Securitatea cibernetică se concentrează adesea pe atacurile externe, dar o amenințare la fel de periculoasă – și adesea mai greu de detectat – vine din interior: angajații rău-intenționați. Aceștia sunt persoane din interiorul organizației (angajați, contractori, parteneri) care își folosesc în mod intenționat accesul privilegiat pentru a provoca daune. Acest articol explorează cum să identificăm și să contracarăm această amenințare insidioasă.
Tipuri de amenințări interne:
Angajații rău-intenționați nu sunt toți la fel. Motivațiile lor variază:
Câștig financiar: Vânzarea de date confidențiale sau proprietate intelectuală.
Răzbunare: Sabotaj ca urmare a unui conflict, concedieri sau nemulțumiri.
Ideologie: Spionaj în favoarea unei alte entități sau cauze.
Avantaj competitiv: Furt de informații pentru a le folosi la un nou loc de muncă sau pentru a începe o afacere concurentă.
De ce sunt greu de detectat?
Spre deosebire de atacatorii externi, persoanele din interior au deja acces legitim. Metodele tradiționale de securitate, concepute pentru a bloca accesul neautorizat din exterior, sunt adesea ineficiente. Detectarea se bazează în principal pe analiza comportamentală.
Indicatori de alarmă (semnale roșii):
Urmăriți aceste comportamente suspecte:
Ore de lucru neobișnuite: Accesarea sistemelor sau datelor în afara programului normal de lucru sau în domenii care nu sunt relevante pentru sarcinile lor.
Încercări de extragere a datelor: Copierea unor cantități mari de date pe dispozitive USB, stocare în cloud sau e-mailuri personale.
Nemulțumire și comportament negativ: Exprimarea nemulțumirii, conflicte cu conducerea, semne de stres financiar.
Ocolirea controalelor de securitate: Încercări de a ocoli protocoalele de securitate sau de a accesa zone restricționate.
Schimbări neexplicate în stilul de viață: Îmbunătățiri bruște ale situației financiare care nu se aliniază cu salariul.
Strategii de atenuare (cum să ne protejăm):
O abordare pe mai multe niveluri este esențială:
Control strict al accesului și principiul celui mai mic privilegiu: Acordați acces doar la resursele absolut necesare pentru îndeplinirea sarcinilor.
Analiza comportamentului utilizatorilor și entităților: Utilizați tehnologii care monitorizează comportamentul utilizatorilor și detectează anomaliile.
Prevenirea pierderii datelor (DLP): Implementați instrumente care împiedică datele sensibile să părăsească controlul organizației.
Instruirea și conștientizarea angajaților: Educați angajații cu privire la riscurile amenințărilor interne și la modul de raportare a activităților suspecte.
Verificări de fond și monitorizare continuă: Efectuați verificări amănunțite ale antecedentelor și monitorizați continuu angajații, în special pe cei cu acces la nivel înalt.
Plan de răspuns la incidente: Aveți un plan bine definit pentru a răspunde rapid și a limita daunele în cazul unui incident de amenințare internă.
Creați un mediu de lucru pozitiv.. Angajații fericiți sunt mai puțin predispuși să devină amenințări interne.
Concluzie:
Combaterea amenințărilor interne necesită o abordare proactivă, stratificată, care combină tehnologia, politicile interne și o cultură puternică de securitate. Este esențial să monitorizăm comportamentul, nu doar accesul, și să încurajăm un mediu de lucru în care angajații se simt în siguranță să raporteze preocupările lor. Prevenirea este întotdeauna mai bună decât tratarea consecințelor.
Atacurile cibernetice bazate pe furtul sau compromiterea identităților sunt în continuă creștere și devin tot mai sofisticate. Microsoft subliniază necesitatea unei abordări proactive a securității identității și accesului (IAM).
Aici prezint trei priorități esențiale pentru 2025, recomandate de Microsoft, pentru a-ți proteja organizația.
Consolidarea credențialelor și reducerea suprafeței de atac:
Parolele tradiționale sunt vulnerabile. Este crucial să trecem la metode de autentificare mai puternice și să reducem oportunitățile pentru atacatori.
