediţia anterioară, costul mediu al unei breșe de date scăzuse cu 1,5% de la an la an, cauzând companiilor daune de 3,86 milioane dolari per incident.
Ce reprezintă incidentele de securitate?
Un incident de securitate este definit de GDPR drept „o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.”.
Exemple de incidente de securitate:
– accesul neautorizat la datele cu caracter personal (de exemplu, un fost angajat pleacă cu baza de date a clienților pe un stick);
– trimiterea unui e-mail/mesaj electronic/sms către o altă persoană decât destinatarul legitim (de exemplu, utilizând funcția de autocomplete din Outlook/Gmail, putem trimite un e-mail către o altă persoană);
– infiltrarea unor aplicații malware sau ransomware;
– compromiterea unor sisteme informatice expuse la internet (de exemplu, site-uri web);
– pierderea sau furtul echipamentelor (telefoane, tablete, laptopuri);
– utilizarea neautorizată a unui activ pentru procesarea sau stocarea datelor;
– modificări frauduloase ale pieselor de hardware, firmware sau software;
– utilizarea necorespunzătoare a datelor sau dispozitivelor;
– atacul unui virus ce produce alterarea/modificarea datelor cu caracter personal fără permisiune.
Majoritatea organizațiilor au avut deja parte de incidente de securitate. Unele au avut de-a face, cel mai probabil, și cu breșe de securitate a datelor. Deși, la prima vedere, ar putea părea similari, acești termeni diferă prin modul de clasificare.
Un incident de securitate este un eveniment care duce la încălcarea politicilor de securitate ale unei organizații și supune datele sensibile la risc de expunere.
Incidentele de securitate pot implica orice tip de date, inclusiv informații personale sensibile. Dacă un incident de securitate are ca rezultat accesul neautorizat la date cu caracter personal, acesta poate fi clasificat ca o breșă a securității datelor. Astfel, el trebuie evaluat din perspectiva raportării la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) în termen de 72 de ore din momentul conștientizării acestuia.
Cauzele incidentelor de securitate
Majoritatea incidentelor de securitate sunt cauzate de infractori cibernetici și pot varia de la incidente cu risc scăzut la cele cu risc ridicat. Totuși, unele incidente se pot întâmpla chiar și accidental. Iată câteva dintre cele mai comune cauze și motive pentru incidentele și breșele de securitate:
– Parole nesigure;
– Procese necorespunzătoare;
– Vulnerabilități ale sistemului;
– Lipsa actualizării sistemelor și serviciilor esențiale;
– Atacuri asupra partenerilor de afaceri, pe supply-chain (furnizori sau clienți);
– Aplicații malware sau ransomware;
– Eroare umană.
Răspunsul companiei în cazul unei breșe de securitate
Incidentele de securitate pot afecta orice tip de utilizator vulnerabil, de la persoane fizice la companii multinaționale. Deși am vorbit despre breșele de securitate care afectează organizațiile mari, aceleași incidente de securitate se aplică computerelor și altor dispozitive, atât ale IMM-urilor, cât și ale utilizatorilor de zi cu zi.
Aceste atacuri pot duce la compromiterea identității și a reputației companiei și chiar la furtul de bani. O problemă majoră cu aceste tipuri de breșe este că atacul și infiltrarea în rețea pot rămâne nedetectate pentru perioade lungi de timp. Uneori, aceste intruziuni nu sunt detectate niciodată.
Dacă securitatea companiei sau organizației a fost încălcată, este vital să se declanșeze o procedură rapidă și eficientă de răspuns la acest incident cibernetic pentru a minimiza daunele.
Pașii în cazul breșei de securitate
După ce sunt luate măsuri din punctul de vedere al tehnologiei informației (pentru a limita răspândirea virusului respectiv sau pentru a izola partea afectată), orice societate trebuie să aibă în vedere următoarele:
1. Determinarea severității incidentului
– Verificarea sistemelor afectate și care a fost vectorul de atac;
– Identificarea punctelor vulnerabile din sistemul de securitate;
– Colectarea informațiilor despre breșa de securitate a datelor – ce tipuri de date au fost expuse și ce nivel de risc prezintă acestea.
2. Notificarea părților implicate.
Este important a se pregăti o notificare de încălcare a securității datelor și a o trimite tuturor organizațiilor și persoanelor fizice implicate, în funcție de specificul incidentului.
Dacă încălcarea securității datelor prezintă un risc ridicat pentru persoanele fizice afectate, atunci trebuie să fie informate și toate aceste persoane (cu excepția cazului în care s-au aplicat măsuri de protecție tehnice și organizatorice eficace sau alte măsuri care asigură faptul că riscul nu mai este susceptibil să se materializeze).
3. Notificarea ANSPDCP-ului.
Notificarea se depune online, la următoarea adresă: CLICK AICI
Nu orice incident de securitate se notifică. Se va notifica Autorității incidentul care prezintă un risc, iar persoanele vizate vor fi notificate dacă există un risc ridicat.
În schimb, dacă societatea are numit un Responsabil cu protecția datelor (DPO), acesta va fi informat despre apariția oricărui incident de Securitate. El este cel în măsură să determine împreună cu conducerea societății gravitatea incidentului.
Întrucât termenul este de doar 72 de ore, la nivelul unei companii ar trebui să existe o procedură pentru managementul adecvat al incidentelor de securitate. Trebuie să fie desemnată o echipă de răspuns la incident, cu roluri și responsabilități bine stabilite.
Cum se pot preveni incidentele de securitate?
1. Ar trebui ca orice societate să aibă măsuri tehnice (de securitate) și organizatorice (politici, proceduri) pentru prevenirea și managementul adecvat al incidentelor de securitate.
Măsurile trebuie să respecte cel puțin cerințele minime de securitate stabilite de lege, iar procedurile aferente trebuie nu doar redactate, dar și implementate la nivel de companie.
Important de remarcat este faptul că, în conformitate cu un studiu IBM, companiile care au implementat tehnologii de automatizare în cadrul unor servicii de securitate cibernetică au avut mai puțin de jumătate din costurile unei breșe de securitate a datelor comparativ cu cele care nu au implementat aceste instrumente.
2. Trebuie să existe o procedură de verificare a tuturor entităților terțe cu care colaborează societatea respectivă (inclusiv PFA-uri) din punctul de vedere al garanțiilor suficiente pentru securitatea datelor și respectarea principiilor GDPR. Aceste entități trebuie auditate și trebuie să semneze anumite contracte prin care se reglementează protecția datelor.
Este important ca toți partenerii de afaceri externi – persoanele împuternicite (firme de contabilitate, firme de mentenanță IT, HR etc) trebuie auditați cu privire la respectarea GDPR și implementarea măsurilor de securitate adecvate.
3. În calitate operator, societatea va răspunde pentru incidentele cauzate prin acțiunile sau inacțiunile angajaților, colaboratorilor, partenerilor de afaceri sau altor terți cărora le permite accesul la date. Societatea trebuie să aibă implementate măsuri tehnice și organizatorice adecvate: măsuri de securitate, acorduri de confidențialitate, politici de securitate, traininguri, acorduri cu persoanele împuternicite, etc. Așadar, este deosebit de importantă organizarea de cursuri de instruire a personalului societății.
4. Încheierea de acorduri de confidențialitate cu toți partenerii societății – de obicei acest acord este parte integrantă din contractul privind protecția datelor (prin care se instituie obligații împuternicitului).