RANSOMWARE – UN PERICOL REAL CARE POATE FI CONTROLAT PRIN CONFORMITATEA GDPR

La sfîrșitul lunii iunie am avut ocazia să particip la o întâlnire organizată de ESET Romania, unde am discutat cu Righard Zwienenberg – Senior Research Fellow la laboratoarele ESET, unul dintre cei mai experimentați specialiști europeni în domeniul criminalității cibernetice. Temele discutate au vizat multiplicarea critică a atacurilor rău intenționate în contextual evoluției tehnologice și ce ar trebui să facem pentru a reduce riscul de expunere în fața unor astfel de pericole, ținând cont de cerințele tot mai severe de conformitate impuse de GDPR, precum și de nevoia de continuitate în business.

eset-righard.jpg
Righard Zwienenberg

Righard Zwienenberg are o experiență de peste  30 de ani în domeniul securității cibernetice, activând în prezent ca Senior Research Fellow la laboratoarele ESET, dar și ca Advisor la Virus Bulletin și la Europol European Cyber Crime Center, precum și ca vicepreședinte al comitetului executiv  ICSG (Internet Connections Security Group).

RANSOMWARE, O AMENINȚARE MAI VECHE

Una dintre principalele teme discutate s-a referit la Ransomware, considerat ca unul dintre cele mai recente metode de atac malițios, dar cu efecte comparabile cu ale altor tehnici rău intenționate. Așa cum știm, Ransomware este acel tip de software malițios care prin diferite metode obține acces la fișiere sau sisteme, pe care le blochează, solicitând utilizatorilor o răscumpărare în schimbul redării accesului. Deoarece marea majoritate a fișierelor sau dispozitivelor de stocare sunt blocate prin criptare, metoda mai este cunoscută și ca crypto-ransomware. După ce victimele plătesc o răscumpărare – de regulă în cryptomonedă – primesc și cheia de decriptare, care ar trebui să permită accesul la fișierele sau sistemele criptate.

”Puțini știu că primul atac de ransomware cunoscut a avut loc în 1989 și a vizat industria medicală. 30 de ani mai târziu, industria medicală rămâne o țintă de top pentru atacurile de ransomware,” spune Righard Zwienenberg. Primul autor ransomware cunoscut a fost un cercetător SIDA, care cu ocazia unei conferințe internaționale și prin intermediul unei reviste de specialitate a trimis cca 20.000 de dischete către întreaga comunitate de cercetători SIDA din peste 90 de țări, susținând că discurile conțineau un program de analiză a riscurilor. Pe lângă acesta, discul conținea și un program malware care inițial rămânea inactiv în computer până la a 90-a bootare. La re-pornirea cu numărul 91, programul malware afișa un mesaj care cerea o plată de 189 USD și încă 378 USD pentru un contract de închiriere de software, având ca adresă o cutie poștală din Panama. Acest atac ransomware a devenit cunoscut sub numele de Troianul SIDA

Cu timpul, metodele de răscumpărare au devenit din ce în ce mai avansate privind puterea de răspândire, sustragerea detectării, criptarea fișierelor și obligarea utilizatorilor la răscumpărare. Atacurile Ransomware de ultimă generație implică o combinație de eforturi avansate de distribuție, cum ar fi infrastructurile pre-construite, folosite pentru distribuirea cu ușurință și pe scară largă a capcanelor malware, precum și tehnici avansate de dezvoltare, cum ar fi utilizarea criptării.

Dacă ransomware-ul se menține constant ca una dintre cele mai semnificative amenințări cu care se confruntă întreprinderile și indivizii astăzi, nu este de mirare că atacurile devin din ce în ce mai sofisticate, mai dificile de prevenit și mai dăunătoare victimelor lor.

O metodă comună de înșelăciune folosită pentru distribuirea ransomware-ului este trimiterea unui motiv convingător pentru întreprinderi de a deschide un malware deghizat ca atașament de e-mail urgent: o factură, un document oficial, un ghid de utilizare, etc. Un alt mijloc de înșelăciune folosit de atacanții ransomware este social media, Facebook Messenger fiind recunoscut ca unul dintre cele mai populare canale folosite în această abordare.

Atacurile crypto-ransomware (sau filecoderele) au evoluat continuu din 2013, atunci când a apărut secvența malware CryptoLocker. De atunci, infractorii cibernetici au colectat milioane de dolari, extorcând bani de la victime, în schimbul deblocării datelor criptate. O serie de estimări bazate pe constatări ale FBI au sugerat că la nivelul anului 2016 ransomware-ul a generat venituri de peste 1 miliard de dolari pe an pentru atacatori.

În prezent, documentele trimise victimelor ca atașamente reprezintă programe executabile (cripto-ransomware-ul în sine). Primirea e-mailului în sine nu declanșează o infecție; fișierul atașat sau legat ar trebui să fie în continuare descărcat sau deschis. Atacatorii trimit deseori mesaje de e-mail folosind trucuri de inginerie socială pentru a-i atrage pe destinatari să acceseze linkurile sau să deschidă fișierele atașate.

Un crypto-ransomware poate fi livrat și prin kituri de exploatare, care sunt seturi de unelte care sunt plantate de atacatori pe site-uri. ”Câștigurile infractorilor cibernetici demonstrează impactul acestei tendințe exponențiale și reprezintă principalul motiv pentru care crypto-ransomware a devenit malware-ul preferat de atacatori,” afirmă Righard Zwienenberg. ”Nu ar trebui să fie o surpriză faptul că cele mai multe campanii ransomware folosesc kituri de exploatare și e-mailuri cu inginerii sociale drept vectori de infectare, fapt ce contribuie, de asemenea, la creșterea prevalenței lor. Din păcate, marea majoritate a victimelor nu sunt pregătite nici cu cel mai elementar backup și sunt nevoite să plătească răscumpărarea solicitată…Trist ”

SOLUȚII DE PREVENIRE OFERITE DE ESET

Prin multiplele sale programe de cercetare, ESET monitorizează în permanență scena ransomware și caută răspunsuri viabile la evoluția rapidă a acestui tip de atac. Deși este una dintre cele mai grave tipuri de malware, ransomware este doar una dintre multele amenințări. Să nu uităm celelalte amenințări cybernetice precum virușii (Brain Virus din 1986 conținea câteva elemente specific ransomware), amenințările malware fileless (Rozena B, un vechi malware backdoor reapărut în 2018 în format fileless), amenințări rootkit de tip Kernel, User mode, Bootloader, Memory, Hardware sau Virtualized, precum și mult-răspânditele atacuri de tip phishing capabile să simuleze introducerea elementelor de identificare pentru conectarea la aplicații mobile sau conturi social-media. Pentru toate aceste motive, strategia abordată de ESET în lupta împotriva acestor amenințări este dezvoltarea de soluții bazate pe multiple straturi de protecție, care pot adresa orice amenințare potențială.

