Globalni zakoni o zasebnosti podatkov so bili ustvarjeni za reševanje naraščajočih skrbi potrošnikov glede zasebnosti posameznikov. Ti zakoni vključujejo več najboljših praks za podjetja o shranjevanju in uporabi osebnih podatkov potrošnikov, tako da je izpostavljenost osebno določljivih podatkov (PII) omejena v primeru kršitve podatkov.
Vendar pa nekaj nedavnih kršitve podatkov dokazujejo, da so podatki o potrošnikih še vedno ranljivi. Zakaj tako strogi predpisi niso mogli zaščititi podatkov potrošnikov – razen ustvarjanja ad hoc prihodkov s kaznovanjem nekaj podjetij, ki očitno zaničujejo pomisleke glede zasebnosti? Odgovor se morda skriva v tem, kako morajo podjetja izvesti občutljiv ples med varstvom zasebnosti potrošnikov, podpiranjem učinkovitosti svojih izdelkov in zmanjšanje tveganja kibernetskih vdorov.
Slabosti deidentifikacije podatkov v digitalnem svetu
Obstajata dva primarna zakona, ki urejata spletno zasebnost: Splošna uredba o varstvu podatkov (GDPR) in Kalifornijski zakon o pravicah do zasebnosti (CPRA), čeprav so številne države in države začele pisati svoje. Med različnimi zaščitnimi ukrepi je deidentifikacija podatkov glavni.
Oba opredeljujeta deidentifikacijo podatkov kot postopek anonimiziranja PII na način, da kateri koli del sekundarne informacije, ko je povezan z osebnimi podatki, ne more identificirati posameznika. Industrija se soglasno strinja, da so nekateri subjekti osebni podatki, vključno z imenom, naslovom, e-poštnim naslovom in telefonsko številko. Drugi, kot je naslov IP (in njegove različice), temeljijo na interpretaciji. Ti zakoni niti izrecno ne navajajo atributov, ki so osebni, niti ne omenjajo, kako in kdaj anonimizirati, razen nekaj najboljših praks.
Vendar pa je popolna anonimizacija osebnih podatkov in podatkov, povezanih z njimi, neuporabna za podjetja v tem vedno digitalnem svetu. Vsak nov tehnološki preboj zahteva ogromen vnos naborov podatkov – tako osebnih kot zbirnih. Na primer, podjetja morajo vzdrževati neanonimizirane nabore podatkov za svoje uporabnike, da potrdijo poskuse prijave, preprečijo prevzeme računov, zagotovijo prilagojena priporočila in drugo. Finančna institucija potrebuje več ključnih osebnih podatkov, ki jih mora upoštevati veš-svojo stranko (KYC) pravila; na primer, ponudnik e-trgovine potrebuje naslov za dostavo svojega končnega uporabnika.
Takih primerov uporabe ni mogoče izpolniti s popolnoma deidentificiranimi nizi podatkov. Zato podjetja uporabljajo postopek, znan kot psevdoanonimizacija, nepovratno tehniko zgoščevanja podatkov, ki vključuje pretvorbo osebnih podatkov v niz naključnih znakov, ki jih ni mogoče obratno konstruirati. Toda ta tehnika ima resno napako: ponovna obdelava istih osebnih podatkov daje enak niz naključnih znakov.
V primeru kršitve podatkov, če heker dobi dostop do baze podatkov psevdoanonimiziranih osebnih podatkov in ključa (imenovanega tudi sol), ki se uporablja za psevdoanonimiziranje osebnih podatkov, bi lahko sklepal, da so dejanski podatki potrošnika samo z izvajanjem več seznamov kršenih osebnih podatkov, ki so na voljo v temnem spletu, in ujemanje izhoda s čisto surovo silo. Kar je še huje: metapodatki posameznih naprav in brskalnikov so skoraj vedno shranjeni v neobdelani obliki, kar hekerju olajša zagon povezav in mimo sistemov za odkrivanje goljufij.
