Conformitate GDPR de nivel enterprise: Veritas 360 Data Management

Obținerea conformității cu GDPR este o provocare a proceselor de afaceri iar tehnologia are un rol foarte important pentru a răspunde acestor provocări. Pornind de la aceste cerințe, Veritas a identificat zonele unde poate ajuta, iar apoi și-a mapat funcționalitățile soluțiilor din portofoliu la cerințele specifice ce decurg din GDPR.

În viziunea Veritas, aceste zone sunt împărțite în 5 categorii principale:

  • LOCALIZARE – vă ajută să descoperiți datele personale și să le faceți vizibile.
  • CĂUTARE – cum faceți ca datele personale să poată fi căutate și găsite.
  • MINIMIZARE – e important să păstrați doar informațiile de care aveți nevoie ca să asigurați mai bine controlul datelor personale.
  • PROTEJARE – cum să protejați datele personale împotriva pierderilor, atacurilor și breșelor de securitate.
  • MONITORIZARE – esențial este să puteți asigura respectarea continuă a standardelor GDPR.

LOCALIZARE – Descoperiți datele personale și faceți-le vizibile

Primul pas, considerat critic pentru o organizație, poate fi și cel mai important pentru conformitatea cu GDPR. Practic, acest proces constă în abilitatea de a obține o viziune holistică asupra locurilor în care se află diferitele categorii de date personale ale organizației și de a le putea identifica imediat.

Acest lucru se poate face printr-o cartografiere a datelor, prin care să înțelegem cât mai clar care este fluxul datelor personale în cadrul fiecărui proces de business, care sunt punctele de colectare, unde se face procesarea, cine are acces la date, cu cine sunt ele partajate, cât timp sunt păstrate sau ce spațiu ocupă pe diferite sisteme de stocare. Totodată e important de înțeles care este modalitatea în care datele sunt mutate, transferate sau copiate pe diferite platforme, cu scopul de a îmbunătăți managementul acestora. Această hartă fluxurilor de date este „cheia” pentru a înțelege modul în care organizația gestionează și procesează datele personale.

Toate aceste informații legate de localizare sunt oferite de Veritas cu ajutorul soluțiilor Veritas Data Insight și Veritas Information Map care asigură o abordare unică prin:

  1. Identificarea în 24 ore a tipului de fișiere, proprietarului, locației și vechimii acestora.
  2. Obținerea în timp real a unei imagini unitare asupra mediului companiei și monitorizarea continuă.
  3. Inițierea de remedieri asupra datelor printr-un cadru integrat de acțiuni.

CĂUTARE – Căutarea datelor

Orice rezident UE poate afla detalii despre datele sale personale deținute de un operator de date prin trimiterea unei solicitări de acces (Subject Access Request – SAR). De asemenea, poate solicita corectarea datelor (dacă e cazul), portarea lor (transmiterea către un alt operator folosind un format de export adecvat) sau ștergerea acestora. Respectarea drepturilor persoanei vizate prin soluționarea acestor solicitări într-o manieră efectivă și în timp util este esențială pentru evitarea sancțiunilor GDPR în baza articolelor 15,16,17,18 și 20.

Soluția Veritas eDiscovery Platform poate răspunde oricăror probleme legate de soluționarea acestor solicitări. Soluția dispune de un motor puternic de căutare și indexare ce permite descoperirea atributelor și proprietăților datelor personale și pune la dispoziție un mecanism inteligent de învățare, cu scopul de a identifica automat articolele relevante și elementele similare pentru o examinare detaliată ulterioară.

De asemenea, soluția oferă și un flux de lucru integrat pentru procese de analiză și verificare, fără a mai fi nevoie de operațiuni suplimentare de import sau export a datelor.

MINIMIZARE – Păstrarea informațiilor de care avem nevoie şi asigurarea controlului datelor personale

Reducerea volumului de date stocat de către companii și a perioadei de retenție, fac parte dintre principiile de bază ale GDPR, având ca scop reducerea volumului de date cu caracter personal stocate pe diferite tipuri de echipamente. Perioada optima de retenție vizează păstrarea datelor cu caracter personal pentru o perioadă de timp, direct legată de scopul propus pentru prelucrarea acestora. Implementarea și aplicarea politicilor de retenție, care reglează automat perioada și forma de păstrare a datelor, reprezintă piatra de temelie a strategiei GDPR.

Prin soluțiile Enterprise Vault şi Enterprise Vault.Cloud, Veritas oferă inclusiv posibilitatea de clasificare completă în funcție de conținut şi context, putând să eticheteze automat fișierele şi mesajele de email care conțin date personale și să controleze astfel procesul de retenție până la nivel de element. Odată făcută etichetarea, va fi ușor să găsiți date cu caracter personal utilizând instrumentele puse la dispoziție de Veritas.

PROTEJARE – Protejați datele personale împotriva pierderilor, atacurilor și breșelor de securitate

Organizațiile au obligația generală de a pune în aplicare o serie de măsuri tehnice și organizatorice pentru a arăta că au luat în considerare protecția datelor în toate activitățile de colectare și prelucrare a datelor personale.

Indiferent dacă se desfășoară activități de formare a personalului, se efectuează audituri interne ale activităților de prelucrare sau catalogarea documentației relevante privind activitățile de prelucrare, organizațiile trebuie să fie pe deplin pregătite să demonstreze transparența în ceea ce privește validarea conformității cu GDPR. Aceasta înseamnă că este mai important decât oricând să revizuim procesele de protecție și de securitate a datelor și să ne asigurăm că îndeplinim aceste cerințe stricte de recuperare, disponibilitate și prevenire (și notificare).

Veritas oferă o serie de soluții cum ar fi NetBackup, Data Insight, InfoScale, Resiliency Platform sau Access, prin intermediul cărora se asigură protecția datelor și aplicațiilor în mediile enterprise și nu numai, pe platforme independente de sisteme de operare (Windows, Linux, Unix), folosind inclusiv facilități de integrare cu o gamă extinsă de furnizori de servicii Cloud.

MONITORIZARE – Asigurați respectarea continuă a standardelor GDPR

Regulamentul GDPR obligă toate organizațiile să raporteze cele mai grave încălcări ale securității datelor către Autoritatea Națională de Supraveghere și, în anumite cazuri, să trimită informații despre aceste vulnerabilități persoanelor ale căror date au fost afectate. Ca urmare a acestei obligații, companiile trebuie să își evalueze capacitatea de monitorizare a incidentelor de Securitate și să declanșeze imediat procedurile pentru aplanarea efectelor acestora pentru menținerea conformității cu GDPR.

Veritas pune la dispoziție soluții consacrate cum ar fi Data Insight și Enterprise Vault care oferă posibilitatea de a căuta foarte rapid în datele personale (date nestructurate, email, servere de fișiere, SharePoint, etc.) cu scopul de a permite investigatorilor să analizeze și să identifice fișierele ce prezintă riscuri sau anumite comportamente anormale ale utilizatorilor și apoi, să remedieze aceste probleme printr-un singur click. Pentru o analiză și mai amănunțită, imediat după declanșarea riscului, se pot activa politici de retenție la nivelul acestor fișiere.

Totodată, platforma pentru experți Veritas Advisory Services asigură contacte strânse cu fiecare client, pentru a realiza o evaluare cuprinzătoare a mediului existent, cu scopul de a ajuta companiile să înțeleagă mai bine gradul de maturitate al conformității GDPR. Toate acestea se realizează printr-o gamă integrată de servicii care includ GDPR Workshop, GDPR Readiness Assessment, GDPR Classification Service și GDPR Solution Deployment

Alinierea la GDPR ca un prim pas către TRANSFORMAREA DIIGITALĂ

Datele sunt în centrul transformării digitale. Organizațiile care au depus eforturi pentru adoptarea de procese, politici și proceduri menite sa le asigure un nivel optim de conformitate GDPR au dovedit că sunt capabile să folosească controale adecvate pentru a asigura integritatea tuturor tipurilor de date, nu numai a celor personale, ceea ce le poate accelera procesul de transformarea digitală. La polul opus, organizațiile care tratează superficial aceste probleme se expun la riscuri inutile și, mai mult ca probabil, pot suferi consecințele unei crize informaționale.

