İki hafta önce, İspanya Veri Koruma Ajansı (AEPD), 2018’de uğradığı bir siber saldırı nedeniyle Air Europa’ya 600.000 avro para cezası verdi. müşterilerinin kişisel ve bankacılık bilgilerinin çalındığı. Ve yine de ucuzdu, çünkü 2020’de İngiliz yetkililer aynı nedenlerle Marriot Hotels’e 20.5 milyon euro ve British Airways’e 22 milyon euro yaptırım uyguladı.
Bir şirketin bir siber saldırıya maruz kaldıktan sonra Organik Veri Koruma Yasası (LOPD) tarafından yaptırıma maruz kalabileceği durumlar yaygın değildir, ancak bunlar olabilir. AEPD, Xataka’ya, her türlü kişisel veriyi tehlikeye atan saldırılar hakkında şirketlerden aldıkları toplam bildirim sayısını açıklar, olası bir yaptırım prosedürünü başlatmak için sadece %10’u araştırılıyor ve para cezasıyla sonuçlananların yüzdesi daha da düşük.
Bir siber saldırının para cezasıyla sonuçlanabileceği durumlar sadece iki: Mağdur olan şirketin, haberdar olduğu tarihten itibaren en fazla 72 saat içinde yönetmelikle belirlenen süre içinde bildirimde bulunmaması veya şirket kriterlerine göre uygun önlemleri almamış olması, sunucularında barındırılan kişisel verilerin çalınması.
“Teşkilat sizden onlara ne olduğunu ve saldırıyı nasıl durdurduğunuzu söylemenizi istiyor.ve ardından daha fazla veri kullanılabilir hale geldikçe bu bilgilerin uzantıları yapılır, ”diyor siber güvenlik şirketi Áudea’nın yasal yöneticisi Johanna Álvarez.
Bu nedenle yetkililerin amacı, güvenliği ihlal edilmiş olabilecek verilerin, etkilenenler için siber saldırının kapsamının farkında olmak ve kuruluşun veri hırsızlığını veya sızmasını önlemek için mümkün olan her şeyi yapmasını sağlamaktır. . bu kişisel bilgiler. Ancak şirketin normda belirlenenlere uygun olarak yapması gerekeni yapmadığı sonucuna varırsa yaptırım sürecini başlatır..
Air Europe vakası
Air Europa örneği paradigmatik çünkü yaptırım uygulanabileceği iki varsayıma uymadı: saldırıyı gerçekleştikten 41 gün sonra bildirdi, bunun için 100.000 avro para cezasına çarptırıldı ve siber güvenlik önlemleri sunucularını savunmak için yeterli değildi, bu nedenle AEPD’nin kriterlerine göre, kişisel verilerini korumak için mümkün olan her şeyi yapmadı. müvekkilleri, ona 500.000 avroluk bir para cezasına mal oldu.
Siber saldırı iletişiminde gecikme İspanyol Veri Koruma Ajansının bir şirkete yaptırım uygulayabilmesinin en yaygın nedeni budur., Xataka’nın danıştığı uzmanlara göre. Bu tür durumlarda nasıl hareket edileceğine dair bilgi eksikliği veya meydana gelmesi durumunda bu kritik durumla başa çıkmak için önceden oluşturulmuş bir protokolün olmaması genellikle bu gecikmelerin arkasındadır.
“Şirket, bir güvenlik ihlali durumunda kimin ve hangi eylemlerin gerçekleştirileceğini belirlemelidir. Olduğunda, veri sorumlusu eylem planını uygulamalıdırAEPD’den açıklıyor, açığı çözmesine ve bununla ilgili tüm bilgileri toplamasına izin veren görevleri belirtiyor.
Bu iletişimi gerçekleştirmek için ajansın web sitesinde, kişisel verilerin işlenmesinden sorumlu herhangi bir kuruluş veya kişinin kullandığı Comunica-Brecha RGPD aracı vardır. Kişisel verileri etkileyen sistemlerinizdeki bir güvenlik ihlalini bildirebilirsiniz..
Bu iletişim için şirketten sorumlu kişinin bilgi toplamak ihlalin nasıl meydana geldiği hakkında -bir cihazın kaybolması veya çalınması, fidye yazılımı saldırısı, kimlik avı vb.-, kaynağının dahili veya harici olup olmadığı, kazara veya kasıtlı bir saldırı nedeniyle olup olmadığı, etkilenen veri hacmi, kategori bu -iletişim bilgileri gibi temel veriler veya sağlıkla ilgili bilgiler gibi özel veriler-, etkilenen kişilerin kategorisi -müşteriler, çalışanlar, hastalar, öğrenciler…- ve ihlalin zaman sırası: ne zaman başladığı, ne zaman tespit edildi ve ne zaman çözüldüğü veya çözülmesinin planlandığı.
