As leis globais de privacidade de dados foram criadas para abordar as crescentes preocupações dos consumidores sobre a privacidade individual. Estas leis incluem várias práticas recomendadas para empresas sobre o armazenamento e utilização de dados pessoais dos consumidores, para que a exposição de informações de identificação pessoal (PII) seja limitada em caso de violação de dados.
No entanto, vários recentes violação de dados provar que os dados dos consumidores continuam vulneráveis. Porque é que regulamentações tão rigorosas não têm sido capazes de proteger os dados dos consumidores – para além de gerar receitas ad hoc ao penalizar algumas empresas que desprezam abertamente as preocupações com a privacidade? A resposta pode estar na forma como as empresas precisam de fazer uma dança delicada entre a protecção da privacidade do consumidor, a defesa da eficácia dos seus produtos e a reduzindo o risco de violações cibernéticas.
Fraquezas na desidentificação de dados no mundo digital
Existem duas leis principais que orientam a privacidade online: o Regulamento Geral de Proteção de Dados (GDPR) e a Lei dos Direitos de Privacidade da Califórnia (CPRA), embora muitos países e estados tenham começado a redigir as suas próprias. Entre as várias medidas de salvaguarda, a desidentificação de dados é uma das principais.
Ambos definem a desidentificação de dados como o processo de tornar PII anonimizadas de forma que qualquer informação secundária, quando associada aos dados pessoais, não possa identificar o indivíduo. A indústria concorda por unanimidade com algumas entidades como dados pessoais, incluindo nome, endereço, endereço de e-mail e número de telefone. Outros, como um endereço IP (e suas versões), são baseados na interpretação. Essas leis não listam explicitamente os atributos pessoais nem mencionam como e quando anonimizar, além de compartilhar algumas práticas recomendadas.
No entanto, o anonimato total dos dados pessoais e dos dados a eles associados é inútil para as empresas neste mundo cada vez mais digital. Cada novo avanço tecnológico exige uma entrada massiva de conjuntos de dados — tanto pessoais como agregados. Por exemplo, as empresas precisam manter conjuntos de dados não anonimizados para que seus usuários validem tentativas de login, evitem o controle de contas, forneçam recomendações personalizadas e muito mais. Uma instituição financeira precisa de vários dados pessoais importantes para cumprir conheça o seu cliente regras (KYC); por exemplo, um fornecedor de comércio eletrônico precisa do endereço de entrega do usuário final.
Esses casos de uso não podem ser atendidos com conjuntos de dados completamente desidentificados. Conseqüentemente, as empresas usam um processo conhecido como pseudoanonimização, uma técnica irreversível de hashing de dados que envolve a conversão de dados pessoais em uma sequência de caracteres aleatórios que não pode ser submetida a engenharia reversa. Mas essa técnica tem uma falha grave: refazer os mesmos dados pessoais produz a mesma sequência de caracteres aleatórios.
No caso de uma violação de dados, se o hacker obtiver acesso a um banco de dados de dados pessoais pseudoanonimizados e à chave (também conhecida como salt) usada para pseudoanonimizar os dados pessoais, ele poderá inferir os dados reais do consumidor apenas executando várias listas de dados pessoais violados disponíveis na Dark Web e combinando os resultados por pura força bruta. O que é pior: os metadados individuais de dispositivos e navegadores são quase sempre armazenados em formato bruto, tornando mais fácil para o hacker realizar associações e passar por sistemas de detecção de fraude.
Se o hacker obtiver acesso ao banco de dados de uma instituição financeira contendo números de telefone pessoais pseudo-anonimizados, juntamente com uma série de atributos de navegador e dispositivo vinculados ao usuário final, o hacker poderá executar possíveis combinações de números de telefone por meio do mesmo algoritmo e combinar a saída com o banco de dados. Executar todos os números de telefone possíveis nos Estados Unidos por meio de um algoritmo criptográfico SHA-256 típico leva menos de duas horas em um MacBook moderno. Executar a partida levará ainda menos tempo.
Usando o número de telefone, o navegador e os atributos do dispositivo, um invasor pode realizar uma tentativa de controle de conta. Pior ainda, eles podem acionar uma mensagem de phishing, potencialmente levando ao sequestro de cookies ou tokens e à repetição desses atributos para obter acesso à conta financeira do usuário final.
Protegendo os dados do consumidor na era do pseudo-anonimato
A proteção de dados pessoais requer monitoramento constante e mitigação de ameaças contra hackers sofisticados. Do lado da infraestrutura de dados, os cofres de privacidade podem desassociar dados confidenciais da infraestrutura central da empresa. Em caso de violação, os dados confidenciais permanecem em um cofre isolado. O uso de infraestruturas separadas para armazenar a chave (salt) dos dados pseudoanonimizados também é recomendado para reduzir o impacto da violação.
Outras recomendações incluem rodar a chave num intervalo ideal (normalmente, a cada três meses). Uma vez girada, a chave pode desbloquear os dados pessoais apenas até esse momento, reduzindo o volume de dados em risco. A criação de múltiplas chaves é uma técnica de defesa adicional. Além da chave usada para desbloquear dados pessoais, o armazenamento de chaves “fictícias” adicionais confunde os hackers sobre qual chave usar. Cada chave fictícia adicional aumenta exponencialmente o tempo para desbloquear os dados, ganhando assim mais tempo para a empresa tomar medidas de mitigação.
