GDPR Data Breach Notification.

Από /

GDPR Data Breach Notification

Οι κρίσιμες 72 πρώτες ώρες. Κατανόηση του χρονοδιαγράμματος αναφοράς διαρροής δεδομένων του GDPR

Μία από τις αξιοσημείωτες διατάξεις του GDPR είναι το Άρθρο 33 ή η υποχρεωτική αναφορά διαρροής 72 ωρών (GDPR Data Breach Notification ). Το Άρθρο 33 ορίζει ότι, σε περίπτωση παραβίασης προσωπικών δεδομένων, οι υπεύθυνοι επεξεργασίας δεδομένων ενημερώνουν την αρμόδια εποπτική αρχή “χωρίς αδικαιολόγητη καθυστέρηση και, όπου είναι εφικτό, το αργότερο 72 ώρες μετά την αντίληψή της”. Πρόσφατα εισάγαμε ένα διάγραμμα που συνοψίζει τις διάφορες απαιτήσεις και τους μηχανισμούς απόκρισης που σχετίζονται με αυτόν τον κανόνα και θα προσπαθήσουμε τώρα να σας βοηθήσουμε να κατανοήσετε τις απαιτήσεις του κανόνα και πώς να προετοιμάσετε αποτελεσματικά.

Αντίστροφη Μέτρηση 72 Ωρών

Με απλά λόγια: Σύμφωνα με τις απαιτήσεις του GDPR, οι οργανισμοί έχουν μόλις 72 ώρες για να συγκεντρώσουν όλες τις σχετικές πληροφορίες και να αναφέρουν παραβιάσεις δεδομένων στον αρμόδιο ρυθμιστή. Πρόκειται για σημαντική δέσμευση για κάθε οργανισμό και περιλαμβάνει την ανάπτυξη και παροχή ενός συνολικού σχεδίου περιορισμού. Ακολουθεί ένα απλό παράδειγμα:

Τα βήματα είναι αρκετά σαφή: Διεξάγετε μια έρευνα, ενημερώστε γρήγορα τους ρυθμιστές και τα άτομα για μια παραβίαση και να είστε συγκεκριμένοι σε σχέση με τα δεδομένα που επηρεάστηκαν και τον τρόπο με τον οποίο το θέμα θα αντιμετωπιστεί στη συνέχεια… όλα μέσα σε 72 ώρες. Αξίζει να σημειωθεί ότι εάν – για οποιονδήποτε λόγο – δεν γίνει κοινοποίηση εντός της προθεσμίας 72ωρου, ο GDPR ζητά από τον ελεγκτή να αιτιολογήσει ευλόγως την καθυστέρηση. ενδεχομένως προσθέτοντας πρόσθετη αναστάτωση στις τακτικές επιχειρηματικές δραστηριότητες και ενοχλητική διοικητική ταλαιπωρία.

Το Άρθρο 33 του GDPR ορίζει επίσης το είδος των πληροφοριών που πρέπει να περιλαμβάνει η αναφορά. Η αρχή προστασίας δεδομένων εικάζει τουλάχιστον να αναμένει:

Είναι σαφές ότι οι προσδοκίες για πληροφορίες είναι υψηλές και το χρονοδιάγραμμα είναι αρκετά σύντομο, γεγονός που αποτελεί σημαντική πρόκληση για τον οργανισμό, καθώς προσπαθεί να ανταποκριθεί στις απαιτήσεις, προσπαθώντας συγχρόνως να αντιμετωπίσει τα ζητήματα που σχετίζονται με την παραβίαση και να διατηρήσει τη λειτουργία του.

Επιπλέον, ειδικά για τις ομάδες ασφαλείας, η πρόκληση εντοπισμού της διαρροής δεδομένων καθίσταται ακόμα πιο πιεστική, δεδομένου ότι πολλές παραβιάσεις δεδομένων δεν εντοπίζονται για εβδομάδες, μήνες και μερικές φορές χρόνια. Ακόμα και τότε, όταν εντοπιστούν παραβιάσεις, η κατανόηση του αντικτύπου και η αναφορά σύμφωνα με τις παραμέτρους του άρθρου – δηλαδή, ποιος επηρεάστηκε, ποια δεδομένα διέρρευσαν, πώς συνέβη και πώς να αποκατασταθεί η κατάσταση – μέσα σε 72 ώρες μπορεί να είναι απαιτητικό έργο.