Scopul GDPR este de a ajuta organizațiile să ia în serios protecția datelor. Veritas 360 Data Management pentru GDPR reprezintă o soluție de conformitate de nivel enterprise, asigurând mijloacele pentru respectarea celor mai stricte reguli și oferind clienților o abordare sigură și eficientă a proceselor de guvernare a datelor personale.

Pachetul de soluții Veritas oferă instrumentele și serviciile adaptate pentru fiecare etapă a pregătirii pentru GDPR, iar echipa de consultanță vă asigură că investițiile organizației în GDPR sunt orientate către cerințele de conformitate cu cel mai bun impact.

Image Source: VERITAS

Advertisements

BACK TO SCHOOL TRAINING: ROLUL DPO ÎN CULTURA OPERAȚIONALĂ A UNEI ORGANIZAȚII

A trecut vara și ne-am întors la treabă cu forțe proaspete. E timpul să continuăm procesele de implementare GDPR, iar dacă nu le-am început încă, e vremea să facem un plan serios de acțiune.

Din experiențele acumulate până acum reiese că este un proces nu tocmai ușor. Primele penalități anunțate de Autoritatea de Supraveghere din România au demonstrate că, indiferent de mărimea organizației și de gradul de conformitate la care s-a ajuns teoretic, modul de punere în practică și de demonstrare a aplicării celor mai adecvate metode tehnice și operaționale este încă deficitar. Asta poate fi o sursă clară de vulnerabilități de natură internă și, implicit, de potențialul pericol al unor sancțiuni.

Puteau fi penalitățile evitate? Cu siguranță, dacă pe lângă aspectele legale și cele de IT erau tratate cu maximă seriozitate și cele operaționale. Dacă pentru cadrul legal și backgroundul IT avem la dispoziție specialiști cu super-pregătire, de partea operațională trebuie să ne ocupăm singuri, cu resursele pe care le avem la dispoziție.

Exact acesta este obiectivul principal al Workshopului de formare DPO oferit de RINA SIMTEX: transferul de cunoaștere și suportul pentru rezolvarea cât mai eficientă și pe termen lung a problemelor legate de asimilarea condițiilor de conformitate impuse de GDPR.

În perioada 02-04 OCTOMBRIE 2019, RINA SIMTEX  în parteneriat cu GDPR Ready Services organizează o nouă serie a cursului de formare DATA PROTECTION OFFICER (DPO), care își propune ca pe durata celor 3 zile să familiarizeze participanții cu Rolul DPO în cultura operațională a unei organizații.

  • Durata cursului: 3 zile
  • Perioada: 02-04 Octombrie
  • Locație: Sediul RINA SIMTEX, Splaiul Independentei Nr.179, București
  • La cerere: cursul poate fi organizat în oricare dintre sediile RINA SIMTEX din țară.
  • Instructor: Certificat ca Formator de ANC

DE CE AVEM NEVOIE DE PREGĂTIRE PRACTICĂ DE DPO?

Una dintre cel mai importante noutăți ale Regulamentului UE 679/ 2016 este obligativitatea numirii unui ofițer responsabil cu protecția datelor (DPO – Data Protection Officer) al cărui rol principal este de coordonare și supraveghere a implementării condițiilor de conformitate GDPR, precum și de persoană de legătură între organizație și autoritatea de supraveghere.

În plus, Articolul 4 din Legea 190/ 2018 stipulează ca orice Operator sau Procesator de date personale care prelucrează date cu caracter special precum numerele de identificare națională (serie Card Identitate, CNP, serie Pașaport, serie Permis Conducere, serie Card Sănătate) și are ca temei legal Legitimul interes, e obligat să numească un DPO, pe lângă alte condiții speciale.

Mai mult de atât, chiar și organizațiilor care nu sunt obligate să numească un DPO, prin natura activității și volumul de date personale prelucrate li se recomandă numirea unui responsabil cu asigurarea condițiilor de conformitate. Indiferent de funcția și experiența acestui responsabil, este recomandat ca acesta să cunoască tot ceea ce trebuie să știe un DPO.

Cursul de formare oferit de RINA SIMTEX pregătește DPO pentru cele mai importante atribuții, oferind o însușire temeinică a legislației în vigoare, cunoașterea obligațiilor operatorilor și procesatorilor (împuterniciților), precum și instrumente și proceduri specifice managementului de proiect. În plus, participanții la curs vor beneficia de o bogată expertiză operațională acumulată în proiecte interne și internaționale de implementare GDPR și modalități eficiente de rezolvare a celor mai dificile provocări, pe baza unor situații reale.

CUI NE ADRESĂM?

  • Știți foarte puține despre GDPR? Cursul nostru este cea mai bună ocazie să descifrați elementele de bază și să vă construiți în cel mai scurt timp propria strategie GDPR
  • Ați fost la un curs dar ați ascultat numai legislație și teorie? Cursul RINA vă oferă cel mai bun cadru să treceți de la teorie la practică
  • Șeful v-a pasat responsabilitatea de DPO și nu știți de unde și cu ce să începeți? Veniți la Curs și vom lucra împreună la demararea propriului proiect GDPR
  • Ați fost numit DPO, ați făcut un curs costisitor dar nu aveți o experiență practică adecvată? Veți avea cea mai bună ocazie să lucrați împreună cu un Formator de DPO, care vă va arata prin exemple de bună practică care sunt secretele rezolvării celor mai complicate probleme
  • Indiferent de cunoștințele și pregătirea anterioară, participați la Curs și veți deveni GDPR READY!

CARE SUNT CELE MAI IMPORTANTE BENEFICII ALE PARTICIPANȚILOR

  • Suport de curs atestat internațional
  • Instructor cu experiență în proiecte locale și internaționale, discutare studii de caz bazate pe situații reale
  • Oportunități unice de angajare ca DPO în orice țară din Uniunea Europeană
  • Diplomă participare atestată internațional
  • Kit substanțial de resurse pentru suportul de curs.

RINA SIMTEX oferă servicii de certificare pentru sisteme de management (ISO 9001, ISO 14001, OHSAS, ISO 22000, ISO 27001, ISO 20000 etc), servicii de certificare produse în domeniul construcțiilor și instruire pentru formare auditori, servicii de clasificare, inspecție si testare.

PARTICIPAȚI LA CURSUL DE INSTRUIRE DPO ORGANIZAT DE RINA SIMTEX ȘI VEȚI FI PREGĂTIȚI PENTRU CELE MAI IMPORTANTE PROVOCĂRI ALE ALINIERII LA GDPR!

SOLICITARE OFERTĂ  CURS FORMARE DPO

Pentru detalii și înscrieri sunteți rugați să completați Formularul de mai jos.

Nota Confidentialitate: Completand acest formular va dati acordul pentru a fi contactati in scopul discutarii ofertei RINA SIMTEX de formare DPO. Datele Dvs. personale incluse in acest formular vor fi prelucrate doar in scopul pentru care au fost solicitate. Cititi Politica de Confidentialitate.

 

MOST FREQUENT MISTAKES IN GDPR ADOPTION PROJECTS

Here is a summary of the most common mistakes that arise in adopting the sets of measures designed to ensure GDPR compliance. We need to learn from these mistakes and become proactive. Only in this way we can demonstrate our accountability, the seventh GDPR principle (as some consider) and become responsible for our responsibility.

Lack of a project plan – the decision to “do something for the GDPR” was most often made under pressure, passing the responsibility of someone from IT or from the Legal, who started why they thought it was more urgent. Of course, anyone can lead an action team, but without a step-by-step implementation project, it is difficult to see the end of the road and to make the alignment efforts more efficient.

Nothing was done until the appointment of a DPO – this delayed things quite often, wasting precious time to initiate organizational measures, which could also be taken in the absence of a DPO, where the appointment is mandatory.