Majoritatea atacurilor ransomware sunt blocate de tehnologia multistratificată ESET chiar înainte ca infectarea propriu-zisă cu ransomware să comunice în vreun fel cu computerele victimelor. Este cazul detectării mesajelor de e-mail care conțin droppers sau a încercărilor de exploatare care ar permite atacatorilor să preia controlul de la distanță asupra dispozitivelor victimelor și care, în multe cazuri, conduc la extorcare via ransomware.

  • Funcția ESET Network Detection este proiectată să prevină astfel de tentative prin vizarea vulnerabilităților de rețea și a kiturilor de exploatare.
  • În plus, ESET Exploit Blocker monitorizează procesele de funcționare ale aplicațiilor și caută anomalii în comportamentul lor.
  • Designul permite soluțiilor ESET să detecteze și să blocheze exploatarea vulnerabilităților, în mod eficient chiar și a celor necunoscute anterior, așa-numitele amenințări “zero-days”, care ar putea fi utilizate de către crypto-ransomware pentru a se infiltra în sistemul vizat.
  • Cu scopul de a întări suplimentar protecția sistemelor utilizatorilor, ESET Advanced Memory Scanner este proiectat pentru a descoperi adevărata natură a proceselor puternic disimulate, detectând în mod constant secvențele crypto-ransomware înainte ca acestea să cripteze fișierele valoroase. Un astfel de malware disimulat constituie o parte semnificativă a traficului malițios de astăzi, mai ales din cauza serviciilor automatizate de reîmpachetare/disimulare disponibile pe piața neagră.
  • Dar chiar și cel mai disimulat cod din lume, trebuie să se dezvăluie la un moment dat, pentru a fi executat. Acela este punctul în care este descoperit de Scannerul Avansat de Memorie, declanșat prin sistemul ESET Host-Based Intrusion Prevention System (HIPS) la momentul potrivit.

Pe scurt, fiecare nivel al tehnologiei multi-stratificate ESET utilizează diferite mijloace pentru a lua parte la blocarea efectivă a crypto-ransomware-ului. Mai mult decât atât, metadatele din fiecare strat pot fi trimise către sistemele cloud ESET LiveGrid sporind inteligența algoritmilor de învățare automatizată. În plus, ESET Ransomware Shield ESET Ransomware Shield monitorizează și evaluează aplicațiile executate folosind euristica. Este configurat să detecteze și să blocheze comportamentul asemănător cu cel ransomware.

Toate aceste sisteme automate, în combinație cu expertiza cercetătorilor și inginerilor ESET permit reducerea timpului de reacție față de noile amenințări emergente, la doar câteva minute.

6 RECOMANDĂRI ESET PE CARE ORICINE LE POATE APLICA

Printre victimele Ransomware se numără numeroase instituții publice care dețin baze de date uriașe sau operatori ce prelucrează date personale cu caracter special precum spitalele sau instituțiile de învățământ. Odată cu apariția GDPR și a noilor cerințe obligatorii de raportare a breșelor de Securitate, o amenințare de răscumpărare pentru un operator de date personale poate atrage multiplicarea pierderilor prin valoarea sporită a penalităților, precum și pierderile de imagine aferente, care pot reprezenta o amenințare mult mai mare pentru business.

Să nu uităm însă că ransomware-ul este doar una dintre familiile de malware care constituie o amenințare reală pentru datele personale. Primele surse de date personale amenințate sunt fișierele, iar ca vectori de atac sunt în majoritatea cazurilor e-mailuri și kituri de exploatare.

Pentru a limita vectorii de atac, ESET recomandă următoarele acțiuni:

  1. Configurarea corectă a endpoint-urilor și software-ul de securitate.
  2. Actualizarea și implementarea regulată a patch-urilor sistemului de operare și ale aplicațiilor software.
  3. Configurarea corespunzătoare a soluțiilor de securitate pentru endpoint și perimetru.
  4. Utilizarea facilităților de securizare oferite de sistemul de operare:
  • eliminarea posibilității de a rula codul untrusted cu AppLocker sau cu Software Restriction Policie;
  • dezactivarea scriptingului în sistemele de operare și browsere web;
  • dezactivarea serviciilor inutile, cum ar fi RDP;
  • setarea afișării extensiei fișierelor de către sistemul de operare;
  • luarea în considerare a implementării unui serviciu de System Restore;
  • dezactivarea Windows Script Host;
  • setarea funcției “Open with …” pentru extensiile care de cele mai multe ori sunt folosite pentru infectare cu un reader (cum ar fi Notepad);
  • blocarea executării aplicațiilor din %LocalAppData% și %AppData%;
  1. Dezactivarea accesului inutil la share-urile din rețea.
  2. Serverele nu trebuie utilizate într-un mod similar cu sistemele desktop standard (ex. pentru navigarea pe internet).

Pe lângă toate eforturile pe care le depunem pentru a fi protejați, trebuie să dispunem în mod esențial de o politică de back-up implementată efcient, care să ofere capacitatea de recuperare sau restaurare rapidă a datelor.

Sursă imagini: ESET

Advertisements

Exploit Windows pentru atacuri direcționate descoperit de ESET

Exploit-ul abuzează de o vulnerabilitate de tip privilege escalation în Microsoft Windows

Cercetătorii ESET au descoperit și au analizat recent un exploit de tip zero day, utilizat într-un atac direcționat în Europa de Est. Exploit-ul a folosit o vulnerabilitate locală care escaladează privilegiile în Microsoft Windows. ESET a raportat imediat problema la Microsoft Security Response Center, care a reparat vulnerabilitatea și a lansat un patch pentru aceasta.

Vulnerabilitatea afectează următoarele versiuni de Windows:

  • Windows 7 pentru sistemele de 32 de biți Service Pack 1
  • Windows 7 pentru sistemele bazate pe 64 de biți Service Pack 1
  • Windows Server 2008 pentru sistemele de 32 de biți Service Pack 2
  • Windows Server 2008 pentru sistemele bazate pe Itanium Service Pack 2
  • Windows Server 2008 pentru sistemele bazate pe 64 de biți Service Pack 2
  • Windows Server 2008 R2 pentru sistemele bazate pe Itanium Service Pack 1
  • Windows Server 2008 R2 pentru sistemele bazate pe 64 de biți Service Pack 1

Această vulnerabilitate specifică Windows win32k.sys utilizează meniul pop-up pentru implementare. „De exemplu, exploitul de escaladare a privilegiilor locale folosit de grupul Sednit, analizat în 2017, a folosit obiecte de meniu și tehnici de exploatare, care sunt foarte asemănătoare exploit-ului curent“, explică Anton Cherepanov, cercetătorul ESET care a descoperit această vulnerabilitate.

