GDPR

  • Португалска болница отнесе глоби по GDPR за 400 хил. евро

    Португалската болница Centro Hospitalar Barreiro Montijo е първата институция в страната, глобена за неспазване на евродирективата GDPR. Според International Association of Privacy Professionals болницата е получила три глоби на обща стойност 400 хил. евро. Глобата е била наложена още през юли, а болницата е обжалвала решението.

    Глобите са за три различни нарушения. Според местния регулатор здравното заведение е предоставило достъп до данните на пациентите на твърде много потребители. За това нарушение е наложена глоба от 150 хил. евро.

    Друга глоба от 150 хил. евро е наложена, тъй като болницата не е приложила технически и организационни мерки, за да пази данните на пациентите си.

    Третата глоба е за неспособността на болницата да осигури конфиденциалност и интегритет на данните в информационните й системи. Размерът на глобата е 100 хил. евро.

    Според Comissão Nacional de Protecção de Dados (CNPD – португалският еквивалент на Комисията за защита на личните данни) са налице множество нарушения на процедурите за работа с лични данни. Така например липсва документ, който урежда създаването на нови потребители в информационната система на болницата.

    Също така лекарите – независимо от тяхната специалност – са можели свободно да разглеждат личните данни на всички пациенти.

    Нещо повече – в системата фигурират почти 1000 души с профил „лекар“. Но официално на отчет в болницата се водят едва… 296 лекари.

    Това е един от първите случаи в Европа на глоби за неспазване на GDPR. През ноември германската компания Knuddels беше глобена с 20 хил. евро за нарушения съгласно директивата.

  • Три фишинг тактики, които набраха скорост през 2018

    Фишингът е една от най-големите заплахи за бизнеса: около три четвърти от фирмите претърпяват поне една фишинг атака годишно според Wombat Security. За да продължава да е ефективен, фишингът разчита на изобретателността на спамърите. Те трябва постоянно да измислят нови начини, чрез които да накарат потребителите да отворят пощенската си кутия и да последват зловредния линк.

    2018 ще бъде запомнена с няколко фишинг тактики, които според StorageCraft са зачестили тази година. Това не означава, че няма да ги видим и през 2019 г. Най-вероятно те ще продължат да са част от арсенала на спамърите, които всеки ден заливат света с милиарди имейли.

    Смишинг (SMiShing)

    Смишингът е практиката да се изпращат като SMS линкове към зловреден софтуер. Той е алтернатива на фишинг имейлите, голяма част от които попадат в спам филтрите или потребителите просто ги разпознават.

    Смишингът от друга страна доставя зловреден линк по друг канал: чрез SMS. Потребителите са по-малко подозрителни към SMS-ите, които получават, и това прави смишинга ефективна техника за измама.

    GDPR фишинг

    Влизането в сила на GDPR в края на май 2018 г. доведе до бум на тематичния спам. Фишинг кампаниите започнаха месеци преди влизането в сила на директивата. Честа практика беше писмата да се изпращат от името на големи компании, които предупреждават потребителите да променят настройките си за поверителност.

    Спам писмата отвеждаха потребителите към фалшиви страници, които крадат данни за достъп. И тъй като точно тогава GDPR беше изключително актуална тема, много потребители станаха жертви на този тип фишинг.

    Данъчен спам

    Този вид фишинг се случва основно в САЩ, но никой не е застрахован от него. Спамърите атакуват данъчни консултанти и счетоводители, опитвайки се да откраднат данните им за достъп до системите, в които се съхранява информация за пенсионните планове на американците. Тези данни са изключително ценни. Те могат да бъдат продадени на черните пазари за данни, да бъдат използвани за източване на банкови сметки или за кражба на самоличност.

  • Какво знаят интернет гигантите за вас

    Последен ъпдейт на 12 декември 2018 в 16:56 ч.

    Социалните мрежи събират огромно количество лични данни за потребителите си. Достатъчно е да дадем за пример Facebook, която знае почти всичко за вас: кои са приятелите ви, какви са вашите интереси, какви са религиозните и политическите ви възгледи, какви места сте посещавали, кои са най-важните събития в живота ви.