Incorrect understanding of the notion of ”Personal Data” – the definitions in Art.4, the preambles and WP29 guides did not solve the problem of correctly identifying personal data. There are many websites that at the Cookies Policy declare that they do not use personal data. Certainly their administrators did not find out that IP is considered as personal data, they simply did not bother to update their policies…

The difficulty in establishing the role of Controller or Processor – the mere analysis of the fact that an organization determines the purpose and the means is not sufficient to assume the Controller role. There is still a lot of confusion between the position of Processor and that of Joint Controller or Independent Controller (B2B). The most omitted idea is the same organization may play different roles in the processing of personal data, depending on the business process being analysed.

Excess of Consent – too much emphasis is placed on obtaining the agreement, to the detriment of the other 5 legal grounds that can justify the processing of personal data. You can avoid the need to obtain consent by introducing an additional provision in a contract. Moreover, it does not take into account the requirement that a consent can always be proven, in the idea that it can be withdrawn with the same ease with which it was obtained.

Lack of online transparency – Many organizations that have a website do not show transparency by not publishing a Privacy Policy or Notifications for processing personal data. The presence of a page with the privacy policy of the organization is a public declaration of conformity and a label is trusted for the way the personal data is processed.

Non-updating of content – There are concerns that many of the sites that publish a Privacy Policy have not updated their content, referring to Law associated with EU Directive from 1995 or continuing to display the Registration Number as National Operator of Personal Data. This may be a reflection of the fact that the organization to which the site belongs has not made enough efforts to ensure the alignment, failing to update the only visible content, meant to publicly confirm compliance and take responsibility for the personal data processed.

Deficiencies of Internet pages – a lot of public sites do not have a Terms and Conditions page, which establishes rules for accessing and browsing online, although this is not a GDPR requirement, but a rule of conduct for all organizations present. Internet.

 Lack of cookies bar – There are many sites that, although they have a page dedicated to the cookie policy, do not have a cookie bar that requires them to accept their use before starting browsing the site.

Unnecessary Acceptance of Privacy Policy – There are many websites that use online forms for collecting personal data (newsletter sign-ups, contact page, document downloads, etc.) and make it necessary to send this data by checking a box to accept the Privacy Policy. Why do we ask for this approval? It is my Policy as a Data Controller and it is public. At most I can make a reference informing that the personal data collected through the form are processed only for the purpose for which they were collected, according to the Privacy Policy.

Lack of granularity in requesting the agreement – there is excessive use of the Legitimate Interest, as a legal basis for marketing processes, which also involves third parties, without a granular approach to the types of activities that fall into this category of processing activities.

Granularity Abuse – granular pop-up pages are displayed, with the possibility of setting options, but which appear with pre-ticked acceptance boxes – a serious contradiction of the rules for requesting/obtaining consent in the spirit of GDPR.

Conditional consent without the possibility of opt-out – the vast majority of cookie bars offer only the option of OK, with the condition of continuing browsing by choosing this option. As I pointed out in a previous analysis, not everything the old ePrivacy law allows is GDPR acceptable, where consent to the use of cookies does not have to be conditional on access to the content of the page. Of course, the user must know the consequences of not accepting cookies, but this must be his freely agreed option. Moreover, the GDPR teaches us that a consent obtained through a certain process must be as simple as possible. That is, if I put a box of Accept on the cookie bar, it is absolutely advisable to offer the possibility of opt-out, by displaying a box of Reject.

Protection vs. Security – there is a high degree of confusion between data security and personal data protection. Data protection involves all the measures that can be taken to restore them in case of loss or corruption. While data security refers to the mechanism for keeping data safe, from unauthorized access and distribution. Data security protects data from unauthorized access that could lead to data corruption or deletion, if data security strategy fails, data protection facilitates the recovery of clean data copies.

Incident vs. Security breaches – At the same time, there is confusion between Security incidents and Data breaches. An incident can be any event that violates the security or confidentiality policies of an organization and can be anything from a malfunction of a memory unit, to the loss of a laptop containing personal data. A data breach, on the other hand, is an event that led to a loss or theft of data, the severity of the loss being quantified by the volume and importance of the data affected. By Art.33 the GDPR obliges the organizations to report a data breach within a maximum 72 hours from the awareness of the breach, recommending a breach plan and organizing a response team to the data breach. One of the duties of this team is to keep a strict record of the Security incidents, in the idea of ​​being able to later associate the emergence of a breach of the vulnerability of the system that led to its occurrence.

Can all these problems be solved? Surely, yes, as long as everyone involved understands and takes responsibility. The success of a long-term GDPR project is based on creating an organization-wide culture, in which people primarily think about how they would like their personal information to be processed. Companies must adopt this attitude when handling personal data of customers, employees and other subjects. It’s not just about threatening financial sanctions. It’s about business continuity and building a trustworthy attitude.

27% DINTRE COMPANIILE IT NU DAU PREA MULTĂ IMPORTANȚĂ POLITICILOR GDPR DE PE WEBSITE

Prin publicarea politicilor publice pe un Website, o companie trebuie să facă dovada clară a transparenței în prelucrarea datelor personale, asumându-și și dovedindu-și responsabilitatea. Asta poate asigura o etichetă de încredere pentru tot ecosistemul de business de care aparține.

În ”STUDIU CONFORMITATE GDPR POLITICI WEBSITE COMPANII IT” realizat de  GDPR READY, se face o analiză asupra existenței, dar și a conținutului politicilor publice de pe site-urile a 150 de companii de IT din România, ceea ce reprezintă o radiografie obiectivă a gradului de conformitate GDPR  pentru cei mai importanți jucători din industrie.

METODOLOGIE

Studiul de conformitate s-a bazat pe o analiză generală preponderent calitativă pe un număr de 150 de site-uri, ale unor companii din zona IT selectate pe baza rezultatelor de profit publicate de Registrul Comerțului. Scopul Analizei GDPR Ready este acela de a vedea în ce măsură companiile de IT din România au găsit resursele necesare pentru asigurarea alinierii la noul Regulament UE 679/ 2016. Paginile de Web care  conțin politicile publice ale organizației reprezintă cea mai elocventă carte de vizită pentru stadiul de conformitate în care se găsește o companie de top.

Companiile IT analizate sunt producători de echipamente hardware, producători software, integratori de sistem, furnizori de servicii Cloud și infrastructură, distribuitori, reselleri și magazine online.

Analiza a urmărit cu precădere modul în care pe site-urile din eșantionul de cercetare se regăsesc politicile publice ale organizației:

  • Politica de confidențialitate (sau Politica de prelucrare a datelor personale),
  • Pagina de Termeni și Condiții actualizată conform GDPR
  • Pagina dedicată Politicii de Cookies, actualizată din perspectiva regulilor GDPR de obținere a consimțământului
  • Prezența notificărilor de confidențialitate asociate oricărei formă de colectare a datelor personale ale vizitatorului unei pagini Web,
  • Prezența formularelor de adresare a solicitărilor de acces la datele personale,
  • Prezența informațiilor de contact ale DPO/ responsabilului cu protecția datelor personale.

Analiza s-a bazat pe evaluarea conținutului publicat pe site-urile din eșantionul studiat, pe baza unor criterii de analiză, cărora li s-a atribuit ponderi diferite, în funcție de importanța aspectului urmărit.

Forma de prezentare a conținutului

  • Poziționare pe site
  • Ușurința accesului la informație
  • Vizibilitate
  • Acuitatea informațiilor prezentate
  • Structurarea conținutului la cerințele Art. 13 și 14 din GDPR

Prezența unor informații esențiale :

  • Datele de contact pentru probleme de GDPR
  • Adresa de contact DPO
  • Drepturile persoanelor vizate – pondere specială
  • Afișarea versiunii și a datei publicării pe site
  • Drepturi de proprietate intelectuală
  • Disclaimer site parteneri
  • Date de contact
  • Versiune
  • Ce tipuri de Cookies se folosesc
  • Perioada de activitate a acestora
  • Cum se poate renunța la Cookies

Forme de publicare a barei de Cookies:

  • Bară pop-up statică sau mobilă cu opțiune unică de acceptare a Politicii pentru continuarea navigării – pondere specială
  • Bară cu notă de informare și link către Politica de Confidențialitate/ Detalii despre Cookies
  • Bară cu posibilitate granulară de acord pentru fiecare categorie de Cookies – pondere specială
  • Buton de Opt-Out (Renunțare) – pondere specială

Puteți găsi o descriere mai amplă a premiselor și metodologiei utilizate în articolul: ”ANALIZA GDPR READY: POLITICILE DE PE WEBSITE CA IMAGINE PUBLICĂ A CONFORMITĂȚII”, publicat în 29 mai 2019.