Exploit-ul funcționează numai în cazul versiunilor mai vechi de Windows, întrucât de la versiunea Windows 8 încoace un proces de utilizator nu are permisiunea de a mapa pagina NULL. Microsoft a retro dotat această rezolvare și la Windows 7 pentru sistemele x64.

Persoanele care utilizează în continuare Windows 7 pentru sistemele pe 32 de biți Service Pack 1 ar trebui să aibă în vedere actualizarea la sisteme de operare mai noi, deoarece suportul extins al Windows 7 Service Pack 1 se încheie la data de 14 ianuarie 2020, ceea ce înseamnă că utilizatorii Windows 7 nu vor primi actualizări critice de securitate. Astfel, vulnerabilitățile precum aceasta vor rămâne persistente pentru totdeauna.

Pentru mai multe detalii tehnice despre acest exploit zero-day, citiți articolul semnat de Anton Cherepanov pe blogul ESET despre vulnerabilitatea CVE-2019-1132 folosită în acest atac direcționat.

 

 

SOLUȚII ESET DE ASIGURARE A CONFORMITĂȚII GDPR

Cu ocazia evenimentului GDPR Talks din 21 mai 2019, Cătălin GLIGAN Marketing Coordinator la ESET Romania (Axel Soft IT Group) a susținut o prezentare despre modul în care soluțiile de criptare și DLP oferite de ESET pot ajuta companiile în asigurarea unui nivel optim de conformitate privitoare la protecția datelor personale.

Catalin Gligan

În deschiderea prezentării au fost subliniate câteva dintre rezultatele unui studiu de piață realizat de IDC la solicitarea ESET. Studiul, care a vizat peste 700 de organizații din 7 țări relevă faptul că amenințările legate de securitatea datelor sunt principalele cauze ce determină breșe la nivelul securității datelor personale. Conform studiului, peste 300.000 de atacuri malițioase sunt semnalate zilnic, 40% din companiile chestionate au suferit cel puțin o breșă de date, iar 67% au raportat costuri asociate breșelor de peste 10.000 Euro

Printre cele mai serioase amenințări generate de breșele de date trebuie luate în considerație: costurile asociate atacurilor malware, pierderea datelor despre clienți, diminuarea încrederii clienților, indisponibilitatea site-ului Web, pierderea capacității operaționale și în cele din urmă pierderea clienților.

Compania ESET oferă un larg spectru de soluții de Securitate deosebit de utile în asigurarea conformității GDPR, printre care soluții pentru securizarea prin criptarea datelor, pentru autentificare securizată, precum și pentru prevenirea scurgerilor de date.

Cea mai veche măsură de precauție: criptarea datelor senzitive

Criptarea este una dintre măsurile de asigurare a integrității datelor recomandată de GDPR prin conceptul Privacy by Design și by Default. În Art.25., Alin.1 – Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit se arată că: ”Având în vedere stadiul actual al tehnologiei, costurile implementării, şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.” Totodată, operatorul trebuie să pună în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligaţie se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilităţii lor.

Mai mult de atât, în Art. 32, Alin.1 – Securitatea prelucrării se precizează: ”(…) operatorul şi procesatorul implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător (…), incluzând printre altele, după caz:

  1. pseudonimizarea şi criptarea datelor cu caracter personal;
  2. capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
  3. capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
  4. un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării. (…)”

Tehnologia este un mijloc stabilit de protejare a informațiilor vulnerabile în caz de furt sau de  pierdere. GDPR face referire de asemenea la necesitatea existenței unor planuri eficiente de restaurare în caz de dezastru, la proceduri de recuperare a parolei și de gestionare a cheilor.

Unul dintre principiile cheie al GDPR este asigurarea securității corespunzătoare a datelor cu caracter personal. Criptarea este considerată o măsură tehnică adecvată pentru a realiza acest lucru. În cazul în care criptarea este utilizată ca o măsură tehnică, ea trebuie să fie însoțită de posibilitatea restabilirii datelor imediat după un incident, iar înregistrările trebuie să fie păstrate pentru a dovedi permanent că sistemele sunt sigure și recuperabile.

Criptare de text și de clipboardpentru orice client de e-mail, inclusiv web-mail

Dintre toate aceste recomandări, tehnologia de criptare este un mijloc simplu, stabil și solid de asigurare a acestor măsuri tehnice și organizatorice adecvate. Criptarea datelor sensibile din sistemele companiilor care colectează astfel de date poate ajuta la îndeplinirea multor cerințe esențiale din GDPR. Soluția ESET Endpoint Encryption este simplu de instalat și poate cripta în condiții de siguranță diferite tipuri de medii sau fișiere. ESET Endpoint Encryption permite îndeplinirea obligațiilor privind securitatea datelor, prin implementarea facilă a unei politici de criptare, păstrând în același timp o productivitate ridicată. Cu un consum redus de resurse și cicluri de desfășurare scurte, soluția se distinge prin flexibilitate și ușurință în utilizare.

Soluția Endpoint Encryption asigură:

  • Criptare simplă și puternică (full disk, partiție, folder, fișier, email) pentru organizațiile de toate dimensiunile, criptând în siguranță fișierele de pe hard disk-uri, dispozitivele portabile și documentele trimise prin e-mail
  • Certificare: criptare FIPS 140-2 cu validare 256 bit AES;
  • Server de management hibrid bazat pe cloud pentru un control complet de la distanță a cheilor de criptare endpoint și a politicii de securitate;
  • Suport extins pentru Windows 10, 8, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS. La nivel de client este necesară o interacțiune minimă cu utilizatorul, securizarea datelor companiei fiind posibilă prin instalarea unui singur pachet MSI. La nivel de server se asigură administrarea avansată, în grupuri, a utilizatorilor și a stațiilor de lucru și se extinde protecția companiei dincolo de rețeaua proprie.

Una dintre noutățile noului Regulament UE 679/2016 este introducerea obligativității notificărilor către Autoritatea de Supraveghere a oricărei  încălcări a securității datelor cu caracter personal, nu mai târziu de 72 de ore după ce organizația în cauză devine conștientă de breșa respectivă. În plus, atunci când încălcarea securității datelor poate duce la un risc ridicat în privința drepturilor și libertăților persoanelor fizice, operatorul de date personale este obligat să comunice apariția breșei către persoana vizată, fără întârzieri nejustificate.

Dar e bine să ținem cont de faptul  că nu este necesară notificarea breșelor dacă operatorul a pus în aplicare măsuri tehnice de protecție și de organizare adecvate, iar aceste măsuri au fost aplicate în prealabil datelor afectate în urma breșei, în special măsuri prin care datele personale scurse să nu poată fi accesate de persoane neautorizate, cum ar fi criptarea.

