Les lois mondiales sur la confidentialité des données ont été créées pour répondre aux préoccupations croissantes des consommateurs concernant la vie privée des individus. Ces lois incluent plusieurs bonnes pratiques pour les entreprises concernant le stockage et l'utilisation des données personnelles des consommateurs afin que l'exposition des informations personnelles identifiables (PII) soit limitée en cas de violation de données.
Cependant, plusieurs récents les violations de données prouver que les données des consommateurs restent vulnérables. Pourquoi des réglementations aussi strictes n’ont-elles pas permis de protéger les données des consommateurs – au-delà de générer des revenus ponctuels en pénalisant quelques entreprises qui bafouent ouvertement les préoccupations en matière de confidentialité ? La réponse réside peut-être dans la manière dont les entreprises doivent faire une danse délicate entre la protection de la vie privée des consommateurs, le maintien de l'efficacité de leur produit et réduire les risques de cyberattaques.
Faiblesses de l’anonymisation des données dans le monde numérique
Il existe deux lois principales régissant la confidentialité en ligne : le Règlement général sur la protection des données (RGPD) et le California Privacy Rights Act (CPRA), bien que de nombreux pays et États aient commencé à rédiger les leurs. Parmi les différentes mesures de sauvegarde, la désidentification des données constitue une mesure primordiale.
Les deux définissent la désidentification des données comme le processus permettant de rendre les informations personnelles anonymisées de manière à ce que toute information secondaire, lorsqu'elle est associée aux données personnelles, ne puisse pas identifier l'individu. L'industrie s'accorde à l'unanimité sur certaines entités comme données personnelles, notamment un nom, une adresse, une adresse e-mail et un numéro de téléphone. D'autres, comme l'adresse IP (et ses versions), sont basés sur l'interprétation. Ces lois ne répertorient pas explicitement les attributs personnels et ne mentionnent pas non plus comment et quand anonymiser, au-delà du partage de quelques bonnes pratiques.
Cependant, l’anonymisation totale des données personnelles et des données qui y sont liées est inutile pour les entreprises dans ce monde toujours numérique. Chaque nouvelle avancée technologique nécessite une saisie massive d’ensembles de données, à la fois personnelles et agrégées. À titre d'exemple, les entreprises doivent conserver des ensembles de données non anonymisées pour leurs utilisateurs afin de valider les tentatives de connexion, d'empêcher les piratages de compte, de fournir des recommandations personnalisées, etc. Une institution financière a besoin de plusieurs éléments de données personnelles clés pour se conformer connais-ton-client (KYC) règles ; par exemple, un fournisseur de commerce électronique a besoin de l'adresse de livraison de son utilisateur final.
De tels cas d’utilisation ne peuvent pas être réalisés avec des ensembles de données complètement anonymisés. Par conséquent, les entreprises utilisent un processus appelé pseudo-anonymisation, une technique de hachage irréversible des données qui consiste à convertir les données personnelles en une chaîne de caractères aléatoires qui ne peuvent pas faire l'objet d'une ingénierie inverse. Mais cette technique présente un sérieux défaut : ressasser les mêmes données personnelles produit la même chaîne de caractères aléatoires.
En cas de violation de données, si le pirate informatique accède à une base de données de données personnelles pseudo-anonymisées et à la clé (également appelée sel) utilisée pour pseudo-anonymiser les données personnelles, il pourrait en déduire simplement les données réelles du consommateur. en exécutant plusieurs listes de données personnelles violées disponibles sur le Dark Web et en faisant correspondre les résultats par pure force brute. Pire encore : les métadonnées individuelles des appareils et des navigateurs sont presque toujours stockées au format brut, ce qui permet au pirate informatique d'exécuter plus facilement des associations et de contourner les systèmes de détection de fraude.
Si le pirate informatique accède à la base de données d'une institution financière contenant des numéros de téléphone personnels pseudo-anonymisés ainsi qu'une série d'attributs de navigateur et d'appareil liés à l'utilisateur final, le pirate informatique peut exécuter des combinaisons possibles de numéros de téléphone via le même algorithme et faire correspondre le résultat. avec la base de données. L'exécution de tous les numéros de téléphone possibles aux États-Unis via un algorithme cryptographique SHA-256 typique prend moins de deux heures sur un MacBook moderne. Organiser le match prendra encore moins de temps.
À l’aide du numéro de téléphone, du navigateur et des attributs de l’appareil, un attaquant peut effectuer une tentative de piratage de compte. Pire encore, ils peuvent déclencher un message de phishing, conduisant potentiellement au détournement de cookies ou de jetons et à la relecture de ces attributs pour accéder au compte financier de l'utilisateur final.
Sauvegarder les données des consommateurs à l’ère de la pseudo-anonymisation
La protection des données personnelles nécessite une surveillance constante et une atténuation des menaces contre les pirates informatiques sophistiqués. Du côté de l'infrastructure de données, les coffres-forts de confidentialité peuvent dissocier les données sensibles de l'infrastructure principale de l'entreprise. En cas de violation, les données sensibles restent dans un coffre-fort isolé. L’utilisation d’infrastructures distinctes pour stocker la clé (sel) des données pseudo-anonymisées est également recommandée afin de réduire l’impact des violations.
D'autres recommandations incluent la rotation de la clé à un intervalle optimal (généralement tous les trois mois). Une fois tournée, la clé ne peut déverrouiller les données personnelles que jusqu'à ce moment-là, réduisant ainsi le volume de données à risque. La création de plusieurs clés est une technique de défense supplémentaire. Au-delà de la clé utilisée pour déverrouiller les données personnelles, le stockage de clés « factices » supplémentaires ne permet pas aux pirates informatiques de savoir quelle clé utiliser. Chaque clé factice supplémentaire augmente de façon exponentielle le temps nécessaire pour déverrouiller les données, ce qui permet à l'entreprise de gagner du temps supplémentaire pour prendre des mesures d'atténuation.