REZULTATE

Unul dintre obiectivele vizate de această analiză, care a studiat 150 de site-uri ale unor companii IT, a fost evaluarea generală a prezenței politicilor publice pe Website. Cele șase tipuri de politici studiate au fost analizate din perspectiva prezenței pe site-urile Web, criteriile de apreciere fiind prezența pe site, absența paginii respective sau prezența parțială (incompletă) – de exemplu, notificările specifice unei politici sunt descrise în alte pagini decât cele dedicate.

Care sunt principalele rezultate relevate de acest studiu?

Pentru o clasificare generală a fost analizată distribuția procentuală a indicelui de conformitate GDPR rezultat în urma criteriilor de analiză aplicate:

  • 16% dintre companiile IT studiate nu au nicio formă de referire la politicile GDPR
  • 11% dintre paginile studiate au un indice redus de conformitate (1%-25%)
  • 47% dintre companiile de IT studiate au un nivel mediu-redus de conformitate (26%-50%)
  • 25% dintre paginile Web studiate au un indice peste mediu de conformitate (51%-75%)
  • Doar 1% – o companie de IT a îndeplinit criteriile asociate unui indice bun de conformitate (peste 75%)

Din analiza Politicilor de conformitate reiese că: Doar 63% dintre site-urile companiilor de IT au o Politică de Confidențialitate, 29% nu au o astfel de politică, deci nu se aliniază principiului de transparență privitor la protecția datelor personale. Restul de 8% au  politică incompletă: Fie nu au actualizat conținutul de pe site, fie conținutul publicat nu atinge toate elementele esențiale care trebuie să existe într-o astfel de politică.

Din perspectiva analizei paginilor de Termeni și Condiții: Doar 41% dintre siteuri au o pagină de Termeni & Condiții, în timp ce 49% nu au o astfel de pagină, deși aceasta ar trebui să se regăsească pe orice site public.

La analiza prezenței și conținutului paginilor de Cookies se relevă că: Doar 42% dintre companiile IT folosesc Cookies și au o pagină dedicată Politicii de Cookies, 40% dintre paginile studiate nu au o astfel de politică, iar 18% dintre Politicile afișate sunt incomplete, neoferind toate elementele de cunoaștere esențiale sau sunt neactualizate.

În fine, cele 91 de  site-uri care afișează o bară de Cookies au fost analizate din perspectiva conformității cu regulile GDPR de obținere a consimțământului, modul de afișare și conținutul barelor de Cookies, prezența sau nu a unor casete de acceptare predefinite, precum și prezența unei casete de REJECT alături de cea de ACCEPT. Rezultatele indică faptul că:

  • 81% Dintre siteurile firmelor IT studiate nu sunt conforme cu criteriile GDPR de obținere a consimțământului afișând pe bara de Cookies mesaje din care reiese că navigarea pe pagina respectivă este condiționată de acceptarea de Cookies, singura opțiune a vizitatorilor fiind apăsarea butonului de OK sau acceptarea de Cookies. În această categorie intră și site-urile care oferă explicații legate de posibilitatea de dezactivare pentru Cookies opționale, dar accesul la aceste setări este condiționat de acceptarea generală. Cu alte cuvinte ești obligat să accepți, pentru a dezactiva Cookies-urile nedorite după aceea, ceea ce este în totală contradicție cu modul de obținere necondiționată și neimpusă a consimțământului.
  • 16% din siturile studiate oferă navigatorilor prin intermediul unei bare de opțiuni granulare, posibilitate setării categoriilor de Cookies acceptate. Problema este că la jumătate dintre aceste site-uri (8%), casetele de bifare vin cu opțiunea de acceptare predefinită, ceea ce este o altă încălcare a regulilor de obținere a unui consimțământ. Deci un utilizator care nu dorește Cookies de marketing sau pentru terți trebuie se dezactiveze casetele respective, în cazul în care observă acest lucru. Marea majoritate nu sunt atenți la aceste detalii.
  • Doar 9% dintre siteurile studiate afișează pe bara de Cookies opțiunea de RENUNȚARE la Cookies (butonul de opt-aut). GDPR spune clar că un consimțământ ar trebui să fie retras la fel de ușor cum a fost acordat și că orice buton de ACCEPT de pe o bară de Cookies trebuie să fie însoțit de un buton similar de REFUZ, care trebuie să asigure utilizatorul că încă de la deschiderea paginii dorite, nu rămân setate decât cookie-urile funcționale, care nu au nicio relevanță din perspectiva prelucrării datelor personale.

Din dorința de a vedea care dintre companiile IT din România  sunt mai bine pregătite pentru GDPR, am făcut o analiză a indicilor de conformitate pentru principalele categorii de companii IT cercetate: producători de echipamente hardware, producători software, integratori de sistem, furnizori de servicii Cloud și infrastructură, distribuitori, reselleri și magazine online.

Iată câteva considerații sugerate de rezultatele acestei analize:

  • Cele mai ridicate nivele de conformitate pentru politicile publice de pe Website le au furnizorii de echipamente hardware (sisteme de calcul, rețele și comunicații (medie de 53%), integratorii de sistem (medie 46%) și magazinele online (medie 43%).
  • La polul opus se găsesc companiile IT din categoriile reselleri (medie index conformitate 28%) și distribuitorii de echipamente și soluții software (medie 33%)
  • Medie de conformitate destul de mică (39%) a reieșit pentru furnizorii de soluții și aplicații software, care prin natura activității acționează de multe ori ca operatori de date asociați pentru datele personale ale clienților lor, cărora le asigură servicii de mentenanță și suport. Aceeași constatare care naște multe semne de întrebare pentru furnizorii de servicii de infrastructură și Cloud care prin media scăzută de doar 40% arată că nu sunt suficient de pregătiți pentru demonstrarea conformității prin politicile publicate pe site.

La o analiză generală de poziționare a companiilor de IT față de nivelul de conformitate evaluat pentru alte verticale industriale (vezi rezultatele ”ANALIZA GDPR READY: POLITICILE DE PE WEBSITE CA IMAGINE PUBLICĂ A CONFORMITĂȚII”, publicată în 29 mai 2019, reiese că media de 37% a companiilor de IT este mult mai mică decât a companiilor din retail, utilități, automotive și telecom, care par mult mai preocupate de imaginea publică a conformității GDPR (medie 57-58%).

GREȘELI FRECVENTE

Printre cele mai frecvente greșeli întâlnite la companiile de IT se numără:

  • Omiterea menționării drepturilor persoanei vizate, obligatorie în orice informare a acestora
  • Neactualizarea conținutului paginii cu Politica dă Confidențialitate – multe site-uri fac trimitere la Legea 677/ 2001 sau pe Site este afișat mesajul: ”Compania noastră este Operator de date personale înregistrat în Registrul național cu Nr…….”
  • Lipsa sau neactualizarea paginii de Termeni & Condiții în spiritul GDPR
  • Obligativitatea Acceptării utilizării de Cookies ca o condiționare a continuării navigării pe site
  • Prezența unui meniu granular de acceptare a diferitelor categorii de Cookies cu casete Pre-bifate
  • Lipsa posibilității de Opt-Out la acceptarea utilizării de Cookies: 91% dintre site-urile care au o politică de Cookies.
  • Bara de Cookies este plasată în așa fel încât maschează prezența celorlalte politici, de regulă la partea inferioară a site-ului.
  • Politicile publice, deși există, sunt greu de găsit

CONCLUZII

Lipsa preocupărilor legate de publicarea sau actualizarea Politicilor Publice de pe Website poate fi o constatare îngrijorătoare și o radiografie transparentă a modului în care organizațiile din România, în cazul de față un eșantion cât de reprezentativ pentru industria de IT,  sunt dispuse să învestească în alinierea la GDPR.

