La ciberseguridad, una gran preocupación

por | 9 de noviembre de 2022

La seguridad cibernética

Durante varios años, los ciberataques han ido en aumento en Francia. Estimamos un aumento de +400 % en amenazas cibernéticas desde 2020. Este es también un riesgo que ya había sido mencionado por la ANSI (Agencia Nacional para la Seguridad de los Sistemas de Información) hace unos años, que preveía un aumento de la amenaza. En los próximos años.

Si bien los ciberataques inicialmente se dirigieron a empresas, cada vez afectan más a establecimientos médicos y autoridades locales. ¿Cómo se explica esta explosión de ciberataques? ¿Qué es la ciberseguridad y cuál es su papel?

¿Qué es la ciberseguridad?

El principal objetivo de la ciberseguridad es proteger los sistemas, redes y programas informáticos frente a los ataques digitales. Muy a menudo, estos ciberataques tienen como objetivo intentar acceder a información sensible para modificarla, destruirla o utilizarla para sacar provecho, la mayoría de las veces económicamente.

La ciberseguridad, también denominada seguridad informática o seguridad de los sistemas de información, se divide en varias categorías:
Seguridad de la red,
seguridad de aplicaciones,
seguridad de información,
seguridad operativa.

Los ciberataques más extendidos tienen como objetivo recopilar información para reutilizarla de diferentes formas. Existen diferentes tipos de amenazas cibernéticas como: virus, caballo de Troya, spyware, ransomware, adware o botnet. Sin embargo, en los últimos años hemos descubierto 3 nuevas ciberamenazas que son cada vez más utilizadas:
Software malicioso Dridex. Es un troyano bancario que infecta los sistemas mediante el envío de correos electrónicos de phishing. Al recuperar datos de conexión, datos bancarios o datos personales, los ciberdelincuentes pueden realizar transacciones deshonestas.
Estafas románticas. Estas estafas tienen como objetivo establecer estafas en salas de chat, aplicaciones o sitios de citas. Al aprovechar la vulnerabilidad de las víctimas, los piratas informáticos recuperan datos personales que luego utilizarán con fines delictivos.
Software malicioso Emotet. Este troyano permite el robo de datos aprovechando una contraseña no segura.

Derecho y ciberseguridad, consulte a un abogado especializado en derecho informático en París

La ley de ciberseguridad se refiere a todos los riesgos y todas las amenazas voluntarias que son de origen humano y que pueden dañar los activos de la empresa. Ante un fenómeno cada vez de mayor magnitud, es posible que una empresa tenga que recurrir periódicamente a un abogado para protegerse de ciberataques y defender sus intereses en un caso en el que podría haber sido víctima o implicada.

La ley francesa y europea establece un marco legal claro y preciso que requiere la implementación de estrictas medidas de seguridad. Cualquier empresa está obligada a cumplir con sus obligaciones a riesgo de exponerse a fuertes sanciones. De hecho, en el caso de que un ciberataque hubiera sido posible por el hecho de que la empresa no respetó sus obligaciones en términos de seguridad y confidencialidad, la empresa se expondría a fuertes sanciones financieras que podría imponer la CNIL (National Comisión de Informática y Libertades).

Para cumplir con esta normativa de protección de datos personales, las empresas pueden ir acompañadas de un abogado de ciberseguridad. El abogado especializado puede así acompañar a su cliente en la redacción de un documento contractual y en las formalidades indispensables para el cumplimiento de las obligaciones legales. El abogado especialista en ciberseguridad asesora sobre las soluciones de protección y seguridad a implantar. Puede garantizar la defensa de los derechos de su cliente en caso de litigio.

Ciberseguridad: ¿por qué es imprescindible?

Poner en marcha medidas que combatan eficazmente la amenaza cibernética es cada vez más complicado hoy en día. De hecho, la evolución digital es constante y los hackers están bien informados de estas transformaciones y saben cómo ser siempre más innovadores.

Las empresas deben ser capaces de ser conscientes del riesgo de ciberseguridad. Al proporcionar un monitoreo específico para identificar las amenazas cibernéticas que pueden enfrentar, los gerentes pueden anticiparse y reaccionar de la mejor manera posible ante las amenazas cibernéticas.

