Liviu Băltoi, Consultant Data Protection, Privacy & Cyber Security
Tehnologia în general și tehnologia informației în mod special au transformat profund mediul de afaceri global, cu progrese continue în toate domeniile, de la lucrul în echipă, stocarea datelor în cloud și blockchain la inteligența artificială (AI – Artificial Intelligence) și Internetul lucrurilor (IoT – Internet of Things). Riscul cibernetic a trecut la un nivel superior, dincolo de „clasicele” breșe de securitate și scurgeri de date sensibile, ajungând la scheme sofisticate care pot perturba o întreagă companie sau industrie, gestionarea unui lanț logistic de aprovizionare sau chiar, la nivel guvernamental, pot afecta funcționarea unui stat. Pagubele pe care le produc în astfel de situații breșele de securitate se ridică la miliarde de euro și afectează companiile din orice sector de activitate și economiile naționale.
Tot mai multe organizații înțeleg că riscurile de securitate cibernetică și de securitate a informațiilor trebuie gestionate, deoarece amenințările corespunzătoare pot avea consecințe substanțiale asupra organizației sau chiar amenință existența acesteia.
Datele biometrice. Ce sunt, cine le păstrează/protejează/folosește?
Datele biometrice reprezintă o serie de măsurători corporale și calcule legate de caracteristicile umane. Autentificarea biometrică (sau autentificarea realistă) este utilizată ca formă de identificare și control al accesului. Este, de asemenea, utilizata pentru identificarea indivizilor din grupuri care sunt supravegheate. Identificatorii biometrici sunt caracteristicile distinctive, măsurabile, utilizate pentru etichetarea și descrierea indivizilor. Identificatorii biometrici sunt adesea clasificați ca fiind caracteristici fiziologice, care sunt legate de forma corpului. Exemplele includ, dar nu se limitează la amprentă digitală, venele palmelor, amprenta palmelor, recunoașterea feței, ADN-ul, geometria mâinilor, recunoașterea irisului, retina. Caracteristicile comportamentale sunt legate de tiparul de comportament al unei persoane, incluzând, dar fără a se limita la, ritmul de tastare, apăsarea tastei, mersul, semnătura olografa, profilarea comportamentală și vocea.
Informațiile noastre biometrice au capacitatea de a ne identifica „unic”.
Capacitatea de a menține și dezvolta această identitate complexă este interconectată cu posesia noastră de drepturi personale, precum autonomia, integritatea corporală și, în special, viața privată.
Breșe de securitate
Ar putea infractorii cibernetici să folosească date biometrice pentru a comite furt de identitate sau alte infracțiuni? Evident ca raspunsul este Da.
Exemple:
- BioStar 2 security platform – 2019
28 de milioane de înregistrări a peste 1 milion de oameni din întreaga lume – date de amprentă digitală, date de recunoaștere facială, fotografii ale utilizatorilor, etc.
- Antheus Tecnologia – 2020
Compania a pierdut informații sensibile, inclusiv date despre 76.000 de amprente, serverul vulnerabil conținea aproximativ 16 GB de date
- Bailey&Galyen – 2021
Au fost expuse date biometrice, inclusiv informații privind istoricul medical, informații medicale de diagnostic, tratament cat și alte informații personale.
Privacy by design and by default
Utilizarea datelor ar trebui să fie limitată la ceea ce este necesar. Regulamentul GDPR prevede că datele cu caracter personal vor fi colectate în „scopuri specificate, explicite și legitime”. Datele, oricare ar fi ele, nu pot fi procesate „într-un mod care este incompatibil cu aceste scopuri”.
Pentru ca securitatea biometrică să funcționeze bine, drepturile cetățenilor trebuie protejate în mod corespunzător, iar datele colectate de organizațiile private și publice sa fie gestionate cu atenție, responsabil și în mod constient. Ce este de facut?
Din perspectiva unei persoane fizice.
Parola o poți schimba…. Trebuie să fim conștienți că datele biometrice sunt greu sau imposibil de schimbat, precum o parolă sau o adresă de e-mail.
Știi cui lași datele tale… Verifică legitimitatea companiei, serviciului, unde îți lași datele, dacă respectă cerințele minime ale GDPR, unde stochează datele, cine le mai folosește.