Așa cum spuneam și în concluziile Analizei publicate în luna mai, prezența acestor politici pe site reprezintă o carte de vizită, o declarație publică a preocupărilor unei companii pentru conformitate și asumarea responsabilității. Companiile din industria IT, fie că sunt producători, integratori, distribuitori, reselleri sau furnizori de servicii, acționează prin esența activității lor fie ca operatori, fie ca procesatori de date personale pentru întreaga gamă de categorii de date personale, de cele mai multe ori cu caracter special sau senzitive.

Faptul că 29% dintre companiile de IT nu au o politică de confidențialitate publicată pe site, iar 79% nu au notificări legate de prelucrarea datelor personale pe care le colectează prin intermediul formularelor online, nu poate fi decât îngrijorător cu privire la seriozitatea cu care e abordată conformitatea. Asta ridică mari semne de întrebare cu privire la nivelul general de pregătire la nivel de organizație.  Este greu de crezut că o organizație care nu e preocupată de imaginea sa publică se poate apropia de un nivel de conformitate acceptabil în privința proceselor, procedurilor și politicilor aplicate pe plan intern.

Prin esența activităților lor, companiile de IT trebuie să fie în linia întâi a bătăliei pentru asigurarea condițiilor tehnologice optime necesare pentru prelucrarea oricăror tipuri de date, din care datele personale nu reprezintă decât o parte. Faptul că o companie IT nu are o politică publică de confidențialitate și, de cele mai multe ori o politică de Securitate IT pentru proprii angajați, poate reduce foarte mult credibilitatea și garantarea soluțiilor și serviciilor oferite clienților. Directorilor  informatici, dar mai ales managerilor le revine responsabilitatea de a demonstra faptul că pot să aibă grijă de propriile lor date personale și de cele ale clienților și partenerilor.   

DESPRE ”STUDIU DE CONFORMITATE GDPR POLITICI WEBSITE COMPANII IT” – Un proiect de cercetare conceput și realizat de GDPR READY. Toate drepturile rezervate.  Cei interesați pot solicita Broșura cu același nume (8 pag) disponibilă în format electronic.

A COMPLIANCE ANALYSIS OF WEBSITE PRIVACY POLICIES

Transparency is one of the fundamental principles in the protection of personal data. Each of us has the right to understand how our personal data are processed, how are used or shared. By publishing GDPR policies on a website, a company can make clear evidence of transparency in the processing of personal data, assuming and proving responsibility and obtaining a trustworthy label for the entire business ecosystem it belongs to. A GDPR READY research made in this year spring analysed more than 450 Romanian websites looking at how companies are respecting this transparency by publishing Privacy Policy, Terms & Conditions, Cookies Policy and Privacy Notes.

1. COMPLIANCE ANALYSIS PREMISES

 1.1. PRIVACY POLICY

Any organization that maintains an online public image should publish a privacy policy or a personal data processing statement on the Website. A link to this privacy statement must be clearly visible on each page of this site, under a commonly used term (such as “Privacy”, “Privacy Policy” or “Data Protection Statement”).

Articles 13 and 14 of the GDPR explain all the information we have to give to the individual persons when we collect their personal information or shortly after we have come into their possession in an indirect way. In order to clarify this, the Article 29 Working Group (WP29) published in November 2017 a guide dedicated to transparency policies, reviewed on April 2018.

1.2. TERMS & CONDITIONS

Another aspect of transparency, this time not just for personal data, is the presence of the page that describes the Terms and Conditions for using the site for visitors. The Terms and Conditions Webpage should represent the agreement by which the users of the site are informed about the rules, terms and regulations they must follow. Although not imposed by GDPR, the Terms and Conditions page may retain the rights to exclude certain users who may create abusive issues on the site or not comply with the rules set.

Usually, there are five reasons why a Terms and Conditions page is required:

  • Abuse prevention – in the case of problems related to spamming, abusive behaviour, uncontrolled activities that can lead to defamation reactions. Without the Terms and Conditions, there is no authority to suspend or prohibit users from displaying problematic trends.
  • Content protection – any site owner holds the logo, content and design of the site. The Terms and Conditions inform users of this fact and prevent the diversion of intellectual property.
  • The right to cancel the accounts – while the termination may be implicit in other clauses, a distinct right highlighted in the Terms and Conditions for cancelling the accounts is better.
  • Limitation of liability – The terms and conditions also limit the causes of actions that users may try to use against the site. These limits on liability may address errors in content or shutdown of the system. Basically, the terms explain that users take these risks when they register on the site and you cannot be held responsible for any losses they incur in these events.

Applicable legal notice – If the company is located in Romania, it is doubtful that you want to participate in an arbitration procedure in California or Singapore. Here is the section on the applicable law: the competence of the terms is stated and the place where any dispute settlement takes place.

1.3. COOKIES POLICY

At present, there is no dedicated legislation in the European Union that exclusively concerns the Cookies policy. There is a set of laws, recommendations and considerations that address how cookies can be used. They apply to all Member States of the European Union, and websites outside the EU must align to this if they are addressed to people in the Member States. In the absence of explicit legislation, the conditions of use for cookies are regulated by the Directive no. 58/2002, updated in 2009 known as “ePrivacy”, which is transposed in Romania by Law 506 of 2004, updated by Law 235 of 2015, regarding the processing of personal data and the protection of privacy in the electronic communications sector.

Until the advent of GDPR, compliance with this law meant a statement placed at the bottom or top of the site, which allows the user to know what kind of cookies are used. Most of us are familiar with the famous expression: “By using this website, you accept our cookie policy” or something similar. This information is useful but to what extent does it offer us an alternative? GDPR aims to change this, giving users a real and informed choice.

What ePrivacy says about Cookies – Article 5 (3) of ePrivacy requires prior informed consent regarding the storage or access to information stored on the user’s terminal equipment. In other words, users should be asked if they agree with most cookies and similar technologies (for example, web beacons, Flash cookies, etc.), and their consent must be obtained before the site begins to use them.

Users should be informed about the use of cookies in plain, non-jargon language, on a dedicated “Cookie Policy” page, which can be reached from a popup or from the standard template toolbar. This page should explain:

  • Why cookies are used (to remind users actions, identify users, collect traffic information, etc.)
  • Whether cookies are essential for the operation of the website or for certain functionality or if it is aimed at improving the performance of the website
  • The types of cookies used (for example, session or permanent, first or a third party) that control/access the information regarding the cookies (site or a third party)
  • That these cookies will not be used other purposes than those indicated
  • How users can withdraw cookies consent.

What the GDPR says about Cookies – The main cause of the inconsistencies related to the Cookies Policy is that EU Regulation 679/ 2016 considers IP identifiers as personal data, which Directive 58 did not provide. This makes the site owners have to have a big headache in addition to ensuring compliance requirements for the acquisition and retention of IPs.

In GDPR, the only place where cookies are explicitly mentioned is Recital 30 which states: “Individuals may be associated with the online identifiers provided by their devices, applications, tools and protocols, such as IP addresses, cookie identifiers or others. Identifiers such as radio frequency identification tags. They can leave traces that, especially when combined with unique identifiers and other information received by servers, can be used to create profiles of individuals and to identify them.”

The idea is relatively simple: cookies can be used to uniquely identify a person, so they should be treated as personal data. It will affect those identifiers used for analysis, advertising, but also for those used for functional services such as chats and surveys.

What needs to be changed? – Users must be able to CHOOSE. Browsing a website does not mean that I agree with all the cookies. The type of phrase used at the moment is barely informative and, of course, does not offer a choice. Anyone who owns the site will not be able to force users to accept cookies in exchange for access to information.

Like any other consent under the GDPR, consent for cookies must be a clear AFFIRMATIVE action. An example is to click on a sign-in box or choose menu settings. Users must be careful not to have pre-checked boxes on the consent form!

