Cybersecurity, una delle principali preoccupazioni

da Gabinetto Roquefeuil | 9 novembre 2022

Sicurezza informatica

Da diversi anni, gli attacchi informatici sono in aumento in Francia. Si stima che ci sarà un aumento di +400 % di minacce informatiche entro il 2020. Si tratta di un rischio già menzionato dall'ANSI (Agence Nationale de la Sécurité des Systèmes d'Information) qualche anno fa, che prevedeva un aumento della minaccia nei prossimi anni.

Sebbene gli attacchi informatici fossero inizialmente rivolti alle aziende, stanno colpendo sempre più spesso le istituzioni mediche e le autorità locali. Come possiamo spiegare questa esplosione di attacchi informatici? Che cos'è la sicurezza informatica e qual è il suo ruolo?

Che cos'è la sicurezza informatica?

L'obiettivo principale della sicurezza informatica è proteggere i sistemi, le reti e i programmi informatici dagli attacchi digitali. In molti casi, lo scopo di questi attacchi informatici è cercare di ottenere l'accesso a informazioni sensibili per modificarle o distruggerle o per utilizzarle a scopo di lucro.

La cybersecurity, nota anche come sicurezza informatica o sicurezza dei sistemi informativi, può essere suddivisa in diverse categorie:
Sicurezza della rete,
Sicurezza delle applicazioni,
Sicurezza informatica,
Sicurezza operativa.

Gli attacchi informatici più comuni mirano a raccogliere informazioni per riutilizzarle in modi diversi. Esistono diversi tipi di minacce informatiche come: virus, trojan, spyware, ransomware, adware e botnet. Tuttavia, negli ultimi anni, sono state scoperte 3 nuove minacce informatiche, sempre più utilizzate:
Malware Dridex. Si tratta di un cavallo di Troia bancario che infetta i sistemi inviando e-mail di phishing. Raccogliendo i dati di login, le coordinate bancarie o i dati personali, i criminali informatici possono effettuare transazioni disoneste.
Truffe sentimentali. Queste truffe mirano a mettere in atto truffe su chat room, applicazioni o siti di incontri. Approfittando della vulnerabilità delle vittime, gli hacker recuperano i dati personali che poi utilizzeranno per scopi criminali.
Il malware Emotet. Questo cavallo di Troia permette di rubare i dati sfruttando una password non protetta.

Legge e cybersicurezza, consulti un avvocato specializzato in diritto informatico a Parigi

La legge sulla cybersecurity riguarda tutti i rischi e le minacce volontarie di origine umana che possono danneggiare il patrimonio di un'azienda. Di fronte a un fenomeno sempre più diffuso, un'azienda può avere regolarmente bisogno di ricorrere ai servizi di un avvocato per proteggersi dagli attacchi informatici e per difendere i propri interessi in una causa in cui può essere vittima o imputata.

La legge francese ed europea definisce un quadro giuridico chiaro e preciso che richiede l'implementazione di misure di sicurezza rigorose. Ogni azienda è tenuta a rispettare i propri obblighi o rischia di essere esposta a pesanti sanzioni. Infatti, nel caso in cui un attacco informatico sia stato reso possibile perché l'azienda non ha rispettato i suoi obblighi in termini di sicurezza e riservatezza, l'azienda sarebbe esposta a pesanti sanzioni finanziarie che potrebbero essere pronunciate dalla CNIL (Commission Nationale de l'Informatique et des Libertés).

Per conformarsi a queste normative sulla protezione dei dati personali, le aziende possono essere assistite da un avvocato specializzato in sicurezza informatica. L'avvocato specializzato può quindi assistere il suo cliente nella stesura di un documento contrattuale e nelle formalità necessarie per adempiere agli obblighi di legge. L'avvocato specializzato in cybersecurity fornisce consulenza sulle soluzioni di protezione e sicurezza da adottare. Può difendere i diritti del suo cliente in caso di controversia.

Cybersecurity: perché è essenziale?

L'implementazione di misure per combattere efficacemente la minaccia informatica è oggi sempre più complicata. L'evoluzione digitale è costante e gli hacker sono ben consapevoli di queste trasformazioni e sanno come essere sempre più innovativi.