A anonimização de informações não pessoais, como dados de dispositivos e de rede relacionados ao consumidor, também aumenta a complexidade para o hacker, uma vez que agora ele tem mais dados para desbloquear, com cardinalidades possivelmente mais altas do que os próprios dados pessoais.
Embora as empresas devam tomar medidas proativas de monitorização e mitigação, nem todas as medidas proativas podem impedir todos os ataques. Assim, são igualmente recomendadas fortes medidas de mitigação retroactivas.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/risk/data-de-identification-balancing-privacy-efficacy-cybersecurity-
- :tem
- :é
- :não
- a
- Capaz
- Sobre
- Acesso
- Conta
- Aja
- real
- Adicional
- endereço
- contra
- algoritmo
- Todos os Produtos
- quase
- juntamente
- tb
- Apesar
- sempre
- entre
- an
- e
- responder
- qualquer
- SOMOS
- AS
- associado
- associações
- At
- ataque
- tentativa
- Tentativas
- atributos
- disponível
- equilíbrio
- baseado
- BE
- sido
- MELHOR
- melhores práticas
- entre
- Pós
- ambos
- violação
- avanço
- navegador
- força bruta
- negócio
- negócios
- mas a
- Comprar
- by
- Califórnia
- CAN
- não podes
- casas
- casos
- caracteres
- combinações
- Empresas
- completamente
- complexidade
- obedecer
- Preocupações
- constante
- consumidor
- dados do consumidor
- privacidade do consumidor
- Consumidores
- continua
- conversão
- bolinhos
- núcleo
- poderia
- países
- criado
- Criar
- criptografia
- cibernético
- Cíber segurança
- dança
- Escuro
- dark web
- dados,
- violação de dados
- infraestrutura de dados
- privacidade de dados
- protecção de dados
- conjuntos de dados
- banco de dados
- Defesa
- definir
- Entrega
- demandas
- dispositivo
- digital
- do
- e-commerce,
- cada
- mais fácil
- eficácia
- final
- engenharia
- entidades
- igualmente
- Era
- Mesmo
- Evento
- Cada
- exemplo
- explicitamente
- exponencialmente
- Exposição
- poucos
- financeiro
- instituição financeira
- falha
- Escolha
- força
- formato
- da
- cheio
- Ganho
- RGPD
- Geral
- dados gerais
- Regulamento geral de proteção de dados
- gerando
- ter
- Crescente
- cabouqueiro
- hackers
- Hashing
- Ter
- conseqüentemente
- superior
- HORÁRIO
- Como funciona o dobrador de carta de canal
- HTTPS
- identificar
- if
- Impacto
- in
- incluir
- Incluindo
- Aumenta
- Individual
- indústria
- INFORMAÇÕES
- Infraestrutura
- infra-estrutura
- entrada
- Instituição
- interpretação
- para dentro
- IP
- Endereço IP
- IT
- ESTÁ
- se
- jpg
- apenas por
- Chave
- chaves
- conhecido
- KYC
- Leis
- principal
- menos
- mentira
- Limitado
- ligado
- Lista
- listas
- entrar
- a manter
- Fazendo
- muitos
- maciço
- Match
- correspondente
- Posso..
- a medida
- medidas
- mensagem
- metadados
- mitigação
- EQUIPAMENTOS
- monitoração
- mês
- mais
- múltiplo
- nome
- você merece...
- Cria
- Nem
- rede
- Dados de rede
- Novo
- agora
- número
- números
- of
- on
- uma vez
- ONE
- online
- privacidade online
- só
- ótimo
- or
- Outros
- saída
- próprio
- passado
- Realizar
- pessoal
- dados pessoais
- Personalizado
- Pessoalmente
- Phishing
- Mensagem de phishing
- telefone
- peça
- peças
- platão
- Inteligência de Dados Platão
- PlatãoData
- possível
- possivelmente
- potencialmente
- práticas
- evitar
- primário
- Prime
- política de privacidade
- Proactive
- processo
- Produto
- proteção
- Prove
- fornecer
- provedor
- acaso
- alcance
- Cru
- recentemente
- recomendações
- Recomenda
- reduzir
- redução
- a que se refere
- Regulamento
- regulamentos
- refazer
- relacionado
- exige
- receita
- reverso
- direitos
- Risco
- regras
- Execute
- corrida
- s
- sal
- mesmo
- secundário
- sensível
- separado
- grave
- Conjuntos
- vários
- compartilhando
- rede de apoio social
- lado
- desde
- So
- alguns
- sofisticado
- começado
- Unidos
- ficar
- Passos
- armazenadas
- armazenar
- Estrito
- Tanga
- mais forte,
- tal
- SWIFT
- sistemas
- Tire
- assumir o controle
- toma
- técnica
- tecnológica
- do que
- que
- A
- deles
- Este
- deles
- isto
- aqueles
- ameaça
- três
- Através da
- Assim
- contrariar
- Amarrado
- tempo
- para
- Tokens
- desencadear
- dois
- típico
- tipicamente
- por unanimidade
- Unido
- Estados Unidos
- destravar
- até
- sustentação
- usar
- usava
- inútil
- Utilizador
- usuários
- utilização
- VALIDAR
- vário
- Cofre
- cofres
- versões
- volume
- Vulnerável
- Caminho..
- web
- foram
- O Quê
- quando
- qual
- porque
- precisarão
- de
- mundo
- pior
- escrever
- rendimentos
- zefirnet