Let’s not forget the OPT-OUT. The GDPR clearly states that any data subject should be able to withdraw consent as easily as he or she has given it. In the case of the new cookie policy, this requires any user to be able to revoke consent by the same type of action as when they gave their consent. For example, if a box is clicked to obtain consent, the same method must be offered for revoking the agreement by inserting a REJECT button.

1.4. PERSONAL DATA PROCESSING NOTES

Returning to the obligation to publish a Privacy Policy, any window, pop-up, form, and questionnaire or comment box on a public site must include a notification informing the user of how the data will be used, with reference to the confidentiality credential where all the explanations required by Art.13 and Art.14 have been given.

The GDPR sets higher standards for obtaining consent than previous legislation. Individuals need to understand clearly and unequivocally what they agree to – so notifications need to be simply articulated and specific – and the agreement must be given in the form of a clear affirmative action by the data subject. In practical terms, this means asking for a positive “opt-in” and also means that the use of pre-checked boxes should not be used.

The most common errors that appear on the sites are related to the lack of these notifications, preferring the usual formulas of authentication such as “Not a robot”, “1 + 2 = ...” or Captcha. The few sites that make a note about the processing of personal data collected on the site make a mistake by asking the user before pressing the subscribe button or sending the personal data the agreement for the privacy policy. Several examples of these usage errors will be presented in the chapter presenting the results of the Compliance Analysis.

2. METHODOLOGICAL ASPECTS

The compliance analysis of the GDPR policies on the Internet pages consisted of studying a sufficiently large number of sites to meet the optimal conditions for statistical analysis, on a sample as representative as possible.

The compliance study was based on two types of analysis:

– A predominantly qualitative general analysis on a number of 450 sites, which followed the way in which the websites that were the object of the research find the public policies of the organization (the owner, the policy of processing personal data (or Privacy Policy, Privacy Policy, etc.), page dedicated to the Terms and Conditions updated at the GDPR, a page dedicated to Cookies Policy, the presence of confidentiality notices associated with any form of personal data collection of the web visitor, the presence of the forms for addressing the requests for access to the data personal information, as well as the presence of the contact information of the PDO.

– A detailed, quantitative-qualitative analysis of the presence and quality of the content of public policies, taking into account the minimum mandatory information that must appear in these declarations of conformity.

2.1. QUALITATIVE ANALYSIS

The research sample consists of about 450 sites, chosen on different criteria such as:

  • ACUITY – a sufficient number of sites are needed to ensure good quality statistical processing;
  • REPRESENTATIVENESS – the sites belong to public and private companies from different areas of activity, so that the results can be considered as covering for all verticals;
  • LEADERSHIP – for each of the activity areas considered, the companies that were noted for the results obtained were selected. The 100 companies from the Top Profitability analyzed in the Detailed Study are also included in this analysis;
  • RESPONSIBILITY – were followed sites from all areas that may involve an increased level of responsibility by appointing a DPO or the obligation to carry out an impact analysis – according to the list of activities presented in Decision 174 October 2018, Art. 1, Alin a – g.

The qualitative analysis was based on the evaluation of the content published on the sites of the studied sample, based on analysis criteria, to which different weights were assigned, depending on the importance of the aspect pursued.

2.2. IN-DEPTH ANALYSIS

The research sample consists of about 150 sites, chosen on the criteria of belonging to the Top 100 companies in Romania after Profitability for 2017, realized and published by Capital magazine, based on the results declared at the Trade Register ( Capital magazine, EXCLUSIVE TOP 100 the most profitable companies in Romania, July 2018). Another 50 sites were selected based on business results criteria, according to the results presented at the Trade Register.

The purpose, easy to guess, of the GDPR Ready Analysis, is to see to what extent the top companies in Romania have found the resources necessary to ensure the alignment of the new Regulation 679/2016, and the web pages containing the public policies of the organization represent the most eloquent business card for the state of compliance where a top company is located.

The detailed analysis was based on the evaluation of the content published on the websites of the studied sample, based on analysis criteria, to which different weights were assigned, depending on the importance of the aspect pursued. Part of these criteria, regarding the presence on the site of the different policies and the form of presentation, content, accessibility and format of the cookie bar are the same as those used in the qualitative analysis. The differences appear in the specific analysis for each of the policies (Confidentiality, Terms & Conditions, Cookies), wherein the used benchmark has been considered all the mandatory criteria by which the data subjects are informed of the way their personal data are processed, as it is clearly shown in Articles 13 and 14 of the GDPR.

3. MAIN RESEARCH RESULTS

Here is a brief rendering of the results obtained from the two types of analysis

3.1. QUALITATIVE ANALYSIS RESULTS

One of the objectives of this analysis, which studied 450 sites, was the general evaluation of the presence of public policies on the website. The six types of policies studied were analysed from the perspective of the presence on the websites, the criteria of appreciation being the presence, the absence and the presence partially or incomplete – for example, the specific notifications of a policy are described on pages other than those dedicated. What is to be emphasized here?

  • Only 63% of sites have a Privacy Policy
  • 31% do not have such a policy, so they do not comply with the principle of transparency regarding the protection of personal data
  • Only 40% of sites have a Terms & Conditions page, although it should be found on any public site and not directly related to GDPR.
  • Only 60% of the studied sites have a displayed cookie policy, of which 14% are incomplete
  • 79% of the sites do not have a confidentiality note although they collect personal data from the site
  • Only 8% of the sites offer the possibility of downloading forms for access requests to personal data.
  • Only 55% of sites offer a mailing address for GDPR issues, whether they have a dedicated DPO or not.
Source: GDPR READY RESEARCH, Sample: 450 Websites

Figure 1: PRESENCE OF THE WEBSITE POLICY

The analysis of the industrial verticals gives us an overview of the areas of activity in which there are concerns related to updating the public policies on the website. For the histogram of the analysis for the main industries verticals, an average of the percentage of compliance for all the sites belonging to the respective industry were chosen.

Some comments on the results:

  • The highest level of compliance can be found in the utilities, telco, retail – hypermarket, pharmaceutical & cosmetics, and the automotive industries.
  • On the opposite side, and this is quite sad, there are areas that by the nature of their activity are obliged to have a DPO: public administration (town halls), education (schools, colleges, universities), healthcare (hospitals, clinics) and government (ministries and supervised organizations)
  • A surprisingly low compliance average of 36% was found for companies in the IT industry, which had a fairly large research population (121 sites).
Source: GDPR READY RESEARCH, Sample: 450 Websites

Figure 2: TOP VERTICAL AVERAGE VALUES FOR INDUSTRY

3.2. IN-DEPTH ANALYSIS RESULTS

A general appreciation for the 150 sites studied in detail refers to the presence of policies cumulated with criteria of visibility, accessibility and content of policies. Compliance level is rated as a percentage and classified as Low (below 25%), Medium (25% – 75%) and Good (over 75%)

While 4% of the organizations analysed do not have a functional website, 13% have no policies, 14% have poor compliance, 53% average and only 17% have a satisfactory level of compliance.

Source: GDPR READY RESEARCH, Sample: 150 Websites

Figure 3: GENERAL APPRECIATION

Another objective of the detailed analysis was the policy evaluation of the compliance criteria presented in the methodology chapter:

From the perspective of Confidentiality, only 21% of the 150 sites have a satisfactory level of compliance, while 51% have an average level, 13% are insufficient, and 15% do not have a Privacy Policy.

Source: GDPR READY RESEARCH, Sample: 150 Websites

Figure 4: PRIVACY POLICY CONFORMITY

Regarding the pages dedicated to the Terms and Conditions, only 14% have a satisfactory level of compliance, 42% a medium level, 25% poor compliance, and 19% have no place Terms and Conditions.

When analysing the Cookies Policy, it appears that only 3% of the sites have an acceptable level of compliance, 33% an average one, 44% an unsatisfactory one, and 23% of the sites do not have cookies.