Criptarea este considerată fără dubiu o garanție suficientă pentru a exclude aceste riscuri și consecințele implicite pentru reputația corporativă. Soluția ESET Enpoint Encryption este disponibilă pentru descărcare în versiune de evaluare (trial) pe http://www.eset.ro, alături de multe informații utile care analizează în detaliu cerințele GDPR și modul în care acestea sunt acoperite de soluția de criptare ESET.

Securizarea autentificării

One Time Password – Two Factor Authentification.

Una dintre marile probleme ale politicilor interne de Securitate IT este respectarea unor reguli foarte stricte de stabilire și utilizare a parolelor. Multe dintre vulnerabilitățile de securitate care apar într-o organizație, de natură internă sau externă, se datorează folosirii unor parole slabe, păstrarea aceleiași parole pe o perioadă foarte mare de timp sau utilizarea aceleiași parole pentru mai multe conturi de utilizator. ESET oferă o soluție dedicată pentru securizarea autentificării prin validarea identității utilizatorilor cu One Time Password – Two Factor Authentification.

Soluția rezolvă problema:

  • Parolelor ușor de prezis sau sustras
  • Parolelor statice care pot fi interceptate
  • Parolelor simple care nu conțin combinații aleatoare
  • Reutilizării parolelor conturilor din companie pentru conturi private
  • Parolelor care conțin informații legate de utilizator (data de naștere, nume)
  • Variațiilor simple prin care sunt derivate noi parole, ex: “mihai1”, “mihai2”, etc.

Prevenirea pierderilor de date

Safetica DLP

Soluția ESET care contribuie la asigurarea conformității GDPR prin prevenirea pierderilor de date se numește Safetica –DLP. Soluția urmărește traseul documentelor sensibile: cine le deschide și cum sunt gestionate, oferind și un ghid de utilizare al documentelor bazat pe reguli clare pentru persoanele care pot opera cu date sensibile. Iată câteva dintre avantajele oferite:

  • Găsește fișiere greșite – Împiedică pătrunderea unor fișiere importante în a intra pe mâini greșite,  în interiorul sau în afara unei organizații, și avertizează managementul față de potențialele pericole.
  • Detectează atacurile – Safetica identifică atacurile de tip social engineering și încercările de șantaj în etapele inițiale, împiedicându-le să dăuneze companiei dvs.
  • Criptează datele pentru a preveni utilizarea greșită – Datele importante sunt protejate chiar dacă laptopurile sau unitățile de memorie externă sunt pierdute sau furate. Întregul disc sau fișierele selectate rămân criptate și greu de citit.
  • Gestionează resursele – Safetica controlează utilizarea imprimantei, aplicațiile și limitează activitățile online excesive. Ea identifică schimbările în productivitate pentru a descoperi tendințele potențial periculoase în timp util.

Totodată, Safetica – DLP asigură:

Soluție DLP completă – prin capacitatea de prevenire a pierderilor de date, Safetica acoperă o gamă largă de evenimente și domenii, ajutând organizația să prevină incidentele nedorite.

Raportarea și blocarea activităților – Raportează toate operațiile de fișiere, tendințele pe termen lung, fluctuațiile pe termen scurt în activitate, toate site-urile Web, e-mailurile și webmail-urile, mesageria instantanee, imprimantele, activitatea pe ecran și keylogging-ul.

Litigii și zone de prevenire a pierderilor de date – Extinde la toate unitățile de hard disk, transferul de fișiere în rețea, e-mailuri, SSL / HTTPS, imprimante, Bluetooth, cititoare și înregistratoare CD / DVD / BluRay, controlul accesului la fișierele aplicației și detectarea și restricționarea discurilor în Cloud. Versiuni Safedica DLP sunt disponibile pentru Safetica Endpoint Client, Safetica Management Services & SQL database, Safetica Management Console și WebSafetica

Concluzionând, soluția Safetica oferă organizațiilor o experiență DLP completă care acoperă o gamă largă de funcții de securitate pentru amenințările care provin dintr-o sursă comună – factorul uman. Safetica previne scurgerile de date accidentale, demascând acțiunile rău intenționate, problemele de productivitate, pericolele BYOD și shadow IT. Mai mult, filosofia de securitate este bazată pe trei atuuri majore: caracterul complet, flexibilitate și ușurința de utilizare.

AȘTEPTĂM PRIMA AMENDĂ SAU NE OCUPĂM DE CONFORMITATE ÎNAINTE SĂ NI SE ÎNTÂMPLE CEVA?

Pe 21 Mai, la hotelul Pullman, GDPR Talks organizat de agenția Concord Communication a fost unul dintre primele evenimente organizate în această săptămână care au avut ca temă  fenomenului GDPR din Romania, după un an de la intrarea in vigoare. Panelurile au fost gândite în așa fel încât sa acopere cât mai bine largul spectru de probleme care ne-au dat bătaie de cap, invitând la discuții oameni care vin din diferite culturi, cu diferite experiențe, din mediul public sau privat, reprezentând companii mai mari sau mai mici, asociații profesionale sau consultanți independenți, dar toți animați aceeași dorință de a împărtăși din propriile experiențe.

Primele două paneluri de discuții au abordat realizările și dificultățile GDPR din perspectiva sectorului public si a celui privat. Al treilea panel a fost o premieră pentru Romania, abordând tematica Digital Ethycs, o temă de care se va vorbi tot mai mult, pe măsura asimilării noilor tehnologii, care vin cu noi riscuri pentru protecția datelor personale și a drepturilor și libertăților fundamentale.

Din stanga: Yugo Neumorni, Nelu Munteanu, Catalin Giulescu, Simona Zanfir

Sectorul Public între penuria de specialiști și relaxarea generată de lipsa amenzilor

Panelul de discuții dedicat evoluției GDPR din perspectiva sectorului public, pe care am avut bucuria să îl moderez, s-a bucurat de o participare numeroasă și reprezentativă: Simona Zanfir – Consilier Birou Juridic ANSPDCP, Cătălin Giulescu – Specialist GDPR, Nelu Munteanu – Director Tehnic CERT.RO, Yugo Neumorni – Președinte CIO Council România, Silvia Axinescu – Senior Managing Associate Reff & Associates / Deloitte Romania, Iurie Cojocaru – Managing Associate CIPP/E NNDKP și Marius Dumitrescu – Președinte Asociația Specialiștilor în Confidențialitate și Protecția Datelor România.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a fost reprezentată de Doamna Simona Zanfir, consilier Birou Juridic și Comunicare, care a făcut o trecere în revistă a activității ANSPDCP în ultimul an:

  • Legea nr. 129/2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înființarea, organizarea şi funcționarea ANSPDCP, precum şi pentru abrogarea Legii nr. 677/2001
  • Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679.
  • Decizia nr. 99/2018 privind încetarea aplicabilității unor acte normative cu caracter administrativ emise în aplicarea Legii nr. 677/2001.
  • Decizia nr. 128/2018 privind aprobarea formularului tipizat al notificării de încălcare a securității datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679
  • Decizia nr. 133/2018 privind aprobarea Procedurii de primire și soluționare a plângerilor
  • Decizia nr. 161/2018 privind aprobarea Procedurii de efectuare a investigațiilor
  • Decizia nr. 174/2018 privind lista operațiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal.