Autentificare Fără Parole (Passwordless Authentication): Implementează autentificarea multi-factor (MFA) folosind Microsoft Authenticator, chei de securitate FIDO2 sau Windows Hello. Eliminarea parolelor reduce semnificativ riscul.
Politici de Acces Condiționat (Conditional Access Policies): Creează reguli detaliate care controlează accesul în funcție de locația utilizatorului, starea dispozitivului, sensibilitatea aplicației și alți factori. Blochează protocoalele de autentificare vechi (legacy authentication).
Evaluarea Continuă a Accesului (Continuous Access Evaluation): Monitorizează sesiunile utilizatorilor în timp real și revocă accesul imediat dacă nivelul de risc se modifică (de exemplu, o schimbare bruscă a locației).
Minimizarea Privilegiilor Permanente: Implementarea principiilor “just-in-time” și “just-enough-access” (acces temporar și limitat la strictul necesar).
Guvernarea identitatilor si a accesului. Automatizarea ciclului de viata a identitatilor.
Unificarea protecției identității pe toate platformele:
Organizațiile moderne folosesc adesea o combinație de medii cloud, on-premises și multi-cloud. Este esențială o abordare unificată a securității identității.
Guvernare Centralizată a Identității (Centralized Identity Governance): Implementează un sistem unificat pentru gestionarea identităților și accesului pe toate platformele.
Detectarea Amenințărilor pe Toate Platformele (Cross-Platform Threat Detection): Utilizează instrumente care pot detecta și răspunde la amenințări în diferite medii.
Gestionarea identitatilor aplicatiilor(Workload Identities management): Securizarea conturilor de servicii, aplicatii si alte indentitati non-umane.
Utilizarea AI pentru securitate îmbunătățită:
AI-ul joacă un rol din ce în ce mai important în securitatea cibernetică, automatizând detectarea și răspunsul la amenințări.
Detectarea Amenințărilor Bazată pe AI (AI-Powered Threat Detection): Folosește AI pentru a identifica tipare neobișnuite de autentificare și alți indicatori de compromitere.
Remediere Automată (Automated Remediation): Utilizează AI pentru a răspunde automat la amenințări, cum ar fi blocarea accesului sau declanșarea MFA.
Decizii de Acces Bazate pe Risc (Risk-Based Access Decisions): Folosește AI pentru a evalua nivelurile de risc și a ajusta dinamic controalele de acces.
În concluzie:
Într-un peisaj al amenințărilor în continuă evoluție, o abordare reactivă a securității nu mai este suficientă.
Prioritățile prezentate de Microsoft – consolidarea credențialelor, unificarea protecției și utilizarea AI – sunt esențiale pentru a construi o apărare robustă și proactivă împotriva atacurilor cibernetice care vizează identitatea și accesul.
Implementarea acestor măsuri este crucială pentru protejarea datelor și a resurselor organizației tale în 2025 și în viitor.
Google Drive este un instrument extrem de util pentru colaborare și stocarea fișierelor. Cu toate acestea, setările de partajare incorecte pot duce la scurgeri accidentale de informații sensibile.
Acest articol îți arată, “pe scurt”, cum să folosești Google Drive în siguranță și să previi expunerea datelor tale.
Înțelege opțiunile de partajare:
Google Drive oferă trei opțiuni principale de partajare:
Restricționat (Restricted):Doar persoanele pe care le adaugi explicit au acces. Aceasta este cea mai sigură opțiune.
Organizația ta (Your Organization):Toți utilizatorii din contul Google Workspace al organizației tale au acces. Potrivit pentru colaborarea internă.
Oricine are linkul (Anyone with the link):Oricine are linkul poate accesa fișierul, fără a fi nevoie să se autentifice. Aceasta este cea mai riscantăopțiune.
Cele mai bune practici pentru prevenirea scurgerilor de date:
Folosește “Restricționat” ca setare implicită: Partajează fișiere și foldere doar cu persoanele care au nevoie de acces.
Evită “Oricine are linkul” pentru datele sensibile: Această opțiune ar trebui folosită doar pentru documente care sunt destinate publicului larg.
Utilizează partajarea cu “Organizația ta”: Pentru colaborarea internă, aceasta este o opțiune mai sigură decât “Oricine are linkul”.