Finally, the 114 sites that have cookies, were analysed from the perspective of compliance with the GDPR rules for obtaining consent, the way of displaying and the content of the cookie bars, the presence or not of predefined acceptance boxes, as well as the presence of a box of REJECT next to the one of ACCEPT. The results are summarized in Figure 5.

Source: GDPR READY RESEARCH, Sample: 114 Websites

Figure 5: COOKIES BAR CONFORMITY

4. MOST FREQUENT MISTAKES

Among the most common mistakes encountered during this Compliance Review are:

  • The omission of the description of rights, mandatory in any information of the data subjects
  • Not updated content of Privacy Policy – There are many sites where the respective policy refers to Law 677/2001 or the message is displayed: “Our company is a Personal Data Operator registered in the National Register with No. ……”
  • Missing / Not updating Terms & Conditions page
  • Cookies bar is missing although a cookie policy is present on the site
  • The obligation to accept the use of cookies as a condition of continuation on the site
  • The presence of a granular menu for accepting the different categories of cookies with Prefixed boxes
  • Lack of the possibility of Opt-out accepting the use of cookies: 92% of the sites that have a cookie policy.
  • The cookie bar is placed in such a way that it hides the presence of the other policies, usually at the bottom of the site.

5. CONCLUSIONS

The lack of concerns regarding the publication or updating of the Public Policies on the Website can be a worrying finding and a transparent x-ray of how Romanian organizations are willing to invest in aligning with the GDPR.

The presence of these site policies represents a business card, a public statement of the company’s concerns for compliance and accountability.

The public policies on the website represent only the visible part of what can be called a GDPR compliance project. It is hard to believe that an organization that is not concerned with its public image can approach an acceptable level of compliance with internally applied processes, procedures and policies.

RANSOMWARE – UN PERICOL REAL CARE POATE FI CONTROLAT PRIN CONFORMITATEA GDPR

La sfîrșitul lunii iunie am avut ocazia să particip la o întâlnire organizată de ESET Romania, unde am discutat cu Righard Zwienenberg – Senior Research Fellow la laboratoarele ESET, unul dintre cei mai experimentați specialiști europeni în domeniul criminalității cibernetice. Temele discutate au vizat multiplicarea critică a atacurilor rău intenționate în contextual evoluției tehnologice și ce ar trebui să facem pentru a reduce riscul de expunere în fața unor astfel de pericole, ținând cont de cerințele tot mai severe de conformitate impuse de GDPR, precum și de nevoia de continuitate în business.

eset-righard.jpg
Righard Zwienenberg

Righard Zwienenberg are o experiență de peste  30 de ani în domeniul securității cibernetice, activând în prezent ca Senior Research Fellow la laboratoarele ESET, dar și ca Advisor la Virus Bulletin și la Europol European Cyber Crime Center, precum și ca vicepreședinte al comitetului executiv  ICSG (Internet Connections Security Group).

RANSOMWARE, O AMENINȚARE MAI VECHE

Una dintre principalele teme discutate s-a referit la Ransomware, considerat ca unul dintre cele mai recente metode de atac malițios, dar cu efecte comparabile cu ale altor tehnici rău intenționate. Așa cum știm, Ransomware este acel tip de software malițios care prin diferite metode obține acces la fișiere sau sisteme, pe care le blochează, solicitând utilizatorilor o răscumpărare în schimbul redării accesului. Deoarece marea majoritate a fișierelor sau dispozitivelor de stocare sunt blocate prin criptare, metoda mai este cunoscută și ca crypto-ransomware. După ce victimele plătesc o răscumpărare – de regulă în cryptomonedă – primesc și cheia de decriptare, care ar trebui să permită accesul la fișierele sau sistemele criptate.

”Puțini știu că primul atac de ransomware cunoscut a avut loc în 1989 și a vizat industria medicală. 30 de ani mai târziu, industria medicală rămâne o țintă de top pentru atacurile de ransomware,” spune Righard Zwienenberg. Primul autor ransomware cunoscut a fost un cercetător SIDA, care cu ocazia unei conferințe internaționale și prin intermediul unei reviste de specialitate a trimis cca 20.000 de dischete către întreaga comunitate de cercetători SIDA din peste 90 de țări, susținând că discurile conțineau un program de analiză a riscurilor. Pe lângă acesta, discul conținea și un program malware care inițial rămânea inactiv în computer până la a 90-a bootare. La re-pornirea cu numărul 91, programul malware afișa un mesaj care cerea o plată de 189 USD și încă 378 USD pentru un contract de închiriere de software, având ca adresă o cutie poștală din Panama. Acest atac ransomware a devenit cunoscut sub numele de Troianul SIDA

Cu timpul, metodele de răscumpărare au devenit din ce în ce mai avansate privind puterea de răspândire, sustragerea detectării, criptarea fișierelor și obligarea utilizatorilor la răscumpărare. Atacurile Ransomware de ultimă generație implică o combinație de eforturi avansate de distribuție, cum ar fi infrastructurile pre-construite, folosite pentru distribuirea cu ușurință și pe scară largă a capcanelor malware, precum și tehnici avansate de dezvoltare, cum ar fi utilizarea criptării.

Dacă ransomware-ul se menține constant ca una dintre cele mai semnificative amenințări cu care se confruntă întreprinderile și indivizii astăzi, nu este de mirare că atacurile devin din ce în ce mai sofisticate, mai dificile de prevenit și mai dăunătoare victimelor lor.

O metodă comună de înșelăciune folosită pentru distribuirea ransomware-ului este trimiterea unui motiv convingător pentru întreprinderi de a deschide un malware deghizat ca atașament de e-mail urgent: o factură, un document oficial, un ghid de utilizare, etc. Un alt mijloc de înșelăciune folosit de atacanții ransomware este social media, Facebook Messenger fiind recunoscut ca unul dintre cele mai populare canale folosite în această abordare.

Atacurile crypto-ransomware (sau filecoderele) au evoluat continuu din 2013, atunci când a apărut secvența malware CryptoLocker. De atunci, infractorii cibernetici au colectat milioane de dolari, extorcând bani de la victime, în schimbul deblocării datelor criptate. O serie de estimări bazate pe constatări ale FBI au sugerat că la nivelul anului 2016 ransomware-ul a generat venituri de peste 1 miliard de dolari pe an pentru atacatori.

În prezent, documentele trimise victimelor ca atașamente reprezintă programe executabile (cripto-ransomware-ul în sine). Primirea e-mailului în sine nu declanșează o infecție; fișierul atașat sau legat ar trebui să fie în continuare descărcat sau deschis. Atacatorii trimit deseori mesaje de e-mail folosind trucuri de inginerie socială pentru a-i atrage pe destinatari să acceseze linkurile sau să deschidă fișierele atașate.

Un crypto-ransomware poate fi livrat și prin kituri de exploatare, care sunt seturi de unelte care sunt plantate de atacatori pe site-uri. ”Câștigurile infractorilor cibernetici demonstrează impactul acestei tendințe exponențiale și reprezintă principalul motiv pentru care crypto-ransomware a devenit malware-ul preferat de atacatori,” afirmă Righard Zwienenberg. ”Nu ar trebui să fie o surpriză faptul că cele mai multe campanii ransomware folosesc kituri de exploatare și e-mailuri cu inginerii sociale drept vectori de infectare, fapt ce contribuie, de asemenea, la creșterea prevalenței lor. Din păcate, marea majoritate a victimelor nu sunt pregătite nici cu cel mai elementar backup și sunt nevoite să plătească răscumpărarea solicitată…Trist ”

SOLUȚII DE PREVENIRE OFERITE DE ESET

Prin multiplele sale programe de cercetare, ESET monitorizează în permanență scena ransomware și caută răspunsuri viabile la evoluția rapidă a acestui tip de atac. Deși este una dintre cele mai grave tipuri de malware, ransomware este doar una dintre multele amenințări. Să nu uităm celelalte amenințări cybernetice precum virușii (Brain Virus din 1986 conținea câteva elemente specific ransomware), amenințările malware fileless (Rozena B, un vechi malware backdoor reapărut în 2018 în format fileless), amenințări rootkit de tip Kernel, User mode, Bootloader, Memory, Hardware sau Virtualized, precum și mult-răspânditele atacuri de tip phishing capabile să simuleze introducerea elementelor de identificare pentru conectarea la aplicații mobile sau conturi social-media. Pentru toate aceste motive, strategia abordată de ESET în lupta împotriva acestor amenințări este dezvoltarea de soluții bazate pe multiple straturi de protecție, care pot adresa orice amenințare potențială.

