SOLUȚII ESET DE ASIGURARE A CONFORMITĂȚII GDPR

Cu ocazia evenimentului GDPR Talks din 21 mai 2019, Cătălin GLIGAN Marketing Coordinator la ESET Romania (Axel Soft IT Group) a susținut o prezentare despre modul în care soluțiile de criptare și DLP oferite de ESET pot ajuta companiile în asigurarea unui nivel optim de conformitate privitoare la protecția datelor personale.

Catalin Gligan

În deschiderea prezentării au fost subliniate câteva dintre rezultatele unui studiu de piață realizat de IDC la solicitarea ESET. Studiul, care a vizat peste 700 de organizații din 7 țări relevă faptul că amenințările legate de securitatea datelor sunt principalele cauze ce determină breșe la nivelul securității datelor personale. Conform studiului, peste 300.000 de atacuri malițioase sunt semnalate zilnic, 40% din companiile chestionate au suferit cel puțin o breșă de date, iar 67% au raportat costuri asociate breșelor de peste 10.000 Euro

Printre cele mai serioase amenințări generate de breșele de date trebuie luate în considerație: costurile asociate atacurilor malware, pierderea datelor despre clienți, diminuarea încrederii clienților, indisponibilitatea site-ului Web, pierderea capacității operaționale și în cele din urmă pierderea clienților.

Compania ESET oferă un larg spectru de soluții de Securitate deosebit de utile în asigurarea conformității GDPR, printre care soluții pentru securizarea prin criptarea datelor, pentru autentificare securizată, precum și pentru prevenirea scurgerilor de date.

Cea mai veche măsură de precauție: criptarea datelor senzitive

Criptarea este una dintre măsurile de asigurare a integrității datelor recomandată de GDPR prin conceptul Privacy by Design și by Default. În Art.25., Alin.1 – Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit se arată că: ”Având în vedere stadiul actual al tehnologiei, costurile implementării, şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.” Totodată, operatorul trebuie să pună în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligaţie se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilităţii lor.

Mai mult de atât, în Art. 32, Alin.1 – Securitatea prelucrării se precizează: ”(…) operatorul şi procesatorul implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător (…), incluzând printre altele, după caz:

  1. pseudonimizarea şi criptarea datelor cu caracter personal;
  2. capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
  3. capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
  4. un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării. (…)”

Tehnologia este un mijloc stabilit de protejare a informațiilor vulnerabile în caz de furt sau de  pierdere. GDPR face referire de asemenea la necesitatea existenței unor planuri eficiente de restaurare în caz de dezastru, la proceduri de recuperare a parolei și de gestionare a cheilor.

Unul dintre principiile cheie al GDPR este asigurarea securității corespunzătoare a datelor cu caracter personal. Criptarea este considerată o măsură tehnică adecvată pentru a realiza acest lucru. În cazul în care criptarea este utilizată ca o măsură tehnică, ea trebuie să fie însoțită de posibilitatea restabilirii datelor imediat după un incident, iar înregistrările trebuie să fie păstrate pentru a dovedi permanent că sistemele sunt sigure și recuperabile.

Criptare de text și de clipboardpentru orice client de e-mail, inclusiv web-mail

Dintre toate aceste recomandări, tehnologia de criptare este un mijloc simplu, stabil și solid de asigurare a acestor măsuri tehnice și organizatorice adecvate. Criptarea datelor sensibile din sistemele companiilor care colectează astfel de date poate ajuta la îndeplinirea multor cerințe esențiale din GDPR. Soluția ESET Endpoint Encryption este simplu de instalat și poate cripta în condiții de siguranță diferite tipuri de medii sau fișiere. ESET Endpoint Encryption permite îndeplinirea obligațiilor privind securitatea datelor, prin implementarea facilă a unei politici de criptare, păstrând în același timp o productivitate ridicată. Cu un consum redus de resurse și cicluri de desfășurare scurte, soluția se distinge prin flexibilitate și ușurință în utilizare.

