Ce reprezintă data breaches & cum le prevenim?

Timp de lectură: 5 minute 

Cu siguranță ești familiarizat cu platforma Imobiliare.ro. Fie că ai văzut un banner în fața unei clădiri de birouri sau ai urmărit o reclamă la cinema, compania se poziționează la standarde înalte în media. Ceea ce poate nu știi este că în 2021, această platformă imobiliară a suferit o breșă de securitate care a expus informațiile a aproximativ 200.000 de clienți, din cauza unei simple erori în configurarea spațiului de stocare în cloud.

Echipa Imobiliare.ro a intervenit imediat, dar până în prezent rămâne necunoscută destinația datelor expuse ale clienților.
Te întrebi cât de grav este? Ei bine, printre informațiile personale expuse se numără acte de identitate, contracte sau chiar titluri de proprietate, iar acestea pot fi utilizate în orice moment de către o persoană cu rea-voință care dorește să se folosească de identitatea unui utilizator expus. Găsești comunicatul de presă aici.

Și totuși, ce reprezintă o breșă de securitate? 🔒

O breșă de securitate apare atunci când datele personale ale utilizatorilor sunt afectate într-un mod neautorizat prin: distrugere, pierdere, modificare, divulgare sau accesare ilegală/ accidentală. Astfel de incidente pot amenința confidențialitatea, integritatea și disponibilitatea datelor personale, reprezentând o serioasă încălcare a drepturilor utilizatorilor.

Care sunt riscurile tale ca firmă în cazul apariției unei breșe de securitate?

Apariția unei breșe de securitate poate avea consecințe grave atât pentru utilizatori și clienți, cât și pentru tine, ca firmă, operatorul acelor date. Printre riscurile majore, pot fi menționate următoarele:

a. Expunerea datelor personale ale clienților, angajaților, colaboratorilor sau ale altor părți interesate.
b. Datele personale sau bazele de date compromise pot fi utilizate de către persoane neautorizate pentru activități frauduloase, printre care furt de identitate, fraudă fiscală etc..
c. Încălcarea drepturilor utilizatorilor. De exemplu – dreptul la intimitate și protecția datelor personale.
d. Sancționarea firmei. În concordanță cu normele reglementate atât la nivel european, cât și național, încălcarea cerințelor referitoare la securitatea și menținerea datelor poate atrage amenzi semnificative. Acest lucru s-a întâmplat recent și în cazul companiei UIPath, care în luna august 2023 a primit o amendă în valoare de 70.000 de euro. Motivul a fost o breșă de securitate identificată pe platforma lor de învățare, UIPath Academy.

Cum ar trebui să reacționezi în cazul unei breșe de securitate în firma ta?

Conform reglementărilor aplicabile, compania care a suferit o breșă de securitate este responsabilă să anunțe autoritatea de protecție a datelor în termen de 72 de ore de la constatarea incidentului, cu excepția cazurilor în care breșa de securitate nu prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate. De asemenea, în cazul în care breșa de securitate prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate, acestea trebuie să fie informate de îndată.

Îți lăsăm contactele actualizate ale Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal în acest link. [actualizat, 6.12.2023]

Ce măsuri trebuie să adopți în cazul intervenirii unei breșe de securitate?
În cazul în care a intervenit o breșă de securitate, trebuie să acționezi prompt pentru a minimiza riscurile și consecințele incidentului. Printre măsurile cheie merită amintite următoarele:
a. Investigarea incidentului: Analiză detaliată pentru identificarea cauzelor și a impactului problemei, împreună cu găsirea celei mai potrivite modalități de a opri accesul neautorizat sau accidental la datele personale (în special dacă incidentul este încă în desfășurare).

b. Notificarea autorității competente de protecție a datelor: Dacă breșa prezintă un risc ridicat pentru drepturile și libertățile utilizatorilor, ai obligația de a raporta incidentul către autoritatea de protecție a datelor în termen de cel mult 72 de ore.

c. Informarea persoanelor vizate: Persoanele ale căror date au fost vizate de un astfel de incident trebuie să fie informate în mod corespunzător despre breșă și despre măsurile care se pot lua pentru protejarea datelor.

d. Implementarea promptă a măsurilor corective: Trebuie să implementezi măsuri corective pentru a preveni incidente similare în viitor și pentru a asigura conformarea cu normele impuse sau recomandate de către autoritatea de protecție a datelor.

Cum te poți proteja ca startup/freelancer împotriva breșelor de securitate?
Având în vedere volatilitatea mediului online și multiplele riscuri existente cu privire la siguranța și securitatea sistemelor informatice, breșele de securitate pot interveni în orice moment, uneori în modalități neprevăzute de niciun plan ori procedură.

În acest context, îți revine obligația de a asigura un nivel cât mai ridicat de securitate a datelor cu caracter personal pe care le stochezi/prelucrezi.

Astfel, câteva măsuri recomandate sunt următoarele:
a. Implementarea măsurilor corecte de securitate:
trebuie să implementezi măsuri tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal și pentru a preveni accesul neautorizat ori accidental la acestea.

b. Pregătirea personalului: Ar trebui să oferi sau să asiguri accesul la programe de formare privind securitatea datelor pentru personalul propriu, cu scopul de a preveni erorile umane care pot conduce la breșe de securitate.

c. Procedurile de audit și evaluările periodice: Poți efectua audituri și evaluări periodice ale politicilor și măsurilor de securitate pentru a se asigura că sunt în conformitate cu cerințele legale aplicabile, precum și să te asiguri că aceste politici/măsuri/proceduri interne sunt eficace și aplicate corect.

d. Monitorizarea și raportarea incidentelor de securitate: Implementarea unui sistem de monitorizare a incidentelor de securitate și de raportare promptă a oricărui incident identificat.

În cazul în care dorești să discuți în detaliu aspecte legate de propria ta afacere, te invităm să ne lași un mesaj.

Share this post

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email