Majoritatea atacurilor ransomware sunt blocate de tehnologia multistratificată ESET chiar înainte ca infectarea propriu-zisă cu ransomware să comunice în vreun fel cu computerele victimelor. Este cazul detectării mesajelor de e-mail care conțin droppers sau a încercărilor de exploatare care ar permite atacatorilor să preia controlul de la distanță asupra dispozitivelor victimelor și care, în multe cazuri, conduc la extorcare via ransomware.

  • Funcția ESET Network Detection este proiectată să prevină astfel de tentative prin vizarea vulnerabilităților de rețea și a kiturilor de exploatare.
  • În plus, ESET Exploit Blocker monitorizează procesele de funcționare ale aplicațiilor și caută anomalii în comportamentul lor.
  • Designul permite soluțiilor ESET să detecteze și să blocheze exploatarea vulnerabilităților, în mod eficient chiar și a celor necunoscute anterior, așa-numitele amenințări “zero-days”, care ar putea fi utilizate de către crypto-ransomware pentru a se infiltra în sistemul vizat.
  • Cu scopul de a întări suplimentar protecția sistemelor utilizatorilor, ESET Advanced Memory Scanner este proiectat pentru a descoperi adevărata natură a proceselor puternic disimulate, detectând în mod constant secvențele crypto-ransomware înainte ca acestea să cripteze fișierele valoroase. Un astfel de malware disimulat constituie o parte semnificativă a traficului malițios de astăzi, mai ales din cauza serviciilor automatizate de reîmpachetare/disimulare disponibile pe piața neagră.
  • Dar chiar și cel mai disimulat cod din lume, trebuie să se dezvăluie la un moment dat, pentru a fi executat. Acela este punctul în care este descoperit de Scannerul Avansat de Memorie, declanșat prin sistemul ESET Host-Based Intrusion Prevention System (HIPS) la momentul potrivit.

Pe scurt, fiecare nivel al tehnologiei multi-stratificate ESET utilizează diferite mijloace pentru a lua parte la blocarea efectivă a crypto-ransomware-ului. Mai mult decât atât, metadatele din fiecare strat pot fi trimise către sistemele cloud ESET LiveGrid sporind inteligența algoritmilor de învățare automatizată. În plus, ESET Ransomware Shield ESET Ransomware Shield monitorizează și evaluează aplicațiile executate folosind euristica. Este configurat să detecteze și să blocheze comportamentul asemănător cu cel ransomware.

Toate aceste sisteme automate, în combinație cu expertiza cercetătorilor și inginerilor ESET permit reducerea timpului de reacție față de noile amenințări emergente, la doar câteva minute.

6 RECOMANDĂRI ESET PE CARE ORICINE LE POATE APLICA

Printre victimele Ransomware se numără numeroase instituții publice care dețin baze de date uriașe sau operatori ce prelucrează date personale cu caracter special precum spitalele sau instituțiile de învățământ. Odată cu apariția GDPR și a noilor cerințe obligatorii de raportare a breșelor de Securitate, o amenințare de răscumpărare pentru un operator de date personale poate atrage multiplicarea pierderilor prin valoarea sporită a penalităților, precum și pierderile de imagine aferente, care pot reprezenta o amenințare mult mai mare pentru business.

Să nu uităm însă că ransomware-ul este doar una dintre familiile de malware care constituie o amenințare reală pentru datele personale. Primele surse de date personale amenințate sunt fișierele, iar ca vectori de atac sunt în majoritatea cazurilor e-mailuri și kituri de exploatare.

Pentru a limita vectorii de atac, ESET recomandă următoarele acțiuni:

  1. Configurarea corectă a endpoint-urilor și software-ul de securitate.
  2. Actualizarea și implementarea regulată a patch-urilor sistemului de operare și ale aplicațiilor software.
  3. Configurarea corespunzătoare a soluțiilor de securitate pentru endpoint și perimetru.
  4. Utilizarea facilităților de securizare oferite de sistemul de operare:
  • eliminarea posibilității de a rula codul untrusted cu AppLocker sau cu Software Restriction Policie;
  • dezactivarea scriptingului în sistemele de operare și browsere web;
  • dezactivarea serviciilor inutile, cum ar fi RDP;
  • setarea afișării extensiei fișierelor de către sistemul de operare;
  • luarea în considerare a implementării unui serviciu de System Restore;
  • dezactivarea Windows Script Host;
  • setarea funcției “Open with …” pentru extensiile care de cele mai multe ori sunt folosite pentru infectare cu un reader (cum ar fi Notepad);
  • blocarea executării aplicațiilor din %LocalAppData% și %AppData%;
  1. Dezactivarea accesului inutil la share-urile din rețea.
  2. Serverele nu trebuie utilizate într-un mod similar cu sistemele desktop standard (ex. pentru navigarea pe internet).

Pe lângă toate eforturile pe care le depunem pentru a fi protejați, trebuie să dispunem în mod esențial de o politică de back-up implementată efcient, care să ofere capacitatea de recuperare sau restaurare rapidă a datelor.

Sursă imagini: ESET

Exploit Windows pentru atacuri direcționate descoperit de ESET

Exploit-ul abuzează de o vulnerabilitate de tip privilege escalation în Microsoft Windows

Cercetătorii ESET au descoperit și au analizat recent un exploit de tip zero day, utilizat într-un atac direcționat în Europa de Est. Exploit-ul a folosit o vulnerabilitate locală care escaladează privilegiile în Microsoft Windows. ESET a raportat imediat problema la Microsoft Security Response Center, care a reparat vulnerabilitatea și a lansat un patch pentru aceasta.

Vulnerabilitatea afectează următoarele versiuni de Windows:

  • Windows 7 pentru sistemele de 32 de biți Service Pack 1
  • Windows 7 pentru sistemele bazate pe 64 de biți Service Pack 1
  • Windows Server 2008 pentru sistemele de 32 de biți Service Pack 2
  • Windows Server 2008 pentru sistemele bazate pe Itanium Service Pack 2
  • Windows Server 2008 pentru sistemele bazate pe 64 de biți Service Pack 2
  • Windows Server 2008 R2 pentru sistemele bazate pe Itanium Service Pack 1
  • Windows Server 2008 R2 pentru sistemele bazate pe 64 de biți Service Pack 1

Această vulnerabilitate specifică Windows win32k.sys utilizează meniul pop-up pentru implementare. „De exemplu, exploitul de escaladare a privilegiilor locale folosit de grupul Sednit, analizat în 2017, a folosit obiecte de meniu și tehnici de exploatare, care sunt foarte asemănătoare exploit-ului curent“, explică Anton Cherepanov, cercetătorul ESET care a descoperit această vulnerabilitate.

Exploit-ul funcționează numai în cazul versiunilor mai vechi de Windows, întrucât de la versiunea Windows 8 încoace un proces de utilizator nu are permisiunea de a mapa pagina NULL. Microsoft a retro dotat această rezolvare și la Windows 7 pentru sistemele x64.

Persoanele care utilizează în continuare Windows 7 pentru sistemele pe 32 de biți Service Pack 1 ar trebui să aibă în vedere actualizarea la sisteme de operare mai noi, deoarece suportul extins al Windows 7 Service Pack 1 se încheie la data de 14 ianuarie 2020, ceea ce înseamnă că utilizatorii Windows 7 nu vor primi actualizări critice de securitate. Astfel, vulnerabilitățile precum aceasta vor rămâne persistente pentru totdeauna.

Pentru mai multe detalii tehnice despre acest exploit zero-day, citiți articolul semnat de Anton Cherepanov pe blogul ESET despre vulnerabilitatea CVE-2019-1132 folosită în acest atac direcționat.