Para una empresa, ser víctima de un ciberataque puede suponer la pérdida de datos sensibles, pérdidas económicas importantes por robo y recuperación de datos sustraídos, daños a la reputación y en algunos casos puede llegar incluso al cierre de una empresa.

Por lo tanto, una empresa debe asegurarse de garantizar la seguridad de las compras en línea para cumplir con la legislación y generar confianza con sus clientes.

¿Cuáles son los fundamentos de la ciberseguridad?

La ciberseguridad tiene cinco objetivos principales: integridad, disponibilidad, confidencialidad, no repudio y autenticación. Ningún sistema informático es infalible a pesar de la aplicación de diversas medidas preventivas. Por lo tanto, para detectar una amenaza cibernética, es necesario garantizar un control cuidadoso de la protección de su propia computadora. Para prevenir el riesgo de TI, es necesario asegurarse de que:
Analizar adecuadamente los riesgos,
Definir una política de seguridad,
Implementar una solución de prevención,
Evalúe con frecuencia las soluciones de protección,
Actualizar constantemente el sistema de protección de acuerdo con la evolución de
riesgos

Normativa de ciberseguridad: ¿qué normas para las empresas?

Las empresas están obligadas a cumplir con algunas reglas de seguridad y protección informática establecidas por la ley francesa. De lo contrario, se puede incurrir en su responsabilidad y la empresa puede verse expuesta a importantes sanciones.

Cada empresa está obligada a proteger sus datos tanto como sea posible. Tiene derecho a poder utilizar todas las soluciones útiles para su protección contra ciberataques. Como empleador, también se trata de poder proteger a los empleados con respecto a su información personal. Una empresa puede necesitar internalizar las habilidades de ciberseguridad mediante la creación de un Departamento de Sistemas de Información (DSI). Al confiar las auditorías a un experto externo, la empresa también puede asegurar el control y análisis de los procesos puestos en marcha para obtener una ciberseguridad óptima y eficaz.

La protección de datos es uno de los principales objetivos en la implementación de soluciones para protegerse frente a los ciberataques. Por lo tanto, cada empresa debe asegurarse de implementar medidas de protección que garanticen la confidencialidad e integridad de los datos. Por lo tanto, para garantizar una protección efectiva, una empresa debe asegurarse de aplicar:
Métodos de encriptación de datos y conexiones,
Fuertes medidas de autenticación para detectar robots potenciales,
Medidas de acceso a los datos en cualquier circunstancia, a través de copias de seguridad seguras,
Con los procedimientos de evaluación de protección implementados, la empresa debe poder mejorar su protección en cualquier momento para cumplir con las fallas y los desarrollos digitales.

Toda empresa debe ser capaz de cumplir con las normas relativas al RGPD (Reglamento General de Protección de Datos). El RGPD define una violación de datos personales como "una violación de la seguridad que resulta en la destrucción, pérdida, alteración, divulgación no autorizada, accidental o ilegal, de datos personales transmitidos, almacenados o procesados de otra manera, o el acceso no autorizado a dichos datos. Por lo tanto, una empresa debe proteger los datos que tiene en su sistema. Al aumentar su nivel de seguridad para cumplir con los diversos requisitos del RGPD, la empresa evita cualquier incidente que pueda dañar sus valores y hacer que pierda la confianza de sus clientes.

Un aumento de +400 TP3T en ciberataques en 2 años: ¿cómo explicarlo?

Desde 2020, ha habido una explosión de ciberataques en Francia. Casi la mitad de las empresas francesas reconocen un aumento significativo de los ataques en los últimos dos años. De hecho, en su último informe de actividad, el GIP ACYMA (Groupement d'Intérêt
Acción Pública contra la Cibermalveillancia), revela un aumento significativo en las solicitudes de asistencia en línea.

ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) registró un aumento de +37 % en intrusiones en sistemas informáticos, es decir, poco más de 1000 intrusiones durante el año 2021. 69% de ciberataques a empresas, 11% hospitales y 20 % autoridades locales.