    Съгласно GDPR всяка компания, която събира лични данни за европейски граждани, трябва да им даде възможност да поискат копие от тези данни (и да им го предостави, когато си го поискат). Компаниите, които управляват социални мрежи, не са изключение. В съответствие с GDPR те дават възможност на всеки потребител да изтегли копие от личните си данни, които социалната мрежа е събрала за него.

    В тази статия ще разгледаме как потребителите могат да свалят копие на личните си данни от 4 от най-популярните социални мрежи в света.

    Facebook

    Хегемонът в социалните мрежи е вероятно най-голямата база данни за хора в света. Както показва скандалът с Cambridge Analytica, данните от Facebook могат да се използват дори за манипулиране на избори и вземане на важни за обществото решения като Brexit. Социалната мрежа има информация за събития, места, приятели, интереси на своите потребителите. А в някои случаи – дори с кого са си говорили по телефона.

    Ето как да видите с какви данни за вас разполага Facebook.

    От основното меню във вашия профил (триъгълната икона в горния десен ъгъл) изберете:

    Settings > Your Facebook Information > Download Your Information > View

    Тук можете да направите фини настройки на данните, които искате да свалите: например формат, качество на снимките, изобор на данни само за определен период. Потвърдете избора си с Create File.

    Ще получите известие, когато файлът с вашите данни е готов за сваляне. За да го изтеглите, отидете в:

    Settings > Your Facebook Information > Download Your Information > Available Files > Download

    Ще трябва да въведете паролата си за Facebook, преди свалянето да започне.

    Instagram

    Instagram държи архив с вашите снимки, видеа, истории, харесвания, съобщения. В събраните за вас данни има също информация за нещата, които сте търсили в социалната мрежа, вашите коментари и контакти.

    Влезте в настройките на вашия Instagram профил (зъбчатото колело) и изберете:

    Privacy & Security > Data Download > Request Download

    На този етап Instagram ще поиска да въведете имейл адрес, на който да изпрати линк към вашите данни, както и да напишете паролата си за достъп до вашия Instagram профил.

    Ще получите имейл, от който можете да свалите копие на данните си.

    LinkedIn

    LinkedIn събира на едно място голяма част от професионалния ви живот. Данните включват вашите професионални умения, телефонни номера, заемани длъжности, интереси, говорими езици, проекти, в които сте участвали, и много друга информация (пълен списък на данните има тук).

    Влезте в профила си в LinkedIn и изберете иконката Me (в горния десен ъгъл, с вашата профилна снимка). От там изберете:

    Settings & Privacy > Privacy > How LinkedIn uses your data > Change

    Можете да избирате какви категории данни искате да получите: например контакти и връзки с други потребители, съобщения, препоръки, покани, информация от профила и т.н. Потвърдете избора си с Request Data. Ще трябва да въведете паролата си за достъп до LinkedIn. данните се изпращат с два имейла – първият съдържа основната информация в профила, а вторият – други данни като например коментари в групи или мобилни устройства, на които е активирано LinkedIn приложение с вашия профил.

    Twitter

    Twitter дава възможност да изтеглите копие на данните от вашия профил; съобщенията, които си обменяте с други потребители, медийни файлове, които сте качили, списък на последователите ви. Информацията включва и списъци, които сте създали или в които участвате, информацията за интересите ви; също и рекламите, които сте видели или кликнали.

    За да свалите данните, натиснете иконата на профила си и изберете:

    Settings and privacy > Your Twitter archive > Request your archive

    Google

    Търсачката Google и множеството продукти, които притежава – сред които са сайтът за видеосподеляне Youtube и браузърът Chrome – също пази огромен архив от данни за потребителите си. Можете да свалите копие от данните, които Google притежава за вас.

  • Първата глоба за неспазване на GDPR в Германия е факт

    Последен ъпдейт на 28 ноември 2018 в 10:54 ч.

    Чат платформата Knuddels е първата компания в Германия, глобена за неспазване на изискванията на евродирективата GDPR. Глобата е в размер на 20 хил. евро. Наложена е, защото 1.8 млн. потребителски имена и пароли на нейни потребители бяха публикувани в интернет.

