Ücretsiz, SFR, Fransa çalışması, Viadis ve Amerys, Boulanger, Cultura, SFR, Truffaut, Grosbill, Aile Ödenek Fonu (CAF)… Hangi şirket veya kamu kuruluşu henüz siber saldırıya uğramadı? 29 Nisan Salı günü yayınlanan yıllık raporunda, gizliliğimizi savunmaktan sorumlu makam olan CNIL, kişisel verilerin ihlalindeki artıştan endişe duymaktadır. İkincisi, 2023 ve 2024 yılları arasında % 20 arttı ve bir bonus olarak Çok büyük ölçekli sızıntıların yeniden canlanması.
Büyük veritabanlarının daha fazla korunması için, kişisel verilerin jandarma, süreçte yayınlandı. bir dizi öneri. 2026'dan itibaren Çok büyük veritabanları için çift kimlik doğrulaması gerekecektir – en az iki milyon insanı ilgilendirenler. Somut olarak, şifre artık yeterli olmayacak.
“” Pandemiden işler hızlandı. Daha önce, kesinlikle kişisel veriler ihlalimiz vardı, ancak bu kadar büyük bir şekilde değil İnanıyor. Kamu hizmetleri, özellikle sağlık saldırıya uğradı. Ancak tek bir organizasyonu hedeflemek yerine taşeronlar hedeflendi. “” Bir servis sağlayıcıya saldırarak birkaç varlığa dokunuyoruz »Görüntünün altını çiziyor« Amerika Birleşik Devletleri'nde gerçekleşen Solarwinds skandalı 2020'de.
Geçen yıl Fransa'da, tamamlayıcı sağlık hizmetlerinin yönetiminde uzmanlaşmış bir Fransız şirketi Viadis ve Cyberattacs'ın hedefi olan rakibi Almerys. Toplamda yaklaşık 33 milyon Fransız kişi etkilendi. 2023'te, 2023'ten % 8 daha fazla olan yaklaşık 17.772 şikayet kaydedildi ve eğilim devam ediyor ve 2025'in ilk çeyreğinde Fransa'da zaten 2.500 veri ihlali var.
Bu rakamlar nasıl açıklanır? Birçoğu için ” BT güvenlik sorunları biraz mutlak “, II Paris II ve Paris V üniversitelerinde öğretimden de sorumlu olan savunucular Hırsızlığı böyle görmediğimiz sürece, sanki yerinize geri dönüyorsunuz ve birisinin eşyalarınızı aradığını görüyorsunuz, başınıza gelmediği sürece, kolay bir hedef olduğunuzu fark etmekte zorlanıyorsunuz Devam ediyor.
“” Konu hiç değil, eğer bir siber saldırıya maruz kalacaksak, gerçek konu ne zaman “29 Nisan Salı günü raporun sunumu sırasında CNIL Başkanı Marie-Laure Denis tarafından da telaffuz edilen bir formül olan uzmanlığı açıklıyor ve sorun hala farklı kuruluşların vicdanlarına iyi entegre edilmiyor.” Ayrıca bilgisayar aracı oldukça bilinmiyor ve genellikle etkinliğin stratejik bir unsuru olarak değil, etkinliğin desteği olarak kabul ediliyor. », Uzmanı not edin.
Alarmı seslendiren CNIL'in yıllık değerlendirmesi de açıklanmaktadır “ Mevcut düzenleyici bağlamla ». Birkaç direktif (NIS 2, DORA), özellikle “kritik altyapının esnekliği ve siber güvenliğin güçlendirilmesi ile ilgili olarak tasarısı” yoluyla ulusal yasalara aktarılmak üzereyse, bazı sektörler hala kişisel veriler ve bilgisayar güvenliği ile ilgili yükümlülüklerden veya önerilerden kaçmaktadır.
Diğerleri için cnil ” NIS 2 alanına girmeyen veya Dora alanına girmeyen bilgi sistemlerinde depolanan verilerin büyük çoğunluğundan dolayı nişe gitmek zorunda kalır. ». Ancak bu sistemler için “ Sonuçta uygulanacak teknik önlemler, daha açık veya daha belirleyici düzenleyici gereksinimlere eşdeğer olmakla ilgileniyor “Avukatı gösterir.
Daha baskıcı bir formata mı gidiyorsunuz?