Si más de una de cada dos empresas fueron víctimas de ciberdelincuencia durante el año 2021, también observamos que menos de una de cada dos empresas invierte una parte económica de su presupuesto en su ciberseguridad. De hecho, pocas empresas reservan parte de su presupuesto para la adquisición de herramientas y soluciones de seguridad de red. Los empleados no siempre son lo suficientemente conscientes del peligro informático y los posibles ataques cibernéticos. Se estima que aproximadamente 85% de violaciones de datos privados son causadas por errores humanos que involucran principalmente la apertura de un correo electrónico fraudulento.

A raíz de la crisis sanitaria de la pandemia del Covid-19, muchas empresas están haciendo un nexo entre el aumento de los ciberataques a los que se enfrentan y el aumento del teletrabajo de sus empleados. Mientras que en el lugar de trabajo, ciertas soluciones de seguridad puestas en marcha por la empresa permitían limitar el riesgo de ciberamenazas, en el contexto del teletrabajo, las empresas no siempre podían garantizar la seguridad de sus datos.

Abogada especialista en derecho informático

¿Qué es la Directiva NIS 2?

Es una directiva que tiene como objetivo fortalecer y estandarizar el sistema europeo contra ataques cibernéticos, y que pretende reemplazar la directiva NIS 2016 / 1148 – Estado del procedimiento de adopción aquí

Transferencia de datos: ¿la necesaria valoración de la legislación extranjera?

por | 9 de julio de 2021

Actualización 2 de noviembre de 2022

 

El Consejo Europeo de Protección de Datos (EDPB) proporciona su marco para el cumplimiento del RGPD en caso de transferencia de datos fuera de la Unión Europea.

Recomendaciones 01/2020 sobre medidas que
complementar las herramientas de transferencia para garantizar el cumplimiento de
el nivel de protección de datos personales de la UE
Versión 2.0
Adoptado el 18 de junio de 2021.

 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

Era de esperar que este marco aligerara las formalidades contractuales de las empresas (Binding Corporate Rules o cláusulas contractuales estándar) en cuanto a la transferencia de datos fuera de la Unión Europea.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde,

Excepto en el caso de las excepciones previstas en el artículo 49 del RGPD.

De hecho, un Estado soberano puede en todos los casos acceder a los datos, previa solicitud específica: solo una solicitud general de acceso a los datos podría ser impugnada en términos de principios.

En cuanto a las transferencias de datos a Estados Unidos, aún no existe una decisión de adecuación por parte de la Comisión Europea, tras las denominadas sentencias Schrems I TJUE de 6 de octubre de 2015 (C-362/14) (invalidación del Safe Harbour) y Schrems II de 16 de julio de 2020 (C-311/18) (invalidación del Privacy Shield). La legislación estadounidense refleja, en efecto, una concepción de la privacidad centrada en la protección de los ciudadanos estadounidenses, sin incluir a los extranjeros, que no es la universalista de la Unión Europea.

La Cuarta Enmienda a la Constitución de los Estados Unidos establece: "No se violará el derecho de los ciudadanos a estar seguros en su persona, domicilio, papeles y efectos contra registros e incautaciones sin motivo, ni se emitirá ninguna orden excepto bajo presunción grave, corroborada por juramento o declaración solemne y describiendo con precisión el lugar a ser registrado y las personas o cosas a ser apresadas. »

A pesar de los esfuerzos de reconciliación (cf. la reciente orden ejecutiva de Joe Biden del 7 de octubre de 2022 que prevé claramente el recurso a un delegado del poder ejecutivo e incluso a un tribunal independiente pero cuyas opiniones no son ejecutables), la legislación estadounidense aún prevé la vigilancia masiva. y la falta de recursos efectivos en relación con los derechos de los interesados.

Por lo tanto, corresponde ante todo al exportador de datos, en un peligroso ejercicio de evaluación, comprobar la legislación extranjera. El Comité proporciona una lista de fuentes de datos en el Anexo III de sus recomendaciones.

