Pentru început, să ne întoarcem puțin în timp, la momentul apariției GDPR. Sîntem în anul 2016, anul publicării. Au fost la dipoziție 2 ani pentru conformare: 2018 este promulgată și legea 190.

Reiau ce am mai scris în timp despre acest subiect:

”operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele (…) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.”

GDPR nu a dorit ca măsurile de securitate să fie implementate și uitate, să fie doar hîrtii (Informare, Acord, Cookies wall….). Nu acolo este efortul cel mai mare. Articolul din care am citat spune că organizația trebuie să aibă un proces continuu prin care verifică dacă măsurile de securitate chiar funcționează în practică și rămân adecvate în timp. Nu este suficient să implementezi securitatea, trebuie și să o verifici constant.

Testarea se referă la verificarea practică, tehnică, a controalelor de securitate:

• Testare de penetrare (penetration testing) pentru sistemele care procesează date personale;
• Scanări de vulnerabilități;
• Simulări de incidente (TTX-table top exercise) (de exemplu, cum reacționează echipa la o breșă simulată);
• Testarea controalelor de acces (de ex., utilizatori autentificați dar neautorizați pot accesa date sensibile?).

Evaluarea (assessing) presupune analizarea măsurilor de securitate existente și a gradului lor de adecvare:

• Analizarea dacă nivelul de criptare este potrivit (căci criptarea este cam singura ”măsură de securitate” nominalizată explicit);
• Revizuirea drepturilor de acces (principiul „nevoia de a ști/trebuie să știe);
• Evaluarea strategiei de backup;
• Analiza jurnalelor de securitate (log-uri).

Analiza-reevaluarea eficacității (evaluating) examinează eficacitatea generală a msurilor de securitate.

• Dacă planul de răspuns la incidente duce la detectarea și limitarea rapidă a breșelor;
• Dacă procesele de remediere a vulnerabilităților sunt eficiente;
• Evaluarea nivelului de maturitate al programului de securitate (de ex., folosind ISO 27001, NIST);
• Analiza tendințelor identificate în urma testelor anterioare.

Și cum există o mulțime mare de organizații care prelucrează date cu caracter personal, înseamnă că cele de mai sus trebuiau puse în practică cu ceva timp în urmă.

Ajungem în vremurile lui NIS1 și NIS2. În 2020 era emis Ordinul 1323 unde apărea și obligația de ”testare a securităţii aplicaţiilor” respectiv ”testarea securităţii infrastructurii reţelelor şi sistemelor informatice.” Dar cum organizațiile se conformaseră deja la GDPR, înseamnă că cerințele de mai sus nu au fost o noutate…..

Sîntem deja în octombrie 2024 cînd este emis Regulamentul de punere în aplicare a ”NIS2” aplicabil MSP/MSSP etc. care prevede că ”entitățile relevante stabilesc, implementează și aplică o politică și proceduri pentru testele de securitate:

• stabilesc, pe baza evaluării riscurilor necesitatea, sfera, frecvența și tipul testelor de securitate;
• efectuează teste de securitate în conformitate cu o metodologie de testare documentată, care acoperă componentele identificate în cadrul unei analize a riscurilor ca fiind relevante pentru operarea în condiții de siguranță;
• documentează tipul, sfera, ora și rezultatele testelor, inclusiv evaluarea criticalității și acțiunile de atenuare pentru fiecare constatare;
• aplică măsuri de atenuare în cazul constatărilor critice.”

Pe lîngă această cerință țintită, entitățile mai au și alte obligații:

• planul de continuitate a activității și planul de recuperare după dezastru sunt testate și revizuite
• instituie și pun în aplicare procese de testare a securității în ciclul de viață al dezvoltării;
• modificările sînt documentate și, pe baza evaluării riscurilor, sînt testate și evaluate având în vedere impactul potențial înainte de a fi puse în aplicare.
• rolurile, responsabilitățile și procedurile stabilite în cadrul politicii pentru managementul incidentelor sînt testate și revizuite

Pe oaia care nu își poate duce blana să o mănînce lupul….