Dikkat, ” CNIL, terimin katı anlamında hiçbir şey dayatmaz. Raporun (29 Nisan'da yayınlanan editör notu) yasal bir bakış açısından bağlayıcı bir etkisi yoktur. CNIL'in atıfta bulunduğu belgeler esasen önerilerdir, bu nedenle doğası gereği bağlayıcı etkisi olmayan ” Sergiler. “Öte yandan, CNIL'in yapabileceği, önerilerine dayanarak, bir kontrole devam ederse ve güvenlik önlemlerinin yetersiz olduğunu not ederse, bu tür öneriler de dahil olmak üzere yaptırım uygulama yeteneğine sahip olmasıdır. Gelişir.
Nedeni basit: “CNIL'in burada bir hukukun üstünlüğü uygulamak için düzenleyici gücü yok”. Ancak bu konularda uzmanlaşmış avukat için bu temeldir ” Eğitim ve farkındalık seviyesini (siber, editörün notu) monte edin ”. Ve oraya ulaşmanın yollarından biri, “Hala sert bir şekilde vurmak. GDPR ile gördük”. 2018 verilerini koruyan Avrupa düzenlemesi, para cezaları yoluyla kişisel verileri daha iyi korumayı mümkün kıldı.
O zaman ortaya çıkan soru, “ Kurumsal, yani Anssi, CNIL ile aynı şekilde, kendini her zaman bir pedagoji felsefesinde buldu. İkincisi, daha baskıcı bir formata geçmek için zaman ayırıyor. ANSSI, ilgili şirketlerin (NIS 2 tarafından) iktidarda yükselmesi için üç yıllık bir süreye sahip olacağını açıkça belirtti. “Maître'nin altını çiziyor Taşmak.
Şirketler ve kamu kuruluşları minimum siber güvenlik seviyesinde mi tutuluyor?
O zaman kamu veya özel kuruluşlara hangi yükümlülüklere uymalıdır? Kişisel veriler için GDPR iki güvenlik gereksinimi sağlar. “” Birincisi, bütünlük ve gizlilik olarak bilinen temel bir ilke olarak kabul edilir »Kişisel veriler. Sonra ona sağlayan 32. madde geliyor “ Bu temel prensibi uygulamak için önlemler ». GDPR, madde içinde şöyle diyor: Birincisi, yol gösterici prensip (hassas verilerin bütünlüğü ve gizliliği) ve ikisi, verilerin duyarlılığına bağlı olarak risk seviyenize karşılık gelen güvenlik önlemlerini benimsemelisiniz.
“” Zamanla, söz konusu bu önlemler, standartlarımız olduğu için giderek daha tanımlanabilir. “Kim gelişti” Çok faktörlü kimlik doğrulama “” Bir şifreyi, örneğin altı ayda bir değiştirme ihtiyacı, giderek daha uzun süren kombinasyonlarla “Liste. Sonuç,” 1, 2, 3, 4 olan şifreler sağlayan operatörlerle sonuçlanırsanız, güvenlik seviyesi doldurulmaz ve bu durumda, CNIL ihlalleri görebilir ve zaten başka bir yerde yapmış olan yaptırımları telaffuz edebilir ».
Bir şirket veya kamu kuruluşu, veri sızıntısından sonra bilgisayar “sağlamlık” eksikliğinden sorumlu tutulabilir mi? Fikir her şeyden önce “ Siber saldırının sonuçlarının iyileştirilmesine odaklanın. Ve sadece ikinci bir adımda, genellikle çok tezahür eden bir şey olduğunda, başarısız olan organizasyonları cezalandıracağız. Bu şekilde, konunun Avrupa'da ve özellikle Fransa'da her durumda ele alınmasıdır. “, Romain perray açıklıyor. “” Tüm bunların arkasındaki felsefe, kurbanı daha da yaptırmayacağımızdır. Şirket, bir siber saldırının yöneteceği çok şey var. Yine de sağduyu bir ölçüsü, insanlar ve organizasyon için sonuçları sınırladığından emin olmaktır. Ekliyor.
Ama şimdi varu nis 2 unvanı Dora'dan itibaren, “ Üst yönetim ” mutlak “ Temel seçim ve siber strateji için sorumluluk üstlenin ». Yönetim Kurulu üyeleri “ bir eğitim yükümlülüğü var ” Avukatı hatırlıyor. Tüm bu unsurlar durumu değiştirecek ve Fransa'daki veri sızıntılarını azaltacak mı? Yolun uzun olması muhtemeldir: 2024'ün sonunda Surfshark Siber Güvenlik Şirketi tarafından yapılan bir araştırmaya göre, Fransa Batı Avrupa'nın en çok veri sızıntılarından etkilenen ülkesidir.
Büyük veritabanlarının daha fazla korunması için, kişisel verilerin jandarma, süreçte yayınlandı. bir dizi öneri. 2026'dan itibaren Çok büyük veritabanları için çift kimlik doğrulaması gerekecektir – en az iki milyon insanı ilgilendirenler. Somut olarak, şifre artık yeterli olmayacak.
