Incidentele de securitate de tip ransomware - cum își dau seama firmele și alți operatori de obligațiile ce le revin imediat atacului

GDPR prevede că o încălcare a securității datelor este o întâmplare ce duce, accidental ori ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată a datelor personale sau la accesul neautorizat la acestea. Însă un incident nu implică întotdeauna intervenția unui factor extern firmei. Companiile care prelucrează date personale sunt obligate să documenteze toate incidentele de securitate apărute în activitatea lor de zi cu zi, ce efecte a avut breșa de securitate și ce măsuri au fost luate pentru a rezolva problemele. 

Într-un ghid publicat în ianuarie, Comitetul European pentru Protecția Datelor (EDPB) își propune să clarifice situațiile cel mai des întâlnite în care pot avea loc breșe de securitate și în urma cărora firmele trebuie să notifice autoritățile de protecție a datelor și, eventual, persoanele prejudiciate în urma incidentului. Unul dintre capitole, chiar primul în analiza EDPB, este dedicat atacurilor de tip ransomware. 

Câteva aspecte de reținut înainte de a continua discuția:

1. Nu toate breșele de securitate trebuie aduse la cunoștința ANSPDCP (Autoritatea română de protecția datelor) și doar în anumite cazuri se fac notificări către persoanele ale căror date au fost divulgate. 
   
   
2. EDPB descrie în ghidul său trei tipuri de breșe de securitate: breșe de confidențialitate - când are loc un acces neautorizat sau o divulgare neautorizată a unor date personale; breșe de integritate - care presupun modificarea neautorizată sau accidentală a datelor personale; breșe de disponibilitate - care presupun pierderea accesului sau chiar pierderea unor date; din nou, dacă vorbim de situații în care acest lucru nu e autorizat sau are loc din greșeală. Un incident poate întruni caracteristicile mai multor tipuri de breșe, desigur, nu doar ale uneia.

Util: Șapte pași prin care companiile își pot spori protecția datelor și a informațiilor fiscale

Specific atacurilor de tip ransomware, potrivit ghidului EDPB, e că intervenția este întotdeauna externă și presupune, în termeni foarte simpli, blocarea accesului la anumite date pentru care, ca să recâștige accesul, operatorul trebuie să plătească ceea ce-i cere atacatorul. Ca breșă este încadrată ca una de disponibilitate, dar poate întruni și caracteristicile uneia de confidențialitate, dacă are loc accesul neautorizat sau divulgarea datelor personale criptate de atacator.

„Ca reacție la răspunsurile la COVID-19 și la schimbările comportamentale ulterioare, multe organizații au comprimat ani de transformare digitală în doar câteva luni, ceea le-a modificat profilul de risc în materie de securitate cibernetică. 

Hackerii nu au pierdut timpul, exploatând la maxim vectorii noi de atac care au apărut odată cu creșterea numărului de conexiuni, dispozitive, aplicații și date. Cel puțin jumătate dintre organizații la nivel global au raportat că au fost ”lovite” de programe malware prin actualizări de software, atacuri asupra lanțului de aprovizionare cu software și compromiterea e-mailurilor de afaceri. 

De asemenea, cererile de ransomware – și plățile – sunt în creștere. Atacatorii cer de obicei o sumă pentru a furniza o cheie digitală pentru a debloca fișierele și serverele pe care le-au criptat și o răscumpărare separată pentru a nu distribui datele pe care le-au furat. În 2020, cea mai mare răscumpărare se dublase față de anul anterior, ajungând la 10 milioane de dolari, record doborât rapid în martie 2021, când a ajuns 40 de milioane de dolari”, scriu cei de la PwC într-o recentă informare privind securitatea cibernetică.

Ghidul EDPB este extrem de util operatorilor de date, firme și alte entități private sau publice, pentru că, pornind de la exemple concrete, ajută la înțelegerea obligațiilor pe care le are operatorul prin raportare la GDPR, respectiv să răspundă la întrebările:

• Trebuie să notific ANSPDCP? Dar persoanele vizate?
• Ce și cum trebuie să documentez la nivel intern?

EDPB separă cazurile de ransomware pornind de la două criterii importante: dacă exista backup al datelor și dacă s-a produs sau nu și exportul sau exfiltrarea datelor de către atacator. În fiecare caz analizat de comitetul european sunt subliniate însă și alte aspecte importante ce cântăresc foarte mult în discuția privind obligațiile imediat următoare atacului: despre ce date personale vorbim, dacă indisponibilitatea lor temporară afectează un număr mare de persoane sau în ce măsură afectează acele persoane, dacă refacerea bazei de date durează foarte mult sau e imposibilă ș.a.m.d..

Notă: Exfiltrarea datelor (sau exportul de date) are loc atunci când malware și/sau un actor rău intenționat efectuează un transfer neautorizat de date de pe o unitate. 

