Cibersegurança, uma grande preocupação

por | 9 de Novembro de 2022

Ciber-segurança

Durante vários anos, os ataques cibernéticos têm vindo a aumentar em França. Estima-se que haverá um aumento de +400 % nas ameaças cibernéticas até 2020. Este é um risco que já foi mencionado pela ANSI (Agence Nationale de la Sécurité des Systèmes d'Information) há alguns anos atrás, que previu um aumento da ameaça nos próximos anos.

Embora os ataques cibernéticos fossem inicialmente dirigidos às empresas, estão a afectar cada vez mais as instituições médicas e as autoridades locais. Como podemos explicar esta explosão nos ataques cibernéticos? O que é a segurança cibernética e qual é o seu papel?

O que é a segurança cibernética?

O principal objectivo da segurança cibernética é proteger os sistemas, redes e programas informáticos contra ataques digitais. Em muitos casos, o objectivo destes ataques cibernéticos é tentar obter acesso a informação sensível a fim de a modificar ou destruir ou de a utilizar para obter ganhos financeiros.

A segurança informática, também conhecida como segurança informática ou segurança dos sistemas de informação, pode ser dividida em várias categorias:
Segurança de rede,
Segurança na aplicação,
Segurança da informação,
Segurança operacional.

Os ataques cibernéticos mais comuns visam recolher informação a fim de a reutilizar de diferentes maneiras. Existem diferentes tipos de ameaças cibernéticas tais como: vírus, Trojans, spyware, ransomware, adware e botnets. No entanto, nos últimos anos, 3 novas ameaças cibernéticas foram descobertas e são cada vez mais utilizadas:
Dridex Malware. É um Cavalo de Tróia Bancário que infecta sistemas através do envio de e-mails de phishing. Ao recolher dados de login, dados bancários ou dados pessoais, os cibercriminosos podem realizar transacções desonestas.
Fraudes sentimentais. Estes esquemas têm como objectivo a criação de esquemas em salas de chat, aplicações ou sites de encontros. Aproveitando-se da vulnerabilidade das vítimas, os hackers recuperam dados pessoais que depois utilizarão para fins criminosos.
O Emotet Malware. Este cavalo de Tróia permite roubar dados tirando partido de uma senha não segura.

Direito e cibersegurança, consulte um advogado especializado em direito informático em Paris

A lei de cibersegurança diz respeito a todos os riscos e ameaças voluntárias que são de origem humana e que podem danificar o património de uma empresa. Confrontada com um fenómeno que se está a generalizar cada vez mais, uma empresa pode necessitar de recorrer regularmente aos serviços de um advogado para se proteger de ataques informáticos e para defender os seus interesses num caso em que possa ter sido vítima ou arguida.

A legislação francesa e europeia estabelece um quadro jurídico claro e preciso que exige a implementação de medidas de segurança rigorosas. Cada empresa é obrigada a cumprir as suas obrigações ou corre o risco de ser exposta a pesadas sanções. De facto, no caso de um ataque cibernético ser possível porque a empresa não respeitou as suas obrigações em termos de segurança e confidencialidade, a empresa seria exposta a pesadas sanções financeiras que poderiam ser pronunciadas pela CNIL (Commission Nationale de l'Informatique et des Libertés).

A fim de cumprir estes regulamentos de protecção de dados pessoais, as empresas podem ser assistidas por um advogado de segurança cibernética. O advogado especializado pode assim assistir o seu cliente na elaboração de um documento contratual e nas formalidades necessárias para o cumprimento das obrigações legais. O advogado de segurança cibernética presta aconselhamento sobre as soluções de protecção e segurança a serem implementadas. Ele pode defender os direitos do seu cliente em caso de litígio.

Ciber-segurança: porque é essencial?

A implementação de medidas para combater eficazmente a ameaça cibernética é hoje em dia cada vez mais complicada. A evolução digital é constante e os hackers estão bem cientes destas transformações e sabem como ser cada vez mais inovadores.

