Corelarea de evenimente care ţin cont de IP-urile care au atacat o organizaţie şi, ulterior, acţionarea în vederea opririi unui incident de securitate corespund normelor prevăzute de GDPR. Subiectul legat de realizarea schimbului de informaţii privind securitatea sistemelor informatice, în contextul în care GDPR consideră IP-urile date cu caracter personal, a fost adus în discuţie de către Mircea Grigoraş, director adjunct CERT-RO, iar precizările vin din partea specialistului MAI în protecţia datelor Cătălin Giulescu, coordonator timp de 4 ani (începând din februarie 2012) al echipei României care a negociat din punct de vedere tehnic Regulamentul General pentru Protecţia Datelor (GDPR) la Bruxelles.

Cătălin Giulescu:

„IP-ul poate fi dată cu caracter personal, de regulă este dată cu caracter personal, depinde cât timp îl monitorizezi şi ce informaţii colectezi pe baza acelui IP. Asta nu înseamnă că nu poţi să schimbi informaţia dacă ea este necesară potrivit scopului pentru care ea a fost colectată. Ţineţi minte, datele cu caracter personal trebuie să circule, problema este ca acea circulaţie să corespundă scopului.

Nu ezitaţi, în măsura în care discutăm despre cyber security, să schimbaţi informaţii referitoare la IP-uri, referitoare la traficul de internet, dar încercaţi să determinaţi anumite coordonate referitoare la numite patternuri, pe care încercaţi să le determinaţi, canalizaţi-vă atenţia asupra celor care urmăresc un anumit scop rău, intenţionat, lăsaţi-i la o parte pe cei care nu corespund acelor coordonate.”

Într-un context mai larg, Cătălin Giulescu precizează că lipsa conştientizării a ceea ce înseamnă date cu caracter personal este o problemă pentru societatea românescă.

Cătălin Giulescu:

„O chestiune pe care am constatat-o şi în societatea românească, dar şi în spaţiul european, pleacă de la o lipsă de conştientizare a materiei, ce înţelegem prin protecţia datelor cu caracter personal. La nivel de principiu, acest drept are două valenţe: pe de o parte, protecţia persoanei faţă de prelucrarea datelor cu caracter personal, adică reducerea la minimum a datelor pe care le prelucrezi, şi în al doilea rând, a doua valenţă pe care puţini o simţim, o cunoaştem, libera circulaţie a acestor date. A colecta nişte date cu caracter pesonal pe care să le închizi, să le securizezi foarte bine, fără să le laşi să circule nu aduce niciun rezultat, nu putem vorbi despre o dezvoltare economică. În acest context, trebuie să luaţi în considerare că datele pe care le colectaţi trebuie să circule, dar această circulaţie şi colectarea iniţială trebuie să corespundă unei necesităţi.”

În ceea ce priveşte conştientizarea datelor cu caracter personal la nivelul societăţii, Cătălin Giulescu îndeamnă la identificarea atentă a tuturor informaţiilor care se pot transforma în date cu caracter personal, făcând referire şi la monitorizarea şi înregistrarea activităţii utilizatorilor pe un website.

Cătălin Giulescu:

„În principiu, în societatea aceasta, nu prea înţelegem ce sunt datele cu caracter personal. Ar trebui să coborâm în amănunt şi să descoperim ce înseamnă date cu caracter personal. (…) Inclusiv utilizarea mouse-ului creează un pattern, adică utilizarea mouse-ului poate să reprezinte un gen de amprentă pe care un individ o lasă într-un sistem. Codificarea a ceea ce stă în spatele utilizării mouse-ului este o colecţie de date cu caracter personal. Din această cauză este foarte important să înţelegem că în primul rând ar trebui să ne facem un inventar foarte amănunţit a datelor pe care le prelucrăm.”

Declaraţiile au fost făcute la evenimentul Safetech Cybersecurity Experience 2017.

Sursa foto: Facebook/Safetech Innovations

Știri cyber security Cătălin Giulescu date personale front GDPR IP Mircea Grigoraş protectia datelor schimb de date personale securitate securitate cibernetica securitatea informatiei