Așteptate cu mult interes de către participanți au fost datele statistice legate de activitatea Autorității:

  • 391 încălcări de securitate a datelor notificate până la 17 mai 2019, investigate în totalitate.
  • 69 investigații efectuate ca urmare a sesizărilor primite
  • 456 investigații efectuate la plângerile persoanelor vizate de către Autoritate până la 01 mai 2019
  • 9335 DPO înregistrați la Autoritate până la data de 1 mai 2019

O prezență deosebită în primul panel a fost Cătălin Giulescu, pe care l-am invitat nu pentru funcția și poziția sa actuală, ci pentru experiența de peste 15 ani acumulată în domeniul protecției datelor personale. Cătălin este printre primii specialiști în protecția datelor din România, este DPO certificat de EIPA și a fost coordonatorul echipei tehnice care a gestionat negocierile la nivel european pentru elaborarea și adoptarea GDPR. Principalul sfat al lui Cătălin Giulescu pentru toți participanții a fost să nu ne lăsăm copleșiți de complexitatea unei situații și să încercăm să abordăm dificultățile cu calm: ”Un process de obținere a conformității GDPR este un fenomen extrem de complex și de fluid și fiecare etapă sau problemă trebuie abordată cu mult calm”. Cătălin a răspuns la un mare număr de întrebări venite din sală și chiar din partea celorlalți paneliști, dezamorsând una dintre cele mai critice probleme, aceea a aplicării unui sistem diferit de penalizare pentru organizațiile din sectorul public și privat. Exista falsa impresie că această situație se regăsește numai în România,   În realitate, acest sistem a fost gândit chiar la nivelul Uniunii Europene, ca o consecință a capacității restrânse de adaptare la risc ce se manifestă în sectorul public.

Începând din data de 2 mai 2019 a devenit disponibil numărul unic 1911 pe care Centrul Național de Răspuns la Incidente de Securitate Cibernetică îl pune la dispoziție pentru raportarea incidentelor de Securitate. Nelu Munteanu, director tehnic la CERT.RO ne-a oferit câteva detalii despre înființarea acestui call-center care poate oferi o asistență primară și consiliere persoanelor fizice, juridice și instituțiilor publice care raportează incidente de Securitate cibernetică. Din perspectiva GDPR, care vine cu obligativitatea ca fiecare organizație să aibă un plan de raportare a breșelor și o echipă de intervenție în caz de breșă, existența acestui serviciu de urgență specializat oferă operatorilor de date personale posibilitatea efectuării unei analize mult mai exacte cu privire la natura incidentului și amploarea lui, ajutând la luarea deciziei de notificare a breșei către Autoritate, atunci când este cazul, în termenul de 72 de ore hotărât. Nelu Munteanu a prezentat și alte activități și proiecte de conștientizare în care este implicate CERT.RO, precum supervizarea aplicării NIS în România, dar și buna colaborare cu Autoritatea și alte instituții publice și private pentru creșterea gradului de Securitate în spațiul cibernetic.

Printre cei mai profund implicați în problemele ridicate de GDPR sunt directorii informatici, care se află în prima linie în continua bătălie cu atacurile cibernetice dar și cu asigurarea măsurilor interne de reducere a vulnerabilităților datorate erorilor umane. Yugo Neumorni, Președinte CIO Council România s-a referit la preocupările concrete ale asociației profesionale a directorilor informatici, care în ultimii doi an a derulat o serie de proiecte speciale destinate asigurării condițiilor optime de securizare și eficientizare a sistemelor informatice. Există, din păcate, destule organizații în care aplicarea GDPR este percepută în mod eronat ca fiind o responsabilitate exclusivă a CIO când aceasta aparține, în realitate, Board-ului. Din perspectiva CIO, fenomenul GDPR aduce o mare provocare profesională și mult stres, dar și un sprijin și o argumentație în plus la constituirea bugetelor IT” a apreciat Yugo Neumorni. Una dintre marile probleme ridicate de GDPR este asigurarea efectivă a dreptului la ștergere a datelor personale ale unei persoane vizate. Se știe foarte bine că este destul de dificil din punct de vedere tehnic și costisitor, în același timp, să se asigure ștergerea unor seturi de date în cazul unor sisteme informatice, în marea lor majoritate heterogene, unde sistemele de backup sunt implementate pe diferite nivele și, evident, în diferite locații. Specialiștii așteaptă elaborarea unor seturi de recomandări care să faciliteze efectuarea operațiunilor necesare în cazul în care e nevoie să se răspundă la solicitări de acest fel.    

Radu Crahmaliuc, Marius Dumitrescu, Silvia Axinescu, Iurie Cojocaru

De la aspectele tehnice s-a trecut în mod natural la cele legale, ce pot fi însoți uneori cauze tehnice, precum procedurile asociate administrării multivalente a incidentelor de Securitate și rolul analizelor de impact în asigurarea conformității. Silvia Axinescu, Senior Managing Associate la Reff & Associates / Deloitte Romania a prezentat o interesantă abordare a utilității analizei de impact în cazul adoptării de noi tehnologii sau procese ce ar putea induce riscuri majore pentru securitatea datelor personale. O importanță apare o au și analizele de tip LIA (Legitim Interest Analyse) care sunt absolut obligatorii în cazurile în care legitimul interes este principalul temei legal la prelucrarea de date personale și unde trebuie menținută în permanență balanța între ceea ce pentru operator este un interes legitim, iar pentru persoana vizată un drept de asigurare a drepturilor și libertăților fundamentale. Iurie Cojocaru, Managing Associate la casa de avocatură NNDKP  a făcut o scurtă trecere în revistă a măsurilor organizatorice ce trebuie adoptate pentru reducerea riscurilor de apariție a unor incidente de Securitate, printre care și cele asociate instruirii corecte a angajaților și implementării politicilor și normelor interne. Sunt situații în care riscul apariției unor incidente de Securitate este datorat în proporție de peste 60-70% unor vulnerabilități interne, asupra cărora se poate acționa.

O prezență activă la organizarea și desfășurarea evenimentului a avut-o asociația profesională a DPO, reprezentată la discuțiile primului panel de Marius Dumitrescu, Președinte Asociația Specialiștilor în Confidențialitate și Protecția Datelor România, iar în sală de o numeroasă delegație de membrii ai asociației. Obiectivul ASCPD este de a oferi soluții concrete la problemele cu care se confruntă specialiștii în confidențialitate și protecția datelor, de a crește gradul de conștientizare a legislației și de a oferi membrilor săi un forum în care aceste subiecte să poată fi dezbătute, precum și un loc de pregătire profesională continuă. ASCPD militează pentru îmbunătățirea gradului de conștientizare cu privire la tehnologiile și legile care pun în pericol viață privată, pentru a se asigura că publicul este informat și implicat. Una dintre problemele ridicate de Marius Dumitrescu în cadrul discuțiilor din panel a fost cea legată de persoanele care sunt puse în postura de a activa ca DPO prin numirea conducerii și care nu posedă cunoștințele obligatorii necesare pentru exercitarea acestei funcții sau se află într-un posibil conflict de interese.

