Propunerea de ghid cu exemple practice pentru identificarea și abordarea incidentelor de securitate care afectează datele personale, publicată de EDPB, ajută companiile să prevină și să gestioneze incidentele de securitate a datelor.
Un document, publicat recent de către Comitetul European pentru Protecția Datelor, este foarte util mai ales organizațiile care prelucrează date. Fiind operatori de date, firmele trebuie să raporteze în termen de 72 de ore incidentele care presupun riscuri la adresa persoanelor vizate.
Ghidul abordează câteva tipuri de incidente ce pot afecta firmele care prelucrează date atât pentru clienți, cât și pentru parteneri și angajați:
-
Diferite tipuri de atacuri ransomware
Ransomware este un tip de malware care criptează fișierele cu date din calculatoarele infectate. Odată infectate, datele nu mai pot fi recuperate sub nici o formă. Cei care creează atacuri cibernetice de tip ransomware solicită, de obicei, recompense (ransom) în bitcoins (criptomonede) pentru emiterea unor chei de decriptare a datelor. Modalitățile de infectare sunt variate, de la atașamente de tip document primite prin email, până la pagini web atacate și infectate.
-
Exfiltrarea datelor
Exfiltrarea sau extragerea datelor DNS presupune utilizarea solicitărilor DNS pentru a cripta și a transmite informații confidențiale în afara organizațiilor. Tipurile de date vizate variază de la numerele cardurilor de credit, datele de conectare ale utilizatorilor, numere de securitate socială sau alte tipuri de date sensibile. În general, hackerii criptează datele și apoi vând sau închiriază informațiile către alte organizații. Datele pot fi folosite în continuare și pentru lansarea altor atacuri.
-
Incidente cauzate de oameni din organizație
Există situații când angajații unei companii pot cauza, voit sau neintenționat, incidente de securitate care pot periclita activitatea întregii firme. Aceste tipuri de incidente pot varia de la emailuri trimise altora decât persoanelor vizate, documente cu date personale lăsate la vedere ce pot fi văzute sau fotografiate de alte persoane sau chiar furt intenționat de date ale colegilor, clienților sau ale firmei. În general, aceste tipuri de incidente pot fi evitate prin stabilirea unor proceduri în care sunt specificate metodele de prelucrare, gestionare și stocare a datelor cu caracter sensibil.
-
Furtul sau pierderea dispozitivelor și a documentelor pe hârtie
În cazul pierderii sau furtului de dispozitive și documente, persoane neautorizate pot intra în posesia anumitor informații și date confidențiale. Aceste situații pot fi evitate prin distrugerea documentelor tipărite după ce acestea nu mai sunt necesare și prin folosirea unor parole puternice pentru dispozitivele electronice.
-
Furtul de identitate
Furtul de identitate este un fenomen care presupune căutarea informațiilor personale despre alții, în scopul de a le valorifica ulterior. Valorificarea se poate face sub diferite forme, de la schimbarea adreselor de facturare, anularea permisului de conducere sau chiar obținerea unui împrumut online.
Comitetul European pentru Protecția Datelor abordează toate aceste tipuri de incidente într-un ghid care poate ajuta companiile să le evite.