1

PROTECȚIA
DATELOR
pentru întreprinderi mici și
mijlocii

• Capitolul 1: Importanța imperativului de protecție

a datelor
PARTENERUL #1
ÎN SECURITATEA
ENDPOINT
în uniunea europeană
Timp de 30 de ani, ESET® a dezvoltat
software și servicii de securitate IT
de top în industrie, pentru mediul de
afaceri și consumatorii din întreaga
lume.

ESET este o companie privată, fără

datorii și credite, determinată să ofere
cea mai avansată protecție tuturor
consumatorilor.

STATISTICI ESET

110m+ 400k+
utilizatori clienți
globali business

200+ 13
țări & centre
teritorii globale de
acoperite cercetare și
dezvoltare

www.eset.ro
1

În acest capitol
• Cum măsurăm costurile reale ale unei breșe de date
• Perspective asupra peisajului amenințărilor informatice
moderne
• Ce putem învăța din breșele de date anterioare
• Înțelegerea cerințelor de conformitate

Capitolul 1

IMPORTANȚA
IMPERATIVULUI DE
PROTECȚIE A DATELOR
În acest capitol, veți afla cum poate să afecteze o încălcare a securității datelor un
business, cum a evoluat peisajul amenințărilor moderne, cum au fost afectate întreprinderi
mici și mijlocii (IMM-uri) de breșele recente de date și ce presupune această schimbare a
cerințelor legale și de reglementare.

Cum înțelegem impactul unei breșe la

nivel de business

Întreprinderile mici și mijlocii (IMM-urile) reprezintă 99% din totalul întreprinderilor

din UE și peste 95% din afacerile din întreaga lume, prin urmare nu ar trebui să ne
surprindă faptul că IMM-urile sunt victime în peste 70% din cazurile de breșe de date,
potrivit International Data Corporation (IDC). Cu toate acestea, multe companii cred în
continuare că nu sunt vulnerabile la atacuri cibernetice, datorită dimensiunilor mici și a
activității restrânse. Din păcate, nu așa stau lucrurile în realitate.

Potrivit raportului Data Breach Investigations (DBIR), efectuat

de Verizon în 2017, hackerii tind să-și mute atenția către
restaurante și întreprinderi mici (intruziuni la nivelul punctelor
de vânzare, în special). În plus, trei sferturi dintre victimele care
s-au confruntat cu una sau mai multe dintre cele mai puternice
pericole la adresa securității - furtul de credențiale, backdoor-
uri, spyware, phishing, sustragerea de date și malware-ul de
comandă și control (C2) - sunt întreprinderi mici și mijlocii
non-retail, bazate pe web.

Compania de asigurări Zurich din Marea Britanie arată că peste 875.000 de întreprinderi
mici și mijlocii au fost victima unui atac cibernetic anul trecut, cu un cost ce depășește
13.000 de dolari pentru o cincime dintre aceste companii și cu costuri de peste 69.000
dolari pentru una din zece. Prin comparație, raportul Cost of a Data Breach Study
2

din 2017 al Institutului Ponemon a indicat că, în medie. costul total al unei încălcări a
securității datelor pentru întreprinderi mari este de aproximativ 3,62 milioane de dolari.

Conform rezultatelor unui studiu privind costurile globale ale breșelor de date, costul
mediu al acestor incidente s-a dublat între 2014 și 2015, în timp ce costul mediu pentru
fiecare înregistrare pierdută sau furată a înregistrat o creștere ușoară, ajungând la un
cost de aproape 150 de euro. Acest lucru sugerează că costul total al unei breșe de date
nu a fluctuat semnificativ în decursul anilor; astfel, este un cost permanent pe care
organizațiile trebuie să fie pregătite să-l gestioneze și să-l integreze în strategiile lor de
protecție a datelor.