Sînziana Oghina, Bogdan Manolea, Ciprian Timofte

În Privat totul se vede altfel și orice risc poate deveni fatal pentru business

Așa cum anunțam în programul conferinței, al doilea panel a avut ca obiectiv realizarea unei perspective asupra GDPR din unghiul de vedere al mediului privat. Fiecare dintre invitații prezenți la discuții acumulează o bogată experiență în proiecte de implementare sau educație legate de GDPR, ceea ce a permis asigurarea unui climat de discuții deschis, colocvial, unde chiar diferențele de opinii au fost prezentate într-o manieră constructivă: Sînziana Oghină – Avocat Medlife, Ciprian Timofte – Managing Associate Țuca Zbârcea & Asociații, Bogdan Manolea – Trusted.ro, Daniel Suciu – Consultant GDPR, DPO Extern, iar ca moderator Tudor Galoș – ECPC-B DPO, Senior Consultant GDPR

Sînziana Oghină, Avocat Medlife a prezentat câteva dintre experiențele în domeniul privat, unde companiile mari au fost nevoite să ia mult mai în serios provocările GDPR. Cu toate eforturile pentru conformare depuse, elaborarea unor proceduri și a unor politici cu resurse interne sau externe și comunicarea acestora către angajați nu asigură conformitatea organizației. ”O soluție pentru o eficientă implementare și funcționare a Regulamentului este o mai buna informare, poate chiar organizarea unor workshopuri din partea Autorității, deoarece Regulamentul lasă multe locuri de interpretare”, a spus Sînziana Oghină.

Ciprian Timofte, Managing Associate, Țuca Zbârcea & Asociații a pus accentual pe necesitatea elaborării unor strategii la nivel de organizație, care să urmărească asimilarea regulilor și procedurilor la nivel intern. Din discuții a reieșit dificultatea acestui demers, oamenii fiind în general reticenți la schimbare. Constatare susținută cu exemple din situații reale și de ceilalți paneliști. O altă zonă de activitate importantă care a fost destul de puternic influențată de GDPR este marketingul. Noile condiții de obținere a consimțământului corelate cu obligativitatea respectării principiilor  promovate de GDPR determină departamentele și organizațiile de marketing să adopte o nouă disciplină, în care pe primul loc se găsește persoana vizată.

Bogdan Manolea – co-fondator Trusted.ro și Director Executiv al asociației pentru Tehnologie și Internet, a venit cu perspectiva provocărilor din zona de comerț electronic, unde există un cumul de norme, directive și regulamente ce guvernează funcționarea magazinelor online. Deși aici lucrurile par mai simple decât în alte zone de business, fiind vorba de Internet, totul ține de transparență, dar tocmai necesitatea respectării acestui principiu ridică o serie de mari probleme pentru cei care nu sunt pregătiți pentru asta, crezând că orice se poate posta pe Web. Marca de Încredere TRUSTED.ro este un program special de atestare dedicat magazinelor online și site-urilor profesionale. Cum  Internetul este un mediu transnaţional, iar reglementările legale pentru protecţia consumatorului nu pot fi singurul element care aduc dezvoltarea afacerilor online, sprin programele initiate și dezvoltate de Trust.ro se încearcă implicarea activă a mediului de afaceri în creşterea încrederii în domeniul în care activează. Chiar prin directiva privind comerţul electronic s-a încercat stipularea acestui lucru prin promovarea codurilor de conduită şi a metodelor extra-judiciare de rezolvare a disputelor ca opțiuni ce pot creşte comerţul electronic.

Daniel Suciu, Tudor Galos

Daniel Suciu – Consultant GDPR, DPO Extern are o bogată experiență în zona de protecție a datelor personale, atât la nivel de corporații, cât și pentru companii mici și mijlocii. Prin tot ceea ce face, Daniel încearcă să faciliteze accesul la informația generală, punând accentul pe aspectele practice din activitățile de zi cu zi, cu o grijă deosebită pentru detalii. Toate intervențiile susținute de Daniel au demonstrat o reală capacitate de transpunere în rolul clientului și de identificare cu cerințele acestuia. Una dintre temele de discuție de interes general a fost legată de provocările speciale cu care GDPR vine pentru companiile mici și mijlocii, care teoretic nu dispun de resursele necesare pentru investiții în tehnologie, fiind la fel de expuse la riscuri precum companiile mari. ”Soluții și abordări există pentru orice organizație implicată într-un proces de prelucrare a datelor personale. Diferența aici este că dacă sunt conștienți de amploarea acestor provocări pentru continuitatea în business, managerii unor companii mici sunt mult mai deschiși și mai dispuși să se implice direct în eforturile de asigurare a asigurare a conformității”, a spus Daniel Suciu..

Având rol de moderator, dar răspunzând aici și la câteva întrebări, Tudor Galoș a condus cu mult aplomb discuțiile, chiar dacă paneliștii aveau păreri total diferite. Tudor vine cu experiența unor mulți ani lucrați într-o mare corporație, dar și cu abilități acumulate în ultima perioadă, de când și-a deschis propriul cabinet de consultanță pentru business transformation și GDPR.

Catalin Gligan, Andreea Lisievici

Despre Etica Digitală din perspectiva unei noi generații de tehnologii de graniță

În premieră pentru evenimentele GDPR din România, cel de-al treilea panel a avut ca temă majoră modul în care transformările digitale respectă principiile GDPR și drepturile noastre fundamentale, adică articolele Art. 7 (Respectarea vieții private și de familie) și Art. 8 (Protecția datelor cu caracter personal) din Carta Drepturilor Fundamentale a UE. Revoluția digitală vine cu siguranță cu o grămadă de lucruri benefice, dar și cu foarte multe semne de întrebare legate de modul în care tehnologiile de graniță precum Cloud Computing, BigData, Analytics, IoT , Blockchain sau Inteligența Artificială pot garanta drepturile fundamentale ale utilizatorilor. În același timp, protecția datelor nu se face doar prin adoptarea de politici. Un rol de bază îl au și tehnologiile. Dar, e bineștiut: orice nouă tehnologie vine cu noi provocări, cu noi vulnerabilități de securitate care nu au apucat încă să fie studiate și evaluate. Cât este de importantă analiza de impact în adoptarea de noi soluții și ce se înțelege de fapt prin conceptele By Design si By Default?

