Глобальні закони про конфіденційність даних були створені, щоб усунути зростаючі занепокоєння споживачів щодо конфіденційності особи. Ці закони містять кілька найкращих практик для компаній щодо зберігання та використання особистих даних споживачів, щоб обмежити доступ до ідентифікаційної інформації (PII) у разі порушення даних.
Однак кілька останніх порушення даних довести, що дані споживачів залишаються вразливими. Чому такі суворі правила не змогли захистити дані споживачів — окрім генерування тимчасових доходів шляхом покарання кількох компаній, які відверто зневажають питання конфіденційності? Відповідь може критися в тому, як компаніям потрібно грати делікатний танець між захистом конфіденційності споживачів, підтримкою ефективності свого продукту та зменшення ризику кіберзломів.
Слабкі сторони деідентифікації даних у цифровому світі
Існує два основні закони, які регулюють конфіденційність в Інтернеті: Загальний регламент захисту даних (GDPR) і Каліфорнійський закон про права на конфіденційність (CPRA), хоча багато країн і штатів почали писати власні. Серед різноманітних заходів безпеки деідентифікація даних є головною.
Обидва визначають деідентифікацію даних як процес анонімізації ідентифікаційної інформації таким чином, що будь-яка частина вторинної інформації, пов’язана з особистими даними, не може ідентифікувати особу. Індустрія одностайно погоджується з деякими особами як персональними даними, включаючи ім’я, адресу, електронну адресу та номер телефону. Інші, наприклад IP-адреса (і її версії), базуються на інтерпретації. Ці закони не містять чіткого переліку особистих атрибутів і не згадують, як і коли робити анонімними, крім кількох найкращих практик.
Однак повна анонімізація персональних даних і даних, пов’язаних з ними, марна для бізнесу в цьому постійно цифровому світі. Кожен новий технологічний прорив вимагає масового введення наборів даних — як персональних, так і зведених. Наприклад, компанії повинні підтримувати неанонімні набори даних для своїх користувачів, щоб перевіряти спроби входу, запобігати захопленню облікових записів, надавати персоналізовані рекомендації тощо. Фінансовій установі необхідно дотримуватися кількох ключових персональних даних ноу-ваш-замовник (KYC) правила; наприклад, постачальнику послуг електронної комерції потрібна адреса доставки кінцевого користувача.
Такі випадки використання не можуть бути виконані з повністю деідентифікованими наборами даних. Тому компанії використовують процес, відомий як псевдоанонімізація, необоротну техніку хешування даних, яка передбачає перетворення особистих даних у рядок випадкових символів, які не підлягають зворотній інженерії. Але ця техніка має серйозний недолік: повторне повторення тих самих особистих даних дає той самий рядок випадкових символів.
У разі витоку даних, якщо хакер отримує доступ до бази даних псевдоанонімних особистих даних і ключа (також відомого як сіль), який використовується для псевдоанонімізації персональних даних, він може зробити висновок про фактичні дані споживача. шляхом запуску кількох списків зламаних особистих даних, доступних у Dark Web, і зіставлення виходу за допомогою грубої сили. Що ще гірше: метадані окремих пристроїв і браузерів майже завжди зберігаються в необробленому форматі, що полегшує хакерам запуск асоціацій і проходження систем виявлення шахрайства.
Якщо хакер отримує доступ до бази даних фінансової установи, що містить псевдоанонімні персональні номери телефонів, а також ряд атрибутів браузера та пристрою, які прив’язані до кінцевого користувача, хакер може запускати можливі комбінації телефонних номерів за тим самим алгоритмом і зіставляти вихідні дані з базою даних. Запуск усіх можливих телефонних номерів у Сполучених Штатах за допомогою типового криптографічного алгоритму SHA-256 займає менше двох годин на сучасному MacBook. Проведення матчу займе ще менше часу.
Використовуючи номер телефону, браузер і атрибути пристрою, зловмисник може здійснити спробу захоплення облікового запису. Що ще гірше, вони можуть ініціювати фішингове повідомлення, що потенційно призведе до викрадення файлів cookie або токенів і повторного відтворення цих атрибутів для отримання доступу до фінансового облікового запису кінцевого користувача.
Захист даних споживачів в епоху псевдоанонімізації
Захист особистих даних вимагає постійного моніторингу та пом’якшення загроз від досвідчених хакерів. Що стосується інфраструктури даних, сховища конфіденційності можуть відокремити конфіденційні дані від основної інфраструктури бізнесу. У разі зламу конфіденційні дані залишаються в окремому сховищі. Також рекомендується використовувати окремі інфраструктури для зберігання ключа (солі) до псевдоанонімних даних, щоб зменшити вплив порушення.
Інші рекомендації включають чергування ключа з оптимальним інтервалом (зазвичай кожні три місяці). Після повороту ключ може розблокувати особисті дані лише до цього моменту, зменшуючи обсяг даних під загрозою. Створення кількох ключів є додатковою технікою захисту. Крім одного ключа, який використовується для розблокування особистих даних, зберігання додаткових «фіктивних» ключів спантеличує хакерів, який ключ використовувати. Кожен додатковий фіктивний ключ експоненціально збільшує час для розблокування даних, таким чином виграючи додатковий час для бізнесу, щоб вжити заходів для пом’якшення.
