Ce sunt incidentele de securitate a datelor, cum se previn și cum se raportează

Incidentele de securitate au costat deja unele companii întreaga lor activitate, iar predicțiile nu arată
mai bine. În 2020, costul mediu al unui incident de securitate a crescut cu 9,8% față de 2019. 80%
dintre aceste incidente au dus la expunerea informațiilor personale confidențiale ale clienților.
Costul mediu al unei breşe de securitate a înregistrat, pe fondul pandemiei COVID-19, un nivel
record de 4,24 milioane de dolari pe incident. Un studiu global realizat de IBM Security arată că
acesta este cel mai scump cost înregistrat în istoria de 17 ani a raportului. Acesta după ce, în ediţia
anterioară, costul mediu al unei breșe de date scăzuse cu 1,5% de la an la an, cauzând companiilor
daune de 3,86 milioane dolari per incident.

Ce reprezintă incidentele de securitate?

Un incident de securitate este definit de GDPR drept „o încălcare a securității care duce, în mod
accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor
cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la
acestea.”.
Exemple de incidente de securitate:
- accesul neautorizat la datele cu caracter personal (de exemplu, un fost angajat pleacă cu baza de
date a clienților pe un stick);
- trimiterea unui e-mail/mesaj electronic/sms către o altă persoană decât destinatarul legitim (de
exemplu, utilizând funcția de autocomplete din Outlook/Gmail, putem trimite un e-mail către o altă
persoană);
- infiltrarea unor aplicații malware sau ransomware;
- compromiterea unor sisteme informatice expuse la internet (de exemplu, site-uri web);
- pierderea sau furtul echipamentelor (telefoane, tablete, laptopuri);
- utilizarea neautorizată a unui activ pentru procesarea sau stocarea datelor;
- modificări frauduloase ale pieselor de hardware, firmware sau software;
- utilizarea necorespunzătoare a datelor sau dispozitivelor;
- atacul unui virus ce produce alterarea/modificarea datelor cu caracter personal fără permisiune.
Majoritatea organizațiilor au avut deja parte de incidente de securitate. Unele au avut de-a face, cel
mai probabil, și cu breșe de securitate a datelor. Deși, la prima vedere, ar putea părea similari, acești
termeni diferă prin modul de clasificare.
Un incident de securitate este un eveniment care duce la încălcarea politicilor de securitate ale
unei organizații și supune datele sensibile la risc de expunere.
Incidentele de securitate pot implica orice tip de date, inclusiv informații personale sensibile. Dacă
un incident de securitate are ca rezultat accesul neautorizat la date cu caracter personal, acesta poate
fi clasificat ca o breșă a securității datelor. Astfel, el trebuie evaluat din perspectiva raportării la
ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) în
termen de 72 de ore din momentul conștientizării acestuia.

Cauzele incidentelor de securitate

Majoritatea incidentelor de securitate sunt cauzate de infractori cibernetici și pot varia de la
incidente cu risc scăzut la cele cu risc ridicat. Totuși, unele incidente se pot întâmpla chiar și
accidental. Iată câteva dintre cele mai comune cauze și motive pentru incidentele și breșele de
securitate:
- Parole nesigure;
- Procese necorespunzătoare;
- Vulnerabilități ale sistemului;
- Lipsa actualizării sistemelor și serviciilor esențiale;
- Atacuri asupra partenerilor de afaceri, pe supply-chain (furnizori sau clienți);
- Aplicații malware sau ransomware;
- Eroare umană.
Răspunsul companiei în cazul unei breșe de securitate
Incidentele de securitate pot afecta orice tip de utilizator vulnerabil, de la persoane fizice la
companii multinaționale. Deși am vorbit despre breșele de securitate care afectează organizațiile
mari, aceleași incidente de securitate se aplică computerelor și altor dispozitive, atât ale IMM-
urilor, cât și ale utilizatorilor de zi cu zi.
Aceste atacuri pot duce la compromiterea identității și a reputației companiei și chiar la furtul de
bani. O problemă majoră cu aceste tipuri de breșe este că atacul și infiltrarea în rețea pot rămâne
nedetectate pentru perioade lungi de timp. Uneori, aceste intruziuni nu sunt detectate niciodată.
Dacă securitatea companiei sau organizației a fost încălcată, este vital să se declanșeze o
procedură rapidă și eficientă de răspuns la acest incident cibernetic pentru a minimiza
daunele.

