Bresele de securitate in Romania – Iata ce avem de invatat din aceste cazuri, astfel incat sa nu cadem victime noi insine

august 27, 2019
Stiri GDPR din Romania

Bresele de securitate sunt in momentul de fata o realitate cotidiana. In presa apar tot mai multe articole cu companii din diverse domenii de activitate care au suferit brese de securitate si care, se pare ca au probleme grave in ceea ce priveste siguranta datelor, carentele privind siguranta datelor fiind descoperite intamplator fie de specialisti in domeniu fie de simpli utilizatori.

Analizand stirile recent publicate, am identificat cateva exemple de companii care reprezinta mari jucatori pe segmententul lor de activitate dar care, se pare ca nu au acordat prea mare importanta acestui aspect privind protectia datelor cu caracter personal.

Un prim exemplu este acela al unei companii din domeniul taximetriei care a suferit o bresa de securitate dezvaluind inregistrarile convorbirilor purtate de clientii sai cu operatorii din dispeceratul firmei. Aceste apeluri contineau date ale clientilor precum: numele, prenumele, adresa, destinatia. Totodata, pe site-ul firmei respective, conform politicii de confidentialitate publicate, acestia afirma ca apelurile sunt inregistrare dupa ce, in prealabil, a fost obtinut acordul clientului. In realitate insa, in momentul apelarii numarului de dispecerat exista un mesaj care anunta faptul ca toate apelurile sunt inregistrate.

DE STIUT!!  Reguli de buna practica:

Masurile pe care le consideram potrivite pentru cazul de fata sunt urmatoarele:

* restrictionarea accesului la inregistrarile respective prin parolarea fisierelor

*  crearea unei optiuni prin care sa permita clientilor sa isi exprime, liberi si fara sa fie constransi, acordul sau dezacordul referitor la inregistrarea convorbirilor, sa existe o tasta pe care acestia sa o apese daca nu vor sa fie inregistrati

Imbunatatiri considerabile trebuie aduse si site-ului, astfel incat acesta sa nu mai permita accesarea facila a acestor fisiere prin intermediul sau.

Un alt exemplu este acela al unei firme de curierat, din topul celor mai renumite din Romania, care a cazut victima unui specialist in domeniul IT care, fara prea mult efort, a descoperit faptul ca la o simpla accesare a platformei oferite clientilor pentru a facilita furnizarea serviciilor, prin cateva actiuni nu foarte complexe, aceasta permite descarcarea tuturor AWB-urilor care contineau date ale clientilor (nume, prenume, adresa, detalii comanda, continut comanda, adresa de livrare, costul livrarii si a produselor comandate chiar si CNP-ul clientilor).

Reprezentantii firmei de curierat au avut o reactie destul de acida si au considerat ca aceasta bresa este de fapt un atac cibernetic premeditat si rau intentionat, menit sa afecteze imaginea companiei. Acestia sustin ca, de fapt, s-a asigurat confidentialitatea datelor si ca exploatarea unei functii a platformei a dus la descoperirea unui numar limitat de date si pentru o perioada scurta de timp, ceea ce, din punctul lor de vedere, nu denota faptul ca nu au implementat masurile de siguranta adecvate ci ca au fost victime ale unui atac tintit.

Totusi, ca regula de buna practica, acestia  trebuie sa se asigure ca astfel de atacuri nu vor mai avea loc pe viitor sau ca o alta incercare nu va mai avea succes. Pentru acest lucru recomandam urmatoarele:

* sa ofere clientului un user si o parola prin care sa se asigure ca doar acesta are acces la datele si informatiile cuprinse in AWB
* sa cripteze datele. In cazul unui alt atac, criptarea asigura faptul ca atacatorul nu vede datele cuprinse in AWB.
* sa imbunatateasca masurile de siguranta astfel incat sa nu existe posibilitatea ca un nou atac sa identifice alte puncte vulnerabile ale platformei
* sa faca teste permanent. Aceasta disfunctionalitate putea fi identificata in urma efectuarii unor teste de catre responsabilii de proces.
Este de asteptat ca aceste stiri sa starneasca interesul Autoritatii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal si sa auzim in scurt timp de amenzi si sanctiuni aplicate de reprezentantii ANSPDCP in aceste cazuri, mai ales ca toate investigatiile realizate pana in momentul de fata au fost urmarea unor plangeri sau ponturi primite la sediul Autoritatii.
Site-ul nostru utilizează cookie-uri pentru a-ți îmbunătăți experiența și pentru a-ți afișa conținut și anunțuri relevante atunci când navighezi pe web. Continuă să navighezi pe site sau alege să accepți dacă ești de acord cu utilizarea cookie-urilor. Alternativ, poți alege tipurile de cookie-uri pe care ești de acord să le folosim. Mai multe detalii la sectiunea Politica de confidentialitate si GDPR.