İçin HaberlerMcDermott Will & Emery firmasının teknoloji ve veri departmanı avukatı Romain Perray, CNIL veri ihlallerinin bu yıllık raporuna geri döndü. Dijital ve siber sorular uzmanı için, CNIL tarafından hazırlanan kayıt şaşırtıcı olmaktan uzaktır.
Bir dizi saldırı artıyor ve taşeronlar sırada
“” Pandemiden işler hızlandı. Daha önce, kesinlikle kişisel veriler ihlalimiz vardı, ancak bu kadar büyük bir şekilde değil İnanıyor. Kamu hizmetleri, özellikle sağlık saldırıya uğradı. Ancak tek bir organizasyonu hedeflemek yerine taşeronlar hedeflendi. “” Bir servis sağlayıcıya saldırarak birkaç varlığa dokunuyoruz »Görüntünün altını çiziyor« Amerika Birleşik Devletleri'nde gerçekleşen Solarwinds skandalı 2020'de.
Geçen yıl Fransa'da, tamamlayıcı sağlık hizmetlerinin yönetiminde uzmanlaşmış bir Fransız şirketi Viadis ve Cyberattacs'ın hedefi olan rakibi Almerys. Toplamda yaklaşık 33 milyon Fransız kişi etkilendi. 2023'te, 2023'ten % 8 daha fazla olan yaklaşık 17.772 şikayet kaydedildi ve eğilim devam ediyor ve 2025'in ilk çeyreğinde Fransa'da zaten 2.500 veri ihlali var.
Bu rakamlar nasıl açıklanır? Birçoğu için ” BT güvenlik sorunları biraz mutlak “, II Paris II ve Paris V üniversitelerinde öğretimden de sorumlu olan savunucular Hırsızlığı böyle görmediğimiz sürece, sanki yerinize geri dönüyorsunuz ve birisinin eşyalarınızı aradığını görüyorsunuz, başınıza gelmediği sürece, kolay bir hedef olduğunuzu fark etmekte zorlanıyorsunuz Devam ediyor.
“” Konu hiç değil, eğer bir siber saldırıya maruz kalacaksak, gerçek konu ne zaman “29 Nisan Salı günü raporun sunumu sırasında CNIL Başkanı Marie-Laure Denis tarafından da telaffuz edilen bir formül olan uzmanlığı açıklıyor ve sorun hala farklı kuruluşların vicdanlarına iyi entegre edilmiyor.” Ayrıca bilgisayar aracı oldukça bilinmiyor ve genellikle etkinliğin stratejik bir unsuru olarak değil, etkinliğin desteği olarak kabul ediliyor. », Uzmanı not edin.
Yasal cephanelikte “kör nokta”?
Alarmı seslendiren CNIL'in yıllık değerlendirmesi de açıklanmaktadır “ Mevcut düzenleyici bağlamla ». Birkaç direktif (NIS 2, DORA), özellikle “kritik altyapının esnekliği ve siber güvenliğin güçlendirilmesi ile ilgili olarak tasarısı” yoluyla ulusal yasalara aktarılmak üzereyse, bazı sektörler hala kişisel veriler ve bilgisayar güvenliği ile ilgili yükümlülüklerden veya önerilerden kaçmaktadır.
“” Bu ağda, NIS 2 alanına veya Dora alanına girmeyen aktivite sektörleri kümesi olan kör bir noktamız var. “Maître perray'ı açıklar. NIS 2, siber güvenlik ve risk yönetimi açısından daha büyük gereksinimlerin bu kadar” temel “varlıkları ve bu şekilde adlandırılmış” önemli “varlıkları gerektirir. Birincisi, enerji, su, taşımacılık gibi devletin işleyişi için gerekli olan kamu idarelerini ve aktörleri içerir. kurumlar.
Diğerleri için cnil ” NIS 2 alanına girmeyen veya Dora alanına girmeyen bilgi sistemlerinde depolanan verilerin büyük çoğunluğundan dolayı nişe gitmek zorunda kalır. ». Ancak bu sistemler için “ Sonuçta uygulanacak teknik önlemler, daha açık veya daha belirleyici düzenleyici gereksinimlere eşdeğer olmakla ilgileniyor “Avukatı gösterir.
Daha baskıcı bir formata mı gidiyorsunuz?
