חוקי פרטיות נתונים גלובליים נוצרו כדי לתת מענה לדאגות הגוברת של הצרכנים לגבי פרטיות הפרט. חוקים אלה כוללים מספר שיטות עבודה מומלצות לעסקים לגבי אחסון ושימוש בנתונים אישיים של צרכנים, כך שהחשיפה של מידע אישי מזהה (PII) מוגבלת במקרה של הפרת מידע.
עם זאת, כמה לאחרונה הפרות נתונים להוכיח שנתוני צרכנים ממשיכים להישאר פגיעים. מדוע תקנות מחמירות כל כך לא הצליחו להגן על נתוני צרכנים - מעבר ליצירת הכנסות אד-הוק על ידי ענישה של כמה עסקים שמזלזלים בבוטות בחששות הפרטיות? ייתכן שהתשובה נעוצה באופן שבו חברות צריכות לעשות ריקוד עדין בין הגנה על פרטיות הצרכן, שמירה על יעילות המוצר שלהן, ו ביטול הסיכון של הפרות סייבר.
חולשות ביטול זיהוי נתונים בעולם הדיגיטלי
ישנם שני חוקים עיקריים המנחים את הפרטיות המקוונת: תקנת הגנת המידע הכללית (GDPR) וחוק זכויות הפרטיות של קליפורניה (CPRA), למרות שמדינות ומדינות רבות החלו לכתוב משלהן. בין אמצעי ההגנה השונים, ביטול זיהוי הנתונים הוא אחד החשובים ביותר.
שניהם מגדירים ביטול זיהוי נתונים כתהליך של הפיכת PII לאנונימי בצורה שכל פיסת מידע משני, כאשר היא משויכת לנתונים האישיים, אינה יכולה לזהות את האדם. התעשייה מסכימה פה אחד על ישויות מסוימות כנתונים אישיים, כולל שם, כתובת, כתובת דואר אלקטרוני ומספר טלפון. אחרים, כגון כתובת IP (וגרסאות שלה) מבוססים על פרשנות. חוקים אלה אינם מפרטים במפורש את התכונות שהן אישיות ואינם מזכירים כיצד ומתי לעשות אנונימיות, מעבר לשיתוף כמה שיטות עבודה מומלצות.
עם זאת, אנונימיזציה מלאה של נתונים אישיים והנתונים המקושרים אליהם היא חסרת תועלת לעסקים בעולם הדיגיטלי הזה. כל פריצת דרך טכנולוגית חדשה דורשת קלט מסיבי של מערכי נתונים - אישיים ומצטברים כאחד. כדוגמה, חברות צריכות לשמור מערכי נתונים לא אנונימיים עבור המשתמשים שלהם כדי לאמת ניסיונות כניסה, למנוע השתלטות על חשבון, לספק המלצות מותאמות אישית ועוד. מוסד פיננסי זקוק למספר חלקים מרכזיים של נתונים אישיים כדי לעמוד בהם הכר את הלקוח שלך (KYC) חוקים; לדוגמה, ספק מסחר אלקטרוני צריך את כתובת המשלוח של משתמש הקצה שלו.
לא ניתן למלא מקרי שימוש כאלה עם ערכות נתונים מזוהות לחלוטין. לפיכך, חברות משתמשות בתהליך המכונה פסאודו-אנונימיזציה, טכניקת גיבוב נתונים בלתי הפיכה הכוללת המרת נתונים אישיים למחרוזת של תווים אקראיים שלא ניתן לבצע הנדסה לאחור. אבל לטכניקה הזו יש פגם רציני: שחזור של אותם נתונים אישיים מניב את אותה מחרוזת של תווים אקראיים.
במקרה של הפרת נתונים, אם ההאקר יקבל גישה למסד נתונים של נתונים אישיים פסאודו-אנונימיים והמפתח (המכונה גם המלח) המשמש לפסאודו-אנונימיזציה של הנתונים האישיים, הם יכולים להסיק את נתוני הצרכנים בפועל. על ידי הפעלת רשימות מרובות של נתונים אישיים שנפרצו הזמינים ברשת האפלה והתאמת הפלט בכוח גס. מה יותר גרוע: מטא-נתונים של מכשיר ודפדפן בודדים נשמרים כמעט תמיד בפורמט גולמי, מה שמקל על ההאקר להפעיל אסוציאציות ולעבור מערכות זיהוי הונאה.
