avocatnet.ro 
Chiar joi, cei de la CERT-RO atenționau cu privire la exploatarea subiectului coronavirus pentru lansarea de campanii frauduloase în mediul online:
"Din cauza pandemiei de Coronavirus (denumit oficial COVID-19), a fost exploatat interesul ridicat al publicului atât față de răspândirea virusului, cât și față de metodele de infecție și prevenire a acestuia. Infractorii din mediul cibernetic profită de contextul creat și lansează campanii de tip scam sau malware, preponderent prin e-mail".
De pildă, arătau zilele trecute cei de la Fast Company, se trimit emailuri în care angajații sunt invitați să contribuie la fonduri de ajutorare pentru coronavirus, inclusiv pentru propria companie, care nu sunt altceva decât înșelătorii - banii se duc în conturile personale ale infractorilor cibernetici. Problema este că, la prima vedere, emailul pare că a venit de pe adresa companiei sau a cuiva din companie ori a unei persoane cunoscute (prieteni, membri de familie etc.). Specialiștii recomandă maximă prudență: interesați-vă înainte să trimiteți bani!
Similar, doar că nu pentru a obține bani ci date personale, oamenii sunt păcăliți, tot cu adrese de email înșelătoare sau sub umbrela oferirii unor informații "exclusive" sau extrem de importante despre coronavirus, să ajungă pe pagini web unde sunt expuși furtului de date. Exemplu: angajatul primește un email prin care e invitat să se autentifice din nou cu datele sale din firmă, dar datele ajung la un terț - nu exista, de fapt, nicio problemă de delogare, ci o tentativă de furt de date.
Coronavirusul ar putea fi acel pas decisiv în convingerea managementului companiei și, în final, a angajaților de importanța unor măsuri precum autentificarea în doi pași, spun specialiștii citați de Fast Company.
"Oamenii aud cuvântul coronavirus și devin imediat mai neliniștiți. Atacatorii știu treaba asta și se folosesc de inginerii sociale pentru a profita de temerile și vulnerabilitățile oamenilor", spune Ann Johnson, vicepreședinte al Grupului de Soluții de Securitate Cibernetică din cadrul companiei Microsoft.
În România, de pildă, contabilii menționează adesea tot felul de scamatorii prin care se încearcă furtul de date sau stoarcerea de sume de bani, uneori destul de mari: facturi proforme de la entități-fantomă, încercări de intimidare inclusiv cu privire la posibile încălcări ale legislației de protecția datelor, emailuri care par că vin de la firmele pentru care lucrează prin care li se cer transferuri de bani ș.a.
Breșele de securitate a datelor: starea de urgență nu justifică amânarea notificării lor
Notificarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu privire la incidentele de securitate este obligatorie conform Regulamentului european privind protecția datelor (GDPR) - se face în maximum 72 de ore de la data la care firma află că a fost victima unui astfel de incident. Din fericire, ea se poate face online. ANSPDCP are pe site-ul său un formular pentru notificarea incidentelor de securitate, disponibil aici. Chiar dacă avem instituită o stare de urgență, care vine cu multiple limitări ale drepturilor noastre, datoria de a aduce la cunoștința Autorității breșele de securitate este imperativă și subzistă în continuare. În sens larg, protecția datelor personale rămâne, în continuare, un imperativ.
Incidentul de securitate expune, într-o mai mare sau mai mică măsură, date personale. Expunerea nedorită a unor date bancare, de pildă, poate avea consecințe extrem de grave. Însă în nicio situație, oricare ar fi tipurile de date expuse, incidentul nu trebuie ascuns sau trecut cu vederea.
Redacția avocatnet.ro a tratat de mai multe ori subiectul breșelor de securitate (toate materialele, aici). Importanța instruirii angajaților în respectarea protecției datelor personale a fost subliniată de mai multe ori și au existat deja și în România sancțiuni impuse companiilor din cauza neglijenței angajaților în lucrul cu datele personale - un exemplu, în acest material.
Nu amestecați munca cu chestiunile personale pe același laptop
"Angajaților le este recomandat pe cât posibil să nu amestece activitățile de muncă cu cele de divertisment și timp liber pe același dispozitiv și să fie deosebit de atenți la orice e-mail care face referire la coronavirus. Atacatorii exploatează situația prin tot felul de e-mailuri și escrocherii", sugerează și Ana Sebov, Forensic Leader, și Roxana Prisăcaru, Forensic Senior Manager la PwC România.
O altă metodă de phishing este și specularea nevoii de a cumpăra tot felul de echipamente de protecție medicale - emailuri, mesaje și apeluri telefonice prin care sunt anunțate site-uri de unde se pot cumpăra măști de protecție, dezinfectanți ș.a.m.d. Angajații care lucrează de acasă nu ar trebui să dea curs acestor oferte și să deschidă site-uri cu astfel de produse de pe laptopul de muncă sau folosind credențialele de muncă.
"Ca angajator, ai cărui angajați lucrează de acasă, este vital să luați câteva măsuri pentru a vă proteja datele și operațiunile în spațiul cibernetic:
- Stabiliți proceduri clare cu privire la munca de acasă.
- Informați/instruiți angajații sa fie vigilenți la posibile atacuri sociale și cibernetice. Pentru eficiență, informarea trebuie să conțină și exemple practice ale acestor tipuri de atacuri.
- Oferiți soluții de acces eficiente și securizate la sistemele interne, și asigurați suportul tehnic în caz de nevoie.
- Asigurați un protocol solid ce trebuie urmat în cazul unui incident cibernetic.
- Verificați că software-ul folosit este actualizat și că schimbările în infrastructura IT aferente lucrului de acasă nu cresc riscul unui atac cibernetic.
- Folosiți semnăturile electronice în favoarea celor fizice pentru documentele oficiale. Angajații care lucrează de acasă trebuie să verifice că rețeaua Wi-Fi la care sunt conectați este bine securizată. Altfel, riscați ca integritatea datelor transmise să fie compromisă.
- Angajații care lucrează de acasă sunt încurajați să ia măsuri de confidențialitate și să blocheze laptop-ul atunci când se ridică de la birou", spun specialistele PwC România.
O serie de recomandări tehnice pentru securizarea pe cât posibil a muncii de acasă au făcut recent și specialiștii Deloitte, în acest material.
Pentru binele nostru și al celor din jur, e important să evităm cât mai mult deplasările în această perioadă. Noi, avocatnet.ro, îți venim în ajutor cu campania România online, unde te informăm zilnic despre toate lucrurile pe care le poți rezolva online în relația cu statul, fără să te mai duci la ghișeele autorităților. În acest fel, tu îți poți continua activitatea cât mai aproape de normal chiar și în aceste zile, dar te poți feri în același timp de riscuri, protejându-i, prin asta, și pe ceilalți membri ai comunității tale.
Urmărește campania noastră aici, inventariem rând pe rând toate serviciile și procedurile la care ai acces direct din fața calculatorului, ca cetățean sau ca firmă.
Dacă știi și alte autorități care lucrează online sau dacă ești o instituție care lucrează online, trimite-ne un e-mail la redactie(@)avocatnet.ro și o să te ajutăm la răspândirea informațiilor, astfel încât să ajungă la cât mai mulți oameni care ar putea beneficia de ele.
Haiduc00647 
BX