W artykule kontynuujemy wyjaśnianie zasad przetwarzania danych osobowych opisanych w artykule 5  ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).

Szóstą zasadą ogólną jest zasada odpowiedniego zabezpieczenia przetwarzanych danych, zapewnienia integralności i poufności danych. W myśl przepisu ust. 1 lit. f komentowanego artykułu, dane powinny być „przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”. Zabezpieczenie danych stanowi jeden z istotnych elementów ochrony danych. Niekiedy te dwa określenia (zabezpieczenie i ochrona) są z sobą utożsamiane i stosowane zamiennie. Nie jest to jednak właściwe, gdyż zabezpieczenie jest pojęciem węższym i dotyczy technicznego i organizacyjnego aspektu szeroko rozumianej ochrony danych osobowych.

Czytaj więcej RODOwskaz VI

Nowa podatność zabezpieczeń Microsoft Exchange Server mająca na celu wstrzyknięcie złośliwego oprogramowania typu keylogger wykorzystując błędy ProxyShell. Podatność została wykryta w funkcji clkLgn() strony głównej serwera służącej do logowania i rejestruje dane uwierzytelniające, takie jak nazwy użytkowników i hasła.

Czytaj więcej UWAGA!

W dzisiejszym świecie zarządzanie bezpieczeństwem informacji ma kluczowe znaczenie dla ochrony danych, prywatności i budowania zaufania w relacjach biznesowych. Firmy, aby potwierdzić swoją zgodność z międzynarodowymi standardami, uzyskują certyfikaty bezpieczeństwa, poniżej możemy znaleźć krótki opis najważniejszych z nich.

ISO/IEC 27001

ISO/IEC 27001 to międzynarodowa norma dotycząca systemów zarządzania bezpieczeństwem informacji (ISMS). Norma ta określa wymagania dotyczące ustanawiania, wdrażania, utrzymywania i ciągłego doskonalenia SZBI w kontekście ryzyka biznesowego organizacji. Certyfikat ISO/IEC 27001 potwierdza, że firma posiada skuteczny system zarządzania bezpieczeństwem informacji, minimalizujący ryzyko utraty danych i chroniący przed zagrożeniami.

ISO/IEC 27017

Norma ISO/IEC 27017 zawiera wytyczne dotyczące bezpieczeństwa informacji w usługach w chmurze. Certyfikat ten rozszerza standardy ISO/IEC 27001 o konkretne wymagania dla dostawców usług w chmurze i ich klientów, koncentrując się na kwestiach takich jak zarządzanie ryzykiem, kontrola dostępu i ochrona danych w środowisku chmury. Pomaga zapewnić, że usługi w chmurze są bezpieczne, a dane zarządzane w chmurze są chronione przed naruszeniami.

Czytaj więcej Certyfikaty bezpieczeństwa informacji: Kluczowe standardy i wytyczne

Wykryto zagrożenie:  Dwa nowe zero-daye w przeglądarkach Apple i Google

Informujemy o nowym zero-day na przeglądarki chrome oraz safari polegające na pomyleniu typów w silniku JavaScript V8 w wyniku której silnik nieprawidłowo interpretuje typ obiektu, co w konsekwencji prowadzi do błędów logicznych i potencjalnie umożliwia atakującym wykonanie dowolnego kodu.

Czytaj więcej UWAGA!

Przeglądarki Internetowe już dawno wyprzedziły programy biurowe, a nawet gry i stały się centrum naszych komputerów, tabletów i smartfonów. Cyberprzestępcy korzystają z wielu typów ataków, by móc się pod nas podszyć, a jedną z nich jest kradzież sesji.

Sesja jest grupą interakcji odpowiedzialną za wymianę informacji między dwoma urządzeniami, np. między przeglądarką, z której korzystamy, a aplikacją. Zadaniem sesji jest chwilowe przechowywanie informacji o użytkowniku, a także danych jego logowania. Dzięki takiemu rozwiązaniu możemy swobodnie korzystać z aplikacji i nie musimy przy każdym kliknięciu myszą na stronie internetowej ponownie się logować. Przechwycenie sesji, tzw. session hijacking, występuje w momencie, gdy cyberprzestępca przejmuje pliki cookie użytkownika, które zostały wcześniej wygenerowane przez serwer aplikacji i przekazane do przeglądarki użytkownika.

Czytaj więcej Przechwytywanie sesji (session hijacking)

W ostatnim tygodniu wykryto zagrożenie (6-10.05.2024):

Kampania APT28 skierowana przeciwko polskim instytucjom rządowym- szczegóły https://cert.pl/posts/2024/05/apt28-kampania/ 

Czytaj więcej UWAGA!

Jedną z metod wykorzystywaną przez cyberprzestępców jest powszechnie znany phishing. Po informacje, czym jest phishing oraz jak się przed nim bronić- zapraszamy Państwa do naszych wcześniejszych artykułów, m.in. https://cui.wroclaw.pl/2021/05/21/co-kryje-sie-za-pojeciem-phishing/ .

Ze względu na wykorzystywane ataki phishingu, możemy wyodrębnić smishing, z którym spotykamy się coraz częściej. Smishing polega na wysyłaniu krótkich wiadomości SMS, mających na celu kradzież danych np. karty bankowej bądź pieniędzy. Dlaczego przestępcy coraz częściej sięgają po fałszywe sms? Z badań wynika, iż o wiele łatwiej jest zdobyć bądź odgadnąć numer telefonu, ponieważ w Polsce składa się on z 9 (10) cyfr, niż w przypadku adresu e-mail, gdzie liczba cyfr, znaków oraz liter nie ma ograniczeń.

Czytaj więcej Smishing- system telegraf.cert!