    Кражбата на лични данни се е случила през юли 2018 г., твърди BleepingComputer. Knuddels не е криптирала по никакъв начин данните за достъп до потребителските профили. Tе са били откраднати  от сървърите й и качени в Pastebin, където традционно се публикуват крадени лични данни. Публикувани са и в облачната услуга Mega. Освен 1.8 млн. имена и пароли са изтекли и малко над 800 хил. имейл адреси.

    Knuddels е информирала потребителите си и местните регулатори за пробива. „Данни за достъп на наши потребители бяха публикувани в интернет. Нямаме данни за злоупотреба. Въпреки това временно деактивирахме всички профили, чиито данни са изтекли“, съобщава компанията в публикация в своя форум от началото на септември.

    GDPR влезе в сила в края на май 2018 г. и предвижда глоби до 20 млн. евро или 4% от годишния оборот на компанията (взима се по-голямото от двете) за неспазване на изискванията на директивата. При определяне размера на глобата се вземат различни фактори като брой на засегнатите потребители, превантивни мерки и взаимодействие с регулаторните органи.

  • Бизнесът плаща все повече за пробиви в своята информационна сигурност

    Средният разход, който една компания плаща при пробив на своята информационна сигурност, се е повишил с 10% за последните 5 години. Стойността му вероятно ще продължи да расте заради влизането в сила на GDPR. Това са два от изводите в последното годишно проучване на Ponemon Institute.

    Компаниите плащат средно по 3.86 млн. долара за пробив в информационната си сигурност. За последните 5 години този разход се е вдигнал с 10% или средно по 360 хил. долара на компания.

    Къде е най-скъпо

    Най-високите разходи са в САЩ. Там една компания плаща средно по 7.91 млн. долара, за да се справи с пробив в информаицонната си сигурност.

    Това частично се дължи на факта, че американските компании плащат най-високите в света разходи за докладване на пробивите. Докато в страни като Индия средната сума е 20 хил. долара, в САЩ тя достига 740 хил. за компания. Причина за високите стойности в САЩ са регулаторните изисквания.

    Според Ponemon Institute подобен ефект върху разходите ще има и евродирективата GDPR, която влезе в сила в края на май 2018 г. Тя засяга всички компании, които оперират на територията на Европейксия съюз. „Разходите за докладване в САЩ са високи заради американските регулации. Очакваме, че GDPR ще доведе до огромно увеличение за компаниите от цял свят в разходите за докладване при пробив“, коментират от Ponemon Institute.

    Тенденция към покачване

    Изследването е проведено сред 477 компании от 15 страни и региона на света. Всяка от тях е претърпяла пробив на данни през изминалите 12 месеца до юли. В анкетата влизат компании от сферата на здравеопазването, финансите, технологиите и комуникациите, търговията, фармацевтиката, енергетиката и др.

    Средните разходи за 2018 г. дори не са най-високите за периода, откакто се води проучването. През 2016 г. например средният разход, причинен от пробив в информационната сигурност, е 4 млн. долара.

    Като цяло обаче тенденцията е към трайно покачване. „Нашето проучване показва, че година след година информационните пробиви струват все по-скъпо на компаниите и все повече потребителски данни биват откраднати“, посочват от Ponemon Institute.

    Защо разходите са все по-високи

    Кои фактори оказват най-голямо влияние върху цената, която бизнесът плаща при пробив на данни? От Ponemon Institute посочват пет основни такива.

    • Неочаквана загуба на клиенти след пробива – всеки пробив намалява доверието на клиентите в компанията, а с това намалява и тяхната лоялност. Ето защо компаниите, които имат назначен директор по сигурността на информацията, отчитат по-малки разходи при прибив на данни;
    • Обем на откраднатите данни – колкото повече данни са откраднати, толкова по-скъпо излиза това на засегнатата компания;
    • Време за откриване на пробива – колкото по-бързо една компания открие и се погрижи за пробива, толкова по-ниски ще са разходите й за покриването му;
    • Ефективно управление на превантивните мерки – компаниите, които инвестират в превантивни мерки – дали ще са инструменти за засичане на пробиви или екипи, които се занимават със сигурността на данните – отчитат по- ниски разходи;
    • Ефективно управление на разходите след пробива – такива са разходите за обслужване на клиентите, комуникация с клиенти и медиите, издаване на нови акаунти и т.н. Тези разходи се правят, след като е ясно какъв е мащабът на пробива и какви данни са пострадали. Ако компанията ги направи преди това, има опасност парите да са хвърлени напразно, което увеличава общата цена на пробива;
  • Хакери атакуват сайтове през популярен плъгин за съвместимост с GDPR

    Популярният плъгин WP GDPR Compliance съдържа уязвимост, с която неоторизиран потребител може да получи администраторски права върху сайта. Уязвимостта засяга над 100 хил. базирани на WordPress сайта, които в момента използват плъгина.