As empresas precisam de estar conscientes do risco da ciber-segurança. Ao manter uma vigilância específica para identificar as ameaças cibernéticas que podem enfrentar, os gestores podem antecipar e reagir da melhor maneira às ameaças cibernéticas.

Para uma empresa, cair vítima de um ataque cibernético pode resultar na perda de dados sensíveis, perdas financeiras significativas devido ao roubo e recuperação de dados roubados, danos à reputação e, em alguns casos, até mesmo o encerramento de uma empresa.

Uma empresa deve, portanto, garantir que as compras online são seguras, a fim de cumprir a legislação e de criar confiança com os seus clientes.

Quais são os princípios básicos da segurança cibernética?

A cibersegurança tem cinco objectivos principais: integridade, disponibilidade, confidencialidade, não repudiação e autenticação. Nenhum sistema informático é infalível, apesar da implementação de várias medidas preventivas. Assim, a fim de detectar uma ameaça cibernética, é necessário monitorizar cuidadosamente a própria protecção informática. A fim de prevenir o risco cibernético, é necessário assegurar que :
Analisar os riscos correctamente,
Defina uma política de segurança,
Implementar uma solução de prevenção,
Avalie as soluções de protecção frequentemente,
Actualizar constantemente o sistema de protecção de acordo com as mudanças no
riscos.

Regulamentos de ciber-segurança: que regras para as empresas?

As empresas são obrigadas a cumprir uma série de regras de protecção e segurança informática estabelecidas pela lei francesa. Se não o fizerem, podem ser responsabilizados e a empresa pode ser exposta a sanções significativas.

Cada empresa é obrigada a proteger os seus dados tanto quanto possível. Deve ser capaz de usar todas as soluções que são úteis para se proteger contra ataques informáticos. Como empregador, é também importante ser capaz de proteger os empregados no que diz respeito às suas informações pessoais. Uma empresa pode ser levada a internalizar competências de segurança cibernética criando um Departamento de Sistemas de Informação (DSI). Ao confiar auditorias a um perito externo, a empresa pode também assegurar que os processos postos em prática para alcançar uma segurança cibernética óptima e eficaz são monitorizados e analisados.

A protecção de dados é um dos principais objectivos na implementação de soluções de protecção contra ciberataques. Por conseguinte, cada empresa deve assegurar que dispõe de medidas de protecção para garantir a confidencialidade e integridade dos dados. Para assegurar uma protecção eficaz, uma empresa deve, portanto, assegurar-se de que aplica :
Métodos de encriptação de dados e conexões,
Fortes medidas de autenticação para detectar possíveis bots,
Medidas para assegurar o acesso aos dados em qualquer altura, através de backups seguros,
A partir dos procedimentos de avaliação de protecção implementados, a empresa deve ser capaz de melhorar a sua protecção a qualquer momento, a fim de cumprir com as vulnerabilidades e desenvolvimentos digitais.

Cada empresa deve ser capaz de cumprir as regras relativas ao RGPD (Regulamento Geral de Protecção de Dados). A GDPR define uma violação de dados pessoais como "uma violação da segurança que resulte na destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado aos dados pessoais transmitidos, armazenados ou de outro modo processados". Por conseguinte, uma empresa deve proteger os dados que tem no seu sistema. Ao aumentar o seu nível de segurança de modo a cumprir os vários requisitos do RGPD, a empresa evita qualquer incidente que possa danificar os seus valores e causar a perda da confiança dos seus clientes.

Um aumento de +400 % em ataques cibernéticos nos últimos 2 anos: como pode isto ser explicado?

Desde 2020, tem havido uma explosão de ataques cibernéticos em França. Quase metade das empresas francesas reconhecem um aumento significativo de ataques ao longo dos últimos dois anos. De facto, no seu último relatório de actividade, o GIP ACYMA (Groupement d'Intérêt
Acção Pública contra o Cyberbullying), revela um aumento significativo nos pedidos de assistência online.

A ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) registou um aumento de +37 % de intrusões em sistemas informáticos, ou seja, pouco mais de 1.000 intrusões durante o ano de 2021. 69% dos ataques cibernéticos disseram respeito a empresas, 11% a hospitais e 20 % a autoridades locais.