Ancak, tüm güvenlik ihlallerinin AEPD’ye bildirilmesi zorunlu değildir, sadece verilerinin sızdırılması veya çalınması nedeniyle gerçek kişilerin hak ve özgürlükleri için risk oluşturanlar. Bu gibi durumlarda kuruma bilgi verilip verilmeyeceğini değerlendirecek kişi, kurumun verilerinin işlenmesi için oluşturduğu sorumlu kişi olacaktır.
{«videoId»:»x7ztx9j»,»autoplay»:true,»title»:»Fidye yazılımının ne olduğu, nasıl bulaştığı ve kendinizi nasıl koruyacağınız»}
Doğru Önlemler
Öte yandan, bir kuruluş herhangi bir türde kişisel verinin ele geçirildiği bir siber saldırı alırsa ve İspanyol Veri Koruma Kurumu soruşturma başlatırsa, kuruluştan sorumlu olanlar uygun önleyici tedbirleri aldıklarını gösterebilmelidirler. boşluktan kaçınmak için.
“Ajans, önleyici güvenlik önlemlerinin uygulanmasını ve bunları akredite etmenin bir yolunun olmasını istiyor. periyodik denetim raporları, güvenlik önlemlerine uyum, yıllık risk analizivb.”, diye açıklıyor Álvarez.
Bu belgeler eklenebilir veyakoruma seviyesinin yeterli olduğunu gösteren kanıtlardan sonraFirmanın hiç bu türden bir saldırı almamış olması, dakik bir saldırı olması ya da sektördeki birçok firmayı tehlikeye atmış olması gibi, kimsenin hazırlıklı olmadığı bir şey olduğunu gösterecektir.
Şirketin önleyici tedbirler aldığını kanıtlamanın bir başka yolu, çalışanları için yılda en az bir kez siber güvenlik ve kişisel verilerin işlenmesi konusunda ücretsiz eğitimsiber suçluların kimlik avı gibi şekillerdeki saldırılarını önlemeye yardımcı olabilir.
Son olarak, Áudea’nın hukuk yöneticisi, kendisinin de çalışanların bir siber saldırı durumunda ne yapacaklarını bilmeleri önemlidir: “Şirkette çok iyi kurulmuş bir prosedürün olması önemlidir, böylece herkes böyle bir şey olursa ne yapılması gerektiğini bilir, çünkü zaman daralıyor”.
Mapfre onaylanmadı
Mapfre, siber saldırıya uğrayan ve rapor eden tüm şirketlerin yaptırım uygulanmadığı örneklerden biridir. Geçen Ağustos 2020, sigortacı siber suçlular tarafından saldırıya uğradı ve müşterilerinin kişisel verileri tehlikeye girebilir. Ancak, şirket ihlalin etkisini en aza indirmek için önleyici tedbirler aldıAEPD’nin soruşturmayı başlatmasına ve yaptırım yapmamasına neden oldu.
“Prosedür kararında detaylandırıldığı üzere şirket, saldırı öncesinde oluşturduğu protokollere ve iş sürekliliği planlarına uygun hareket etmiştir,sonuçları azaltmaya ve kötü amaçlı yazılımın yayılmasını önlemeye izin verildisonunda onu tanımlayabilmek, izole edebilmek ve ortadan kaldırabilmek. Ayrıca siber saldırıyı INCIBE’ye (Ulusal Siber Güvenlik Enstitüsü) ve CCN – CERT’ye (Ulusal Kriptoloji Merkezi) bildirdi ve web sitesinde kendisi hakkında bilgi yayınladı ”diyor Tecnogados’tan gizlilik ve yeni teknolojiler konusunda uzmanlaşmış bir avukat olan Xataka Juan Carlos Fernández ofis..
Sözü edilen kararda, “incelenen varlığın olası tahmini risklere dayalı olarak makul güvenlik önlemleri aldığı”, “sızıntı girişimleri tespit edildiğinden ve önlendiğinden, siber saldırı gerçekleştirme hızıyla birlikte etkinin neredeyse sıfır olduğu” belirtiliyor. kamu, müşterilerin etkin eylemine izin verdi” ve “biliniyor ki bu tür bir olayı önlemek için makul teknik ve organizasyonel önlemler aldıkişisel verilerin güvenlik ihlalinin hızlı bir şekilde tanımlanmasına, analiz edilmesine ve sınıflandırılmasına izin veren ”.
Yukarıda belirtilen tüm nedenlerle AEPD, Mapfre’nin “temkinli ve mevzuata uygun” sistemlerinde işlediği kişisel verilerin korunmasında.
Resim 1 | Christiaan Colen
– Haberler Bir saldırıya maruz kaldığında iki kat pahalıdır: bu durumlarda bir siber saldırı Veri Koruma Ajansı tarafından para cezasıyla sonuçlanabilir. aslen yayınlandı Xataka Pablo Rodriguez’in fotoğrafı.
Orijinal kaynağı kontrol edin
Bunu severim:
Yükleniyor…