Επομένως, τι μπορούν να κάνουν οι οργανισμοί για να ανταποκριθούν στις απαιτήσεις κοινοποίησης των παραβιάσεων δεδομένων του GDPR και να ελαχιστοποιήσουν τον αντίκτυπό τους; Ή αλλιώς, πώς μπορούν να μειώσουν τον κίνδυνο και τις συνέπειες που σχετίζονται με την παραβίαση δεδομένων ( GDPR Data Breach Notification ) και τις επακόλουθες απαιτήσεις κοινοποίησης 72 ωρών:

Προσδιορισμός της Ύποπτης Πρόσβασης Δεδομένων

Για να ανιχνεύσετε και να αναφέρετε τελικά μια παραβίαση δεδομένων, πρέπει να είστε σε θέση να απαντήσετε στην ερώτηση σχετικά με το εάν όντως υπάρχει πρόσβαση στα δεδομένα σας και αν η πρόσβαση είναι πραγματικά εκ φύσεως ύποπτη. Ως εκ τούτου, είναι σημαντικό να έχετε μια άποψη σχετικά με τις κατάλληλες εγκρίσεις, προθέσεις και ενέργειες κάθε χρήστη εντός του οργανισμού σας για να διασφαλίσετε ότι οι εσωτερικοί και εγκεκριμένοι/σκόπιμοι χρήστες και οι ακούσιοι εσωτερικοί κίνδυνοι λαμβάνονται υπόψη. Πρέπει να κατανοείτε πλήρως τι κάνουν οι χρήστες με τα επιχειρηματικά δεδομένα, ώστε να μην χάσετε το ζωτικό πλαίσιο που σχετίζεται με ένα περιστατικό παραβίασης.

Η ανίχνευση της ύποπτης πρόσβασης σε δεδομένα μπορεί να αποτελέσει πρόκληση, καθώς οι οργανισμοί πρέπει να παρέχουν στους υπαλλήλους πρόσβαση στα δεδομένα για την εκτέλεση της εργασίας τους. Το κλειδί έγκειται στην εφαρμογή της κατάλληλης πολιτικής, διαδικασίας, κατάρτισης και τεχνολογιών που θα βοηθήσουν να προσδιοριστεί η εξουσιοδοτημένη, καθημερινή πρόσβαση δεδομένων και να ανιχνευθεί οτιδήποτε μπορεί να είναι καταχρηστικό.

Προτεραιότητα και Κατηγοριοποίηση Πραγματικών Περιστατικών

Οι σημερινές ομάδες ασφαλείας κατακλύζονται συνήθως με πληροφορίες και ειδοποιήσεις σχετικά με τη δραστηριότητα και τα περιστατικά που σχετίζονται με την πρόσβαση και τη χρήση δεδομένων σε έναν οργανισμό. Με τις απαιτήσεις ιδιωτικότητας και κανονισμούς του κλάδου, όπως το GDPR που εντείνουν την προσοχή και απαιτούν διαφάνεια και λεπτομερή αναφορά για παραβιάσεις δεδομένων, η ικανότητα αποτελεσματικής (και αποδοτικής) διερεύνησης του όγκου των καθημερινών ειδοποιήσεων για να προσδιοριστεί κάποια ως «πραγματικό» περιστατικό γίνεται κρίσιμη.

Επιπλέον, σε πολλές περιπτώσεις, οι επαγγελματίες ασφαλείας δεν έχουν το απαραίτητο πλαίσιο για τον εντοπισμό και την ιεράρχηση κρίσιμων περιστατικών, καθώς δεν είναι ειδικοί σε βάσεις δεδομένων και δεν έχουν βαθιά γνώση του τι είναι σωστό και τι όχι.

Εδώ είναι όπου η τεχνολογία παρακολούθησης βάσεων δεδομένων, η μηχανική μάθηση, οι διαδικασίες πρόσβασης και ανάλυσης δεδομένων έρχονται στο προσκήνιο. Η κατανόηση των απαιτήσεων και διαδικασιών πρόσβασης και η αξιοποίηση των τεχνολογιών που έχουν σχεδιαστεί για να καταστεί δυνατή η εφαρμογή και η παρακολούθησή τους συμβάλλουν στη «διήθηση» των δισεκατομμυρίων γεγονότων πρόσβασης σε δεδομένα σε ένα μικρό αριθμό «πραγματικών» γεγονότων υψηλής αξίας.

Αυξάνουν την πιστότητα των ειδοποιήσεων και επιτρέπουν την εστίαση σε σημαντικά συμβάντα, μειώνοντας το χρόνο που απαιτείται για διερεύνηση πιθανών παραβιάσεων και αυξάνοντας την αποτελεσματικότητα των ομάδων ασφαλείας. Η προσπάθεια να επιτευχθεί αυτό χωρίς τη βοήθεια της τεχνολογίας έρχεται με αυξημένο κόστος, χρόνο πόρων και κίνδυνο.