    Според Wordfence уязвимостта може да се експлоатира изключително лесно. Достатъчно е злонамерено лице да въведе няколко реда код в онлайн формата на WP GDPR Compliance. С нея потребителите на сайта искат копие от данните си. Изпълнението на кода води до това, че в системата на WordPress може да се създаде нов потребител с администраторски привилегии. Така злонамереното лице може да поеме контрола над сайта.

    „Над 100 хил. сайта, работещи с WordPress и използващи WP GDPR Compliance, са били уязвими на тази атака. Критично важно е всички сайтове, които използват този плъгин, да го обновят възможно най-бързо“, коментират от Wordfence.

    WP GDPR Compliance е много популярен в България и Европа, тъй като дава възможност на фирмите лесно да приведат сайтовете си в съответствие с GDPR. Уязвимостта съществува във версиите на WP GDPR Compliance до 1.4.2.

    В помощните форуми на WordPress са публикувани сигнали от потребители. Те твърдят, че някой инсталира плъгини на сайтовете им. Сигналите датират от средата на октомври, В последствие е установено, че всички хакнати сайтове използват WP GDPR Compliance и именно той е вратичката, през която е получен достъп.

    Съвети за бизнеса

    Ако вашият сайт  използва този плъгин, влезте в администраторския панел на WordPress и обновете до версия 1.4.3, в която уязвимостта е остранена. Алтернативата е да изключите плъгина.

  • Четири причини да си направите кибер застраховка

    Кибер застраховката е инструмент за покриване на рисковете, свързани със загуба на данни и информационни ресурси. В България този финансов продукт все още се счита за екзотичен. Реалността обаче е такава, че популярността му тепърва ще расте.

    Световният пазар за кибер застраховки се оценява на 4.2 млрд. долара през 2017 г. от консултантската компания Zion Market Research. Според нейните прогнози оборотът на пазара трябва да нарасне през 2020 г. до 22.8 млрд. долара.

    Повече опасности

    Една от основните причини за този очакван ръст е зачестяването на кибератаки от всякакъв вид. Тъй като всички бизнеси работят с лични данни, на практика всяка компания с ИТ инфраструктура е застрашена от такива атаки.

    Така например компаниите, занимаващи се с онлайн търговия, са пострадали от 4000 инцидента през 2016 и 2017 г. Около 16% от компаниите са отчели над 1 млн. долара загуба като резултат от кибератаки според данните на Zion Market Research.

    Защита срещу източване на данни

    Кибер застраховките са подходящи за всякакъв вид компании, но са особено важни за фирми, които работят с големи обеми лични данни като например банки, телекоми, здравни заведения, консултантски и маркетингови агенции, аутсорсинг компании и т.н. „Всеки, който разполага с много данни и извършва високорискова дейност в интернет, дори големите банкови институции, биха се защитили така. Това е един вид Гражданска отговорност, толкова популярно би трябвало да бъде“, посочва Спас Иванов, експерт по киберсигурност.

    Тези застраховки покриват различни рискове и ограничават загубите при неочаквани или злонамерени инциденти с информационните ресурси на компанията. Освен застрахованата компания те покриват и отговорността на фирмата спрямо нейни клиенти и контрагенти за реализирани от тях загуби.

    Загуба на данни заради срив в системата

    Всеки срив в информационните системи на компанията носи със себе си риск от загуба на данни. Тук не говорим само за претоварване на информационните ресурси, но и за други заплахи като например амортизация на съррвърите или природни бедствия.

    Злонамерена атака и източване на данни

    Кибератаките срещу организации се увеличават. Дали ще са под формата на рансъмуер или друг вид малуер, който компрометира информационните системи, тези атаки могат да имат сериозни последствия върху разходните пера на организациите.