Če heker dobi dostop do zbirke podatkov finančne ustanove, ki vsebuje psevdoanonimizirane osebne telefonske številke skupaj z vrsto atributov brskalnika in naprave, ki so povezani s končnim uporabnikom, lahko heker izvede možne kombinacije telefonskih številk prek istega algoritma in ujema izhod z bazo podatkov. Izvajanje vseh možnih telefonskih številk v Združenih državah prek tipičnega kriptografskega algoritma SHA-256 traja manj kot dve uri na sodobnem MacBooku. Vodenje tekme bo trajalo še manj časa.
Z uporabo telefonske številke, brskalnika in atributov naprave lahko napadalec izvede poskus prevzema računa. Še huje, lahko sprožijo lažno lažno sporočilo, kar lahko vodi do ugrabljenih piškotkov ali žetonov in ponovnega predvajanja teh atributov za pridobitev dostopa do finančnega računa končnega uporabnika.
Zaščita podatkov potrošnikov v dobi psevdo-anonimizacije
Varovanje osebnih podatkov zahteva stalno spremljanje in zmanjšanje groženj pred prefinjenimi hekerji. Na strani podatkovne infrastrukture lahko trezorji za zasebnost ločijo občutljive podatke od osnovne infrastrukture podjetja. V primeru kršitve ostanejo občutljivi podatki v ločenem trezorju. Za zmanjšanje vpliva kršitev je priporočljiva tudi uporaba ločenih infrastruktur za shranjevanje ključa (sol) za psevdoanonimizirane podatke.
Druga priporočila vključujejo vrtenje ključa v optimalnem intervalu (običajno vsake tri mesece). Ko se zavrti, lahko ključ odklene osebne podatke le do takrat, kar zmanjša količino ogroženih podatkov. Ustvarjanje več ključev je dodatna obrambna tehnika. Poleg enega samega ključa, ki se uporablja za odklepanje osebnih podatkov, shranjevanje dodatnih "navideznih" ključev zmede hekerje, kateri ključ uporabiti. Vsak dodatni navidezni ključ eksponentno poveča čas za odklepanje podatkov in tako kupi dodaten čas, da podjetje sprejme ukrepe za ublažitev.
Anonimiziranje neosebnih informacij, kot so podatki o napravah in omrežju, povezani s potrošnikom, prav tako poveča zapletenost za hekerje, saj imajo zdaj več podatkov za odklepanje z morda višjo kardinalnostjo kot sami osebni podatki.
Čeprav bi morala podjetja sprejeti proaktivne ukrepe za spremljanje in ublažitev, vsak proaktivni ukrep ne more preprečiti vsakega napada. Zato so priporočljivi tudi močni retroaktivni ukrepi za ublažitev.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/risk/data-de-identification-balancing-privacy-efficacy-cybersecurity-
- :ima
- : je
- :ne
- a
- Sposobna
- O meni
- dostop
- Račun
- Zakon
- dejanska
- Dodatne
- Naslov
- proti
- algoritem
- vsi
- skoraj
- skupaj
- Prav tako
- Čeprav
- vedno
- med
- an
- in
- odgovor
- kaj
- SE
- AS
- povezan
- združenja
- At
- napad
- poskus
- Poskusi
- lastnosti
- Na voljo
- uravnoteženje
- temeljijo
- BE
- bilo
- BEST
- najboljše prakse
- med
- Poleg
- tako
- kršitev
- preboj
- brskalnik
- silo
- poslovni
- podjetja
- vendar
- Nakup
- by
- california
- CAN
- ne more
- primeru
- primeri
- znaki
- kombinacije
- Podjetja
- popolnoma
- kompleksnost
