Criptați – sau veți primi o amendă foarte mare


Information Commissioner’s Office (ICO), ce reprezintă autoritatea independentă din Marea Britanie care supervizează confidențialitatea datelor, a lansat recent un nou ghid privind cele mai bune practici de criptare. Cu toate că în Marea Britanie, conform legislației privind protecția datelor, nu este obligatorie criptarea datelor,  ICO recomandă insistent ca organizațiile care se ocupă de date cu caracter personal să o folosească.

“În ultimii ani au existat numeroase incidente în care datele personale au fost furate, pierdute sau supuse accesului neautorizat”, relatează ICO.

“În multe dintre aceste cazuri, incidentele aveau drept cauză protejarea neadecvată a datelor, sau lăsarea în locuri necorespunzătoare a dispozitivelor pe care erau stocate datele – și în unele cazuri ambele variante erau valabile. Information Commissioner consideră că, în viitor, în cazul în care apar astfel de pierderi și în cazul în care software-ul de criptare nu a fost folosit pentru a proteja datele, pot fi luate măsuri de reglementare.”

Ghidul evidențiază o serie de cazuri în care organizațiile au fost amendate pentru că nu respectă această obligație. Datele cu caracter personal a peste 1000 de persoane cu legături în investigații serioase legate de crima organizată sau informații personale și dovezi despre copii aflați în situații speciale, precum și dovezi sensibile cu privire la sute de copii cu nevoi educaționale deosebite, se numără printre cazurile de pierderi de informații, cauzate de pierderea fizică a dispozitivelor media detașabile cu date necriptate.

În plus, s-a atras atenția asupra unui caz care a implicat o companie de servicii financiare, care a fost în imposibilitatea de a localiza două discuri cu copii de rezervă, care conțineau mai mult de o jumătate de milion de date despre clienți; precum și un caz privind o autoritate locală din Scoția, care a pierdut două laptop-uri ce aveau stocate informații cu caracter sensibil  de la peste 20.000 de persoane. În ambele cazuri, datele nu au fost criptate.

Legea privind protecția datelor din Marea Britanie din 1998, care decurge din Directiva Privind Protecția Datelor este aproape similară cu legile privind confidențialitatea pe întreg teritoriul al Uniunii Europene, după cum se relatează în Principiul 7:

"Măsurile tehnice și organizatorice adecvate sunt luate împotriva prelucrării neautorizate sau ilegale a datelor cu caracter personal și împotriva pierderii accidentale sau a distrugerii ori deteriorării datelor cu caracter personal."

ICO recomandă organizațiilor să efectueze o evaluare a impactului confidențialității pentru a identifica și de a reduce riscurile de confidențialitate ale proiectelor lor. Cu toate acestea, criptarea ar trebui să fie întotdeauna luată în considerare – desigur, alături de o serie de alte măsuri tehnice și organizatorice de securitate.

 

PETER STANCIK
CORESPONDENT INDEPENDENT

Georgiana April 26, 2016

Lasa un comentariu