    Съвместимост с GDPR

    Директивата влезе в сила през май 2018 г. и все още не е ясно каква част от фирмите в България покриват изискванията й. Съгласно директивата глобите за неспазване може да стигнат 20 млн. евро или 4% от годишния оборот на компанията(избира се по-голямото от двете). Кибер застраховките могат да покрият част от разходите, които възникват при неспазване на изискванията по GDPR.

    Разходи, свързани със съдебни дела и загуба на репутация

    Пробивите и изтичането на лични данни могат да доведат до съдебни дела и загуба на репутация. Кибер застраховката може да покрие тези разходи.

     

  • GDPR: Кой не е длъжен да иска съгласие за обработка на лични данни от потребителите

    Новият регламент за личните данни в ЕС вече е факт. Влизането в сила на GDPR влязоха в сила и много неправилни тълкувания на регламента, особено за съгласията, свързани с обработване на потребителски лични данни.

    За да помогнем в хаоса, ще дадем няколко примера за ситуации, в които не се изисква даването на подобно съгласие. Най-общо, НЕ СТЕ ДЛЪЖНИ да искате одобрението на физическо лице (или според дефиницията в регламента – субект на данните) работите с личните му данни в случаите, в които:

    • Вече имате такова в предишни договорни отношения за една или повече конкретни цели
    • Имате нужда от личните данни с цел изпълнението на договор, по който субектът на данните е страна – или за да може да създадете такъв договор (да попълните данните за субекта в договора при списването му)
    • Трябва да спазите друго законово задължение (например, по закона за счетоводството)
    • За да защитите интереси на субекта на данните или на друго физическо лице (например, по време на лечение)
    • За да изпълнените задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора
    • Защото обработката е необходима за целите на легитимните ви интереси или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

    Няколко примера от практиката.

    Double opt-in за маркетингова комуникация

    Знаем, че мина доста време от тогава – но сме сигурни, че през целия май месец сте получавали десетки, а защо не и стотици мейли, в които се иска да потвърдите съгласието си за получаване на маркетингова комуникация от даден сайт или услуга.

    Това НЕ Е необходимо, ако вече сте дали такова съгласие веднъж. Да, double opt-in е посочен като препоръчителен – но не и задължителен.

    Лекари, фармацевти и банкери изискват съгласие

    Започваме с цитат на текст от Капитал, публикуван на 25 май : „Поне 1.5 млн. хартиени декларации за обработка на лични данни ще се натрупат през следващите дни във всички аптеки, ако се съди по неправилния подход, който възприеха редица аптеки в страната в първия ден на влизане в сила на новия регламент за съхранение на личните данни GDPR. Толкова е броят на пациентите, които получават медикаменти, платени напълно или частично от здравната каса.“

    Подобно беше положението и в част от банките, личните лекари – и още много други подобни институции, с които вече или имате договор, или чиято дейност е свързана със защитата на собствения ви интерес (да живеете).

    Забранено ли е видеонаблюдението?

    Според Комисията за защита на личните данни: „легитимен интерес е налице и при обработване на лични данни за защита на правата на администратора по съдебен или несъдебен ред, например за подаване на иск за неизпълнение на договор или за търсене на отговорност за причинени вреди. Такива хипотези в практиката са предприемането на мерки за сигурност и охрана, включително чрез видеонаблюдение, проверка на лица и регистрация на достъпа до сгради, действия за гарантиране на информационната и мрежовата сигурност и др.

    Иначе казано – видеонаблюдението не е забранено, но трябва да имате легитимен (основателен) интерес, за да го осъществявате.

