Globale lover om personvern ble opprettet for å møte økende forbrukerbekymringer om individets personvern. Disse lovene inkluderer flere beste praksiser for virksomheter om lagring og bruk av forbrukernes personopplysninger, slik at eksponeringen av personlig identifiserbar informasjon (PII) begrenses i tilfelle et databrudd.
Imidlertid flere nyere datainnbrudd bevise at forbrukerdata fortsetter å være sårbare. Hvorfor er det slik at så strenge reguleringer ikke har vært i stand til å beskytte forbrukerdata – utover å generere ad-hoc-inntekter ved å straffe noen få virksomheter som åpenlyst unnlater å ta hensyn til personvern? Svaret kan ligge i hvordan selskaper trenger å gjøre en delikat dans mellom beskyttelse av forbrukernes personvern, opprettholdelse av produktets effektivitet og redusere risikoen for cyberbrudd.
Dataavidentifikasjonssvakheter i den digitale verden
Det er to primære lover som styrer personvern på nettet: General Data Protection Regulation (GDPR) og California Privacy Rights Act (CPRA), selv om mange land og stater har begynt å skrive sine egne. Blant de ulike beskyttelsestiltakene er avidentifikasjon av data den viktigste.
Begge definerer dataavidentifikasjon som prosessen med å gjøre PII anonymisert på en måte som gjør at enhver sekundær informasjon, når den er knyttet til personopplysningene, ikke kan identifisere individet. Bransjen er enstemmig enige om enkelte enheter som personopplysninger, inkludert navn, adresse, e-postadresse og telefonnummer. Andre, for eksempel en IP-adresse (og versjoner av den) er basert på tolkning. Disse lovene viser verken eksplisitt attributtene som er personlige eller nevner hvordan og når man skal anonymisere, utover å dele noen få beste praksiser.
Full anonymisering av personopplysninger og data knyttet til dem er imidlertid ubrukelig for bedrifter i denne stadig digitale verden. Hvert nytt teknologisk gjennombrudd krever massiv inndata av datasett – både personlig og aggregert. For eksempel må bedrifter vedlikeholde ikke-anonymiserte datasett slik at brukerne deres kan validere påloggingsforsøk, forhindre kontoovertakelse, gi personlige anbefalinger og mer. En finansinstitusjon trenger flere viktige deler av personopplysninger for å overholde kjenn-din-kunde (KYC) regler; for eksempel trenger en e-handelsleverandør sluttbrukerens leveringsadresse.
Slike brukstilfeller kan ikke oppfylles med fullstendig avidentifiserte datasett. Derfor bruker selskaper en prosess kjent som pseudo-anonymisering, en irreversibel datahashing-teknikk som innebærer å konvertere personopplysninger til en rekke tilfeldige tegn som ikke kan omvendt konstrueres. Men denne teknikken har en alvorlig feil: Rehasking av de samme personlige dataene gir den samme strengen med tilfeldige tegn.
I tilfelle et datainnbrudd, hvis hackeren får tilgang til en database med pseudo-anonymiserte personopplysninger og nøkkelen (også referert til som saltet) som brukes til å pseudo-anonymisere personopplysningene, kan de utlede de faktiske forbrukerdataene bare ved å kjøre flere lister over brudd på personlige data som er tilgjengelige i Dark Web og matche produksjonen med ren brute force. Hva er verre: Metadata for individuelle enheter og nettlesere lagres nesten alltid i råformat, noe som gjør det lettere for hackeren å kjøre assosiasjoner og komme forbi svindeloppdagingssystemer.
Hvis hackeren får tilgang til en finansinstitusjons database som inneholder pseudo-anonymiserte personlige telefonnumre sammen med en rekke nettleser- og enhetsattributter som er knyttet til sluttbrukeren, kan hackeren kjøre mulige telefonnummerkombinasjoner gjennom den samme algoritmen og matche utdataene. med databasen. Å kjøre alle mulige telefonnumre i USA gjennom en typisk SHA-256 kryptografisk algoritme tar mindre enn to timer på en moderne MacBook. Å kjøre kampen vil ta enda kortere tid.
Ved å bruke telefonnummeret, nettleseren og enhetsattributtene kan en angriper utføre et kontoovertakelsesforsøk. Enda verre, de kan utløse en phishing-melding, som potensielt kan føre til kaprede informasjonskapsler eller tokens og avspilling av disse attributtene for å få tilgang til sluttbrukerens økonomiske konto.
Beskyttelse av forbrukerdata i en tid med pseudo-anonymisering
Beskyttelse av personopplysninger krever konstant overvåking og trusselreduksjon mot sofistikerte hackere. På datainfrastruktursiden kan personvernhvelv fjerne sensitive data fra virksomhetens kjerneinfrastruktur. I tilfelle et brudd forblir sensitive data i et bortgjemt hvelv. Det anbefales også å bruke separate infrastrukturer for å lagre nøkkelen (saltet) til de pseudo-anonymiserte dataene for å redusere bruddpåvirkningen.
Andre anbefalinger inkluderer å rotere nøkkelen med et optimalt intervall (vanligvis hver tredje måned). Når den er rotert, kan nøkkelen låse opp personopplysningene bare inntil det tidspunktet, noe som reduserer mengden data som er i fare. Å lage flere nøkler er en ekstra forsvarsteknikk. Utover den ene nøkkelen som brukes til å låse opp personlige data, forvirrer lagring av ytterligere "dummy"-nøkler hackere på hvilken nøkkel de skal bruke. Hver ekstra dummy-nøkkel øker eksponentielt tiden det tar å låse opp dataene, og kjøper dermed ekstra tid for virksomheten til å ta avbøtende tiltak.