În deschiderea discuțiilor legate de etica digitală, Cătălin Gligan – Marketing Coordonator la ESET Romania a prezentat un studiu de piață realizat de IDC pentru compania ESET. Au fost prezentate de asemenea și o serie de considerente care recomandă soluțiile ESET Data Loss Prevention pentru endpoint și pentru rețea ca alternative viabile pentru asigurarea prevederilor stipulate în Art.32 din GDPR, prin care operatorii și procesatorii de date sunt obligați să adopte și să implementeze măsuri tehnice şi organizatorice adecvate pentru garantarea securității datelor personale.

Ca invitați pentru acest panel i-am avut pe Andreea Lisievici, CIPP/E, partener PrivacyONE unul dintre cei mai activi specialiști GDPR în social media și pe Tudor Galoș, iar Cătălin Gligan a avut ocazia să răspundă unor întrebări din public legate de caracteristicile și funcționalitățile soluțiilor ESET. Discuțiile în cadrul panelului au pornit de la necesitatea ca orice nouă tehnologie revoluționară și disruptivă să servească în primul rând omului. Nu va exista niciodată un pericol real și critic de a fi înlocuiți în totalitate de roboți, drone și mașini care învață singure. Andreea a făcut o serie de comentarii extrem de pertinente legate de capcanele abordării greșite a unei politici de cookies și ce trebuie să conțină o informare corectă despre folosirea acestora, dar neuitând să facem același lucru pentru toate tehnicile de urmărire a unor parametrii ce reflectă locația sau preferințele noastre de consumatori. Un alt pericol sesizat de Andreea este cel al dispariției treptate a siteurilor care se bazează pe publicitate online, ca unică  sursă de finanțare. Alte teme discutate în care s-a implicat activ și Tudor se referă la așa zisa incompatibilitate între tehnlogia Blockchain și GDPR și la boomul pe care îl înregistrează tehnlogiile de Inteligență Artificială și refuzul de utilizare a tehnicilor de Recunoaștere Facială.

Conținutul prezentării ESET și rezultatele analizei de conformitate GDPR pentru politicele publicate pe website vor fi prezentate în alte articole dedicate.

Concluzionez acest articol cu un comentariu la întrebarea generală pusă tuturor participanților: Cum vedeți evoluția GDPR la noi în țară în anul care a trecut de la intrarea în vigoare? Cam toată lumea a fost de acord că scăderea bruscă de interes din ultimele 4-5 luni este un fenomen general. Cu toții am constatat că cei care au apucat să facă ceva pentru apropierea de un nivel ideal de conformitate s-au mulțumit cu ce au făcut, iar cei care nu au făcut mai nimic, își văd liniștiți de treabă văzând că nu pândește niciun pericol iminent. De altfel, în prezentarea Autorității s-a confirmat faptul că până acum nu au fost acordate amenzi, ci doar avertismente și măsuri corective.

Ce trebuie făcut ca să mai mișcăm lucrurile? Au fost păreri că apariția amenzilor ar redeștepta spiritele și ar pune lumea pe jar. Putem să ne mulțumim cu asta? Prea seamănă cu povestea cu drobul de sare…  

Photo Credit: Toate imaginile utilizate în acest articol aparțin Concord Communication

Câteva considerații practice despre GDPR/ „Privacy by design and by default” în dezvoltarea de software

 

Autor Daniel Suciu

Acest material se adresează în special dezvoltatorilor din firmele mici, fără o structură organizatorică, funcții de suport dedicate sau o metodologie complexă in ajutor.

O să încep menționând că pentru a respecta cu adevărat principul de „Privacy by design and by default” pentru orice aplicție sau sistem not, trebuie avut în vedere scopul pentru care sunt folosite datele (personale), modul de prelucrare, de la acces, la prelucrările interne, stocare și distribuire precum și procesele operaționale, de operare, administrare și de suport, licențiere, actualizările aplicației, instruirea celor ce o operează și administrează…

Mai jos găsiți câteva exemple de cerințe sau doar bune practici, din experiența mea personală – de fost programator, tester, business analyst,  QA, admin, PM, manager… și acum consultant GDPR- care pot ajuta la dezvoltarea unei aplicații în acord cu aceste principii. Nu este o listă exhustivă și nici obligatorie, dar poate fi un punct de plecare pentru analiză. Evident ca lista poate fi mult mai lungă sau mai bine organizată. La final o să incerc să creez și să mențin o listă cu materialele mai formale pe aceasta temă, pe baza recomandărilor si sugestiilor primite.

Câteva considerații generale

  • Atât GDPR-ul cât și recomandările specifice implică necesitatea demonstrării respectării acestor principii din faza de design considerând toata durata de viață a produsului (SLC) nu doar dezvoltarea, iar dezvoltarea ar fi indicat să conțină și partea de analiză, cerințe, design, testare… stiu, pare evident
  • Trebuie să existe documentație – nu doar cea de produs (pentru useri și administrare/mentenanță) ci și pentru proiect/ development, incepând de la cerințe)
  • Cerințele inițiale ale aplicației/serviciului trebuie să conțină referințe la principiile GDPR ce trebuie avute in vedere de la bun început (câteva articole din GDPR ce pot avea legătură și ar merita citite sunt 5,7,11, 12, 15-22, 25,32,35,44…)
  • Trebuie să existe o trasabilitate pentru modul in care acestea sunt implementate in produs… sau proces, prin care să se poata demonstra ce funcțiune implementează o anumită cerință
  • Ar fi bine să existe evidente ca este urmata o metodologie (incluzând toate activitatile de dezvoltare). Se acceptă și Agile și DevOps, dar nu varianta fară arhitectură/design și documentație…

Acum, mai la concret:

–          despre Baze de date

  • Separarea informațiilor despre utilizatori de cele de business, eventual și cu criptarea celor ce pot identifica utilizatorii este utilă;
  • Normalizarea datelor ajută atât la consisten,a datelor, cât și la minimizarea impactului in cazul breșelor de securitate. Posibilitatea de a utiliza datele ca întreg și a identifica subiecții scade;
  • Normalizarea ajută și la implementarea unor măsuri de siguranță sau chiar de acces granular pentru anumite date considerate sensibile;
  • Ar fi indicat să existe un Data dictionary , cu descrierea datelor – ajută la identificare și mapare și este util în definirea scopului acestora de la început și la demonstrarea atât a minimizării datelor cât și a limitării scopului;
  • Stergerea și arhivarea automată a datelor, bazate pe anumite reguli, ar trebui avută in vedere din stadiul de design. Sigur va fi nevoie.