Pașii în cazul breșei de securitate

După ce sunt luate măsuri din punctul de vedere al tehnologiei informației (pentru a limita
răspândirea virusului respectiv sau pentru a izola partea afectată), orice societate trebuie să aibă în
vedere următoarele:
1. Determinarea severității incidentului
- Verificarea sistemelor afectate și care a fost vectorul de atac;
- Identificarea punctelor vulnerabile din sistemul de securitate;
- Colectarea informațiilor despre breșa de securitate a datelor – ce tipuri de date au fost expuse și ce
nivel de risc prezintă acestea.
2. Notificarea părților implicate.
Este important a se pregăti o notificare de încălcare a securității datelor și a o trimite tuturor
organizațiilor și persoanelor fizice implicate, în funcție de specificul incidentului.
Dacă încălcarea securității datelor prezintă un risc ridicat pentru persoanele fizice afectate, atunci
trebuie să fie informate și toate aceste persoane (cu excepția cazului în care s-au aplicat măsuri de
protecție tehnice și organizatorice eficace sau alte măsuri care asigură faptul că riscul nu mai este
susceptibil să se materializeze).
3. Notificarea ANSPDCP-ului.
Notificarea se depune online, pe următoarea adresă: https://www.dataprotection.ro/?
page=pagina_formular_679
Nu orice incident de securitate se notifică. Se va notifica Autorității incidentul care prezintă un risc,
iar persoanele vizate vor fi notificate dacă există un risc ridicat.
În schimb, dacă societatea are numit un Responsabil cu protecția datelor (DPO), acesta va fi
informat despre apariția oricărui incident de Securitate. El este cel în măsură să determine împreună
cu conducerea societății gravitatea incidentului.
Întrucât termenul este de doar 72 de ore, la nivelul unei companii ar trebui să existe o procedură
pentru managementul adecvat al incidentelor de securitate. Trebuie să fie desemnată o echipă de
răspuns la incident, cu roluri și responsabilități bine stabilite. Aceste proceduri se regăsesc aici.

Cum se pot preveni incidentele de securitate?

1. Ar trebui ca orice societate să aibă măsuri tehnice (de securitate) și organizatorice (politici,
proceduri) pentru prevenirea și managementul adecvat al incidentelor de securitate.
Măsurile trebuie să respecte cel puțin cerințele minime de securitate stabilite de lege, iar procedurile
aferente trebuie nu doar redactate, dar și implementate la nivel de companie.
Important de remarcat este faptul că, în conformitate cu un studiu IBM, companiile care au
implementat tehnologii de automatizare în cadrul unor servicii de securitate cibernetică au avut mai
puțin de jumătate din costurile unei breșe de securitate a datelor comparativ cu cele care nu au
implementat aceste instrumente.
Contribuția principală la costurile mai mici a fost timpul de răspuns semnificativ mai scurt la breșe.
Acesta a fost cu peste 27% mai rapid decât în cazul companiilor care nu au implementat încă
elemente de automatizare a securității.
Pregătirea pentru răspunsul la incidente (IR) a contribuit la economii semnificative pentru
companiile cu o echipă de IR care utilizează exerciții sau simulări pentru a testa planurile IR.
2. Trebuie să existe o procedură de verificare a tuturor entităților terțe cu care colaborează societatea
respectivă (inclusiv PFA-uri) din punctul de vedere al garanțiilor suficiente pentru securitatea
datelor și respectarea principiilor GDPR. Aceste entități trebuie auditate și trebuie să semneze
anumite contracte prin care se reglementează protecția datelor.
Este important ca toți partenerii de afaceri externi – persoanele împuternicite (firme de contabilitate,
firme de mentenanță IT, HR etc) trebuie auditați cu privire la respectarea GDPR și implementarea
măsurilor de securitate adecvate.
3. În calitate operator, societatea va răspunde pentru incidentele cauzate prin acțiunile sau
inacțiunile angajaților, colaboratorilor, partenerilor de afaceri sau altor terți cărora le permite
accesul la date. Societatea trebuie să aibă implementate măsuri tehnice și organizatorice adecvate:
măsuri de securitate, acorduri de confidențialitate, politici de securitate, traininguri, acorduri cu
persoanele împuternicite, etc. Așadar, este deosebit de importantă organizarea de cursuri de instruire
a personalului societății.
4. Încheierea de acorduri de confidențialitate cu toți partenerii societății – de obicei acest acord este
parte integrantă din contractul privind protecția datelor (prin care se instituie obligații
împuternicitului).