Για τον σκοπό αυτό σαν dreamweaver.gr έχουμε εγκατεστημένους μηχανισμούς firewall τόσο στην κατασκευή μιας ιστοσελίδας ή στην κατασκευή ενός eshop που όχι μόνο λειτουργεί αποτρεπτικά σε κακόβουλους χρήστες αλλά κυρίως κρατά αρχείο και ενημερώνει τον διαχειριστή της ιστοσελίδας / ηλεκτρονικού καταστήματος και τον data protection officer αυτής.  Να παραθέσουμε ένα απλό παράδειγμα. Ας θεωρήσουμε ότι ένα φαινομενικά αθώο “hacking” της σελίδας σας έχει συμβεί με μοναδικό στόχο του εισβολέα να αποστείλλει spam emails χρησιμοποιώντας την γλώσσα προγραμματισμού php εν αγνοία σας μέσα από τον server σας.

Επειδή μια τέτοια διαδικασία δεν θα γίνει αντιληπτή από εσάς (η ιστοσελίδα και τα email σας θα λειτουργούν κανονικά ) και επειδή ένα απλό firewall δεν θα αντιλαμβανόνταν κάποια παραβίαση του πυρήνα του κώδικα της ιστοσελίδας / eshop σας θα περνούσε ενδεχομένως απαρατήρητη από εσάς αλλά όχι και από έναν οργανισμό όπως η spamhaus.org. Αυτό θα σας τοποθετούσε σε μια λίστα spammers με ότι προβλήματα αυτό συνεπάγεται (μη ανάγνωση των email σας από τρίτους) αλλά πλέον και ως πιθανούς ενόχους παραβίασης του κανονισμού GDPR.  Ο μηχανισμός που τοποθετούμε κάνει ελέγχους σε τέτοιες βάσεις δεδομένων και αν σας βρεί ενημερώνεστε και μπορείτε να ενημερώσετε εντός των 72 ωρών για το περιστατικό και να συμμορφωθείτε εγκαίρως ακολουθώντας την πολιτική αντιμετώπισης / ενημερώσης (  GDPR Data Breach Notification )

Φυσικά τα εργαλεία που έχουμε στην διάθεση μας δεν σταματούν εκεί. Ενδεικτικά αναφέρουμε μια λύση για ιστοσελίδες δημιουργημένες με wordpress και e-shop στηριγμένα στο woocommerce που μπορείτε να διαβάσετε εδώ 

Παρακολούθηση & Πρόσβαση και Ενέργεια

Η παρακολούθηση αποτελεί βασικό κομμάτι του παζλ όσον αφορά την τήρηση του κανόνα των 72 ωρών, δηλαδή την παρακολούθηση και ανίχνευση συμβάντων και την αποτελεσματική και αποτελεσματική αναφορά αυτών που είναι ουσιώδη και αληθινά σύμφωνα με τις απαιτήσεις του GDPR. Για να διαπιστωθεί κατά πόσο η πρόσβαση και η ενέργρια είναι καλή ή κακή, οι εταιρείες πρέπει να παρακολουθούν συνεχώς την πρόσβαση σε δεδομένα και να σημειώνουν/καταγράφουν/αρχειοθετούν τα γεγονότα αυτά – τα οποία θα εξυπηρετούν επίσης τους οργανισμούς σε σχέση με την υποβολή εκθέσεων και την απόδειξη των βέλτιστων προσπαθειών σε περίπτωση παραβίασης δεδομένων και παραβιάσεις συμμόρφωσης με τον GDPR.

Το ερώτημα είναι: πώς μπορεί να διαπιστωθεί εάν κάτι είναι καλό ή κακό χωρίς γνώση του; Το κλειδί είναι η παρακολούθηση της βάσης δεδομένων, καθώς παρέχει μία χρήσιμη βάση που δίνει την απαραίτητη ορατότητα και εμπιστοσύνη ότι τα δεδομένα είναι ασφαλή και η συμμόρφωση είναι υπαρκτή. Ωστόσο, δεν είναι μια απλή δράση, καθώς προϋποθέτει παρακολούθηση όλων των χρηστών, συμπεριλαμβανομένων εφαρμογών που έχουν πρόσβαση σε δεδομένα και προνομιακούς χρήστες, καθώς και σε όλες τις βάσεις δεδομένων ΚΑΘΕ ΣΤΙΓΜΗ.