Verifică periodic permisiunile: Revizuiește regulat cine are acces la fișierele și folderele tale. Accesează secțiunea “Partajate cu mine” (Shared with me) pentru a vedea ce fișiere și foldere au fost partajate cu tine. Elimină accesul persoanelor care nu mai au nevoie de el.
Setează date de expirare: Când partajezi cu utilizatori externi, setează o dată de expirare pentru a revoca automat accesul.
Folosește funcțiile Google Workspace (dacă este cazul): Dacă organizația ta folosește Google Workspace, utilizează funcții precum regulile de Prevenire a Pierderii Datelor (DLP) și jurnalele de audit pentru un control și o monitorizare sporite.
Instruiește utilizatorii: Educația angajaților cu privire la practicile corecte de partajare a fișierelor este esențială.
Dezactivează descărcarea, printarea si copierea pentru comentatori si vizualizatori. Această setare impiedică utilizatorii cu access limitat să descarce, printeze sau copieze fisierul.
Pași concreti:
Când partajezi un fișier/folder:
Click dreapta pe fișier/folder.
Selectează “Partajează” (Share).
În fereastra care se deschide, asigură-te că este selectat “Restricționat” (sau “Organizația Ta” dacă este cazul).
Adaugă adresele de e-mail ale persoanelor cu care vrei să partajezi doar dacă este necesar.
Click pe rotita dintata(settings) si debifeaza optiunea “Editorii pot schimba permisiunile și pot trimite” si “Cititorii și comentatorii pot vedea opțiunea de descărcare, imprimare și copiere”.
Pentru a verifica permisiunile:
Click dreapta pe fișier/folder.
Selectează “Partajează” (Share).
Vezi lista persoanelor care au acces.
Elimină accesul celor care nu mai au nevoie de el.
Concluzie:
Securitatea datelor în Google Drive depinde în mare măsură de tine. Urmând aceste sfaturi simple, poți reduce semnificativ riscul de scurgeri accidentale de informații.
Nu uita: o abordare proactivă și verificările regulate sunt cheia pentru a-ți păstra datele în siguranță.
Regulamentul General privind Protecția Datelor (GDPR) a schimbat fundamental modul în care organizațiile gestionează datele cu caracter personal. Consiliul European pentru Protecția Datelor (EDPB) a publicat recent ghiduri esențiale despre pseudonimizare, o tehnică importantă pentru conformitatea GDPR. Acest articol explică ce înseamnă pseudonimizarea, cum diferă de anonimizare și cum te poate ajuta să respecți GDPR.
Ce Este Pseudonimizarea?
Pseudonimizarea este un proces prin care datele cu caracter personal sunt prelucrate astfel încât să nu mai poată fi atribuite unei persoane specifice fără utilizarea unor informații suplimentare. Aceasta nu înseamnă anonimizare. Datele pseudonimizate sunt încă considerate date cu caracter personal, deoarece, teoretic, pot fi legate înapoi la o persoană.
Pseudonimizarea vs. Anonimizarea:
Pseudonimizarea: Reduce legătura directă dintre date și identitatea unei persoane, dar re-identificarea este posibilă cu informații suplimentare (cheia de pseudonimizare).
Anonimizarea: Face imposibilă identificarea persoanei, chiar și cu informații suplimentare. Datele anonimizate nu mai intră sub incidența GDPR.
De Ce Este Importantă Pseudonimizarea în GDPR?
Măsură de Securitate: Pseudonimizarea este o măsură tehnică și organizatorică recomandată de GDPR pentru a proteja datele cu caracter personal.
Protecția Datelor Încă din Faza de Proiectare (Data Protection by Design): Ajută la implementarea principiului “data protection by design and by default”.
Reducerea Riscurilor: Reduce riscul de încălcare a securității datelor și impactul unei eventuale breșe.
Respectarea principiului minimizarii datelor: EDPB sublineaza ca pseudonimizarea ajuta la respectarea acestui principiu.
Puncte Cheie din Ghidul EDPB:
Abordare Stratificată: EDPB recomandă o abordare combinată, folosind pseudonimizarea împreună cu alte măsuri de securitate (criptare, controlul accesului, minimizarea datelor).