Embora mais de uma em cada duas empresas tenha sido vítima de cibercrime durante 2021, é também claro que menos de uma em cada duas empresas investe uma parte financeira do seu orçamento na sua ciber-segurança. De facto, poucas empresas reservam uma parte do seu orçamento para a aquisição de ferramentas e soluções de segurança de rede. Os empregados nem sempre estão suficientemente conscientes dos perigos dos computadores e dos potenciais ataques cibernéticos. Estima-se que cerca de 85% de violações de dados privados são causadas por erro humano, que diz respeito principalmente à abertura de um e-mail fraudulento.

Na sequência da crise de saúde pandémica da Covid-19, muitas empresas estão a ligar o aumento dos ciberataques que enfrentam ao aumento do teletrabalho dos seus empregados. Enquanto no local de trabalho, certas soluções de segurança postas em prática pela empresa foram capazes de limitar o risco de uma ameaça cibernética, quando o teletrabalho, as empresas nem sempre puderam garantir a segurança dos seus dados.

O advogado especializado em direito informático

O que é a Directiva NIS 2?

É uma directiva que visa reforçar e homogeneizar o mecanismo europeu de ataque cibernético, e destina-se a substituir a Directiva NIS 2016/1148. Estado do processo de adopção aqui

Transferência de dados: a avaliação necessária da legislação estrangeira?

por | 9 de Julho de 2021

Actualização 2 de Novembro de 2022

 

O Comité Europeu de Protecção de Dados (AEPD) fornece o seu quadro para o cumprimento do GDPR aquando da transferência de dados para fora da União Europeia.

Recomendações 01/2020 sobre medidas que
ferramentas de transferência suplementar para assegurar a conformidade com
o nível de protecção de dados pessoais na UE
Versão 2.0
Adoptado em 18 de Junho de 2021.

 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

Esperava-se que este enquadramento facilitasse as formalidades contratuais para as empresas (Regras Empresariais Vinculativas ou Cláusulas Contratuais Padrão) relativamente às transferências de dados fora da União Europeia.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde,

A menos que estejam abrangidos pelas derrogações previstas no Artigo 49 do RGPD.

De facto, um Estado soberano pode, em qualquer caso, aceder aos dados mediante pedido específico: apenas um pedido geral de acesso aos dados poderia ser contestado por princípio.

No que diz respeito às transferências de dados para os Estados Unidos, ainda não existe uma decisão de adequação da Comissão Europeia, na sequência do chamado acórdão Schrems I de 6 de Outubro de 2015 (C-362/14) (invalidação do Safe Harbour) e do acórdão Schrems II de 16 de Julho de 2020 (C-311/18) (invalidação do Privacy Shield). A legislação americana reflecte uma concepção de privacidade centrada na protecção do cidadão americano, não incluindo os estrangeiros, que não é a concepção universalista da União Europeia.

A Quarta Emenda à Constituição dos Estados Unidos prevê: "O direito do povo a estar seguro nas suas pessoas, casas, papéis e bens, contra buscas e apreensões não razoáveis, não será violado, e nenhum mandado será emitido, excepto por causa provável, apoiado por juramento ou afirmação, e particularmente descrevendo o local a ser revistado, e as pessoas ou bens a serem apreendidos.

Apesar dos esforços de aproximação (ver a recente ordem executiva de Joe Biden de 7 de Outubro de 2022, que prevê um delegado do ramo executivo e mesmo um tribunal independente, mas cujas opiniões não são vinculativas), a lei americana ainda prevê a vigilância em massa e a ausência de recursos efectivos para os direitos das pessoas em causa.

Por conseguinte, cabe principalmente ao exportador de dados, num perigoso exercício de avaliação, verificar a legislação estrangeira. O Comité fornece uma lista de fontes de dados no Anexo III das suas recomendações.

As novas Cláusulas Contratuais Padrão ("SCC") (adoptadas pela Comissão Europeia a 4 de Junho de 2021 e publicadas a 7 de Junho de 2021, que entrarão em vigor a 27 de Junho de 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) não estão isentas deste exercício.