L'anonymisation des informations non personnelles, telles que les données de l'appareil et du réseau liées au consommateur, augmente également la complexité pour le pirate informatique, car il dispose désormais de plus de données à déverrouiller, avec des cardinalités éventuellement plus élevées que les données personnelles elles-mêmes.
Même si les entreprises doivent prendre des mesures proactives de surveillance et d’atténuation, toutes les mesures proactives ne peuvent pas contrecarrer toutes les attaques. Par conséquent, de fortes mesures d’atténuation rétroactives sont également recommandées.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/risk/data-de-identification-balancing-privacy-efficacy-cybersecurity-
- :possède
- :est
- :ne pas
- a
- Capable
- A Propos
- accès
- Compte
- Agis
- présenter
- Supplémentaire
- propos
- à opposer à
- algorithme
- Tous
- presque
- le long de
- aussi
- Bien que
- toujours
- parmi
- an
- et de
- répondre
- tous
- SONT
- AS
- associé
- associations
- At
- attaquer
- tentative
- Tentatives
- attributs
- disponibles
- équilibrage
- basé
- BE
- était
- LES MEILLEURS
- les meilleures pratiques
- jusqu'à XNUMX fois
- Au-delà
- tous les deux
- violation
- percée
- navigateur
- la force brute
- la performance des entreprises
- entreprises
- mais
- Achat
- by
- Californie
- CAN
- ne peut pas
- maisons
- cas
- caractères
- комбинации
- Sociétés
- complètement
- complexité
- se conformer
- Préoccupations
- constant
- consommateur
- données de consommation
- vie privée des consommateurs
- Les consommateurs
- continue
- conversion
- biscuits
- Core
- pourriez
- d'exportation
- créée
- La création
- cryptographique
- cyber
- Cybersécurité
- danser
- Foncé
- Places de marché
- données
- violation de données
- infrastructure de données
- confidentialité des données
- protection des données
- ensembles de données
- Base de données
- Défense
- Vous permet de définir
- page de livraison.
- demandes
- dispositif
- numérique
- do
- e-commerce
- chacun
- plus facilement
- efficacité
- fin
- conçu
- entités
- également
- Ère
- Pourtant, la
- événement
- Chaque
- exemple
- explicitement
- exponentielle
- Exposition
- few
- la traduction de documents financiers
- institution financière
- défaut
- Pour
- Force
- le format
- De
- plein
- Gain
- RGPD
- Général
- données GENERALES
- Règlement Général de Protection des Données
- générateur
- obtenez
- Croissance
- pirate
- les pirates
- Hachage
- Vous avez
- d'où
- augmentation
- HEURES
- Comment
- HTTPS
- identifier
- if
- Impact
- in
- comprendre
- Y compris
- Augmente
- individuel
- industrie
- d'information
- Infrastructure
- infrastructures
- contribution
- Institution
- l'interprétation
- développement
- IP
- IP dédiée
- IT
- SES
- lui-même
- jpg
- juste
- ACTIVITES
- clés
- connu
- KYC
- Lois
- conduisant
- moins
- mensonge
- limité
- lié
- Liste
- Liste
- vous connecter
- maintenir
- Fabrication
- de nombreuses
- massif
- Match
- assorti
- Mai..
- mesurer
- les mesures
- message
- Métadonnées
- atténuation
- Villas Modernes
- Stack monitoring
- mois
- PLUS
- plusieurs
- prénom
- Besoin
- Besoins
- Ni
- réseau et
- Données réseau
- Nouveauté
- maintenant
- nombre
- numéros
- of
- on
- une fois
- ONE
- en ligne
- la vie privée en ligne
- uniquement
- optimum
- or
- Autres
- sortie
- propre
- passé
- Effectuer
- personnel
- données à caractère personnel
- Personnalisé
- Personnellement
- phishing
- Message d'hameçonnage
- Téléphone
- pièce
- pièces
- Platon
- Intelligence des données Platon
- PlatonDonnées
- possible
- peut-être
- l'éventualité
- pratiques
- empêcher
- primaire
- Prime
- la confidentialité
- Cybersécurité
- processus
- Produit
- protection
- Prouver
- fournir
- de voiture.
- aléatoire
- gamme
- raw
- récent
- recommandations
- recommandé
- réduire
- réduire
- visée
- Règlement
- règlements
- ressasser
- en relation
- a besoin
- de revenus
- inverser
- droits
- Analyse
- Courir
- pour le running
- s
- sel
- même
- secondaire
- sensible
- séparé
- grave
- Sets
- plusieurs
- partage
- devrait
- côté
- depuis
- So
- quelques
- sophistiqué
- j'ai commencé
- États
- rester
- Étapes
- stockée
- stockage
- Strict
- Chaîne
- STRONG
- tel
- SWIFT
- Système
- Prenez
- prise de contrôle
- prend
- technique
- technologique
- que
- qui
- La
- leur
- Ces
- l'ont
- this
- ceux
- menace
- trois
- Avec
- Ainsi
- contrecarrer
- Attaché
- fiable
- à
- Tokens
- déclencher
- deux
- débutante
- typiquement
- à l'unanimité
- Uni
- États-Unis
- ouvrir
- jusqu'à
- maintien
- utilisé
- d'utiliser
- inutile
- Utilisateur
- utilisateurs
- en utilisant
- VALIDER
- divers
- Voûte
- coffres
- versions
- le volume
- Vulnérable
- Façon..
- web
- ont été
- Quoi
- quand
- qui
- why
- sera
- comprenant
- world
- pire
- écrire
- rendements
- zéphyrnet