Anonymisering av ikke-personlig informasjon, som enhets- og nettverksdata relatert til forbrukeren, øker også kompleksiteten for hackeren siden de nå har mer data å låse opp med muligens høyere kardinaliteter enn selve personopplysningene.
Selv om bedrifter bør ta proaktive overvåkings- og avbøtende tiltak, kan ikke alle proaktive tiltak hindre hvert angrep. Derfor anbefales det også sterke tilbakevirkende avbøtende tiltak.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/risk/data-de-identification-balancing-privacy-efficacy-cybersecurity-
- : har
- :er
- :ikke
- a
- I stand
- Om oss
- adgang
- Logg inn
- Handling
- faktiske
- Ytterligere
- adresse
- mot
- algoritme
- Alle
- nesten
- langs
- også
- Selv
- alltid
- blant
- an
- og
- besvare
- noen
- ER
- AS
- assosiert
- foreninger
- At
- angripe
- forsøk
- forsøk
- attributter
- tilgjengelig
- balansering
- basert
- BE
- vært
- BEST
- beste praksis
- mellom
- Beyond
- både
- brudd
- gjennombrudd
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- brute force
- virksomhet
- bedrifter
- men
- Kjøpe
- by
- california
- CAN
- kan ikke
- saken
- saker
- tegn
- kombinasjoner
- Selskaper
- helt
- kompleksitet
- overholde
- bekymringer
- konstant
- forbruker
- forbrukerdata
- forbrukernes personvern
- Forbrukere
- fortsetter
- konvertering
- cookies
- Kjerne
- kunne
- land
- opprettet
- Opprette
- kryptografisk
- cyber
- Cybersecurity
- danse
- mørk
- mørk Web
- dato
- datainnbrudd
- datainfrastruktur
- personvern
- databeskyttelse
- datasett
- Database
- Forsvar
- definere
- levering
- krav
- enhet
- digitalt
- do
- e-handel
- hver enkelt
- enklere
- effekten
- emalje
- slutt
- konstruert
- enheter
- like
- Era
- Selv
- Event
- Hver
- eksempel
- eksplisitt
- eksponentielt
- Eksponering
- Noen få
- finansiell
- finansinstitusjon
- feil
- Til
- Tving
- format
- fra
- fullt
- Gevinst
- GDPR
- general
- generell data
- Generell databeskyttelsesforskrift
- genererer
- få
- Økende
- hacker
- hackere
- hashing
- Ha
- derav
- høyere
- TIMER
- Hvordan
- HTTPS
- identifisere
- if
- Påvirkning
- in
- inkludere
- Inkludert
- øker
- individuelt
- industri
- informasjon
- Infrastruktur
- infrastruktur
- inngang
- Institusjon
- tolkning
- inn
- IP
- IP-adresse
- IT
- DET ER
- selv
- jpg
- bare
- nøkkel
- nøkler
- kjent
- KYC
- Lover
- ledende
- mindre
- løgn
- Begrenset
- knyttet
- Liste
- lister
- Logg inn
- vedlikeholde
- Making
- mange
- massive
- Match
- matchende
- Kan..
- måle
- målinger
- melding
- metadata
- skadebegrensning
- Moderne
- overvåking
- måneder
- mer
- flere
- navn
- Trenger
- behov
- Ingen
- nettverk
- Nettverksdata
- Ny
- nå
- Antall
- tall
- of
- on
- gang
- ONE
- på nett
- personvern på nettet
- bare
- optimal
- or
- andre
- produksjon
- egen
- Past
- Utfør
- personlig
- personlig informasjon
- Personlig
- personlig
- phishing
- Phishing-melding
- telefon
- brikke
- stykker
- plato
- Platon Data Intelligence
- PlatonData
- mulig
- muligens
- potensielt
- praksis
- forebygge
- primære
- Prime
- privatliv
- Proaktiv
- prosess
- Produkt
- beskyttelse
- Bevis
- gi
- leverandør
- tilfeldig
- område
- Raw
- nylig
- anbefalinger
- anbefales
- redusere
- redusere
- referert
- Regulering
- forskrifter
- rehashing
- i slekt
- Krever
- inntekter
- reversere
- rettigheter
- Risiko
- regler
- Kjør
- rennende
- s
- salt
- samme
- sekundær
- sensitive
- separat
- alvorlig
- sett
- flere
- deling
- bør
- side
- siden
- So
- noen
- sofistikert
- startet
- Stater
- opphold
- Steps
- lagret
- lagring
- Streng
- String
- sterk
- slik
- SWIFT
- Systemer
- Ta
- overtakelse
- tar
- teknikk
- teknologisk
- enn
- Det
- De
- deres
- Disse
- de
- denne
- De
- trussel
- tre
- Gjennom
- Dermed
- hindre
- Tied
- tid
- til
- tokens
- utløse
- to
- typisk
- typisk
- enstemmig
- forent
- Forente Stater
- låse opp
- til
- opprettholdelse
- bruke
- brukt
- ubrukelig
- Bruker
- Brukere
- ved hjelp av
- VALIDERE
- ulike
- Vault
- hvelv
- versjoner
- volum
- Sårbar
- Vei..
- web
- var
- Hva
- når
- hvilken
- hvorfor
- vil
- med
- verden
- verre
- skrive
- rentene
- zephyrnet