Securitatea “Informațiilor Suplimentare”: Cheia care permite re-identificarea trebuie păstrată extrem de sigur și separat de datele pseudonimizate.
Exemple Practice: Ghidul oferă exemple de tehnici de pseudonimizare (hashing, criptare, tokenizare) și scenarii de utilizare.
Responsabilitatea Operatorului: Operatorul de date rămâne responsabil pentru evaluarea riscurilor de re-identificare și implementarea măsurilor de protecție adecvate.
Tehnici de pseudonimizare:
Ghidul menționează mai multe tehnici, printre care:
Criptare: Datele sunt transformate într-un format ilizibil, care poate fi decriptat doar cu o cheie secretă.
Hashing: O funcție unidirecțională transformă datele într-o valoare unică (hash), dar procesul nu este reversibil.
Tokenizare: Înlocuirea datelor sensibile cu valori non-sensibile (token-uri), păstrând formatul original (de exemplu, înlocuirea numerelor de card cu token-uri).
Concluzie:
Pseudonimizarea este un instrument valoros pentru conformitatea GDPR, dar nu un substitut pentru anonimizare. Este esențial să înțelegem diferența și să implementăm pseudonimizarea corect, ca parte a unei strategii complete de protecție a datelor.
Ghidul EDPB oferă clarificări importante și îndrumări practice pentru a naviga în acest aspect complex al GDPR.
Respectarea acestor recomandări va contribui semnificativ la protejarea datelor cu caracter personal și la evitarea sancțiunilor.
FARMEC SA amendată de ANSPDCP pentru încălcarea securității datelor
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat o investigație la operatorul FARMEC SA în decembrie 2024, constatând încălcări ale Regulamentului (UE) 2016/679 (GDPR) privind protecția datelor cu caracter personal. În consecință, FARMEC SA a fost sancționată cu o amendă de 24.854,50 lei, echivalentul a 5000 de euro.
Investigația a fost declanșată în urma unei notificări de încălcare a securității datelor cu caracter personal, transmisă de FARMEC S.A. conform art. 33 din GDPR. În urma unui atac cibernetic, o bază de date conținând informații despre utilizatorii și administratorii site-ului operatorului a fost accesată, datele fiind extrase din sistemul de evidență.
ANSPDCP a constatat că FARMEC SA nu implementase la momentul incidentului măsurile de securitate necesare pentru a preveni atacul cibernetic. Mai mult, sistemele informatice nu fuseseră actualizate la ultima versiune de licențiere, vulnerabilitatea fiind exploatată de atacatori. Această neglijență a dus la divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal a unui număr semnificativ de persoane fizice, inclusiv nume, prenume, adrese de e-mail și parole criptate pentru accesul la conturile de utilizator. Prin urmare, au fost încălcate prevederile art. 25 alin. (1) coroborat cu art. 32 alin. (1) lit. b), d) și alin. (2) din GDPR.
FARMEC SA a achitat amenda contravențională. Acest caz subliniază importanța crucială a implementării și menținerii unor măsuri de securitate robuste pentru protecția datelor cu caracter personal, precum și necesitatea actualizării constante a sistemelor informatice pentru a contracara amenințările cibernetice în continuă evoluție. Nerespectarea GDPR poate atrage sancțiuni financiare semnificative și poate afecta negativ reputația companiilor.
V&M Contab&Management SRL amendată de ANSPDCP pentru multiple încălcări ale GDPR
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat o investigație în decembrie 2024 la V&M Contab&Management SRL, constatând multiple încălcări ale Regulamentului (UE) 2016/679 (GDPR). Operatorul a fost sancționat contravențional cu două amenzi cumulate:
9.954,00 lei (2.000 EURO): pentru încălcarea art. 58 alin. (1) lit. a) și e) din GDPR, coroborat cu art. 83 alin. (5) lit. e). Această amendă a fost aplicată pentru că V&M Contab&Management SRL nu a răspuns solicitărilor de informații ale ANSPDCP, deși avea obligația legală de a permite accesul la datele cu caracter personal și la informațiile necesare investigației.