Le aziende devono essere consapevoli del rischio di sicurezza informatica. Mantenendo una sorveglianza specifica per identificare le minacce informatiche che potrebbero affrontare, i manager possono anticipare e reagire nel modo migliore alle minacce informatiche.

Per un'azienda, cadere vittima di un attacco informatico può comportare la perdita di dati sensibili, una significativa perdita finanziaria dovuta al furto e al recupero dei dati rubati, danni alla reputazione e, in alcuni casi, persino la chiusura dell'attività.

Un'azienda deve quindi assicurarsi di garantire la sicurezza degli acquisti online, al fine di rispettare la legislazione e di creare fiducia con i propri clienti.

Quali sono i principi fondamentali della sicurezza informatica?

La sicurezza informatica ha cinque obiettivi principali: integrità, disponibilità, riservatezza, non ripudio e autenticazione. Nessun sistema informatico è infallibile, nonostante l'implementazione di varie misure preventive. Pertanto, per individuare una minaccia informatica, è necessario monitorare attentamente la propria protezione informatica. Per prevenire il rischio informatico, è necessario assicurarsi che :
Analizzare correttamente i rischi,
Definisce una politica di sicurezza,
Implementare una soluzione di prevenzione,
Valutare frequentemente le soluzioni di protezione,
Aggiornare costantemente il sistema di protezione in linea con i cambiamenti del mercato.
rischi.

Normative sulla cybersecurity: quali regole per le aziende?

Le aziende sono obbligate a rispettare una serie di regole di protezione e sicurezza informatica stabilite dalla legge francese. Se non lo fanno, possono essere ritenute responsabili e l'azienda può essere esposta a sanzioni significative.

Ogni azienda ha l'obbligo di proteggere i propri dati il più possibile. Deve essere in grado di utilizzare tutte le soluzioni utili per proteggersi dagli attacchi informatici. Come datore di lavoro, è anche importante essere in grado di proteggere i dipendenti per quanto riguarda le loro informazioni personali. Un'azienda può essere portata a internalizzare le competenze di cybersecurity creando un Dipartimento di Sistemi Informativi (ISD). Affidando gli audit a un esperto esterno, l'azienda può anche assicurarsi che i processi messi in atto per ottenere una cybersecurity ottimale ed efficace siano monitorati e analizzati.

La protezione dei dati è uno degli obiettivi principali nell'implementazione di soluzioni di protezione contro gli attacchi informatici. Pertanto, ogni azienda deve assicurarsi di disporre di misure di protezione per garantire la riservatezza e l'integrità dei dati. Per garantire una protezione efficace, un'azienda deve quindi assicurarsi di applicare :
Metodi di crittografia dei dati e delle connessioni,
Forti misure di autenticazione per rilevare eventuali bot,
Misure per garantire l'accesso ai dati in ogni momento, attraverso backup sicuri,
Dalle procedure di valutazione della protezione messe in atto, l'azienda deve essere in grado di migliorare la sua protezione in qualsiasi momento, per conformarsi alle vulnerabilità e agli sviluppi digitali.

Ogni azienda deve essere in grado di rispettare le norme relative al RGPD (Regolamento Generale sulla Protezione dei Dati). Il GDPR definisce una violazione dei dati personali come "una violazione della sicurezza che comporta la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o altrimenti trattati". Pertanto, un'azienda deve proteggere i dati che ha nel suo sistema. Aumentando il livello di sicurezza per conformarsi ai vari requisiti del RGPD, l'azienda evita qualsiasi incidente che potrebbe danneggiare i suoi valori e farle perdere la fiducia dei suoi clienti.

Un aumento di +400 % negli attacchi informatici negli ultimi 2 anni: come si spiega?

Dal 2020, c'è stata un'esplosione di attacchi informatici in Francia. Quasi la metà delle aziende francesi riconosce un aumento significativo degli attacchi negli ultimi due anni. Infatti, nel suo ultimo rapporto di attività, il GIP ACYMA (Groupement d'Intérêt
Azione pubblica contro il cyberbullismo), rivela un aumento significativo delle richieste di assistenza online.

L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) ha registrato un aumento di +37 % di intrusioni ai sistemi informatici, ossia poco più di 1.000 intrusioni durante l'anno 2021. 69% degli attacchi informatici hanno riguardato aziende, 11% ospedali e 20 % autorità locali.