Soluția Endpoint Encryption asigură:

  • Criptare simplă și puternică (full disk, partiție, folder, fișier, email) pentru organizațiile de toate dimensiunile, criptând în siguranță fișierele de pe hard disk-uri, dispozitivele portabile și documentele trimise prin e-mail
  • Certificare: criptare FIPS 140-2 cu validare 256 bit AES;
  • Server de management hibrid bazat pe cloud pentru un control complet de la distanță a cheilor de criptare endpoint și a politicii de securitate;
  • Suport extins pentru Windows 10, 8, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS. La nivel de client este necesară o interacțiune minimă cu utilizatorul, securizarea datelor companiei fiind posibilă prin instalarea unui singur pachet MSI. La nivel de server se asigură administrarea avansată, în grupuri, a utilizatorilor și a stațiilor de lucru și se extinde protecția companiei dincolo de rețeaua proprie.

Una dintre noutățile noului Regulament UE 679/2016 este introducerea obligativității notificărilor către Autoritatea de Supraveghere a oricărei  încălcări a securității datelor cu caracter personal, nu mai târziu de 72 de ore după ce organizația în cauză devine conștientă de breșa respectivă. În plus, atunci când încălcarea securității datelor poate duce la un risc ridicat în privința drepturilor și libertăților persoanelor fizice, operatorul de date personale este obligat să comunice apariția breșei către persoana vizată, fără întârzieri nejustificate.

Dar e bine să ținem cont de faptul  că nu este necesară notificarea breșelor dacă operatorul a pus în aplicare măsuri tehnice de protecție și de organizare adecvate, iar aceste măsuri au fost aplicate în prealabil datelor afectate în urma breșei, în special măsuri prin care datele personale scurse să nu poată fi accesate de persoane neautorizate, cum ar fi criptarea.

Criptarea este considerată fără dubiu o garanție suficientă pentru a exclude aceste riscuri și consecințele implicite pentru reputația corporativă. Soluția ESET Enpoint Encryption este disponibilă pentru descărcare în versiune de evaluare (trial) pe http://www.eset.ro, alături de multe informații utile care analizează în detaliu cerințele GDPR și modul în care acestea sunt acoperite de soluția de criptare ESET.

Securizarea autentificării

One Time Password – Two Factor Authentification.

Una dintre marile probleme ale politicilor interne de Securitate IT este respectarea unor reguli foarte stricte de stabilire și utilizare a parolelor. Multe dintre vulnerabilitățile de securitate care apar într-o organizație, de natură internă sau externă, se datorează folosirii unor parole slabe, păstrarea aceleiași parole pe o perioadă foarte mare de timp sau utilizarea aceleiași parole pentru mai multe conturi de utilizator. ESET oferă o soluție dedicată pentru securizarea autentificării prin validarea identității utilizatorilor cu One Time Password – Two Factor Authentification.

Soluția rezolvă problema:

  • Parolelor ușor de prezis sau sustras
  • Parolelor statice care pot fi interceptate
  • Parolelor simple care nu conțin combinații aleatoare
  • Reutilizării parolelor conturilor din companie pentru conturi private
  • Parolelor care conțin informații legate de utilizator (data de naștere, nume)
  • Variațiilor simple prin care sunt derivate noi parole, ex: “mihai1”, “mihai2”, etc.

