Un aumento de las violaciones de datos causadas de ataques y imitaciones de ransomware es entre los resultados claves del último informe estadístico de la Oficina del Comisionado Australiano.
El informe sobre las violaciones de los datos notificables (NDB) de OIAC desde enero hasta junio 2020 revelan un ligero descenso del número de violaciones admisibles señaladas (518) respecto al precedente periodo de seis meses (532), pero un incremento de 16% respecto al mismo periodo del año pasado.
El Comisionado Australiano de informaciones y el Comisionado de Privacy Angelene Falk dijeron que los ataques dañoso o criminales, incluidos los accidentes informáticos, permanecen la causa de violaciones de datos que afectan informaciones personales de Australia.
“Actores y criminales dañosos son responsables de tres violaciones de las cincos señaladas a OIAC en los últimos seis meses” dijo el Comisionado Falk.
Esto incluye ataques ransomware, en los que se utiliza un software dañoso para criptografar los datos y hacerlos inutilizables o inaccesibles.
“El informe muestra que el número de violaciones de datos causadas desde el ransomware ha pasado de 13, en los meses precedentes, hasta 33 entre enero y junio” ha añadido el Comisionado Falk.
Ahora asistimos regularmente a ataques ransomware que exportan o filtran datos desde una red antes de criptografar datos en la red de destinación, esto es más preocupante.
Esta tendencia tiene implicaciones significativas para la modalidad en la que las organizaciones contestan a violaciones de datos sospechas, en particular cuando los sistemas podrían ser inaccesibles por causa de esto ataques.
Subraya la necesidad para las organizaciones de tener una clara comprensión de cómo y dónde están archivadas informaciones personales en la propia red y de tomar en cuenta medidas adicionales como la segmentación de la red, los controles sólidos de acceso y la criptografía.
En el periodo de referencia, casi el 77% de los entes declarantes ha sido capaz de identificar una violación en 30 días desde su verificación.
Todavía, en 47 casos el ente declarante ha impiegato entre los 61 y lo 365 dias para tomar conciencia y evaluar que se había verificado una violación de datos, mientras que 14 entes han usado más de un año.
“Las organizaciones tienen que ser capaz de relevar y contestar rápidamente las violaciones de datos para contener, evaluar y comunicar el potencial del daño grave” dijo el Comisionado Falk.
Un cierto número de notificaciones no es conforme a los estándares solicitados, no pudiendo identificar todos los tipos de informaciones personales implicadas y no ofreciendo asesoramiento a las personas interesadas sobre cómo reducir el riesgo de daños.
En estos casos, hemos pedido a la organización de emitir nuovamente una notificación. Seguiremos controlando atentamente el respecto de las obligaciones de evaluación y de notificación en el ámbito de nuestro sistema de control.
En otros resultados:
- El sector de seguros ha llegado los primeros cincos sectores por la primera vez desde el inicio de la relación, notificando 35 violaciones.
- Los proveedores de servicios sanitarios siguen siendo el principal sector informante (115 notificaciones) seguido de el sector financiero y el sector de la instrucción.
- El número de notificaciones resultantes de la ingeniería social o la suplantación de propiedad ha aumentado en un 47% durante el período que se informa, hasta 50 violaciones de datos
- Las acciones tomadas por un empleado no autorizado o una amenaza de información privilegiada representaron 25 notificaciones, y el robo de papeleo o dispositivos de almacenamiento dio lugar a 24 notificaciones.
El número de notificaciones al mes varió ampliamente a lo largo del período del informe, que oscilaba entre 63 en enero y 124 en mayo, el mayor número de violaciones de datos notificadas en un mes desde que comenzó el esquema del BNB en febrero de 2018.
Si bien el aumento coincidió con cambios generalizados en los arreglos de trabajo debido al brote DE COVID-19, el Comisario Falk dijo que la OAIC no había encontrado pruebas que sugirieron que el aumento en mayo era el resultado de cambios en las prácticas comerciales.
«El informe muestra que en mayo se notificaron más violaciones de los datos de errores humanos, lo que representa el 39% de las notificaciones ese mes, en comparación con un promedio del 34% en todo el período del informe», dijo.
«Aunque no se ha identificado ninguna causa específica para este cambio, refuerza la necesidad de que las organizaciones y las agencias tomen medidas razonables para prevenir infracciones de errores humanos, incluida la capacitación para el personal que maneja información personal.
Las organizaciones tienen que evaluar y afrontar eventuales impactos de privacy de prácticas comerciales modificadas, tanto durante sus respuesta a la explosión de COVID-19 como mediante el recupero.”
FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’AUSTRALIA – OAIC