    Примери може да се дават още много, но за да ви улесним – ето непълен списък с основните специалисти или случаи, в които НЕ ТРЯБВА да изискват съгласие при изпълняване на основните функции на ролите им (и едно уточнение: получаването на маркетингова комуникация НЕ Е основна функция на ролята на нито една от долните функции):

    • лекари, зъболекари и фармацевти;
    • адвокати;
    • работодатели (за сключване на трудов договор);
    • публични органи (държавни и общински);
    • учебни заведения (детски градини, училища и висши учебни заведения) – освен в случаите, в които не се изпращат маркеитнгови и други, несвързани с основната дейност на училището дейности;
    • банки и други кредитни институции (за получаване на кредит или откриване на сметка);
    • застрахователи;
    • предприятия, предоставящи обществени електронни съобщителни мрежи и/или услуги;
    • куриерски фирми и други пощенски оператори;
    • предприятия, предоставящи комунални услуги (електроразпределителни дружества, ВиК, топлофикации);
    • обработващи лични данни (счетоводители, служби по трудова медицина и др.);
    • хотелиери и туристически агенции;
    • управителите на етажна собственост (домоуправители);
    • копирни услуги;
    • преводачи;
    • журналисти, фотографи и видеооператори;
    • религиозни, политически, обществени и синдикални организации;
    • ако се сещате за още – пишете ни!

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

  • Как са защитени личните ни данни в един все по-дигитален свят

    Последен ъпдейт на 28 юни 2018 в 13:26 ч.

    Правото за опазване на лични данни в онлайн пространството е (или трябва да бъде) основно човешко право. В наши дни, определението за „лична информация“ онлайн може да варира много, но в повечето случаи става въпрос за данните от потребителските интеракции. Докато броят на по-внимателните, които не оставят следи след себе си се увеличава, за по-голямата част от потребителите това е непосилно. Те оставят парченца информация навсякъде, предоставяйки на всеки кибер-престъпник една прекрасна игрална площадка.

    Факт, е че не друго, а потребителските данни движат една от следващите големи „революции“ – изкуствения интелект. Въпросът тук е колко от тези системи ще работят и ще се съобразяват с „правото да бъдеш забравен“? Колко от компаниите, които изграждат такива системи, ще се отнесат отговорно към данните, които обработват?

    Защото много от нас са наясно с това, че данните им се събират от различни услуги като социални мрежи. Но има още много, много услуги, които събират и използват личните ни данни, без дори да се замисляме за това.

    Безплатен ли е безплатният софтуер?

    В днешно време потребителите все повече очакват софтуерът да им бъде предоставян на много ниски цени или дори безплатно. Това подтиква много производители да направят безплатни версии на продуктите си, от които да изкарват пари по други начини – например като използват потребителските данни. В крайна сметка, когато нещо е напълно безплатно, а изглежда сякаш не трябва да бъде, най-вероятно продуктът сте вие.

    Do you accept the Terms and Conditions?

    Не само този тип софтуер използва такава стратегия за печалба. Повечето производители на безплатен софтуер въвеждат дълги и сложни условия за ползване и политики за данни, в които се крие отговорът на това дали и как продават данните ви на трети страни.

    Нужно е да разберете как компанията, чийто софтуер ползвате, печели пари. Например, мобилните игри често има изискване да закупите достъп до по-висока версия на продукта или да платите, за да спрете да виждате реклами. Ако не е очевидно какъв е метода за монетизация на компанията, то най-вероятно тя печели именно от продаването на вашите данни.

    Какво правихте днес?

    Докато от софтуерна страна можете да издадете онлайн навиците си, с навлизането на свързаните устройства (или IoT) това събиране на информация може да се пренесе към офлайн живота ви. Представете си, че докато се прибирате, телефонът ви следи местоположението ви, за да изчисли най-бързия път. Освен това се сещате да пуснете дистанционно „интелигентния“ си термостат, за да се приберете на топло.

    Завършете веригата както искате, но това трябва да ви дава представа, че събирането на такива данни и подреждането им от системи за изкуствен интелект може да предвиди или директно издаде всеки малък елемент на ежедневието ви. Свързаните устройства трябва да се използват с повече добре информирани решения от потребителите си, за да се предотврати ненужно шпиониране.

    Добрите новини

    През май 2018 ще влезе в действие нов регламент за защита на личните данни в Европейския съюз – GDPR (General Data Protection Regulation). Тя цели да даде на потребителите решението за това как и дали личните им данни се съхраняват, разпространяват и използват. Това значи, че всички сайтове и услуги, чиято потребителска база съдържа граждани на държави от ЕС ще трябва да се съобразяват с изискванията му.

