През май GDPR отпразнува първата си годишнина. Регламентът на Европейския съюз промени ландшафта на защитата на личните данни и постави този жизненоважен аспект на киберсигурността в центъра на вниманието.
След няколко месеца без новини за GDPR, през юли защитата на личните данни отново беше във водещите заглавия. British Airways и Marriott получиха високи глоби – съответно 204 млн. Евро и 110 млн. Евро – за нарушенията на данните, които са претърпели миналата година. Facebook също получи глоба от италианските власти, докато в Канада един вътрешен човек е откраднал личните данни на над 2,7 милиона души.
Мащабна кражба на данни
Сега личните данни отново са в центъра на вниманието. Специалист по киберсигурност в България е арестуван и обвинен в кражба на лични и финансови данни на 5 милиона граждани от Националната агенция по приходите(НАП) в страната. Това е най-голямото нарушение на данните, което страната, която с население 7 млн. жители, някога е имала.
Откраднатата информация включва имена, информация за доходи, данъчни декларации, здравни осигуровки и заеми.
Ноу-хау нападател
Във вторник следобед полицията нахлува в къщата, на 20 годишния заподозрян, и го арестува. Там те откриха устройства, които съдържаха криптирана информация.
Според българските медии, заподозреният е работил като изследовател в киберсигурността и търсенето на уязвимости в ИТ мрежи за предотвратяване на кибератаки. През 2017 г. той влезе в новините, когато откри важни пропуски в сигурността на интернет страницата на българското министерство на образованието.
Също така, той е бил активен в социалните медии и е публикувал редовно статии за киберсигурност и хакерство преди ареста.
Проблеми с киберсигурността на една страна
Тази кибератака възобнови дебата за слабите стандарти за киберсигурност в страната. Министър-председателят на страната заяви, че арестуваният човек е „изкусен“ хакер и че страната трябва да наема „уникални мозъци“ като нападателя.
Въпреки това, някои от експертите, които са проучили откраднатите данни, казват, че използваните тактики са относително прости и са по-показателни за липсата на адекватна защита, отколкото на способностите на хакер.
Водещата бизнес организация в страната, БСК, е предупредила за възможни пропуски в защитата на данните на НАП преди години. Тя е поискала от НАП да изпратят подробна информация за изтеклите документи на всяко засегнато лице и фирма.
Тежки глоби
Съгласно регламента за GDPR, НАП може да получи глоба в размер до 20 млн. евро или 4% от своя годишен оборот. Санкцията ще зависи от броя на засегнатите хора, както и от обема на открадната информация.
Въпреки че досега имаше големи глоби в съответствие с регламента относно GDPR, не сме ставали свидетели на санкции, достигнали максималната допустима сума – 4% от годишния оборот на организацията.
Как да предпазите вашата организация от глоби
GDPR засяга всяка организация, която обработва личните данни на гражданите на ЕС. Като такова, спазването му е приоритет, за да се избегнат икономическите и репутационни вреди, които нарушението може да донесе.
За рационализиране на процесите на спазване на тази наредба Panda Adaptive Defense има модул, специално пригоден да помогне с GDPR: Panda Data Control. Този модул има много предимства:
- Откриване и одит: Той автоматично идентифицира фирмените файлове, които съдържат лична информация, както и потребителите, служителите или сътрудниците, както и компютрите и сървърите, които имат достъп до тази информация.
- Наблюдаване и откриване: отчети и сигнали в реално време, предлагани от Panda Data Control за неоторизирано и подозрително използване, пренос и ексфилтрация на файлове с лични данни, спомагат за въвеждането на проактивни мерки за достъп и работа, свързани с тези доклади.
- Опростено управление: модулът Panda Data Control е роден в Panda Adaptive Defense и Panda Adaptive Defense 360. Не е необходимо организациите да внедряват нещо различно от стандартната защита и могат лесно и незабавно да се активират без тромави конфигурации.
- Демонстрирайте на висшето ръководство, на ДЗД и на всички останали служители във вашата организация, строгите мерки за сигурност за защита на ЗПО в покой, в употреба и при транзит между крайни точки и сървъри.
Новите нарушения на данните и глобите, които видяхме този месец, по никакъв начин няма да бъдат последни. Скоро ще се появят нови случаи на нарушение на GDPR и кражба на лични данни. Уверете се, че вашата компания не е следващата жертва с Panda Data Control.