A decisão provisória Doctolib pode dar algumas pistas sobre como assegurar uma transferência de dados: localização e encriptação em França, obrigação da subsidiária europeia de contestar o pedido "geral" estrangeiro, dados de baixa sensibilidade, curto período de retenção de dados: https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html 

Consulte um advogado especializado em direito informático

Transferência de dados para uma nuvem estrangeira: a decisão Doctolib

por | 12 de Maio de 2021

CE, ref. ordem, 12 de Março de 2021, Doctolib, req. n° 450163 - Decisão sumária provisória

Na sua decisão Doctolib, o Conselho de Estado reconheceu a incompatibilidade da legislação dos EUA com a protecção de dados pessoais da UE

Em relação aos Estados Unidos, o acórdão Schrems II (CJEU 16 de Julho de 2020, processo C-311/18) invalidou o Privacy Shield, o equivalente a uma decisão de adequação, que permitiu às empresas a ele sujeitas exportarem dados pessoais para os Estados Unidos. A lei dos EUA permite às autoridades públicas acederem aos dados pessoais sem fornecer aos titulares dos dados vias de recurso eficazes.

A Doctolib, que oferece um serviço de marcação de consultas médicas online, aloja os seus dados nos servidores de uma subsidiária da Amazon Web Services (AWS), uma empresa constituída nos Estados Unidos da América. Como parte da campanha de vacinação contra a covid-19, Doctolib foi nomeada pelo Ministério da Solidariedade e Saúde para gerir as consultas relacionadas.

Foi pedido ao juiz interino do Conselho de Estado que suspendesse esta parceria com o fundamento de que ela iria ignorar o Regulamento Geral de Protecção de Dados (UE) 2016/679 de 27 de Abril de 2016 (GDPR).

O juiz rejeita nisso :

AWS Sarl, a subsidiária luxemburguesa da AWS Inc., é certificado como um "hospedeiro de dados de saúde". (CSP, art. L. 1111-8). Os dados estão alojados em centros localizados em França e Alemanha e não há nenhuma disposição no contrato para quaisquer transferências de dados para os EUA por razões técnicas. Uma vez que a AWS Sarl é uma subsidiária de uma empresa norte-americana, pode estar sujeita a um pedido de acesso por parte das autoridades públicas norte-americanas, de acordo com os requerentes.

Dados em questão. - O Conselho de Estado observa que "os dados em questão incluem dados de identificação pessoal e dados da nomeação mas nenhum dado de saúde sobre possíveis razões médicas para a elegibilidade para a vacinação", uma vez que os indivíduos só são obrigados a justificar a sua elegibilidade com uma declaração juramentada.

Período de Retenção. - Os dados " será abolida, o mais tardar, após um período de três meses a partir da data da marcação, e cada pessoa interessada que tenha criado uma conta na plataforma para efeitos de vacinação pode apagá-la directamente online.

Pedido de acesso pelas autoridades públicas dos EUA. - A fim de assegurar a sua relação, o contrato prevê queAWS terá de desafiar "qualquer aplicação que seja geral ou não esteja em conformidade com os regulamentos da UE ". Esta medida é acompanhada por um "mecanismo de segurança dos dados alojados pelo AWS por meio de um procedimento de encriptação com base num terceiro de confiança localizado em França a fim de impedir a leitura de dados por terceiros".

> O nível de protecção assim posto em prática pelas partes "não pode ser considerado como manifestamente insuficiente tendo em conta o risco de violação do RGPD".

 

O âmbito da decisão é relativo na medida em que é uma decisão provisória provisória que sanciona "manifestamente ilegal" e pode, portanto, ser corrigida. A ser continuada.

 
Veja também
CNIL, deliberação nº 2020-044 de 20 de Abril de 2020 e comunicado de imprensa de 14 de Outubro de 2020
CE, ref. ordem, 13 Out. 2020, n° 444937
 
 
pt_PTPortuguese
pt_PTPortuguese fr_FRFrench en_GBEnglish de_DE_formalGerman es_ESSpanish it_ITItalian