După ce am trecut în revistă amenzile care s-au dat în Europa de la intrarea în vigoare a GDPR, ar fi util să vedem și ce s-a întâmplat cu breșele de securitate în această perioadă. Lăsând la o parte mesajele catastrofice, se poate face o corelație între cerințele de conformitate ale noului Regulament și evoluția vulnerabilităților care conduc la apariția unor breșe? Faptul că notificarea breșelor a devenit obligatorie poate contribui la diminuarea numărului și impactului acestora? Care sunt cele mai mari motive de îngrijorare, hackerii sau erorile interne?

Europenii s-au pus pe trimis notificări

Conform recentului studiu DLA PIPER, în perioada 25 Mai 2018 – 27 Ianuarie 2020 autoritățile de supraveghere din țările spațiului EEA (țările UE plus Liechtenstein, Islanda și Norvegia) au primit 160,921 de notificări privitoare la breșe de Securitate. Potrivit aceleiași surse, asta înseamnă că în perioada 25 Mai 2018 – 27 Ianuarie 2019 s-au înregistrat cca 247 de notificări pe zi, în timp ce între 27 Ianuarie 2019 și 27 Ianuarie 2020, media acestora a crescut la 278 de notificări de breșe pe zi, adică o creștere de 12.6%.

Așadar, tendința e de creștere, nu de reducere a breșelor apărute în ultimul an. GDPR nu numai că Autoritățile din Olanda, Germania și Marea Britanie au înregistrat cel mai mare număr de breșe în ultimele 20 de luni, primind 40647, 37636 și respectiv 22181 notificări de breșe. La capătul opus al clasamentului se găsesc Letonia, Cipru și Liechtenstein cu doar 173, 94 și 30 notificări de breșe primate în aceeași perioadă.

Același studiu raportează numărul de breșe la numărul populației propunând un clasament al breșelor raportate la 100000 de locuitori. Clasamentul e condus tot de Olanda, urmată de Irlanda și Danemarca. România cu 1,9, respectiv Grecia cu 1,5  breșe la 100000 de locuitori, ocupă ultimele poziții în acest clasament.

Toate breșele se lasă cu amendă?

Dacă facem o comparație între numărul destul de mare al breșelor raportate și valoarea amenzilor acordate în aceeași perioadă, se observă o certă discrepanță. Dacă nu luăm în considerare amenzile record anunțate de ICO pentru British Airway (cca 213 milioane euro) și lanțul Marriott (110 milioane euro) care sunt încă în curs de investigare, suma totală a amenzilor se ridică la numai 114 milioane euro. Destul de puțin în comparație cu numărul de breșe raportate.

La o evaluare pe țări, Franța e în topul valorii amenzilor cu cca 51 milioane de euro. Daca dăm la o parte amenda de 50 milioane dată de CNIL gigantului Google, rămân amenzi de cca 1 milion date pentru 3459 de breșe… Germania a dat amenzi de 24,5 milioane euro, numărul breșelor raportate fiind de peste 37600. De notat că valorile pentru Germania nu sunt complete, deoarece nu toate cele 16 autorități naționale au raportările actualizate. Mai departe, Austria a dat amenzi de peste 18 milioane de euro, pentru un număr de numai 1644 de breșe. Alte anomalii: în Olanda deși s-au înregistrat peste 40000 de breșe, suma amenzilor nu atinge o jumătate de milion de euro, în timp ce în marea Britanie, la peste 22100 de breșe raportate s-au dat amenzi în valoare de 320000 euro. Dar să vedem care e situația în România: la cele 668 de breșe raportate, s-au dat 17 amenzi în valoare de cca 329500 de euro.

Care ar putea fi cauzele unor asemenea discrepanțe?

Primul lucru la cere ne gândim ar fi că numărul mare de breșe raportate nu are legătură și cu impactul acestora, majoritatea fiind încălcări minore de securitate fără consecințe critice pentru persoanele vizate. Cum datele privitoare la natura breșelor nu au fost făcute publice de către toate autoritățile, e destul de dificil de văzut care sunt motivele reale ale acestora.

Mai multe informații legate de această temă avem de la Autoritatea din România care a publicat recent câteva date statistice privitoare la activitatea desfășurată în anul 2019 ( ANSPDCP, ianuarie 2020). Potrivit acestui document, în anul 2019 operatorii de date au transmis, atât în temeiul GDPR, cât și al Legii nr. 506/2004, un număr de 233 de notificări, iar sesizările privind posibile neconformități cu dispozițiile GDPR s-au ridicat la un număr de 152.

Încălcările de securitate raportate către ANSPDCP au vizat, în principal:

• dezvăluirea neautorizată a datelor cu caracter personal
• pierderea trimiterilor poștale
• indisponibilitatea datelor cu caracter personal având la bază un software malițios
• (Ransomware)
• accesul neautorizat la sistemele de supraveghere video cu circuit închis (CCTV)
• accesul ilegal la datele personale ale clienților în sistemul bancar

Sesizările primate de Autoritate au avut ca obiect aspecte precum:

• lipsa măsurilor de securitate a prelucrărilor de date
• prezența camerelor de supraveghere video
• publicarea datelor cu caracter personal în mediul online

Revenind la datele la nivel European, cauzele acordării amenzilor nu se limitează doar la celebra frază din Art. 32, privitoare la respectarea condițiilor tehnice și organizaționale adecvate. Autoritățile de supervizare au avut în vedere nerespectarea principiilor fundamentale, lipsa unui cadru legal al prelucrării datelor, lipsa echității și transparenței, neluarea în considerare a principiului minimizării și limitarea perioadei de stocare. Câteva autorități au sancționat și lipsa de acțiune clară sau refuzul de a da curs respectării drepturilor persoanelor vizate. Un comentariu mai amplu despre cele mai frecvente cauze și articolele GDPR care au stat la baza amenzilor anunțate poate fi citit în articolul ”Amenzile GDPR, o amenințare devenită realitate”

