En mayo, el GDPR cumplió un año. Esta normativa de la Unión Europea cambió el panorama de la protección de los datos personales y dio protagonismo a este aspecto tan importante de la ciberseguridad.
Tras varios meses sin noticias sobre el GDPR, en julio, volvió a acaparar titulares la protección de datos. British Airways y Marriott recibieron multas muy elevadas—204 millones de euros y 110 millones de euros respectivamente—por las brechas de datos que sufrieron el año pasado. Facebook también recibió una multa de las autoridades italianas, mientras en Canadá un insider robó los datos personales de 2,7 millones de personas.
Un robo masivo de datos
Ahora, los datos personales vuelven a tener protagonismo. Un trabajador de ciberseguridad de Bulgaria ha sido detenido y acusado de robar los datos financieros y personales de hasta 5 millones de ciudadanos de la Agencia Nacional de Impuestos (NRA) del país. Ésta es la brecha de datos más masiva de la historia del país, que tienes 7 millones de habitantes.
La información sustraída incluye nombres, información sobre los ingresos, declaraciones fiscales, pagos de seguros médicos y préstamos.
Un atacante con conocimientos
El martes por la tarde, la policía entró en la casa del sospechoso, un joven de 20 años, y le detuvieron. Allí, encontraron dispositivos que contenían la información robada en formato cifrado.
Según la prensa búlgara, el acusado trabajaba como investigador de ciberseguridad que buscaba vulnerabilidades en las redes informáticas para prevenir los ciberataques. En 2017 salió en las noticias por haber descubierto fallos importantes en la web del Ministerio de Educación búlgaro.
También estaba activo en las redes sociales, publicando artículos sobre la ciberseguridad y el hackeo de manera regular antes de ser detenido.
Los problemas de ciberseguridad de un país
Este ciberataque ha reavivado el debate sobre los estándares de ciberseguridad poco rigurosos dentro del país. El primer ministro del país ha dicho que el acusado era un hacker “con gran habilidad” y que el país debería contratar a “cerebros únicos” parecidos al atacante.
Sin embargo, algunos expertos que han inspeccionado los datos robados dicen que las tácticas utilizadas eran relativamente básicas, y eran más indicativas de una falta de protección adecuada que de las habilidades del hacker.
La organización empresarial más importante del país, el BIA, advirtió hace años de posibles fallos en la protección de datos de la Agencia Nacional de Impuestos. Ha exigido a la NRA que envíe información detallada sobre la información robada a cada persona y cada empresa afectada.
Multas cuantiosas
Bajo el GDPR, la NRA puede tener que enfrentarse a una multa de hasta 20 millones de euros o el 4% de sus ingresos anuales. La sanción dependerá del número de personas afectadas y el volumen de información robada.
Aunque ha habido multas muy altas bajo el GDPR, hasta la fecha, no hemos visto ninguna sanción económica que llega a la máxima cantidad permitida – el 4% de los ingresos anuales de una organización.
Cómo evitar que tu organización sea multada
El GDPR afecta a cualquier organización que maneja los datos personales de ciudadanos de la UE. Por lo tanto, cumplir con ello es una prioridad para evitar los daños económicos y reputacionales que una infracción pueden suponer.
Para agilizar el cumplimento con esta normativa, Panda Adaptive Defense tiene un módulo específicamente diseñado para ayudar con el GDPR: Panda Data Control. Este módulo tiene muchas ventajas:
- Descubre y Audita: Identifica los ficheros con datos de carácter personal (PII) de tu empresa además de los usuarios, empleados o colaboradores, y equipos o servidores que acceden a ella.
- Monitoriza y Detecta: Los informes y la capacidad de configurar alertas en tiempo real de filtraciones y comportamientos anómalos en la utilización de archivos con datos de carácter personal, que Panda Data Control ofrece, ayudan a implementar medidas proactivas de acceso y operación sobre estos.
- Simplifica la Gestión: El módulo de Panda Data Control, es nativo en Panda Adaptive Defense y Panda Adaptive Defense 360, no requiere ningún despliegue adicional a la protección, su activación es inmediata y desatendida, sin configuraciones engorrosas y todo ello gestionado desde la nube.
- Demuestra a tus Responsables, al DPO, y al resto de empleados de tu organización, que la empresa tiene un control exhaustivo de los datos de carácter personal ubicados en sus equipos, en cómo se operan y el tránsito de estos desde y hacia los puestos.
Las nuevas brechas de datos y las multas que hemos visto este mes no serán las últimas. Vendrán nuevos casos de incumplimiento del GDPR y de robo de datos personales. Asegúrate de que tu empresa no sea la próxima con Panda Data Control.