De exemplu, o societate care își luase măsuri de siguranță și făcuse backup-ul datelor, unde nu s-a ajuns la divulgarea datelor personale în urma atactului, nu va avea de ce să notifice ANSPDCP, nici persoanele ale căror date personale au făcut obiectul acelui atac. Chiar dacă există backup și chiar dacă nu vorbim de divulgarea neautorizată de date personale, dacă incidentul vizează (și) date personale din sfera sănătății, precum ar fi în cazul unei breșe de securitate la o clinică medicală sau un spital, atunci e obligatorie nu numai anunțarea ANSPDCP, ci și notificarea persoanelor vizate.

Acolo unde backup-ul nu există însă, notificarea către autoritatea de protecția datelor ar fi necesară, susține comitetul european. De pildă, dacă în cazul unei mici firme s-au pierdut astfel datele salariaților și ale câtorva dintre colaboratorii/clienții firmei, dar ele nu au fost și divulgate și nici nu vorbim de date sensibile cum sunt cele de sănătate, reconstituirea bazei electronice a acelor date ar trebui să se poată face în baza unor documente fizice și nu ar trebui să dureze foarte mult, spune EDPB. 

În fine, deloc surprinzător, dacă datele au ajuns să fie divulgate de atacator, atunci persoanele vizate trebuie să fie notificate de operator. 

Așa cum subliniază EDPB în ghidul său, faptul că a avut loc un atac de tip ransomware indică, în general, că există una sau mai multe vulnerabilități în sistemul operatorului. 

„În aceste condiții, este esențial ca obiectivele de afaceri să includă și strategii de securitate cibernetică, iar unele organizații au început să dezvolte proiecte de ”companii securizate”. Acestea se concentrează pe stabilirea securității și a confidențialității ca obiective esențiale operaționale și de afaceri, pe angajarea unui responsabil principal cu securitatea informațiilor, pe împuternicirea acestei persoane pentru a crea echipe interfuncționale, pe includerea securității cibernetice în alte decizii cheie, cum ar fi achizițiile și lansările de produse și pe reducerea complexității prin măsuri precum consolidarea furnizorilor, pentru a minimiza vulnerabilitățile”, potrivit specialiștilor PwC.

Obligațiile impuse de GDPR

Potrivit GDPR, o breșă de securitate trebuie notificată, dacă este posibil, în cel mult 72 de ore de la momentul la care firma a devenit conștientă de eveniment (cu excepția situațiilor în care incidentul e puțin probabil să creeze un risc pentru drepturile și libertățile persoanelor vizate de datele compromise). Există deja de multă vreme un formular special, online, pe care firmele îl pot folosi pentru a notifica ANSPDCP un incident de securitate.

În anumite situații, dacă a avut loc o breșă de securitate, trebuie notificate și persoanele vizate de datele deținute de firma ce a fost victima acelei breșe de securitate (dacă există un risc ridicat ca drepturile și libertățile acelor persoane să fie afectate). Dacă se ajunge aici, persoanele vizate ar putea chiar să îi ceară despăgubiri firmei ce a suferit un incident de securitate, pentru eventualele prejudicii suferite din cauza breșei.

Respectarea în general a obligațiilor impuse de GDPR și tot ce alege firma să facă ulterior incidentului de securitate pot cântări semnificativ în impunerea unei sancțiuni. 

Ce pot face companiile victime ale atacurilor cibernetice pentru a ajuta la prinderea și condamnarea celor care comit aceste atacuri? „Pentru a contribui la schimbarea acestei situații, companiile se pot pregăti astfel încât să poată reacționa rapid și eficient în cazul în care se confruntă cu un incident de securitate informatică. În acest sens, este recomandabilă popularizarea și pregătirea și nivelul companiei a unui ghid de reacție în caz de atac cibernetic. Acesta ar trebui să conțină – pe lângă regulamente interne și/sau protocoale de conformitate bine stabilite – și (cel puțin) cinci mijloace de probă pe care compania să le aibă pregătite în momentul sesizării organelor de urmărire penală. 

Pregătirea unui astfel de ghid privind mijloacele de probă este esențială, în special având în vedere volatilitatea și fragilitatea datelor și informațiilor stocate în sistemele informatice, care face ca orice manipulare necorespunzătoare a probelor digitale să le poată altera iremediabil”, explicau în urmă cu câteva luni cei de la Schoenherr si Asociatii într-un material publicat pe avocatnet.ro, unde specialiștii ofereau și un top al elementelor care ar putea fi incluse în lista de mijloace de probă esențiale din ghidul unei companii: raportul de audit informatic, declarațiile de martor, alte înscrisuri relevante, utile cauzei, de exemplu, corespondența electronică dintre companie și făptuitori (dacă există) și/sau informații despre datele de acces (utilizator/parolă), istoricul conectărilor la sistem, caracteristicile sistemelor informatice de pe care s-a realizat accesul neautorizat etc., orice informație pe care compania prejudiciată o are cu privire la potențialii infractori ori soluțiile în cazuri similare de criminalitate informatică.