Nu folosi dispozitive publice.
Dacă nu ești absolut sigur de legitimitatea companiei/serviciului, nu folosi dispozitive publice pentru colectarea datelor biometrice, adesea acestea pot fi compromise.
Din perspectiva unei companii
Evaluează periodic. Cum?
Prin teste de tip penetration testing, auditul securității codului sursă și utilizării bunelor practici de implementare pentru tehnologiile pe care le utilizezi.
Monitorizare pasivă și activă a serviciilor expuse la internet și nu numai, prin firewall, soluție de tip EDR (endpoint detection and response), dar și urmărirea alertelor și suspiciunilor de atac informatic.
Instruiește personalul și setează ”two-factor authentication” (2FA), adică autentificarea în doi pași.
Omul este veriga slabă din întreg lanțul de Securitate, omul, este cel care, până la urmă, face click și facilitează efectiv pătrunderea în organizație. 2FA ul poate bloca până la 99% din atacurile ce vizează compromiterea conturilor.
Dispozitivele cel mai des “verificate” de atacatorii cibernetici
Piața se concentrează pe inovație, securitatea dispozitivului nu este o prioritate. Din dorința de a eficientiza cât mai mult activitățile casnice, un număr tot mai mare de oameni apelează la diverse soluții și produse care implică o conexiune la internet. Dispozitivele din categoria smart home devin din ce în ce mai populare, piața de dispozitive inteligente fiind într-o permanentă creștere.
Routerele WiFi
Majoritatea utilizatorilor de routere WiFi încă păstrează credențialele pe care le-a avut dispozitivul din fabrică.
Dispozitive Smart Home
Este esențial să te asiguri că niciun echipament de acest tip pe care l-ai achiziționat nu este accesibil din rețelele publice de internet.*
În această categorie intră și camerele de supraveghere, televizoarele inteligente, becurile inteligente, soneriile inteligente, jucăriile inteligente, aspiratorele robot, etc. sunt cele mai vulnerabile echipamente datorită expunerii la Internet, permițându-le astfel atacatorilor să le exploateze de oriunde din lume.
În ce moment sunt aceste echipamente și mai vulnerabile? Când suntem in vacanță!
Cea mai frecventă greșeală pe care o fac utilizatorii este conectarea la rețele de internet nesigure, pentru ca mai apoi să verifice că totul este în ordine acasă, fie că se uită pe camere, fie pe aplicația termostatului sau orice altă acțiune raportată la unul dintre dispozitivele inteligente deținute.
Concluzii
După o serie de scurgeri de date cu caracter personal care s-au întâmplat în anii trecuţi, numărul de date personale disponibile le-a permis grupurilor să realizeze atacuri direcţionate, folosindu-se de informaţiile victimelor. În perioada următoare, vorbim aici de 2023, atacatorii vor căuta şi mai adânc, vizand scurgeri de date şi mai sensibile, cum ar fi datele biometrice.
Noile reglementări bancare din UE deschid noi vectori de atac. Deoarece băncilor li se va cere să îşi deschidă infrastructura şi datele către terţii care doresc să ofere servicii clienţilor băncilor, este foarte posibil ca atacatorii să încerce să profite de aceste noi mecanisme cu noi scheme frauduloase.
Deja se observă o creștere a atacurilor de tip phishing asupra bancilor. Mai multe atacuri vor avea loc asupra infrastructurii şi atacuri împotriva ţintelor non-PC. Autorii hotărâţi şi-au extins, de ceva timp, seturile de instrumente dincolo de Windows şi chiar de sistemele PC, vizând hardware-ul de reţea.
Autoritățile centrale și locale sunt forțate, pe bună dreptate, să se digitalizeze, să existe interoperabilitate între instituții, dar acest lucru este făcut cu același personal, oameni care nu sunt totdeauna suficient instruiți.
Autoritatea Naționala de Supraveghere a Prelucrării Datelor cu Caracter Personal, dar și Centrul Național de Incidente de Securitate Cibernetica (CERT-RO) trebuie să dedice mai mult timp instituțiilor publice, acestea fiind cei mari procesatori de date personale.
Nu în ultimul rând, conștientizarea la nivel de individ, realizată prin acțiuni publice, poate fi determinantă.