    Подобна регулация е особено важна в наши дни, тъй като събирането на данни по всички обсъдени тук начини значи, че е възможно изграждането на сложен потребителски профил, който може да съдържа много чувствителни данни за вас, интересите ви, навиците ви. От своя страна, съществуването на такъв профил дава особено примамлива възможност на хакери да получат всичката информация за вас на едно място.

    Нека се надяваме, че 2018 г. ще ни донесе повече права за защита на данните ни. Въпреки че събирането им става все по-лесно и достъпно за всички, не трябва да му позволяваме да излиза извън контрол.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

  • Как да реагирате адекватно при хакерска атака

    Последен ъпдейт на 28 юни 2018 в 13:29 ч.

    Най-лошият сценарий за един бизнес, е не просто атака, не е дори и особено мощна атака, а успешна атака. Подготовката на план, предотвратяващ потенциален пробив и изтичане на данни е огромна отговорност – но в случай, че пробив в сигурността все пак се случи е нужно максимално адекватна реакция (а според изискванията на GDPR – е дори и задължителна такава).

    Естествено, най-доброто време да се приготвите как да реагирате при източване на данни е преди изобщо то да се е случило. Нека разгледаме най-важните насоки на действие:

    Не го дръжте в тайна

    Инвестициите в информационна сигурност не спират да растат – поредното проучване, което го доказвам е GISS – Global Information Security Survey. Въпреки тази позитивна тенденция, все още под 4% от проучените организации заявяват, че са напълно готови да контролират щетите, причинени от изтичане на данни. Около 35% от проучените фирми отговарят, че политиката им за защита на данните или обхваща единствено специфичен казус, или изобщо не съществува.

    В допълнение, 17% от фирмите не биха докладвали изтичане на данни на всички потребители. А 10% не биха известили дори потребителите, които са засегнати (грубо нарушение на GDPR – според изискванията на регламента, всички засегнати потребители трябва да бъдат уведомени за пробив в сигурността до 72 часа след разкриването му).

    Създайте план

    Погледнете на него като на списък с действия, който бихте оставили на детегледачка, в случай, че нещо сериозно се обърка с децата ви. Трябва да е точен и изчерпателен и да отговаря на въпроси от типа на:

    • Какъв е обхватът на атаката?
    • Как да продължи работата на засегнатите услуги?
    • По какъв начин инфекцията може да се изолира?
    • Как най-бързо и ефективно да уведомим всички засегнати?

    Както и всичко друго приложимо за бизнеса ви и обстоятелствата, които го обграждат.

    Този план трябва да се обновява, за да обхваща всички нови процеси и назначения, както отсъствия на служители. В най-добрия случай трябва да е на достатъчно сигурно място, че да не попада в грешните ръце, но да бъде достатъчно лесно достъпен.

    Пригответе си подходящо съобщение за засегнатите страни

    Човек, който се намира по средата на създалия се пожар трудно би могъл да реагира достатъчно добре. От друга страна, пък, въображаеми разговори под душа трудно могат да ви подготвят за мащаба на един такъв пробив. Използвайте помощта на добре запознато юридическо лице, за да подготвите шаблонен отговор по отношение на изтичане на данни. Можете да създадете уеб страница, която е достатъчно лесно достъпна, че да бъде разпращана. В процеса на разрешаване на проблема, можете да я обновявате с най-новата налична информация.

    Защитете клиентите си допълнително

    Въпреки че това не е една от стъпките, които задължително трябва да се случат след изтичане на данни, то тя би ви помогнала да си върнете доверието. Подсигурете навременното предоставяне на допълнителна сигурност и рекламирането ѝ може да ви върне част от клиентското доверие.

    Тествайте, тествайте, тествайте!

    Редовно тествайте плановете си и всички описани процеси чрез симулирани атаки и не пропускайте нито една от стъпките! Използването на реални сценарии за тренировъчната атака може да ви даде по-реалистична преценка относно протичането на плана. Точно тези тестове ще ви покажат какво (а често и как) трябва да се промени в действията, които смятате да предприемете.

    Последно, никога не трябва да приемате, че просто защото бизнесът ви не е привидно важен, то вие няма да станете нечия цел. Ако имате каквато и да е информация, която може да се монетизира (продаде), то вие вече сте под заплаха. Добрата подготовка може да превърне пълното бедствие в предизвикателство.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Back to top button