În timp ce costul unei breșe pentru IMM-uri este semnificativ mai redus decât cel plătit
de o întreprindere mai mare, IMM-urile nu dețin în mod obișnuit resursele financiare
sau de altă natură necesare pentru a face față unui astfel de incident. Odată cu
implementarea Regulamentului General privind protecția datelor (GDPR), care impune
companiilor - indiferent de mărime - să poată explica printr-o analiză de investigație
din punct de vedere tehnic ce s-a întâmplat în eventualitatea unei breșe, impactul unui
încălcări a securității datelor în cazul unui IMM ar putea fi de departe mai costisitor.

O asigurare cibernetică este o modalitate excelentă pentru IMM-

uri de a face față costului unui atac cibernetic sau a unei breșe de
date. Cu toate acestea, o astfel de asigurare nu vă va proteja de
atacuri sau breșe și NU este o alternativă la implementarea unor
bune practici, politici, controale și tehnologii de securitate.

Costul integral al unei breșe de securitatea include:

• Întreruperea activității business-ului (inclusiv pierderi de timp și de productivitate)

• Costuri directe (cum ar fi notificări, suport pentru clienți, servicii de monitorizare a

creditelor, stimulente pentru reținerea clienților, restituirea și înlocuirea cardurilor)

• Pierderea clienților (rezilieri), afectarea imaginii brandului și pierderea reputației

• Litigii de la consumatori, parteneri de afaceri și investitori

• Amenzi și penalități de reglementare

• Recuperare și costuri asociate analizei de investigație a modului în care s-a petrecut

incidentul (acestea pot reprezenta cea mai mare parte a costurilor)

• Pierderi de bunuri (cum ar fi proprietatea intelectuală)

Potrivit NCSA, National Cyber Security Alliance, 60% din

întreprinderile mici își vor încheia def initiv activitatea în termen
de șase luni de la un atac cibernetic.
3

Examinarea peisajului actual al

amenințărilor
Numărul, amploarea și costul breșelor de date vor continua să aibă o traiectorie
ascendentă în viitorul apropiat. Aceste atacuri vor fi susținute de mai multe tendințe
care vor continua să se dezvolte în rândul întreprinderilor de toate dimensiunile:

Atacurile automatizate la scară largă devin modus operandi pentru infractorii

cibernetici care se folosesc de malware-uri sofisticate și botnet-uri pentru a ataca orice
organizație sau rețea vulnerabilă, în loc să targeteze doar anumite afaceri. Dacă sunteți
conectat la internet, veți fi găsit într-o bună zi. Nimeni nu este o țintă sigură, dar oricine
poate fi o victimă.

Ransomware-ul este o amenințare tot mai mare. Cercetările efectuate de Datto

arată că aprox. 5% dintre IMM-urile din întreaga lume au fost victime ale unor atacuri
ransomware în ultimul an. 35% dintre furnizorii de servicii administrate (MSP) au raportat
că micile afaceri aleg să plătească răscumpărarea, dintre care 15% nu își recuperează
niciodată datele.

Crime-as-a-service (CaaS) este o tendință în continuă creștere, de vreme ce

organizațiile criminale fac programele malware tot mai sofisticate. Grupurile
criminale încep să pătrundă pe noi piețe și își derulează activitățile la nivel global,
cauzând incidente cibernetice mai persistente și mai dăunătoare ca niciodată.
Obstacolele în calea intrării pe piață sunt, de asemenea, mult mai scăzute, cu arme
precum ransomware-as-a-service și site-uri rău intenționate (ca nulled.to), făcând
criminalitatea informatică mai accesibilă pentru infractorii cibernetici novici.

Lumea Internet of Things (IoT) va aduce riscuri necontrolate, deoarece organizațiile

adoptă dispozitive IoT, dar, în graba de comercializare, producătorii pierd din vedere
faptul că aceste dispozitive sunt nesigure ca design, oferind ample posibilități de atac.
Luați în considerare și volumul imens de date pe care îl transferă dispozitivele mobile.