39.816,00 lei (8.000 EURO): pentru încălcarea art. 32 alin. (4) coroborat cu art. 32 alin. (1) lit. b) și alin. (2) din GDPR. Această amendă a fost aplicată în urma constatării transmiterii prin WhatsApp către un terț a unui tabel cu parole de acces în platforma Revisal pentru mai multe entități juridice. Prin intermediul acestor parole, terțul putea accesa datele personale ale angajaților sau foștilor angajați ai respectivelor societăți. Incidentul a dus la accesul neautorizat și divulgarea neautorizată a datelor cu caracter personal, incluzând nume, prenume, cetățenie, cod numeric personal și domiciliu. ANSPDCP a constatat că operatorul nu a luat măsuri pentru a se asigura că persoanele care acționează sub autoritatea sa și au acces la datele personale le prelucrează doar la cererea acestuia. Mai mult, operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului prelucrării, inclusiv confidențialitatea și integritatea sistemelor și serviciilor de prelucrare.
Pe lângă amenzile financiare, ANSPDCP a dispus măsura corectivă de schimbare a tuturor credențialelor de acces în platforma Revisal pentru toate entitățile juridice afectate de incident.
Acest caz evidențiază gravitatea nerespectării prevederilor GDPR și importanța crucială a protecției datelor cu caracter personal. Companiile trebuie să acorde o atenție deosebită solicitărilor ANSPDCP, să implementeze măsuri de securitate adecvate și să se asigure că angajații respectă regulile privind prelucrarea datelor. Utilizarea canalelor de comunicare nesecurizate, cum ar fi WhatsApp, pentru transmiterea de informații sensibile, reprezintă un risc major pentru securitatea datelor.
Unicredit Bank SA amendată de ANSPDCP pentru două încălcări ale GDPR
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat Unicredit Bank SA cu 74.652 lei (echivalentul a 15.000 de euro) în decembrie 2024, ca urmare a constatării a două încălcări ale prevederilor art. 25 alin. (1) din Regulamentul General privind Protecția Datelor (RGPD).
Investigația a fost inițiată în urma a două notificări de încălcare a securității datelor cu caracter personal, transmise de către bancă conform RGPD.
Primul incident: a fost cauzat de funcționarea defectuoasă a aplicației prin care se creează numele de utilizator, din cauza lipsei testării prealabile într-un mediu de testare. Aceasta a dus la divulgarea neautorizată a datelor cu caracter personal ale unor clienți, cum ar fi nume, prenume, informații despre contul curent, tranzacții și sold cont, tranzacții și sold card.
Al doilea incident: a survenit în urma implementării unei soluții de comunicare a clienților cu banca, din nou, fără o testare prealabilă adecvată în mediul de test. Consecința a fost divulgarea neautorizată a datelor cu caracter personal (numele titularului de card, numărul de telefon, data tranzacției, valuta, adresa de email, suma tranzacției, motivul de refuz la plată) ale unui număr semnificativ de clienți ai Unicredit Bank SA.
ANSPDCP a constatat că Unicredit Bank SA nu a implementat măsuri tehnice și organizatorice adecvate, atât la momentul stabilirii mijloacelor de prelucrare, cât și în cel al reluării acesteia, pentru a aplica eficient principiile de protecție a datelor și a integra garanțiile necesare în cadrul prelucrării. Prin urmare, a fost aplicată amenda pentru încălcarea art. 25 alin. (1) din RGPD.
Pe lângă amendă, ANSPDCP a dispus măsura corectivă de a implementa tehnic și organizatoric un plan de testare a tuturor componentelor/aplicațiilor ce urmează a fi introduse în activități care includ prelucrări de date cu caracter personal. Acest plan trebuie să analizeze toate funcționalitățile într-un mediu de test care să simuleze scenariul real din mediul de producție.
Unicredit Bank SA a achitat amenda aplicată. Acest caz subliniază importanța testării riguroase a sistemelor și aplicațiilor înainte de implementarea lor, mai ales când acestea implică prelucrarea datelor cu caracter personal. Lipsa unei testări adecvate poate duce la vulnerabilități de securitate și la divulgarea neautorizată a datelor, cu consecințe financiare și reputaționale semnificative.