Mentre più di un'azienda su due è stata vittima di un crimine informatico nel corso del 2021, è anche chiaro che meno di un'azienda su due investe una parte finanziaria del proprio budget nella cybersecurity. In effetti, poche aziende accantonano una parte del loro budget per l'acquisizione di strumenti e soluzioni di sicurezza di rete. I dipendenti non sono sempre sufficientemente consapevoli del pericolo dell'IT e dei potenziali attacchi informatici. Si stima che circa 85% delle violazioni di dati privati siano causate da un errore umano, che riguarda principalmente l'apertura di un'e-mail fraudolenta.

Sulla scia della crisi sanitaria della pandemia Covid-19, molte aziende stanno collegando l'aumento degli attacchi informatici che devono affrontare all'aumento del telelavoro dei loro dipendenti. Mentre sul posto di lavoro, alcune soluzioni di sicurezza messe in atto dall'azienda erano in grado di limitare il rischio di una minaccia informatica, nel telelavoro le aziende non potevano sempre garantire la sicurezza dei loro dati.

L'avvocato specializzato in diritto informatico

Che cos'è la Direttiva NIS 2?

Si tratta di una direttiva che mira a rafforzare e omogeneizzare il meccanismo europeo degli attacchi informatici e che è destinata a sostituire la Direttiva NIS 2016/1148. Stato della procedura di adozione qui

Trasferimento dei dati: la necessaria valutazione della legislazione straniera?

da Gabinetto Roquefeuil | 9 luglio 2021

Aggiornamento 2 novembre 2022

Il Comitato europeo per la protezione dei dati (GEPD) fornisce il suo quadro di riferimento per la conformità al GDPR quando si trasferiscono dati al di fuori dell'Unione Europea.

Raccomandazioni 01/2020 sulle misure che
integrano gli strumenti di trasferimento per garantire la conformità con
Il livello di protezione dei dati personali nell'UE
Versione 2.0
Adottato il 18 giugno 2021.

https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

Si prevedeva che questo quadro avrebbe alleggerito le formalità contrattuali per le aziende (Norme Vincolanti d'Impresa o Clausole Contrattuali Standard) relative ai trasferimenti di dati al di fuori dell'Unione Europea.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde,

A meno che non rientrino nelle deroghe previste dall'Articolo 49 del RGPD.

Infatti, uno Stato sovrano può in ogni caso accedere ai dati su richiesta specifica: solo una richiesta generale di accesso ai dati potrebbe essere contestata per principio.

Per quanto riguarda i trasferimenti di dati verso gli Stati Uniti, non esiste ancora una decisione di adeguatezza da parte della Commissione Europea, dopo la cosiddetta sentenza Schrems I del 6 ottobre 2015 (C-362/14) (invalidazione di Safe Harbour) e la sentenza Schrems II del 16 luglio 2020 (C-311/18) (invalidazione di Privacy Shield). La legislazione statunitense riflette una concezione della privacy incentrata sulla protezione del cittadino americano, esclusi gli stranieri, che non è la concezione universalistica dell'Unione Europea.

Il Quarto Emendamento alla Costituzione degli Stati Uniti stabilisce: "Il diritto del popolo di essere sicuro nelle proprie persone, case, documenti ed effetti personali, contro perquisizioni e sequestri irragionevoli, non sarà violato, e nessun mandato sarà emesso, se non sulla base di una probabile causa, supportata da giuramento o dichiarazione, e che descriva in modo particolare il luogo da perquisire, e le persone o le cose da sequestrare".

Nonostante gli sforzi di avvicinamento (si veda il recente ordine esecutivo di Joe Biden del 7 ottobre 2022, che prevede un delegato del ramo esecutivo e persino un tribunale indipendente, ma le cui opinioni non sono vincolanti), la legge statunitense prevede ancora una sorveglianza di massa e l'assenza di rimedi efficaci per i diritti degli interessati.

Spetta quindi principalmente all'esportatore di dati, in un pericoloso esercizio di valutazione, verificare la legislazione straniera. Il Comitato fornisce un elenco di fonti di dati nell'Allegato III delle sue raccomandazioni.

Le nuove Clausole Contrattuali Standard ("SCC") (adottate dalla Commissione Europea il 4 giugno 2021 e pubblicate il 7 giugno 2021, che entreranno in vigore il 27 giugno 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) non esentano da questo esercizio.