Serviciul de cloud computing le permite IMM-urilor să concureze cu „numele mari”,

oferindu-le întreprinderilor mici acces la aceleași resurse de computing la scară largă
ca întreprinderile mari, și dându-le șansa să renunțe la cheltuielile mari de capital și
suport IT. Potrivit BCSG, o companie de consultanță din UK, ce furnizează și soluții
de cloud computerizate, aprox. două treimi dintre IMM-uri utilizează deja în medie
3 aplicații software as-a-service (SaaS). Aplicațiile tipice SaaS pentru IMM-uri includ
managementul relațiilor cu clienții (CRM), colaborarea online, stocarea datelor,
marketingul online, managementul contractelor și software-uri pentru lanțul de
aprovizionare. Deși aceste tipuri de soluții sunt de obicei mai sigure decât soluții similare
cu stocare locală, companiile trebuie să se asigure că furnizorii lor de servicii cloud - în
special pe piețele mai mici sau în cazul aplicațiilor tip SaaS - respectă o serie de bune
practici de securitate (precum GDPR) și acorduri tip service-level agreements (SLA-uri).
Cloud-ul nu scutește IMM-urile de răspundere pentru securitatea și confidențialitatea
4

datelor sensibile și respectarea reglementărilor. IMM-urile trebuie să asigure un

management solid al verificării identității și al accesului, o autentificare securizată în
serviciile cloud și o configurare, operare și mentenanța corectă a serverelor bazate pe
cloud (în cazul infrastructurii as-a-service sau IaaS).

Lanțul de aprovizionare va fi targetat în continuare ca un backdoor în companii, prin

exploatarea vulnerabilităților la nivelul partenerilor din lanțul de aprovizionare din
amonte și din aval, care dețin informații valoroase și sensibile. Amintiți-vă că și dvs.
reprezentați un lanț de aprovizionare pentru clienții dvs.

Reglementările aduc complexitate, iar întreprinderile pierd din vedere investițiile de

la alte inițiative importante de securitate, din cauza resurselor suplimentare necesare
pentru a răspunde cerințelor de conformitate (aspect discutat mai târziu în acest
capitol).

Pentru IMM-uri, aceste tendințe - și lipsa de orchestrare a activității în jurul acestora

- nu sunt un lucru favorabil. Datorită lipsei resurselor financiare și de securitate
informatică pe care le dețin companiile mai mari, IMM-urile sunt un mare punct
de interes pentru infractorii cibernetici (vedeți Figura 1-1). Însă, nu doar infractorii
cibernetici pot aduce prejudicii: merită menționate și breșele neintenționate, cauzate de
persoane din interior.

Enterprise

E
SMB cybercrime “Sweet Spot”
Assets worth looting

S/M

Consumer

Cybersecurity maturity

Figura 1-1: IMM-urile sunt, de regulă, o țintă mai valoroasă

decât consumatorii finali și o țintă mai vulnerabilă decât întreprinderile mari.

ISF (The Information Security Forum) a indicat că această

creștere în numărul breșelor de date și în volumul de înregistrări
afectate vor avea ca rezultat costuri mult mai mari pentru
organizațiile de toate dimensiunile.
5

Breșe și scurgeri de date recente

Deși breșele majore de securitate ce implică întreprinderile mari și datele lor sensibile
par să câștige toată atenția canalelor mass-media, atacurile cibernetice și încălcările ce
vizează IMM-urile nu sunt mai puțin frecvente sau mai puțin dăunătoare. În realitate,
având în vedere numărul relativ de IMM-uri și resursele lor financiare și de securitate
limitate în comparație cu cele deținute de întreprinderi mai mari, impactul unei breșe a
securității cibernetice asupra clienților IMM-urilor, precum și asupra viabilității IMM-ului
în sine pot fi mult mai dăunătoare.

Micile afaceri (cu mai puțin de 50 de angajați) și birourile de

acasă (Small off ice-home off ice) primesc mult mai puțină
mediatizare decât companiile mai mari, însă nu sunt mai puțin
vulnerabile la atacuri cibernetice și breșe de date.