- izpolnjujejo
- Skrbi
- stalna
- Potrošnik
- potrošniški podatki
- zasebnost potrošnikov
- Potrošniki
- se nadaljuje
- pretvorbo
- piškotki
- Core
- bi
- države
- ustvaril
- Ustvarjanje
- kriptografijo
- cyber
- Cybersecurity
- ples
- Temnomodra
- Dark Web
- datum
- kršitev varnosti podatkov
- podatkovna infrastruktura
- zasebnost podatkov
- Varstvo podatkov
- nabori podatkov
- Baze podatkov
- Defense
- opredeliti
- dostava
- zahteve
- naprava
- digitalni
- do
- e-trgovina
- vsak
- lažje
- učinkovitost
- E-naslov
- konec
- inženirstva
- subjekti
- enako
- Era
- Tudi
- Event
- Tudi vsak
- Primer
- izrecno
- eksponentno
- Izpostavljenost
- Nekaj
- finančna
- finančna institucija
- napaka
- za
- moč
- format
- iz
- polno
- Gain
- GDPR
- splošno
- splošni podatki
- Splošna uredba o varstvu podatkov
- ustvarjajo
- dobili
- Pridelovanje
- heker
- hekerji
- mešanje
- Imajo
- zato
- več
- URE
- Kako
- HTTPS
- identificirati
- if
- vpliv
- in
- vključujejo
- Vključno
- Poveča
- individualna
- Industrija
- Podatki
- Infrastruktura
- infrastruktura
- vhod
- ustanova
- razlago
- v
- IP
- IP naslov
- IT
- ITS
- sam
- jpg
- samo
- Ključne
- tipke
- znano
- KYC
- Zakoni
- vodi
- manj
- laž
- Limited
- povezane
- Seznam
- seznami
- prijava
- vzdrževati
- Izdelava
- več
- ogromen
- Stave
- ujemanje
- Maj ..
- merjenje
- ukrepe
- Sporočilo
- metapodatki
- ublažitev
- sodobna
- spremljanje
- mesecev
- več
- več
- Ime
- Nimate
- potrebe
- Niti
- mreža
- Podatki o omrežju
- Novo
- zdaj
- Številka
- številke
- of
- on
- enkrat
- ONE
- na spletu
- Online Privacy
- samo
- Optimalno
- or
- drugi
- izhod
- lastne
- preteklosti
- Izvedite
- Osebni
- osebni podatki
- Prilagojene
- Osebno
- Ribarjenje
- Sporočilo z lažnim predstavljanjem
- telefon
- kos
- kosov
- platon
- Platonova podatkovna inteligenca
- PlatoData
- mogoče
- mogoče
- potencialno
- vaje
- preprečiti
- primarni
- Predsednik
- zasebnost
- Proaktivna
- Postopek
- Izdelek
- zaščita
- Dokaži
- zagotavljajo
- Ponudnik
- naključno
- območje
- Surovi
- nedavno
- Priporočila
- priporočeno
- zmanjša
- zmanjšanje
- besedilu
- Uredba
- predpisi
- ponovitev
- povezane
- zahteva
- prihodki
- nazaj
- pravice
- Tveganje
- pravila
- Run
- tek
- s
- sol
- Enako
- sekundarno
- občutljiva
- ločena
- resno
- Kompleti
- več
- delitev
- shouldnt
- strani
- saj
- So
- nekaj
- prefinjeno
- začel
- Države
- bivanje
- Koraki
- shranjeni
- shranjevanje
- Stroga
- String
- močna
- taka
- SWIFT
- sistemi
- Bodite
- prevzeti
- meni
- tehnika
- tehnološki
- kot
- da
- O
- njihove
- te
- jih
- ta
- tisti,
- Grožnja
- 3
- skozi
- Tako
- preprečiti
- vezana
- čas
- do
- Boni
- sprožijo
- dva
- tipičen
- tipično
- soglasno
- Velika
- Združene države Amerike
- odklepanje
- dokler
- podpiranje
- uporaba
- Rabljeni
- neuporabna
- uporabnik
- Uporabniki
- uporabo
- POTRDI
- različnih
- Vault
- trezorji
- različice
- Obseg
- Ranljivi
- način..
- web
- so bili
- Kaj
- kdaj
- ki
- zakaj
- bo
- z
- svet
- slabše
- pisati
- donosov
- zefirnet