Prevenirea pierderilor de date

Safetica DLP

Soluția ESET care contribuie la asigurarea conformității GDPR prin prevenirea pierderilor de date se numește Safetica –DLP. Soluția urmărește traseul documentelor sensibile: cine le deschide și cum sunt gestionate, oferind și un ghid de utilizare al documentelor bazat pe reguli clare pentru persoanele care pot opera cu date sensibile. Iată câteva dintre avantajele oferite:

  • Găsește fișiere greșite – Împiedică pătrunderea unor fișiere importante în a intra pe mâini greșite,  în interiorul sau în afara unei organizații, și avertizează managementul față de potențialele pericole.
  • Detectează atacurile – Safetica identifică atacurile de tip social engineering și încercările de șantaj în etapele inițiale, împiedicându-le să dăuneze companiei dvs.
  • Criptează datele pentru a preveni utilizarea greșită – Datele importante sunt protejate chiar dacă laptopurile sau unitățile de memorie externă sunt pierdute sau furate. Întregul disc sau fișierele selectate rămân criptate și greu de citit.
  • Gestionează resursele – Safetica controlează utilizarea imprimantei, aplicațiile și limitează activitățile online excesive. Ea identifică schimbările în productivitate pentru a descoperi tendințele potențial periculoase în timp util.

Totodată, Safetica – DLP asigură:

Soluție DLP completă – prin capacitatea de prevenire a pierderilor de date, Safetica acoperă o gamă largă de evenimente și domenii, ajutând organizația să prevină incidentele nedorite.

Raportarea și blocarea activităților – Raportează toate operațiile de fișiere, tendințele pe termen lung, fluctuațiile pe termen scurt în activitate, toate site-urile Web, e-mailurile și webmail-urile, mesageria instantanee, imprimantele, activitatea pe ecran și keylogging-ul.

Litigii și zone de prevenire a pierderilor de date – Extinde la toate unitățile de hard disk, transferul de fișiere în rețea, e-mailuri, SSL / HTTPS, imprimante, Bluetooth, cititoare și înregistratoare CD / DVD / BluRay, controlul accesului la fișierele aplicației și detectarea și restricționarea discurilor în Cloud. Versiuni Safedica DLP sunt disponibile pentru Safetica Endpoint Client, Safetica Management Services & SQL database, Safetica Management Console și WebSafetica

Concluzionând, soluția Safetica oferă organizațiilor o experiență DLP completă care acoperă o gamă largă de funcții de securitate pentru amenințările care provin dintr-o sursă comună – factorul uman. Safetica previne scurgerile de date accidentale, demascând acțiunile rău intenționate, problemele de productivitate, pericolele BYOD și shadow IT. Mai mult, filosofia de securitate este bazată pe trei atuuri majore: caracterul complet, flexibilitate și ușurința de utilizare.

Advertisements

GDPR Explicitat (13): Notificarea breșelor de securitate

Articol publicat pe siteul cloud☁mania în data de  13 Decembrie  2017. Autor: Radu Crahmaliuc

Continuăm seria de articole dedicate analizei orizontale a prevederilor GDPR cu o problematică esențială pentru GDPR. Am constatat sau am fost anunțați că în sistemul nostru în care deținem date cu caracter personal a apărut o breșă de securitate. Ce avem de făcut mai întâi și mai întâi? Pe cine trebuie să anunțăm, când și cum? Ce măsuri trebuie să luam pentru limitarea eventualelor daune?

Sunt câteva întrebări foarte importante pentru luarea primelor măsuri. Haideți să vedem despre ce e vorba.

 Cum notificăm apariția unei breșe de securitate?

Creșterea numărului mare de atacuri cibernetice se reflectă în obligațiile sporite privind securitatea datelor în regulament și în obligațiile paralele, precum cele conținute de Directiva privind securitatea rețelelor informatice și a datelor (Networks and Information Security – NIS).

Conform Articolului 33 din GDPR va fi obligatoriu ca o organizație cu rol de operator să raporteze autorității sale de supraveghere orice breșă de securitate a datelor personale în termen de 72 de ore de la conștientizarea acesteia. Dacă această cerință nu este îndeplinită, raportul final trebuie însoțit de o explicație a întârzierii. Notificarea trebuie să includă informații specifice, inclusiv o descriere a măsurilor luate pentru a soluționa breșa și pentru a atenua posibilele efecte secundare.

