Arriba: Rishi Maharaj.
El consultor de protección de datos Rishi Maharaj sobre la violación de TSTT
Desde el punto de vista de la Protección de Datos (que no tenemos pero que otros países de la región han adoptado) hay varias áreas de preocupación.
Momento de la divulgación: TSTT menciona que se enteraron del ciberataque el 9 de octubre de 2023. La brecha entre el ataque y la divulgación pública parece ser significativa, lo que podría ser preocupante según los principios de protección de datos, especialmente porque los datos personales de las personas estaban comprendidos. Desde una perspectiva de protección de datos, los informes deben presentarse a un regulador dentro de un período de tiempo específico, es decir, de 3 a 5 días, y las personas deben ser informadas, pero lamentablemente no tenemos leyes que impongan estos requisitos a las empresas aquí.
Naturaleza de los datos: Según se informa, la infracción incluye líneas de clientes, escaneos de identidad y volcados de bases de datos. Los escaneos de identidad pueden considerarse datos confidenciales y su filtración plantea riesgos importantes de robo de identidad y fraude.
Afirmación de 'No hay pérdida ni compromiso': TSTT afirma que “no hubo pérdida ni compromiso de los datos del cliente”. Sin embargo, considerando la supuesta evidencia disponible en la web oscura, esta afirmación puede parecer contradecir los datos presentados por RansomEXX. Según las mejores prácticas de protección de datos, la transparencia y la precisión en la comunicación son fundamentales.
Volúmenes de datos y relevancia: TSTT señala que sus plataformas generan terabytes de datos, posiblemente intentando restar importancia a los supuestos 6 GB de datos exfiltrados. Si bien esto puede ser exacto en el contexto del volumen total de datos, el RGPD se centra en la calidad y sensibilidad de los datos, no en la cantidad. La gran cantidad de clientes afectados y los tipos de datos involucrados hacen que esta violación sea significativa.
A la luz del reciente ciberataque a TSTT, su declaración plantea varias preocupaciones desde la perspectiva de la protección de datos. La demora en la divulgación y la aparente contradicción entre sus afirmaciones y las pruebas presentadas por los piratas informáticos son alarmantes.
Si bien la respuesta proactiva de TSTT para proteger sus sistemas es encomiable, la naturaleza de los datos involucrados (especialmente los escaneos de identificación) plantea un riesgo significativo.
El énfasis de TSTT en las grandes cantidades de datos que manejan podría ser un intento de restar importancia a la gravedad de la infracción. Sin embargo, desde el punto de vista de la protección de datos, lo que cuenta no es el volumen sino la sensibilidad y relevancia de los datos. La situación subraya la necesidad de una comunicación transparente, precisa y rápida ante las violaciones de seguridad.
Una vez más, plantea la necesidad de una legislación revisada no sólo desde una perspectiva de protección de datos sino también desde una perspectiva de delitos cibernéticos para proporcionar un regulador independiente y también para empoderar a TT CSIRT con la capacidad de actuar de forma independiente y garantizar la precisión y la divulgación oportuna de información e investigaciones. y también para que las empresas sean honestas y responsables.
Acerca de Rishi Maharaj
Rishi Maharaj se graduó con una licenciatura en Ciencias de la Universidad de las Indias Occidentales. y Maestría en Ciencias. en Gobierno. Es Gerente Certificado de Privacidad de la Información y brinda consultoría a través de Privicy Advisory Services, que ayuda a las organizaciones a través de la expansión de datos y la transformación digital, enfatizando la reducción de las cargas de cumplimiento.
Con más de 15 años en los sectores público y de privacidad, ofrece conocimientos profundos sobre el funcionamiento del gobierno y los desafíos de la transformación digital. En particular, Rishi encabezó la finalización y proclamación parcial de la Ley de Protección de Datos de Trinidad y Tobago en 2011 y contribuyó a la legislación modelo internacional de protección de datos.
En el sector privado, ayuda a las empresas a alinearse con el RGPD y los estándares regionales de protección de datos, utilizando el cumplimiento como un diferenciador único para impulsar el valor organizacional y fomentar la confianza y el compromiso. Es miembro tanto del Instituto Canadiense de Profesionales de Acceso y Privacidad como de la Asociación Internacional de Profesionales de la Privacidad.