Breșe de securitate. UE și România#GDPR

Conferința Naționala Global IT Manager - Securitatea Informației în Era Digitală, ed. 215 Februarie 2019

Despre ASCPD

ASCPD militează pentru îmbunătățirea gradului de conștientizare cu privire la tehnologiile și legile care pun în pericol viață privată, pentru a se asigura că publicul este informat și implicat.

Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) este creată cu scopul de a informa și de a reuni profesioniștii care doresc să gestioneze cu succes punerea în aplicare a Regulamentului General privind Protecția Datelor 2016/679 și a legislației aferente, funcționând ca un organism consultativ profesionist pentru persoane și organizații.

https://ascpd.ro/2

Salut!Numele meu este Adriana Szentgyörgyi

● Membru al Asociației Internaționale a Specialiștilor în Protecția Datelor - IAPPP● Membru al ASOCIAȚIEI SPECIALIȘTILOR ÎN CONFIDENȚIALITATE ȘI PROTECȚIA DATELOR – ASCPD● DPO pentru companii din domeniile Salubritate,

Web Hosting, Ecommerce, Asociații, Sănătate, Asigurari, Travel, Hoteluri● Auditor Intern ISO 27001

3

Agenda1. Despre GDPR și Breșe

a. în UEb. în România

2. Studii ASCPD

#GDPR

5

“"încălcarea securităţii datelor cu caracter personal" înseamnă o încălcare a securităţii care duce, în

mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor

cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la

acestea;

Art 4, alineat 12.

6

Cum este definit în GDPR breșa de securitate

Breșe - exemple

59.0008

Despre Breșe în UE

59.000 breșe raportate în UE

● Din 25 mai 2018, în 23 din 28 tări membre UE

● Olanda, Germania și Uk pe primele locuri

● România, Grecia, Italia la coada clasamentului

Studiu realizat de DLA Piper.

9

Despre Breșe în UE

10

11

Breşa de securitate a afectat clienţii care au făcut rezervări online în perioada 21 august-5 septembrie. Hackerii nu au reuşit să fure datele de paşaport.

Ce a afectat: plata prin card

Când s-a întâmplat: 21 august 2018 - 5 septembrie 2018

Cum s-a întâmplat: Au fost afectate rezervările făcute pe site-ul web al companiei aeriene

12

Datele a 500.000 de utilizatori ai reţelei au fost expuse faţă de unii dezvoltatori externi, din cauza unei breşe de securitate prezente în sisteme de peste doi ani.

13

Ce a fost afectat: informații despre clienți: numere de telefon, adrese de e-mail, numere de pașaport, date de rezervare și numere de cărți de plată și date de expirare.

Când s-a întâmplat: 2014 - septembrie 2018

Cum s-a întâmplat: Hackerii au accesat baza de date Marriott's Starwood, au copiat și au furat informații despre clienți.

14

Ce a afectat: parole criptate și date personale, inclusiv numere de cont, informații de facturare și adrese de e-mail.

Când s-a întâmplat: 20 august 2018

Cum s-a întâmplat: Un grup de hackeri a accesat serverele T-Mobile printr-un API.

T-Mobile ~ 2 million persoane afectate

260 breșe conform studiului DLA PIPERhttps://www.dlapiper.com/en/uk/insights/publications/2019/01/gdpr-data-breach-survey/

Romania

15

16

https://www.digi24.ro/stiri/actualitate/evenimente/spitalul-judetean-bacau-victima-a-unui-atac-cibernetic-de-tip-recompensa-724702

17

pagina oficială a Ministerului Educației - script de minerit criptomonedă

18

Afectati - 30.000 de utilizatori din tara noastra. UBER a primit recent o amenda de 200.000 de LEI pentru un incident de securitate din noiembrie 2016

https://www.idevice.ro/2018/06/20/uber-amenda-mare-romania-motivul/

Amendat in Olanda 600.000 de euro si UK 433.000 de euro

19

https://www.rompetrol.ro/companie/presa/articol/comunicat-privind-un-incident-de-securitate-a-protectiei-datelor-cu-caracter-personal-id-267-cmsid-108

20

https://adevarul.ro/news/bucuresti/bresa-securitate-semafoarele-bucuresti-persoana-intervenit-programarea-semafoarelor-fata-policlinicii-titan-1_5c27d648df52022f7509cf02/index.html?fbclid=IwAR0zkRBR2rApgrz2VbuRFjOum1u5quCFhTSd9yQner_T0_rxAud1jfRUN2c

21

https://www.enel.ro/enel-energie/ro/informare-incident-de-securitate.html

Jumătate dintre companii nu reuşesc să identifice breşele de securitate cibernetice

studiu Kaspersky Lab

● (66%) sunt de acord că ameninţările devin din ce în ce mai complexe52% din ei este din ce în ce mai dificil de stabilit diferenţa dintre atacurile "normale" şi atacurile complexe.

● 2018 - creste cu până la 26% bugetul pentru securitatea cibernetică, ● costul mediu al unei breşe de securitate a datelor 1,23 milioane de dolari ● IMM - de la 24.000 de dolari la 39.000 de dolari, în ultimele 12 luni.

22

23

”Preluând preşedinţia Consiliului UE, multe informaţii vor trece şi prin România. Creşte şi atractivitatea. Informaţia strategică care trece şi priveşte întreaga Uniune Europeană va trece şi pe la noi. Alţi actori strategici şi-au făcut planurile cum să vină şi să exfiltreze această informaţie”,

Anton Rog, şeful centrului Cyberint al SRI

24

Concluzii

România

● Foarte puține companii raporteaza breșele sau le notează în registru de incidente,● Responsabilitatea firava, lipsa de training, lipsa de proceduri● Licente expirate, programe fara licenta, lipsa programelor antivirus● Sisteme de operare depasite moral● Constientizare slaba a problematicii securitatii informatiei● Securitatea cibernetica este perceputa ca un cost fara valoare!● Lipsa acuta de experti in domeniu

Art. 33 GDPR: Obligația de notificare a autorităţii de supraveghere în

cazul încălcării securităţii datelor cu caracter personal

25

Obligație legală

Art. 34 GDPR: Obligația de informare a persoanei vizate cu privire la

încălcarea securităţii datelor cu caracter personal

26

Obligație legală

Studiile noastre

27

1. GDPR în Sănătate2. Lansarea studiului comparativ privind gradul de

conștientizare a importanței datelor cu caracter personal în România și Republica Moldova

Studiile noastre

28

1. Lansarea studiului comparativ privind gradul de conștientizare a importanței datelor cu caracter personal în România și Republica Moldova

29

30

31

32

33

34

35

Știi că poți redirecționa 2% din impozitul pe venit, către ONG-ul preferat, până pe 15 martie 2019?

https://ascpd.ro/redirectionare-2/

Mulțumesc pentru atenție!Adriana Szentgyorgyi CeaușescuContact:● adriana.ceausescu@ascpd.ro● 0744.366.663

36