În cazul în care breșa poate avea ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice, indivizii înșiși trebuie să fie contactați „fără întârzieri nejustificate”. Acest contact nu va fi necesar dacă există măsuri de protecție adecvate – în esență, criptare – pentru a elimina pericolul pentru persoanele vizate.

În Articolul 33 – Notificarea unei încălcări a datelor cu caracter personal către autoritatea de supraveghere, se specifică foarte clar că:

  • Raportarea în situația apariției unor breșe de securitate este obligatorie pentru orice operator de date personale;
  • Operatorii trebuie să raporteze către autorităților de supraveghere competente orice încălcare a condițiilor de siguranță fără întârzieri nejustificate;
  • Dacă este posibil, nu mai târziu de 72 de ore de la prima conștientizare;
  • Dacă raportarea nu este făcută în termen de 72 de ore, trebuie furnizată o justificare a întârzierii;
  • Nu este necesară notificarea cazurilor în care încălcarea este «puțin probabil să ducă la un risc pentru drepturile și libertățile» persoanelor vizate;
  • Dacă breșa de securitate este constatată de către un procesator de date, acesta trebuie să notifice operatorul cu care colaborează fără întârzieri nejustificate.

Ce informații trebuie să conțină notificarea unei breșe de securitate?

Elementele esențiale care trebuie să se regăsească într-o notificare se referă la:

  • natura încălcării datelor cu caracter personal;
  • categoriile și numărul aproximativ al persoanelor implicate;
  • categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
  • numele și datele de contact ale responsabilului cu protecția datelor (în cazul în care organizația dvs. dispune de unul) sau orice alt punct de contact de unde pot fi obținute mai multe informații;
  • descriere a consecințelor probabile ale încălcării datelor cu caracter personal;
  • descriere a măsurilor luate sau propuse a fi luate pentru a face față încălcării datelor cu caracter personal dacă este cazul, o descriere a măsurilor luate pentru a atenua eventualele efecte adverse.

Ce trebuie să pregătim pentru raportarea breșelor?

Nimeni nu își dorește asta, dar o bună pregătire pentru situațiile de urgență implică și stabilirea clară a responsabilităților și procedurilor de urmat. Cum vă puteți pregăti mai bine pentru raportarea încălcărilor de securitate?

  • În primul rând ar trebui să vă asigurați că personalul dvs. înțelege ce reprezintă o încălcare a datelor și că aceasta este mai mult decât o pierdere de date cu caracter personal;
  • Apoi, ar trebui să vă asigurați că aveți o procedură de raportare internă a breșelor. Acest lucru va facilita luarea deciziilor cu privire la necesitatea notificării autorității de supraveghere sau a persoanelor vizate;
  • Nu în ultimul rând, având în vedere perioadele scurte de timp pentru raportarea unei breșe, este important să existe proceduri robuste de detectare a incidentului, investigații și proceduri de raportare internă.

Când nu suntem obligați să notificăm persoanele vizate?

În Articolul 34: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal, Alineatul 3 regulamentul stipulează că informarea persoanei vizate nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii:

  • operatorul a implementat măsuri de protecţie tehnice şi organizatorice adecvate, iar acestea au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
  • operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile şi libertățile persoanelor vizate nu mai este susceptibil să se materializeze;
  • informarea ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.

Ghidul recomandărilor legate de anunțarea breșelor de Securitate

De pe site-ul oficial al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate fi descărcat Ghidul privind notificarea încălcărilor de securitate”, un instrument deosebit de util în implementarea condițiilor impuse de GDPR elaborate de Grupul de Lucru Articolul 29.

Tot de pe site-ul Autorității Naționale pot fi accesate și consultate formularele utilizate deja în notificarea breșelor de securitate conform legislației actuale.

Dacă nu este soluţionată la timp şi într-un mod adecvat, o încălcare a securităţii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză.