Blog

Assessoria integral amb experiència contrastada

Un virus informàtic s’estén massivament a empreses de Girona

Un virus informàtic s’estén massivament a empreses de Girona

Es tracta d’un ciberatac molt virulent que funciona de manera dirigida amb l’objectiu de cobrar un rescat econòmic a través de monedes digitals. De moment, almenys són sis les societats de Girona afectades.

L’atac, confirmat per el Centre de Seguretat de la Informació de Catalunya (CESICAT) va començar per l’Ajuntament de Lloret, i s’està escampant massivament per empreses de Girona, organismes públics i particulars.

Pot arribar amb un correu electrònic o un document Word amb macros, que al descarregar-se executa programari maliciós, sense que ens adonem (pot estar latent setmanes o mesos). Es tracta d’un “cavall troià” que sol desplega programari per a espionatge o xifrat d’informació. Si aconsegueix segrestar contrasenyes entra en un altre mòdul “ryuk” que s’encarrega d’encriptar de forma dirigida tota la informació.

L’atac inutilitza l’antivirus i l’ordinador que sol començar a actuar de manera anormal.

L’objectiu no és un altre que demanar un rescat en monedes digitals.

S’adverteix que els llocs atacats no tenien un sistema informàtic desprotegit.

En aquests casos, el Reglament UE 2016/679 de 27 d’abril de 2016, en els articles 33 i 34 obliga a l’afectat per un atac informàtic d’aquesta mena en algun dels seus dispositius, a obrir la incidència en el seu Registre Intern de Seguretat, descrivint la naturalesa de la violació de la seguretat de les dades personals, les categories i el nombre aproximat d’interessats afectats, les categories i el nombre aproximat de registres de dades personals afectats, i alhora descrivint les mesures adoptades al responsable del tractament per posar remei. I un cop fet això, notificar-ho a l’autoritat de control (AEPD, ACPD) quan comporti un RISC pels drets i les llibertat de les persones físiques. A més, hi ha un termini màxim de 72 hores a comptar des de que en tinguem coneixement. També la LOPDGDD ens indica en el seu article 72 que l’incompliment d’aquesta obligació serà considerada una INFRACCIÓ MOLT GREU.

Per descomptat, si l’empresa o autònom afectat per l’atac informàtic, no tingués degudament Implementat el nou RGPD de seguretat de les dades personals, la sanció seria en el topall més alt de les previstes.

Al Departament de Dades Personals de Lleal Tulsà Assessors recomanem fer constar l’atestat corresponent que s’ha actuat segons disposa la LOPDGDD i el RGPD per la protecció de les dades personals que contenen els nostres dispositius afectats, per tal d’evitar que l’Agència Española de Protecció de Dades pugui ser informada de l’atac per altre via que no sigui la nostra comunicació, amb les conseqüències que això ens comportaria.

Al Departament de Protecció de Dades de Lleal Tulsà Assessors, estem a la vostra disposició per assessorar-vos, i si cal acompanyar-vos, en els tràmits que descriu la LOPGDD i el RGPD per resoldre aquests incidents de seguretat de les dades personals.

Deixa un comentari