Знеособлення неособистої інформації, такої як дані пристрою та мережі, пов’язані зі споживачем, також ускладнює роботу хакера, оскільки тепер у нього є більше даних для розблокування з можливо більшою потужністю, ніж самі особисті дані.
Хоча компанії повинні вживати проактивних заходів моніторингу та пом’якшення, не кожен профілактичний захід може запобігти кожній атаці. Отже, також рекомендуються сильні ретроактивні заходи пом’якшення.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/risk/data-de-identification-balancing-privacy-efficacy-cybersecurity-
- : має
- :є
- : ні
- a
- Здатний
- МЕНЮ
- доступ
- рахунки
- Діяти
- фактичний
- Додатковий
- адреса
- проти
- алгоритм
- ВСІ
- майже
- по
- Також
- хоча
- завжди
- серед
- an
- та
- відповідь
- будь-який
- ЕСТЬ
- AS
- асоційований
- асоціаціях
- At
- атака
- спроба
- Спроби
- Атрибути
- доступний
- Балансування
- заснований
- BE
- було
- КРАЩЕ
- передового досвіду
- між
- За
- обидва
- порушення
- прорив
- браузер
- груба сила
- бізнес
- підприємства
- але
- Купівля
- by
- Каліфорнія
- CAN
- не може
- випадок
- випадків
- символи
- комбінації
- Компанії
- повністю
- складність
- дотримуватися
- Турбота
- постійна
- споживач
- споживчі дані
- конфіденційність споживачів
- Споживачі
- триває
- перетворення
- печиво
- Core
- може
- країни
- створений
- створення
- криптографічні
- кібер-
- Кібербезпека
- танець
- темно
- Dark Web
- дані
- Дані порушення
- інфраструктура даних
- конфіденційність даних
- захист даних
- набори даних
- Database
- оборони
- визначати
- доставка
- запити
- пристрій
- цифровий
- do
- e-commerce
- кожен
- легше
- ефективність
- кінець
- інженерії
- юридичні особи
- однаково
- Епоха
- Навіть
- Event
- Кожен
- приклад
- явно
- експоненціально
- експонування
- кілька
- фінансовий
- фінансова установа
- недолік
- для
- Примусово
- формат
- від
- Повний
- Отримувати
- GDPR
- Загальне
- загальні дані
- Положення про захист персональних даних Загальні
- породжує
- отримати
- Зростання
- хакер
- хакери
- хешування
- Мати
- отже
- вище
- ГОДИННИК
- Як
- HTTPS
- ідентифікувати
- if
- Impact
- in
- включати
- У тому числі
- Збільшує
- індивідуальний
- промисловість
- інформація
- Інфраструктура
- інфраструктура
- вхід
- Установа
- інтерпретація
- в
- IP
- IP-адреса
- IT
- ЙОГО
- сам
- JPG
- просто
- ключ
- ключі
- відомий
- ЗСК
- Законодавство
- провідний
- менше
- брехня
- обмеженою
- пов'язаний
- список
- списки
- Логін
- підтримувати
- Робить
- багато
- масивний
- матч
- узгодження
- Може..
- вимір
- заходи
- повідомлення
- метадані
- пом'якшення
- сучасний
- моніторинг
- місяців
- більше
- множинний
- ім'я
- Необхідність
- потреби
- ні
- мережу
- Дані мережі
- Нові
- зараз
- номер
- номера
- of
- on
- один раз
- ONE
- онлайн
- конфіденційності в Інтернеті
- тільки
- оптимальний
- or
- інші
- вихід
- власний
- Минуле
- Виконувати
- персонал
- особисті дані
- Персоналізовані
- Особисто
- phishing
- Фішингове повідомлення
- телефон
- частина
- частин
- plato
- Інформація про дані Платона
- PlatoData
- це можливо
- можливо
- потенційно
- практики
- запобігати
- первинний
- Prime
- недоторканність приватного життя
- Проактивний
- процес
- Product
- захист
- Доведіть
- забезпечувати
- Постачальник
- випадковий
- діапазон
- Сировина
- останній
- рекомендації
- рекомендований
- зменшити
- зниження
- називають
- Регулювання
- правила
- перешивання
- пов'язаний
- Вимагається
- revenue
- зворотний
- праві
- Risk
- Правила
- прогін
- біг
- s
- сіль
- то ж
- вторинний
- чутливий
- окремий
- серйозний
- набори
- кілька
- поділ
- Повинен
- сторона
- з
- So
- деякі
- складний
- почалася
- Штати
- залишатися
- заходи
- зберігати
- зберігання
- Strict
- рядок
- сильний
- такі
- SWIFT
- Systems
- Приймати
- поглинання
- приймає
- техніка
- технологічний
- ніж
- Що
- Команда
- їх
- Ці
- вони
- це
- ті
- загроза
- три
- через
- Таким чином
- зірвати
- Зв'язаний
- час
- до
- Жетони
- викликати
- два
- типовий
- типово
- одноголосно
- United
- Сполучені Штати
- відімкнути
- до
- відстоювання
- використання
- використовуваний
- даремний
- користувач
- користувачі
- використання
- ПЕРЕВІР
- різний
- склеп
- склепіння
- версії
- обсяг
- Вразливий
- шлях..
- Web
- були
- Що
- коли
- який
- чому
- волі
- з
- світ
- гірше
- запис
- врожайність
- зефірнет