Găsiți mai jos câteva exemple recente de breșe și atacuri ce au vizat IMM-uri:

Obike
În decembrie 2017 s-a raportat că, în decursul lunii iunie 2017, Obike, o companie cu
sediul în Singapore, care oferă servicii de bike sharing în mai multe orașe din Asia Pacific,
Europa și Marea Britanie, a fost victima unei încălcări a securității datelor ce a implicat
datele sensibile ale clienților: nume, contacte, fotografii de profil și locație.

TIO Networks USA

În decembrie 2017 s-a raportat că TIO Networks USA, un serviciu canadian de procesare
a plăților cumpărat recent de PayPal Holding din California, a fost victima unei breșe
de date ce a vizat informații personale și financiare ale aproximativ 8000 de clienți ai
orașului Tallahassee (Florida).

Longs Peak Family Practice

În noiembrie 2017, Longs Peak Family Practice, o clinică medicală din Colorado, a
descoperit o încălcare a confidențialității datelor care este posibil să fi compromis
numele, datele de naștere, numerele de telefon, adresele de e-mail, numerele de
securitate socială și datele din permisele de conducere ale pacienților instituției.

Royal National Institute of Blind People (RNIB)

În noiembrie 2017, organizația RNIB din Marea Britanie a fost victima unei încălcări
a securității datelor ce a afectat detaliile cărților de credit și de debit a 817 clienți ai
magazinul său de caritate din mediul virtual.

Chilton Medical Center

În octombrie 2017, Centrul Medical Chilton din New Jersey a descoperit că un fost
angajat a vândut un hard disk furat, ce conținea datele medicale protejate (PHI) ale
4.600 de pacienți.
6

Potrivit raportului Data Breach Investigations (DBIR),

efectuat de Verizon în 2017, 60% din cazurile de încălcare a
conf idențialității datelor implică furtul de informații de către
o persoană din interiorul sistemului.

Centrul de Chirurgie Plastică și Estetică din Londra (LBPS)

În octombrie 2017, s-a raportat că LBPS a fost victima unei încălcări a confidențialității
datelor care ar putea implica date și fotografii sensibile pentru pacienți.

Centrul Colorado pentru Medicină Reproductivă (CCRM)

În octombrie 2017, institutul CCRM din Minneapolis (Minnesota) a fost victima unui atac
de tip ransomware care a afectat datele medicale protejate (PHI) ale aproximativ 3300
de pacienți.

Heritage Valley Health Systems

În iunie 2017, Heritage Valley Health Systems, o rețea de asistență medicală ce
administrează două spitale și numeroase servicii de îngrijire ambulatorie, de tip acut
și alte astfel de servicii conexe în toată Pennsylvania de Vest, a fost victima unui atac
global ransomware care a afectat serviciile pacienților.

Cum abordăm aceste schimbări la nivel

juridic și legislativ
Cu sute de reglementări la nivel mondial care impun cerințe privind securitatea
informațiilor și protecția datelor, afacerile de toate dimensiunile se străduiesc să obțină
și să-și asigure conformitatea. Câteva exemple ale acestor reglementări și standarde:

Regulamentul UE privind protecția generală a datelor (GDPR)

Aplicabilă oricărei organizații care intră în contact cu cetățeni UE. Prezentul regulament
consolidează protecția datelor pentru cetățenii UE și tratează exportul de date cu
caracter personal în afara UE.

Swiss Federal Data Protection Act (“DPA”)

Elveția a actualizat recent Legea federală pentru protecţia datelor din 1992 (FADP),
pentru a echivala GDPR. Aceste actualizări modernizează legislația elvețiană privind
protecția datelor pentru a menține adecvarea Elveției, acordată de Comisia Europeană și
asigură circulația liberă a datelor din UE în Elveția și viceversa. Alte țări ale UE urmează
să-și actualizeze în mod similar legile privind protecția datelor în urma adoptării GDPR.