Las nuevas Cláusulas Contractuales Tipo (“SCC”) (adoptadas por la Comisión Europea el 4 de junio de 2021 y publicadas el 7 de junio de 2021, que entrarán en vigor el 27 de junio de 2021, https://eur-lex.europa. eu/eli/ dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) no exime de este ejercicio.

La decisión provisional de Doctolib puede dar pistas sobre cómo asegurar una transferencia de datos: ubicación y encriptación en Francia, obligación de la filial europea de impugnar la solicitud "general" extranjera, datos insensibles, período de retención de datos breve: https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html 

Consulte a un abogado especialista en derecho informático

Transferencia de datos a una nube ajena: la decisión de Doctolib

por | 12 de mayo de 2021

CE, ord. ref., 12 de marzo de 2021, Doctolib, req. N° 450163 – Decisión provisional interina

En su decisión Doctolib, el Consejo de Estado reconoce la incompatibilidad del derecho estadounidense con la protección de datos personales en la Unión Europea

Por lo que respecta a Estados Unidos, la sentencia Schrems II (TJUE de 16 de julio de 2020, asunto C-311/18) invalidó el Privacy Shield, equivalente a una decisión de adecuación, que permitía a las empresas que se sometieran a él exportar datos personales a Estados Unidos. La legislación estadounidense autoriza a las autoridades públicas a acceder a los datos personales sin proporcionar a las personas interesadas recursos efectivos.

La empresa Doctolib, que ofrece un servicio de citas médicas en línea, aloja sus datos en los servidores de una subsidiaria de Amazon Web Services (AWS), una empresa constituida bajo la ley estadounidense. Como parte de la campaña de vacunación contra el covid-19, Doctolib ha sido designado por el Ministerio de Solidaridad y Salud para gestionar las citas relacionadas.

El juez de salas del Consejo de Estado conoce de una solicitud de suspensión de esta asociación en la medida en que se infringiría el Reglamento general en protección de datos (UE) 2016/679, de 27 de abril de 2016 (RGPD).

El juez rechaza que:

AWS Sarl, una subsidiaria en Luxemburgo de AWS Inc., es "host de datos de salud" certificado (CSP, art. L. 1111-8). Los datos están alojados en centros ubicados en Francia. y en Alemania y no hay disposición en el contrato para ninguna transferencia de datos a los Estados Unidos por razones técnicas. Dado que AWS Sarl es una subsidiaria de una empresa estadounidense, puede estar sujeto a una solicitud de acceso por parte de las autoridades públicas estadounidenses, según los solicitantes.

Datos en cuestión. – El Consejo de Estado señala que “los datos impugnados incluyen datos de identificación personal y datos de la cita pero sin datos de salud sobre ningún motivo médico para la elegibilidad para la vacunación”, las personas simplemente deben justificar su elegibilidad con una declaración jurada.

Duración de la conversación. - Los datos " se eliminan al final de un período de tres meses a más tardar a partir de la fecha de concertación de una cita, cada persona interesada que haya creado una cuenta en la plataforma con fines de vacunación puede eliminarla directamente en línea”.

Solicitud de acceso por parte de las autoridades públicas de EE.UU. – Para asegurar sus relaciones, se estipula en el contrato queAWS tendrá que impugnar “cualquier solicitud que sea general o no cumpla con la normativa europea ". Esta medida va acompañada de un "dispositivo de aseguramiento de datos alojado por la empresa AWS a través de un procedimiento de cifrado basado en un tercero de confianza ubicado en Francia para impedir la lectura de los datos por parte de terceros”.

> el nivel de protección establecido por las partes “no puede considerarse manifiestamente insuficiente con respecto al riesgo de violación del RGPD”.

 

El alcance de la decisión es relativo en cuanto que se trata de una decisión cautelar provisional que sanciona lo “manifiestamente antijurídico” y que por tanto podría ser subsanable. A seguir.

 
V.también
CNIL, delib. n° 2020-044 del 20 de abril de 2020 y comunicado de prensa del 14 de octubre de 2020
CE, ord. ref., 13 oct. 2020, n° 444937
 
 
es_ESSpanish
es_ESSpanish fr_FRFrench en_GBEnglish de_DE_formalGerman pt_PTPortuguese it_ITItalian