Să lăsăm cifrele să vorbească

Alte date statistice interesante legate de breșele de Securitate la nivel mondial și sursele acestora:

• Cheltuielile mondiale în soluții de securitate cibernetică vor ajunge la 133,7 miliarde dolari în anul 2022 (Gartner);
• Pierderile anuale datorate criminalității cibernetice vor ajunge la peste 6 miliarde de dolari în 2021 (Cybersecurity Ventures);
• Breșele de date au expus 4,1 miliarde de înregistrări în prima jumătate a anului 2019 (RiskBased);
• 62% dintre companii au suferit atacuri de tip phishing și inginerie socială în 2018. (Cybint Solutions);
• 71% dintre breșe au avut o motivare financiară, în timp ce 25% au avut la bază acțiuni de spionaj (Verizon);
• 52% dintre breșe au fost acțiuni de hacking, 28% au implicat malware, iar 33% au inclus phishing sau inginerie socială (Verizon);
• 11% este creșterea breșelor de Securitate față de 2018, și 67% față de 2014 (Accenture);
• La fiecare 39 de secunde are loc un atac de hacking, cu o medie de 2244 atacuri pe zi (University of Maryland)
• Costul mediu al unui atac malware pentru o companie este 2,6 milioane dolari (Accenture);
• Costul mediu al unei breșe de Securitate este de 3,9 milioane dolari (IBM);
• Costul mediu al unei înregistrări furate este de 150 dolari (IBM);
• 206 zile este perioada medie de identificare a unei breșe în 2019 (IBM);
• 314 zile este timpul de viață mediu al unei breșe (IBM);
• 94% din atacurile malware sunt transmise prin email (Verizon);
• 133000 de dolari reprezintă costurile medii ale atacurilor de tip ransomware (SafeAtLast);
• 92% dintre atacurile malware sunt trimise prin email (CSO Online);
• 48% dintre atașamentele email malițioase sunt fișiere de tip office (Symantec);
• 37% dintre atașamentele malițioase sunt de tip ”.doc” și ”.dot”, iar 19,5% de tip ”.exe”(Symantec);
• 88% dintre companii au cheltuit peste 1 milion dolari pregătindu-se pentru GDPR (CSO Online);
• 9 miliarde de dolari e suma cheltuielilor pentru alinierea GDPR (Forbes);
• 43% dintre victimele breșelor sunt companii mici – sub 250 angajați (Verizon);
• 16% dintre breșe au vizat sectorul public, 15% sănătatea, iar 10% industria financiară (Verizon);
• Micile companii au cea mai mare rată de mesaje email malițioase: 1 din 323 (Symantec);
• 25 miliarde de dolari reprezintă pierderile din industria de sănătate în 2019 (SafeAtLast);
• Lifestyle (15%) și Entertainment (7%) sunt cele mai frecvente aplicații malițioase (Symantec);
• Circa 500000 de DPO vor fi angajați (IAAP);
• 34% dintre breșele de date sunt datorate unor autori interni (Verizon);
• Ca număr de amenzi acordate după 25 mai 2018 pe primul loc se află Spania (38), urmată de Germania, România și Republica Cehă (fiecare cu 17 amenzi), Bulgaria (16) și Ungaria (14) (GDPR Ready);
• Peste 65% dintre amenzile GDPR au fost acordate unor operatori din industriile telco, financiar și sănătate (GDPR Ready);
• 66 de amenzi în valoare de peste 85 milioane de euro au fost date pentru nerespectarea principiilor GDPR (GDPR Ready);
• 45 amenzi totalizând 332 milioane euro s-au dat pentru nerespectarea condițiilor tehnice și organizatorice adecvate pentru securitatea prelucrării (GDPR Ready);
• 5200 atacuri pe lună au ca obiect dispozitive IoT (Symantec);
• 90% dintre atacurile de coduri de la distanță sunt asociate cu cryptomining (CSO Online);
• 69% dintre organizații nu cred că amenințările la care sunt supuse pot fi blocate cu software antivirus (Ponemon Institute);
• 1 din 36 dispozitive mobile rulează aplicații de risc ridicat (Symantec);
• 10573 aplicații mobile malițioase au fost blocate în medie pe zi în 2018 (Symantec);
• 60% dintre domeniile malițioase sunt asociate cu campanii te tip spam (Cisco).

Am lăsat la final două statistici care merită mai multe comentarii

După toate aceste cifre alarmante avem și o veste bună: acțiunile de phishing sunt în declin, coborând de la 1 la 2995 mesaje email în 2017, la 1 la  3207 emailuri în 2018 (Symantec). De urmărit cifrele pe 2019…

Vestea proastă, prin implicațiile pe termen scurt și mediu, este că 60% dintre profesioniștii în cybersecurity nu sunt mulțumiți cu joburile actuale… (ISSA). Așa cum comentam la o postare The Cyber Security Hub privitoare la cauzele celor mai mari șapte breșe de securitate din istorie, unul dintre motivele de îngrijorare ar fi că marea majoritate a acestora au lipsa unor măsuri elementare de protecție, tehnici inadecvate de criptare și erori de configurare pentru baze de date, servere și firewalls. Vrem, nu vrem să înțelegem, astea sunt tot erori de natură internă care, pe lângă cele de operare umană, în mod teoretic ar putea fi rezolvate…