South Africa Protection of Personal Information (PoPI) Act

Se asigură de faptul că instituțiile din Africa de Sud colectează, procesează, stochează și
împărtășesc în mod responsabil informațiile personale despre o altă entitate și acordă
anumite drepturi de protecție și control persoanelor fizice ca proprietari de drept ai
datelor lor personale.
7

US Health Insurance Portability and Accountability Act (HIPAA)

Aplicabilă oricărei organizații care procesează sau stochează date medicale protejate
(PHI). Protejează confidențialitatea pacienților și confidențialitatea datelor.

Canada Personal Information Protection and Electronic Documents Act

(PIPEDA)
Se aplică organizațiilor care operează cu cetățeni canadieni. Prezentul regulament
protejează confidențialitatea informațiilor personale pentru cetățenii canadieni.

International Organisation for Standardisation/International

Electrotechnical Commission (ISO/IEC) 27000 family of standards
Standarde internaționale de securitate ale informațiilor, printre care: Tehnologia
informației - Tehnici de securitate - Sisteme de management ale securității informației
- Cerințe (ISO / IEC 27001), Tehnologia informației - Tehnici de securitate - Cod de
practică pentru controlul securității informațiilor (ISO / IEC 27002) - Codul de practică
pentru controlul securității informațiilor bazat pe ISO / IEC 27002 pentru servicii cloud
(ISO / IEC 27017) și Tehnologia informației - Tehnici de securitate - Codul de practică
pentru protecția informațiilor de identificare personală (PII) în sisteme cloud publice
care acționează ca procesoare PII (ISO / IEC 27018).

Standardul de securitate a datelor din industria cardurilor de plată (PCI

DSS)
Aplicabil pentru orice afacere care acceptă, procesează sau stochează tranzacții cu
carduri de plată (credit, debit și carduri cu numerar).

Aceste reglementări și standarde sunt adoptate pentru a asigura implementarea

celor mai bune practici de securitate și de protecție a datelor în cadrul organizațiilor
care gestionează date sensibile, însă astfel de regulamente sunt adesea și foarte
complexe, ambigue și costisitoare. Din nefericire, astfel de reglementări au consecința
neintenționată de a determina multe organizații să își concentreze eforturile asupra
conformării la standardele impuse, mai degrabă decât asupra securității informațiilor și
a protecției datelor.

Securitatea cibernetică și conformitatea cu standardele nu

înseamnă același lucru. O organizație poate f i conformă, dar
să nu f ie protejată. În mod reciproc, o organizație poate f i
protejată, dar să nu f ie conformă.

GDPR are rolul de a proteja viața privată a persoanelor fizice din UE, oferindu-le un
control și drepturi mai mari asupra datelor lor personale. Persoanele fizice pot, de
exemplu:

• Să solicite ca întreprinderile să furnizeze o copie a datelor lor într-un format

structurat, utilizat în mod obișnuit și care poate fi citit automat (machine-readable)

• Să solicite transmiterea datelor lor unui alt controlor („dreptul la transferabilitatea

datelor”)
8

• Să solicite ștergerea datelor lor din sistem („dreptul de a fi uitat”)

GDPR implementează reguli mult mai stricte privind consimțământul prelucrării datelor,
notificarea breșelor de date, evaluarea impactului asupra protecţiei datelor și cerințe
privind „confidențialitatea by design and by default”.

Nerespectarea prevederilor GDPR poate avea ca rezultat amenzi de până la 4% din

veniturile anuale globale ale unei companii sau 20 de milioane de euro (mai mult de 24
milioane de dolari) - fiind aleasă suma mai mare dintre acestea.