אם ההאקר מקבל גישה למסד הנתונים של מוסד פיננסי המכיל מספרי טלפון אישיים פסאודו אנונימיים יחד עם מגוון תכונות דפדפן ומכשיר הקשורות למשתמש הקצה, ההאקר יכול להפעיל שילובים אפשריים של מספרי טלפון באמצעות אותו אלגוריתם ולהתאים את הפלט עם מסד הנתונים. הפעלת כל מספרי הטלפון האפשריים בארצות הברית באמצעות אלגוריתם קריפטוגרפי טיפוסי SHA-256 לוקחת פחות משעתיים ב-MacBook מודרני. הפעלת המשחק ייקח אפילו פחות זמן.
באמצעות מספר הטלפון, הדפדפן ותכונות המכשיר, תוקף יכול לבצע ניסיון השתלטות על חשבון. גרוע מכך, הם יכולים להפעיל הודעת דיוג, שעלולה להוביל ל-cookies או אסימונים שנחטפו ולהפעיל מחדש את התכונות הללו כדי לקבל גישה לחשבון הפיננסי של משתמש הקצה.
שמירה על נתוני צרכנים בעידן הפסאודו-אנונימיזציה
שמירה על נתונים אישיים דורשת ניטור מתמיד והפחתת איומים מפני האקרים מתוחכמים. בצד תשתית הנתונים, כספות פרטיות יכולות לנתק נתונים רגישים מתשתית הליבה של העסק. במקרה של הפרה, נתונים רגישים נשארים בכספת מבודדת. מומלץ גם להשתמש בתשתיות נפרדות לאחסון המפתח (מלח) לנתונים הפסאודו-אנונימיים כדי להפחית את השפעת הפרצה.
המלצות אחרות כוללות סיבוב המפתח במרווח אופטימלי (בדרך כלל, כל שלושה חודשים). לאחר הסיבוב, המפתח יכול לפתוח את הנתונים האישיים רק עד למועד זה, ולהפחית את נפח הנתונים בסיכון. יצירת מספר מפתחות היא טכניקת הגנה נוספת. מעבר למפתח היחיד המשמש לביטול נעילת נתונים אישיים, אחסון מפתחות "דמה" נוספים מבלבל את האקרים באיזה מפתח להשתמש. כל מפתח דמה נוסף מגדיל באופן אקספוננציאלי את הזמן לפתיחת הנתונים, ובכך קונה זמן נוסף לעסק לנקוט בצעדי הפחתה.
אנונימיזציה של מידע לא אישי, כגון נתוני מכשיר ורשת הקשורים לצרכן, גם מגבירה את המורכבות עבור ההאקר מכיוון שכעת יש להם יותר נתונים לפתוח עם קרדינליות גבוהה יותר מהנתונים האישיים עצמם.
בעוד שעסקים צריכים לנקוט באמצעי ניטור והפחתה יזומים, לא כל אמצעי יזום יכול לסכל כל התקפה. לפיכך, מומלצים באותה מידה אמצעי הפחתה רטרואקטיביים חזקים.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/risk/data-de-identification-balancing-privacy-efficacy-cybersecurity-
- :יש ל
- :הוא
- :לֹא
- a
- יכול
- אודות
- גישה
- חֶשְׁבּוֹן
- לפעול
- ממשי
- נוסף
- כתובת
- נגד
- אַלגוֹרִיתְם
- תעשיות
- כמעט
- לאורך
- גם
- למרות
- תמיד
- בין
- an
- ו
- לענות
- כל
- ARE
- AS
- המשויך
- עמותות
- At
- לתקוף
- ניסיון
- ניסיונות
- תכונות
- זמין
- איזון
- מבוסס
- BE
- היה
- הטוב ביותר
- שיטות עבודה מומלצות
- בֵּין
- מעבר
- שניהם
- הפרה
- פריצת דרך
- דפדפן
- כוח זרוע
- עסקים
- עסקים
- אבל
- קנייה
- by
- קליפורניה
- CAN
- לא יכול
- מקרה
- מקרים
- תווים
- שילובים
- חברות
- לחלוטין
- מורכבות
- להיענות
- דאגות
- קבוע
- צרכן
- נתוני צרכנים
- פרטיות צרכנית
