Утечка данных: если вы это знаете, можете ли вы этого избежать? Не всегда

(Федерика Де Стефани, юрист и глава Aidr Regione Lombardia) Мы слышим (все больше и больше) часто о взломе данных, и запрос, который вытекает из этого, почти естественно, касается возможности избежать этого или, по крайней мере, сдержать Это.

Ответ, к сожалению, отрицательный, утечки данных не избежать, так как «нулевого риска» не существует.

Конечно, можно ограничить возможности попасть в «ловушку» киберинцидента, а также можно ограничить вытекающие из него последствия, но это другой вопрос.

Чтобы понять феномен утечки данных, очень часто идентифицируемый исключительно с хакерской атакой, необходимо понять, что это такое.

Что такое утечка данных

Термин «нарушение данных» означает нарушение безопасности, которое включает - случайно или незаконно - уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к передаваемым, хранимым или иным образом обработанным личным данным.

Как видите, утечка данных может привести к потере данных, которые не связаны с хакерской атакой, но также могут возникнуть из-за потери их доступности, как это происходит в гипотезе, в которой существует, для Например, кража устройства.

Когда происходит утечка данных

Типы утечки данных весьма разнообразны, и поэтому, в качестве примера, мы можем указать доступ или получение данных неавторизованными третьими сторонами, кражу или потерю ИТ-устройств, содержащих персональные данные, как подпадающих под действие данного случая. Невозможность доступа данные из-за случайных причин или внешних атак, вирусов, вредоносных программ и т. д., преднамеренного изменения личных данных, потери или уничтожения личных данных из-за несчастных случаев, неблагоприятных событий, пожаров или других бедствий, несанкционированного раскрытия личных данных.

Где может произойти утечка данных

Нарушение данных, понимаемое, как уже упоминалось, как нарушение, которое влияет на доступность, целостность и конфиденциальность данных, может касаться любой области, как физической, так и цифровой.

Подумайте, например, об уничтожении бумажного архива или краже документов или, опять же, об их подделке и изменении.

Субъекты, затронутые утечкой данных

Нарушение данных представляет собой событие, в котором, в зависимости от конкретных характеристик конкретного дела, могут участвовать разные субъекты.

Контролером данных является лицо, которое в соответствии со ст. 33 GDPR, необходимо активировать без неоправданной задержки и, по возможности, в течение 72 часов с момента, когда это стало известно, для уведомления о нарушении Гаранта защиты персональных данных, за исключением гипотезы, при которой маловероятно, что нарушение персональных данных влечет за собой риск для прав и свобод человека. Напротив, если нарушение представляет высокий риск для прав и свобод физических лиц, собственник всегда без промедления должен также проинформировать заинтересованные стороны. В случае, если обработчик данных был назначен, когда ему стало известно о нарушении, он должен незамедлительно проинформировать владельца, чтобы он мог принять меры.

Причины утечки данных

Как уже упоминалось, нарушение безопасности данных - это нарушение безопасности, которое включает - случайно или незаконно - уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к обрабатываемым данным, и на практике это означает, что принятые меры безопасности не сработали. Однако мы не должны впадать в ошибку, автоматически связывая нарушение данных с адекватностью мер, принятых, чтобы сделать это sic et simplicter (объективной) ответственностью контроллера данных. Вопрос намного сложнее, учитывая, что GDPR не предусматривает ответственности такого рода со стороны владельца, но предусматривает возможность для него продемонстрировать, что он сделал все, что в его силах, для защиты обрабатываемых данных. .

Человеческий фактор и важность обучения

Если, с одной стороны, событие утечки данных не может быть полностью устранено, поскольку, как предполагалось, нулевой риск не существует, с другой стороны, необходимо подвергнуть сомнению стратегии и меры, которые необходимо принять, чтобы максимально ограничить риск.

Помимо «адекватных» технических и организационных мер, как в терминологии Европейского Регламента, важной частью предотвращения является обучение персонала.

На сегодняшний день человеческий фактор все еще представляет собой довольно распространенную ахиллесову пяту во многих реальностях, даже в структурированных и крупных.

Отсутствие адекватной и специальной подготовки, отсутствие адекватных политик использования ИТ-инструментов и процедур по-прежнему являются довольно распространенными причинами утечки данных.

Суть вопроса заключается не только в принятом типе защиты, но и в методах ее применения, в обновлении и специальной подготовке субъектов, обрабатывающих данные.

Фактически, не следует забывать, что соблюдение требований должно осуществляться на нескольких уровнях, должно быть сквозным и касаться не только технической стороны и кибербезопасности, но также организационного и процедурного аспектов в отношении так называемого человеческого фактора.

Утечка данных: если вы это знаете, можете ли вы этого избежать? Не всегда