Σίγουρα, αυτό μπορεί να είναι ένα δυσθεώρητο έργο, αλλά μπορεί να διευκολυνθεί σε μεγάλο βαθμό με αποτελεσματικά εργαλεία ασφάλειας δεδομένων, όπως η παρακολούθηση της βάσης δεδομένων και η ενεργή αναφορά δραστηριοτήτων. Η δυνατότητα ακριβούς παρακολούθησης, ανίχνευσης και ιεράρχησης της πρόσβασης και της δραστηριότητας είναι το κλειδί για την επιτάχυνση της ανίχνευσης παραβιάσεων χωρίς να προκαλείται διακοπή της λειτουργίας.

Εν τω μεταξύ, η λύση μπορεί να συγκεντρώνει αυτόματα όλες τις λεπτομέρειες παραβίασης και σας επιτρέπει να παρέχετε μια λεπτομερή αναφορά εσωτερικά και στον ρυθμιστή σύμφωνα με τις διατάξεις της απαίτησης των 72 ωρών.

Παροχή της Διαγνωστικής Αναφοράς

Επιπλέον, ο GDPR απαιτεί από τους ελεγκτές δεδομένων να τεκμηριώνουν όχι μόνο τα στοιχεία σχετικά με την παραβίαση, αλλά και τα αποτελέσματά της και όλες τις σχετικές πληροφορίες επιπτώσεων και τις διορθωτικές ενέργειες που έχουν αναληφθεί, και στη συνέχεια γραπτή αναφορά όλων των ενεργειών. Όπως περιγράφηκε προηγουμένως, το Άρθρο 33 απαιτεί την αναφορά συγκεκριμένων πληροφοριών που σχετίζονται με την παραβίαση, συμπεριλαμβανομένων (μεταξύ άλλων):

  • Τη φύση της παραβίασης
  • Τις πιθανές επιπτώσεις και συνέπειες της παραβίασης
  • Τα μέτρα που ελήφθησαν ή προτάθηκαν από τον υπεύθυνο επεξεργασίας δεδομένων για την αντιμετώπιση της παραβίασης και την άμβλυνση των αρνητικών επιπτώσεών της

Οι πληροφορίες που απαιτούνται για να υποστηριχθεί αυτή η απαίτηση έχουν τη μορφή διαγνωστικής έκθεσης, η οποία διεξάγεται είτε εσωτερικά είτε με υποστήριξη τρίτων εμπειρογνωμόνων. Η διαγνωστική αναφορά είναι αυτό που παρέχουν οι ερευνητές και βοηθά τους οργανισμούς να κατανοήσουν πως εκτελέστηκε η επίθεση, ποια κενά ασφαλείας αξιοποιήθηκαν, ποια δεδομένα εκτέθηκαν κ.λπ.

Με την συνεχή και αποτελεσματική παρακολούθηση και καταγραφή όλων των δεδομένων πρόσβασης, οι οργανισμοί μπορούν να κατανοήσουν τα στοιχεία σχετικά με το τι, πως και από ποιους της παραβίασης, πολύ πιο σύντομα, μειώνοντας έτσι τον χρόνο διερεύνησης και τη συμμόρφωση με την απαίτηση των 72 ωρών. Η διαδικασία αυτή νομίζουμε ότι μπορεί να περιγράψει με σχετική ακρίβεια τα προσόντα ενός data protection officer – υπεύθυνου προστασίας δεδομένωνκαι το πόσο σημαντικό είναι η εταιρεία σας να έχει αναθέσει στον κατάλληλο άνθρωπο ή στην κατάλληλη επιχείρηση τον ρόλο του DPO. Είναι η ασπίδα προστασίας της επιχείρησης σας απέναντι σε πρόστιμα και το κυριότερο στις αγωγές που πρόκειται να ακολουθήσουν του προστίμου.

Κλείνοντας να τονίσουμε ότι στο blog μας έχουμε ειδική κατηγορία άρθρων για το GDPR που μπορείτε να διαβάσετε εδώ

Σε συνεργασία με το Πανεπιστήμιο Πειραιώς μπορείτε να παρακολουθήσετε εξ’ αποστάσεως το elearning πρόγραμμα για τον κανονισμό gdpr που έχω την τιμή και χαρά να διδάσκω εκεί.

Ελπίζουμε να βοηθήσαμε στην αποσαφήνιση του GDPR Data Breach Notification

Για την dreamweaver.gr
Θανάσης Δαβαλάς

Τηλ: 210 77 13 284

FB

LinkedIn

Rate this post
Close Popup