–          despre Managementul utilizatorilor și drepturilor

  • Managementul utilizatorilor ar trebui facut pe baza de roluri, cu drepturi bine definite pentru fiecare rol , luând în cosiderare și datele, nu doar funcțiile;
  • Managementul utilizatorilor și a drepturilor nu ar trebui limitat doar la utilizatorii finali, ci și la cei ce se vor ocupa de administrare, mentenanță…
  • Definirea utilizatorilor de la nivel de sistem de operare, baze de date, aplicație și utilizarea lor de la bun inceput pot face posibile operațiile de mentenanță sau administrare fără drepturi de a acces la continuțul bazelor de date și pot limita riscul de a produce incidente din greșeală (acordâdu-se drepturi doar pentru nevoile funcțiilor respective);
  • Folosind doar conturi de „root”/ „admin” pentru instalare, dezvoltare, administrare și mentenanță face inutile eforturile de „securizare” a aplicației;
  • Nu mai pomenesc de „utilizatorii” la nivel de aplicatie/modul, de care nu se prea știe, care in multe aplicații folosesc tehnologii ce necesită numele de utilizator și parola in clar;
  • Bănuiesc că schimbarea parolelor inițiale ale tuturor produselor COTS folosite este evidentă… nu că nu se uită de multe ori.

–          despre Corectitudinea datelor

  • Validarea tranzacțiilor end2end pentru a preîntâmpina erorile sau inconsistențele în date datorită prelucrărilor incomplete;
  • Ar trebui avute in vedere validări ale acestora (atât ca tip de date, valori căt și ca reguli de business, în relație cu alte date) începând de la colectare, pentru a preveni introducerile greșite;
  • Baza de date ar trebui să conțină informatii atât despre vechimea datelor, cât și a ultimelor operații efectuate pe ele = problema este de a determina pentru ce entități este nevoie și pentru ce operațiuni.

–          despre Securitate

  • Managementul sesiunilor e unul din aspectele de securitate ce poate preveni problemele;
  • Autentificarea utilizatorilor folosind cele mai potrivite metode (acum au apărut multe dar tot username-ul și parola „rules”), dar măcar existența unor politici minime pentru parole (care ar fi chiar indicat să nu se pastreze in clar… evident, nu?) și utilizarea a doi factori pentru autentificare ar fi bune;
  • Managementul licențelor produselor COTS folosite și a update-urilor acestora este un alt aspect de avut in vedere;
  • Nu uitati cerintele de infrastructură (hardware, software, retea) necesare funcționării aplicației, care pot introduce vulnerabilități, oricât de securizată ar fi aplicația;
  • Pentru administrare, pe lângă utilizarea conturilor dedicate, cu permisiuni specifice și limitate, ar fi indicat să fie identificate modalități de lucru la distanță printr-un canal sigur – aspect care mi se pare cel mai neglijat;
  • Auditarea operațiilor efectuate de clienți asupra datelor este un factor ce permite o analiză mult mai ușoară in caz de breșe de securitate, plus responsabilizarea celor ce utilizează aplicația. Pentru cei ce nu fac diferența, spre deosebire de log-urile tehnice, auditarea este un proces similar dar informațiile stocate sunt altele, de genul ce utilizator a efecutuat o anumită operație și când. Salvarea acestor informații la nivel de bază de date face utilizarea lor mai ușoara, dar nu este obligatorie.

–          Back-up & restore

  • In primul rând să nu se uite de procesul de restaurare, nu doar de back-up… ceea ce in general (macar 99%) nu inseamnă doar să pui baza de date veche in locul celei corupte, pierdute…;
  • In cel de-al doilea rând, back-upul ar trebui să nu fie limitat la date, ci și la aplicatie, fișierele de configurare, log-uri… pentru a permite restaurarea SERVICIILOR in caz de probleme și analiza incidentelor atunci cândva fi cazul (sigur va fi);
  • Combinarea mai multor tipuri de back-up pentru diferite tipuri de informații este o alternativă de considerat, de exemplu back-ul frecvent al log-urilor permite obținerea datelor despre tranzacțiile efectuate de la ultimul back-up al datelor (care de multe ori nu se poate face foarte des);
  • Daca datele sunt distribuite sau unele pot fi salvate in dispozitivele clientilor, o metoda de back-up pentru aceasta trebuie luată in considerare.

Alte chestii specifice GDPR

care nu tin neapărat de bune practici generale in dezvolatarea, administrarea și operarea unei aplicatii:

  • Introducerea in aplicație a functiilor ce permit exercitarea drepturilor persoanelor vizate, accesul la informatii (istoricul datelr și tranzactiilor), actualizarea informatiilor, exportul datelor, stergerea datelor- și chiar a contului;
  • Cel mai delicat drept este cel de restrictionare a prelucrării, in care datele trebuie marcate ca restricționate – nu șterse, dar să nu se permita nicio prelucrare. Atentie, accesul la date este o prelucrare. Implementarea drepturilor de acces la date cât mai granular face mai usoara implementarea – datele pentru un anumit client marcat nu vor avea nici dreptul de „view”, permițând doar accesul administratorului pentru taskurile de mentenanță;
  • Pentru a ușura exercitarea drepturilor, sau obținerea consimțământului, acolo unde este nevoie, o metodă ar fi utilizarea unor soluții dedicate, sau introducerea acestora in functionalitățile aplicației, la nivelul customizării preferințelor conturilor, care oricum există în majoritatea aplicațiilor;
  • Un amănunt important este obligativitatea ca retragerea unui consimțământ trebuie să fie la fel de ușoară ca acordarea lui. Pentru aceasta pozitionarea celor două opțiuni în același loc este o metoda bună de a rezolva problema;
  • A nu se uita că toate operațiile de exercitare ale drepturilor clienților, obținerea și retragerea consimțământului, obiecțiile la prelucrare… trebuie să fie salvate pentru a le putea demonstra oricând.

Alte matriale utile

GDPR explicitat (9): Data protection by design and by default – de la Cloudmania

THE CNIL’S GUIDES – 2018 EDITION- SECURITY OF PERSONAL DATA  – de la CNIL –autoritatea Franceză in domeniu ( document în Engleză)

Software development with Data Protection by Design and by Default – de la Datatilsynet

Notă: materialele au fost primite după redactarea articolului, și conțin informații suplimentare utile, ce nu au fost adresate în acest material

Despre autor: Daniel SUCIU este specialist în managementul proceselor, managementul schimbării, managementul riscului, auditul intern, guvernanța și administrarea datelor, dezvoltarea de software, operarea și suportul IT, securitatea informațiilor dar și managementul proiectelor și al echipelor crossfunționale, cu rezultate măsurabile la intersecția sistemelor, tehnologiei, proceselor, oamenilor și datelor. 30 de ani de experiențe de lucru între IT / tehnologie si echipele de business, între clienți, parteneri / furnizori, angajați și conducere. Nu în ultimul rând, certificat ca ofițer cu protecția datelor, fiind implicat în conformarea la GDPR a mai multor organizații, din diferite domenii: învățământ, ONG, turism, medical, servicii IT, afaceri sau comerț online.