GDPR sugerează, de asemenea, o serie de măsuri tehnice de securitate care pot fi

utilizate pentru a asigura protecția datelor, inclusiv:

• Pseudonimizarea și criptarea datelor cu caracter personal

• Capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența

sistemelor și serviciilor de prelucrare a datelor cu caracter personal

• Abilitatea de a restabili disponibilitatea și accesul la datele cu caracter personal în

timp util, în cazul unui incident fizic sau tehnic

• Un proces de testare, analiză și evaluare periodică a eficacității tehnice și măsuri

organizatorice pentru asigurarea securității procesării datelor cu caracter personal

Pentru a afla mai multe despre GDPR și despre măsurile de securitate pe care compania
dvs. le poate lua pentru a atinge conformitatea cu GDPR, accesați https://encryption.
eset.com/
9

5 PAȘI PENTRU ATINGEREA CONFORMITĂȚII

CU GDPR,PENTRU IMM-URI

Întelegeți și evaluați modul în care gestionați datele

Conform reglementărilor anterior menționate, numai operatorii de date sunt
răspunzători pentru conformitate, însă obligațiile GDPR se aplică și celor ce prelucrează
datele în numele operatorului. Trebuie să stabiliți dacă organizația dvs. este un

1 procesator care prelucrează datelele în numele operatorului (ca un intermediar sau

terț) sau un operator de date sau, poate, ambele. Este esențial să cunoașteți unde sunt
stocate datele, dacă sunt partajate și dacă acel loc este sigur.

Învățați din trecut

Pentru a vă verifica capacitățile în ceea ce privește reacția la un potențial atac, analizați
ce s-a întâmplat în timpul unor breșe anterioare și întrebați-vă dacă pașii pe care
intenționați să îi întreprindeți se conformează noilor cerințe impuse de GDPR. Potrivit

2
acestui regulament, breșele trebuie raportate în decurs de 72 de ore, cu detalii despre
severitatea atacului. În caz contrar, compania primește o amendă gravă. Actualizarea
unui plan de reacție la incidente și testarea regulată a capabilităților și a eficienței
răspunsului la incidente sunt pași importanți spre atingerea conformității cu GDPR.

Desemnați un ofițer de protecție a datelor sau pe cineva

cu responsabilitatea formală pentru protecția datelor
Acest pas este ușor de întreprins pentru o companie cu venituri ridicate, însă ar fi un
efort mare pentru întreprinderile mici. Totuși, nu ar fi la fel de costisitor ca o amendă de

3 4% din veniturile companiei și nu ar trebui să fie o responsabilitate cu normă întreagă.

Responsabilul cu protecția datelor acționează independent și, raportând direct la
cel mai înalt nivel de conducere, ar trebui să contribuie la aplicarea cerințelor de
reglementare. Alocarea unor resurse în această direcție asigură conformitatea cu GDPR
și că este pregătită pentru un astfel de incident.

Instruiți întreg personalul cu privire la reguli

Unul dintre obiectivele principale ale GDPR este acela de a oferi oamenilor posibilitatea
de „a fi uitați” și de a le fi șterse datele. Companiile trebuie, de asemenea, să obțină
„acțiuni clare afirmative” de la persoane fizice înainte de a le prelucra datele. Normele
4 fac, de asemenea, mai dificilă operarea cu datele copiilor. Este, astfel, vital să cunoașteți
cum sunt afectate procedurile de obținere a consimțământului și drepturile indivizilor
de către aceste reglementări.

Cunoașteți autoritatea principală de supraveghere

Autoritatea care gestionează orice plângere potențială împotriva companiei dvs. ține
de locul în care se află amplasată compania, nu de locația persoanei care înaintează
5 reclamația. Acest lucru poate fi dificil pentru companiile care operează la nivel
internațional sau dețin mai multe locații în diferite regiuni. În plus, există alte directive
legale în diferite țări, în afară de GDPR, care trebuie să fie luate în considerare.
 www.eset.ro

© 1992 - 2019 ESET, spol. s r.o. - Toate drepturile rezervate. Mărcile folosite sunt mărci
sau mărci înregistrate ale ESET, spol. s r.o. sau ESET America de Nord. Toate celelalte
nume sau branduri sunt mărci înregistrate ale companiilor respective.

Îi mulțumim lui Lawrence Miller pentru pregătirea conținutului din acest e-book.