Cu mai putin de un an pana la intrarea in vigoare a noului Regulament privind Protectia Datelor cu Caracter Personal (GDPR), un studiu al institutului Ponemon arata ca doar 9% dintre companii sunt compatibile cu noua politica impusa de Uniunea Europeana, in timp ce aproape o treime (32%) nu au nici macar un plan pentru a corespunde cu noile cerinte.

HotNews.roFoto: Hotnews

GDPR este un set de reglementari (2016/679) care urmareste sa consolideze protectia datelor personale ale cetatenilor tarilor membre ale Uniunii Europene, inclusiv limitarea exportului acestor informatii catre state non-membre.

Dupa patru ani de deliberari si o perioada de tranzitie de 24 de luni, reglementarile urmeaza sa intre in vigoare din luna mai 2018. Daca pana in prezent companiile se temeau doar de costurile financiare si reputationale in cazul unor atacturi cibernetice, de anul viitor amenzile care vor urma sa fie date companiilor in cazul unor brese de securitate pot ajunge pana la 4% din cifra de afaceri, ceea ce ar putea genera inclusiv scaderi ale pretului actiunilor, deci pagube suplimentare.

Intr-un peisaj in care amenintarile informatice si atacurile cibernetice inunda saptamanal programele de stiri, GDPR vine sa reglementeze un spatiu in care date dintre cele mai sensibile au fost expuse la liber pe internet ca urmare a securitatii precare a infrastructurilor IT detinute de companii si a lipsei unor norme clare de bune practici.

De fapt, cerinta numarul unu este ca datele clientilor sa fie protejate corespunzator. In eventualitatea unei brese, companiile trebuie sa aiba pregatite mecanisme de notificare a clientilor despre care detin date care intra sub incidenta GDPR.

Ce aduce nou GDPR?

  • O definire mai larga a datelor personale si breselor: datele personale se refera la orice informatie care are legatura cu o persoana identificata sau identificabila; o bresa legata de date personale este definita ca un incident de securitate care conduce la distrugerea, pierderea, alterarea, dezvaluirea neautorizata sau accesul la orice date personale - stocate, transmise sau procesate.
  • O extindere a ariei teritoriale: orice companie care lucreaza cu date ale cetatenilor UE, indiferent de tara in care are sediul, se supune normelor GDPR
  • Un termen clar de notificare in cazul unei brese: o companie trebuie sa anunte autoritatea de supraveghere si indivizii afectati in cel mult 72 de ore de la identificarea bresei
  • Dreptul victimelor de a primi facil despagubiri: cetatenii ale caror date sunt expuse public au acum un cadru legal in care pot solicita mai usor si mai rapid bani de la administratorul datelor pentru prejudiciul creat  
  • Puteri de investigatie mai mari: autoritatile se bucura de puteri extinse si pot initia proceduri de audit si emite atentionari publice catre organizatii

Ce trebuie sa faca organizatiile?

Primul lucru imperios necesar ar fi sa identifice care dintre datele cu care lucreaza cad sub incidenta GDPR: acestea includ date personale pe care companiile din UE le strang si le administreaza, dar si date detinute de companii internationale care opereaza insa pe teritoriul Uniunii.

In al doilea rand, companiile trebuie sa documenteze felul in care datele sunt securizate. Daca nu, ghidul de documentatie ofera cateva repere. Organizatiile trebuie sa stie unde se afla datele care intra sub lupa GDPR, cum sunt protejate, cine are acces la acestea si cum este determinat si controlat accesul respectiv. In cazul unui atac, planul de raspuns trebuie sa fie compehensiv, pregatit si exersat in prealabil. De exemplu, daca organizatia colecteaza continuu noi date, o procedura clara trebuie sa stabileasca daca datele colectate intra sau nu in categoria standardelor GDPR. De asemenea, daca contractori externi sau terti colecteaza datele pentru o companie, felul in care acestia administreaza datele trebuie supravegeat de beneficiarul datelor. Politica de administrare a datelor de-a lungul timpului, de la colectare pana la distrugere, trebuie sa fie bine documentata si planificata.

Dincolo de securizarea datelor, companiile trebuie sa creeze politici legate de intimitate si felul in care asigura protectia vietii private a clientilor, precum dreptul de a fi uitat. In final, organizatiile trebuie sa raspunda cerintelor GDPR si prin planuri ale departamentelor juridic, resurse umane, asigurari, relatii publice si comunicare, in eventualitatea unui incident de securitate cibernetica.