- צרכנים
- ממשיך
- המרת
- עוגיות
- ליבה
- יכול
- מדינות
- נוצר
- יוצרים
- קריפטוגרפי
- סייבר
- אבטחת סייבר
- לִרְקוֹד
- כהה
- אינטרנט אפל
- נתונים
- נתוני פרה
- תשתית נתונים
- פרטיות מידע
- הגנה על נתונים
- ערכות נתונים
- מסד נתונים
- גופי בטחון
- לְהַגדִיר
- מסירה
- דרישות
- מכשיר
- דיגיטלי
- do
- מסחר אלקטרוני
- כל אחד
- קל יותר
- יעילות
- אמייל
- סוף
- מהונדס
- ישויות
- באותה מידה
- תקופה
- אֲפִילוּ
- אירוע
- כל
- דוגמה
- בִּמְפוּרָשׁ
- אקספוננציאלית
- חשיפה
- מעטים
- כספי
- מוסד פיננסי
- פגם
- בעד
- להכריח
- פוּרמָט
- החל מ-
- מלא
- לְהַשִׂיג
- GDPR
- כללי
- מידע כללי
- ומרגולצית הנתונים הכללית
- יצירת
- לקבל
- גדל
- האקר
- האקרים
- has has
- יש
- ומכאן
- גבוה יותר
- שעות
- איך
- HTTPS
- לזהות
- if
- פְּגִיעָה
- in
- לכלול
- כולל
- עליות
- בנפרד
- תעשייה
- מידע
- תשתית
- תשתית
- קלט
- מוסד
- פענוח
- אל תוך
- IP
- כתובת IP
- IT
- שֶׁלָה
- עצמו
- jpg
- רק
- מפתח
- מפתחות
- ידוע
- KYC
- חוקים
- מוביל
- פחות
- שקר
- מוגבל
- צמוד
- רשימה
- רשימות
- התחבר
- לתחזק
- עשייה
- רב
- מסיבי
- להתאים
- תואם
- מאי..
- למדוד
- אמצעים
- הודעה
- מידע נוסף
- הֲקָלָה
- מודרני
- ניטור
- חודשים
- יותר
- מספר
- שם
- צורך
- צרכי
- לא זה ולא זה
- רשת
- נתוני רשת
- חדש
- עַכשָׁיו
- מספר
- מספרים
- of
- on
- פעם
- ONE
- באינטרנט
- פרטיות באינטרנט
- רק
- אופטימלית
- or
- אחרים
- תפוקה
- שֶׁלוֹ
- עבר
- לְבַצֵעַ
- אישי
- מידע אישי
- אישית
- אישית
- דיוג
- הודעת דיוג
- טלפון
- לְחַבֵּר
- חתיכות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אפשרי
- יִתָכֵן
- פוטנציאל
- פרקטיקות
- למנוע
- יְסוֹדִי
- ראשוני
- פְּרָטִיוּת
- פרואקטיבי
- תהליך
- המוצר
- .
- להוכיח
- לספק
- ספק
- אקראי
- רכס
- חי
- לאחרונה
- המלצות
- מוּמלָץ
- להפחית
- הפחתה
- מכונה
- תקנה
- תקנון
- מחדשים מחדש
- קָשׁוּר
- דורש
- הכנסה
- להפוך
- זכויות
- הסיכון
- כללי
- הפעלה
- ריצה
- s
- מלח
- אותו
- משני
- רגיש
- נפרד
- רציני
- סטים
- כמה
- שיתוף
- צריך
- צד
- since
- So
- כמה
- מתוחכם
- החל
- הברית
- להשאר
- צעדים
- מאוחסן
- אחסון
- קפדן
- מחרוזת
- חזק
- כזה
- SWIFT
- מערכות
- לקחת
- השתלטות
- לוקח
- טכניקה
- טכנולוגי
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אלה
- הֵם
- זֶה
- אלה
- איום
- שְׁלוֹשָׁה
- דרך
- כָּך
- לְסַכֵּל
- קָשׁוּר
- זמן
- ל
- מטבעות
- להפעיל
- שתיים
- טיפוסי
- בדרך כלל
- פֶּה אֶחָד
- מאוחד
- ארצות הברית
- לפתוח
- עד
- מקיים
- להשתמש
- מְשׁוּמָשׁ
- חסר תועלת
- משתמש
- משתמשים
- באמצעות
- לְאַמֵת
- שונים
- קמרון
- קמרונות
- גירסאות
- כֶּרֶך
- פגיע
- דֶרֶך..
- אינטרנט
- היו
- מה
- מתי
- אשר
- למה
- יצטרך
- עם
- עוֹלָם
- גרוע יותר
- לכתוב
- תשואות
- זפירנט