Anul 2025 începe în forță, cu amenzi GDPR de peste 100.000 EUR pentru încălcări ale securității datelor cu caracter personal – așa numitele data breaches. Doar în primele 3 zile din Martie 2025 s-au publicat amenzi de 30.000 EUR.
Cauzele data breach-urilor.
În experiența de lucru cu peste 200 de clienți din Uniunea Europeană, Marea Britanie, America de Nord, Orient, ne-am întâlnit din păcate cu foarte multe tipuri de data breach-uri. Ca surse de data breach-uri, vreau să insist astăzi pe chestii ce țin de neglijență crasă:
- Email-uri trimise cu toți în To/CC, în loc de BCC.
- Email trimis persoanei greșite cu datele altei persoane.
- Date personale trimise pe WhatsApp (nici nu mai insist de ce trimiterea datelor personale pe WhatsApp este strict interzisă).
- Deschis atașamente dubioase, băgat date în site-uri dubioase.
- Vorbit chestii confidențiale cu colegii la masă, la foodcourt sau la restaurant în pauza de masă – restaurantul NU ESTE sală de ședințe!
- Dat credențialele de login unui coleg ca să rezolve niște task-uri.
- Șeful/ management-ul are acces la absolut toate datele à ia ghici cine devine țintă.
- Încărcarea datelor confidențiale ale firmei (inclusiv date personale, email-uri, oferte, excel-uri) în sisteme de AI generativ publice precum ChatGPT (chiar și versiunea plătită), Llama, Claude etc. Dacă vrei să folosești în siguranță sisteme de AI generativ, folosește sisteme ce asigură că datele rămân fie pe serverele locale, fie pe partițiile închiriate în cloud.
Există apoi chestii ce se puteau preveni:
- Descărcat plugin de pe github, băgat pe site, în producție, fără testare.
- Lipsa elementelor de bază de prevenție a atacurilor cibernetice: lipsa 2FA, parole diferite la producție, test și back-up, lipsa segmentării logice a bazelor de date, lipsa pseudonimizării datelor, porturi deschise în internet.
- Lipsa back-up-urilor.
- Lipsa log-urilor de acces și de activități.
- Lipsa training-urilor și a conștientizării.
Cum se pot preveni data breach-urile.
Am mai scris și AICI, acum aproape trei ani, lucrurile nu s-au schimbat:
- Training la angajați cu ce pot și nu pot să facă, cu exemple concrete.
- Testarea angajaților.
- Folosirea tehnologiilor IT de business și nu „home” – sisteme de operare business, aplicații business, servicii business (nu conturi de gmail/yahoo/hotmail gratuite).
- Updatarea sistemelor IT.
- Paranoia în limitarea accesului la date, jurnalizare și măsuri de recuperare a datelor.
- Audit de conformitate GDPR/security.
- Procedura de gestionare a unui data breach, repetată ca toți să știe ce trebuie să facă.
- Penetration testing, testarea infrastructurii pentru a identifica vulnerabilități.
Găsiți tot la link-ul de mai sus și ce trebuie făcut, în mare, în caz de data breach. Dar vreau să vă spun cam ce costuri implică un data breach:
- Costul amenzii – cei de la 2Invoice au luat amendă de 20.000 EUR, cei de la Beko de 10.000 EUR. Așa, în primele două zile de Martie. Ambele amenzi au un impact semnificativ în business.
- Costul măsurilor corective – aici deja lucrurile se pot complica, fiindcă vorbim de un deadline scurt (una, două sau trei luni) prin care sistemele, procesele și procedurile organizației trebuie să devină conforme cu GDPR. Ce te faci când trebuie să schimbi procesele dintr-un ERP, când trebuie să modifici o aplicație critică, când trebuie să distrugi niște date de care depinde firma? Îți spun eu – pierzi bani.
- Procese legale – poți fi dat în judecată de clienți, furnizori și chiar de către angajați.
- Imaginea făcută praf – știind că un furnizor ți-a pierdut datele, ia zi, cu câtă încredere i le mai dai?
- Business pierdut – am avut un client, firmă mare de software, ce a luat o amendă GDPR mică pentru o prostie – email trimis cu toată lumea în CC în loc de BCC. În orice Request for Proposal, Request for Information, licitație etc au intrat, primeau la due diligence întrebarea „ați avut un data breach GDPR în ultimii cinci ani?”. Și ghici ce, aveau. Fie intrau într-un due diligence complet, cu sute de întrebări și call-uri la ore imposibile, fie erau zburați cu totul. Compania s-a vândut unei alte companii mari, iar „data breach-ul” a fost punct de negociere în stabilirea finală a prețului și a obligațiilor de despăgubiri viitoare plătibile de către vânzători (ca să știți și voi că totul se negociază) în caz de data breach.
Un business valoros înseamnă un business cu riscuri reduse.
Unul dintre provocările companiilor românești este faptul că foarte puține sunt privite drept companii mature. Majoritatea află de valoarea riscurilor în portofoliu abia când se ajunge la investiții și vin investitorii cu partea de due diligence. Am văzut due dil-uri făcute „light”, am văzut due dil-uri extrem de complexe. Zilele acestea ajut un client, companie de consultanță din Statele Unite, să intre ca furnizor la o mare bancă europeană. Până acum am răspuns la peste 300 de întrebări punctuale legate de protecția datelor personale, extrem de dificile dar pertinente. Banca nu își permite să își „încredințeze” (acesta este cuvântul corect) asset-urile digitale (care valorează enorm) oricui.
Particip, împreună cu un client nou, la o licitație la un Minister dintr-o țară cu multă apă caldă. Parte a licitației, trebuie să motivăm cultura de protecție a datelor personale (apropo, Ministerul este dintr-o țară non-europeană), controalele existente, modus operandi, experiența în realizarea de evaluări de impact asupra protecției datelor etc. Fiindcă la fel – Ministerul nu vrea să „încredințeze” datele digitale ale cetățenilor către oricine.
Acum este momentul, în ceasul al 12-lea, ca firmele românești să se pună la punct fiindcă trebuie să facem business internațional. Și nu poți face business internațional cu „merge și-așa”. Vorbim mai multe despre aceste aspecte și în roadshow-ul Business Evolution.