Dat fiind ca drumul spre a corespunde cerintelor necesita efort sustinut, firma de consultanta IT Gartner anticipeaza ca la finalul anului 2018, la sapte luni dupa termenul limita, cel putin jumatate dintre companii nu vor avea puse la punct toate masurile necesare respectarii standardelor GDPR.

Ce atacuri pot aparea si ce solutii exista?

Solutiile de securitate cibernetica va trebui sa raspunda eficient asadar la trei tipuri de atacuri cibernetice: protectie contra pierderii datelor (dispozitive pierdute sau furate princriptarea datelor de pe acestea), protectie contra furtului datelor (atacuri tintite si amenintari avansate si persistente - APT) si vizibilitate sporita asupra breselor (pentru a monitoriza si reduce daunele suferite si a actiona cat mai rapid).

Circa 73% dintre directorii de IT declara ca se tem de compensatiile financiare pe care compania in care lucreaza ar trebui sa le plateasca in cazul unei brese de securitate, in timp ce 66% se gandesc chiar ca ar putea ramane fara slujba, arata un studiu global al Bitdefender realizat la finele anului trecut.

Amenintarile avansate persistente, menite sa se infiltreze in sistemele informatice si sa colecteze informatii importante fara stiinta conducerii, pot avea consecinte devastatoare, de la pierderi financiare, pana la efecte negative asupra reputatiei. Atacurile informatice initiate de competitori sau de agentii statale sau contractorii lor sunt extrem de complexe si, de obicei, vizeaza tocmai vulnerabilitati de tip zero-day in sistemele de operare sau in aplicatii conexe (browsere, plugin-uri sau aplicatii de vizualizat PDF-uri, procesatoare de text, etc). De multe ori, primul stadiu al atacului e compromiterea sau "pacalirea temporara" a scanner-ului anti-malware.

Sistemele de operare moderne (de la Windows 8, la Windows 10) permit solutiei de antimalware sa verifice ce se intampla pe sistem atunci cand acesta este cel mai vulnerabil - de exemplu, intre perioada in care acesta e pornit de la buton si pana la pornirea solutiei de securitate. Pentru a neutraliza atacurile asupra solutiei de securitate, Bitdefender a cercetat metode noi de izolare a solutiei de calculatorul gazda. Pentru companii, produsele Bitdefender pot fi rulate in hipervizor, un mod de izolare hardware care nu permite nici unei aplicatii sau utilizator periculos sa interactioneze cu solutia de securitate si sa o inchida sau sa o compromita. Aceasta tehnologie, denumita HVI (hypervisor introspection), este deocamdata o premiera mondiala care nu are un concurent pe piata.

Organizatiile care detin sau manipuleaza date sensibile, confidentiale sau cu caracter de proprietate intelectuala trebuie sa-si mentina infrastructurile de tip cloud intr-un mediu privat. Mai exact, accesul la acele date trebuie sa se realizeze doar de catre personalul din reteaua locala si niciodata din exteriorul acesteia. Cloud-ul privat trebuie sa existe intr-o zona izolata de accesul la reteaua publica (de ex. Internet), pentru a preveni producerea unor potentiale brese de securitate si accesul neautorizat la date. Orice transfer de informatii intre client si serviciul de cloud trebuie criptat, pentru a evita interceptarea si descifrarea acestora de catre raufacatori. Mai mult, datele stocate in cloud trebuie de asemenea criptate pentru a evita folosirea acestora in caz de furt, spionaj sau alte tipuri de atacuri care vizeaza accessul la date stocate in cloud.

Desi par a nu avea legatura directa cu GDPR, amenintarile de tip ransomware, direct responsabile de pagube de peste zece miliarde de dolari doar in prima jumatate din 2017 (WannaCry si GoldenEye/NotPetya), pot produce consecinte neplacute companiilor. Specialistii Bitdefender anticipeaza ca versiunile agresive ale ransomware nu se vor mai limita doar la criptarea fisierelor si la solicitarea de recompensa, ci vor trece la santajul utilizatorilor si amenintarea lor cu publicarea documentelor pe Internet, daca recompensa nu este platita. Astfel, desi victimele vor putea sa recupereze gratuit datele criptate de pe Internet, acestea vor putea fi accesate si de catre terti, cauzand importante prejudicii de imagine si incalcarea prevederilor GDPR.