Dikkat, ” CNIL, terimin katı anlamında hiçbir şey dayatmaz. Raporun (29 Nisan'da yayınlanan editör notu) yasal bir bakış açısından bağlayıcı bir etkisi yoktur. CNIL'in atıfta bulunduğu belgeler esasen önerilerdir, bu nedenle doğası gereği bağlayıcı etkisi olmayan ” Sergiler. “Öte yandan, CNIL'in yapabileceği, önerilerine dayanarak, bir kontrole devam ederse ve güvenlik önlemlerinin yetersiz olduğunu not ederse, bu tür öneriler de dahil olmak üzere yaptırım uygulama yeteneğine sahip olmasıdır. Gelişir.
Nedeni basit: “CNIL'in burada bir hukukun üstünlüğü uygulamak için düzenleyici gücü yok”. Ancak bu konularda uzmanlaşmış avukat için bu temeldir ” Eğitim ve farkındalık seviyesini (siber, editörün notu) monte edin ”. Ve oraya ulaşmanın yollarından biri, “Hala sert bir şekilde vurmak. GDPR ile gördük”. 2018 verilerini koruyan Avrupa düzenlemesi, para cezaları yoluyla kişisel verileri daha iyi korumayı mümkün kıldı.
O zaman ortaya çıkan soru, “ Kurumsal, yani Anssi, CNIL ile aynı şekilde, kendini her zaman bir pedagoji felsefesinde buldu. İkincisi, daha baskıcı bir formata geçmek için zaman ayırıyor. ANSSI, ilgili şirketlerin (NIS 2 tarafından) iktidarda yükselmesi için üç yıllık bir süreye sahip olacağını açıkça belirtti. “Maître'nin altını çiziyor Taşmak.
Şirketler ve kamu kuruluşları minimum siber güvenlik seviyesinde mi tutuluyor?
O zaman kamu veya özel kuruluşlara hangi yükümlülüklere uymalıdır? Kişisel veriler için GDPR iki güvenlik gereksinimi sağlar. “” Birincisi, bütünlük ve gizlilik olarak bilinen temel bir ilke olarak kabul edilir »Kişisel veriler. Sonra ona sağlayan 32. madde geliyor “ Bu temel prensibi uygulamak için önlemler ». GDPR, madde içinde şöyle diyor: Birincisi, yol gösterici prensip (hassas verilerin bütünlüğü ve gizliliği) ve ikisi, verilerin duyarlılığına bağlı olarak risk seviyenize karşılık gelen güvenlik önlemlerini benimsemelisiniz.
“” Zamanla, söz konusu bu önlemler, standartlarımız olduğu için giderek daha tanımlanabilir. “Kim gelişti” Çok faktörlü kimlik doğrulama “” Bir şifreyi, örneğin altı ayda bir değiştirme ihtiyacı, giderek daha uzun süren kombinasyonlarla “Liste. Sonuç,” 1, 2, 3, 4 olan şifreler sağlayan operatörlerle sonuçlanırsanız, güvenlik seviyesi doldurulmaz ve bu durumda, CNIL ihlalleri görebilir ve zaten başka bir yerde yapmış olan yaptırımları telaffuz edebilir ».
Sadece “açıkçası başarısız” kuruluşlar yaptırım mı?
Bir şirket veya kamu kuruluşu, veri sızıntısından sonra bilgisayar “sağlamlık” eksikliğinden sorumlu tutulabilir mi? Fikir her şeyden önce “ Siber saldırının sonuçlarının iyileştirilmesine odaklanın. Ve sadece ikinci bir adımda, genellikle çok tezahür eden bir şey olduğunda, başarısız olan organizasyonları cezalandıracağız. Bu şekilde, konunun Avrupa'da ve özellikle Fransa'da her durumda ele alınmasıdır. “, Romain perray açıklıyor. “” Tüm bunların arkasındaki felsefe, kurbanı daha da yaptırmayacağımızdır. Şirket, bir siber saldırının yöneteceği çok şey var. Yine de sağduyu bir ölçüsü, insanlar ve organizasyon için sonuçları sınırladığından emin olmaktır. Ekliyor.
Ama şimdi varu nis 2 unvanı Dora'dan itibaren, “ Üst yönetim ” mutlak “ Temel seçim ve siber strateji için sorumluluk üstlenin ». Yönetim Kurulu üyeleri “ bir eğitim yükümlülüğü var ” Avukatı hatırlıyor. Tüm bu unsurlar durumu değiştirecek ve Fransa'daki veri sızıntılarını azaltacak mı? Yolun uzun olması muhtemeldir: 2024'ün sonunda Surfshark Siber Güvenlik Şirketi tarafından yapılan bir araştırmaya göre, Fransa Batı Avrupa'nın en çok veri sızıntılarından etkilenen ülkesidir.
Herhangi bir 01net haberini kaçırmamak için bizi Google News ve WhatsApp'ta takip edin.