La decisione provvisoria Doctolib può fornire alcuni indizi su come garantire un trasferimento di dati: ubicazione e crittografia in Francia, obbligo per la filiale europea di contestare la richiesta "generale" straniera, dati a bassa sensibilità, breve periodo di conservazione dei dati: https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html

Consulti un avvocato specializzato in diritto informatico

Trasferimento dati su cloud estero: la decisione Doctolib

da Gabinetto Roquefeuil | 12 maggio 2021

CE, rif. ordine, 12 marzo 2021, Doctolib, req. n° 450163 - Decisione sommaria provvisoria

Nella sua decisione Doctolib, il Consiglio di Stato ha riconosciuto l'incompatibilità della legge statunitense con la protezione dei dati personali dell'UE.

Per quanto riguarda gli Stati Uniti, la sentenza Schrems II (CGUE 16 luglio 2020, causa C-311/18) ha invalidato lo Scudo per la privacy, l'equivalente di una decisione di adeguatezza, che ha permesso alle aziende soggette di esportare dati personali negli Stati Uniti. La legge statunitense consente alle autorità pubbliche di accedere ai dati personali senza fornire ai soggetti interessati rimedi efficaci.

Doctolib, che offre un servizio di prenotazione di appuntamenti medici online, ospita i suoi dati sui server di una filiale di Amazon Web Services (AWS), una società con sede negli Stati Uniti. Nell'ambito della campagna di vaccinazione contro il covid-19, Doctolib è stata incaricata dal Ministero della Solidarietà e della Salute di gestire i relativi appuntamenti.

Al giudice ad interim del Consiglio di Stato è stato chiesto di sospendere questa partnership in quanto non rispetterebbe il Regolamento generale sulla protezione dei dati (UE) 2016/679 del 27 aprile 2016 (GDPR).

Il giudice respinge in quel :

AWS Sarl, la filiale lussemburghese di AWS Inc. certificato come "host di dati sanitari". (CSP, art. L. 1111-8). I dati sono ospitati in centri situati in Francia e Germania e il contratto non prevede alcun trasferimento di dati negli Stati Uniti per motivi tecnici. Poiché AWS Sarl è una filiale di una società statunitense, potrebbe essere soggetta a una richiesta di accesso da parte delle autorità pubbliche statunitensi, secondo i richiedenti.

Dati in questione. - Il Consiglio di Stato osserva che "i dati in questione includono dati di identificazione personale e dati dell'appuntamento ma nessun dato sanitario sulle possibili ragioni mediche per l'idoneità alla vaccinazione", in quanto gli individui sono tenuti a giustificare la loro idoneità solo con una dichiarazione giurata.

Periodo di conservazione. - I dati " sarà cancellato al più tardi dopo un periodo di tre mesi. dalla data in cui viene fissato l'appuntamento, e ogni persona interessata che ha creato un account sulla piattaforma ai fini della vaccinazione può cancellarlo direttamente online.

Richiesta di accesso da parte delle autorità pubbliche statunitensi. - Al fine di garantire il loro rapporto, il contratto prevede cheAWS dovrà contestare "qualsiasi applicazione generica o non conforme ai regolamenti dell'UE". ". Questa misura è accompagnata da un "meccanismo per la sicurezza dei dati ospitati da AWS mediante un procedura di crittografia basata su una terza parte fidata situata in Francia al fine di impedire la lettura dei dati da parte di terzi".

> Il livello di protezione così messo in atto dalle parti "non può essere considerato manifestamente insufficiente in considerazione del rischio di violazione del RGPD".

La portata della decisione è relativa, in quanto si tratta di una decisione provvisoria ad interim che sanziona una "manifesta illegalità" e potrebbe quindi essere corretta. Da continuare.

Vedi anche

CNIL, deliberazione n. 2020-044 del 20 aprile 2020 e comunicato stampa del 14 ottobre 2020.
CE, rif. ordine, 13 ottobre 2020, n° 444937

Trasferimento dei dati: la necessaria valutazione della legislazione straniera?

Roquefeuil offre servizi di analisi legale e di supporto alla conformità del RGPD in collaborazione con le agenzie di certificazione.