2 Δεκεμβρίου 2024
Big Data και προστασία των προσωπικών πληροφοριών
Παραβιάσεις σε δεδομένα επιχειρήσεων φαίνεται να πραγματοποιούνται με παράλογα γρήγορους ρυθμούς αυτές τις μέρες, έχοντας αναφερθεί περιστατικά που να αφορούν κλοπή των προσωπικών πληροφοριών. Πιο συγκεκριμένα αναφέρθηκαν 25.566 χτυπήματα για το 2013 έναντι 10.481 που ήταν το 2009.
Τα στοιχεία αυτά προέρχονται από τη μαρτυρία που έκανε η κυβέρνηση Accountability Office σε μια ακρόαση στο Κογκρέσο "Η παραβίαση των δεδομένων σε έξαρση: Προστασία των προσωπικών πληροφοριών από τη ζημιά".
Το GAO ανέφερε, πως οι παραβιάσεις σε δεδομένα που σχετίζονται με προσωπικά στοιχεία μπορεί να συμβεί υπό πολλές περιπτώσεις και για πολλούς λόγους. Μπορεί να οφείλεται σε παραδρομή, όπως από την απώλεια μιας ηλεκτρονικής συσκευής, ή και σκόπιμα, όπως από την κλοπή μιας συσκευής ή μιας κυβερνοεπίθεσης που πραγματοποιείται από ένα κακόβουλο άτομο ή ομάδα ατόμων, από κάποια ξένη χώρα, λόγω τρομοκρατίας ή οποιοσδήποτε άλλος εχθρός. Έχουν αναφερθεί διάφορα περιστατικά σε ένα ευρύ φάσμα ιδρυμάτων του δημόσιου αλλά και του ιδιωτικού τομέα, συμπεριλαμβανομένων των ομοσπονδιακών και κρατικών φορέων, οργανισμών τοπικής αυτοδιοίκησης, εκπαιδευτικά ιδρύματα, σε νοσοκομεία και σε διάφορες άλλες ιατρικές εγκαταστάσεις, χρηματοπιστωτικά ιδρύματα, μεταπωλητές πληροφοριών, λιανοπωλητές και άλλους τύπους επιχειρήσεων.
"Η απώλεια ή μη εξουσιοδοτημένη αποκάλυψη ή τροποποίηση πληροφοριών που φιλοξενούνται σε ομοσπονδιακά συστήματα, τα οποία μπορεί να περιλαμβάνουν προσωπικές πληροφορίες δύναται να οδηγήσει σε σοβαρές συνέπειες και σημαντική ζημία στους ιδιώτες αλλά και το έθνος", δήλωσε το GAO.
Στην κατάθεσή του ο οργανισμός watchdog παρουσίασε ένα σχεδιάγραμμα για το πώς οι δημόσιοι φορείς, απασχολούμενοι ειδικά με κομμάτι IT, θα πρέπει να χειριστούν τις παραβιάσεις στα δεδομένα τους. Οι λεπτομέρειες της προτεινόμενης απάντησης σίγουρα ισχύουν για δημόσιες αλλά και ιδιωτικές επιχειρήσεις.
Από την έκθεση του GAO:
Καθιερώστε μια ομάδα απόκρισης παραβίασης δεδομένων
Ενώ οι τεχνικές αποκατάστασης συνήθως αντιμετωπίζονται από το προσωπικό ασφαλείας, οι οργανισμοί οφείλουν να δημιουργήσουν μια ομάδα που να επιβλέπει τις αναφορές σε κάθε υποψία ή επιβεβαίωση παραβίασης δεδομένων, συμπεριλαμβανομένου του διευθυντή του προγράμματος από το πρόγραμμα που βιώνει την παράβαση, του επικεφαλής αξιωματικού των πληροφοριών, του επικεφαλής των privacy officer ή ανώτερου επίσημου οργανισμού για την προστασία της ιδιωτικής ζωής, του γραφείου επικοινωνιών, του γραφείου που χειρίζεται τις νομοθετικές υποθέσεις, το γενικό σύμβουλο και το γραφείο διαχείρισης που αναλαμβάνει τους προϋπολογισμούς και τις λειτουργίες προμηθειών.
Εκπαιδεύστε τους υπαλλήλους σχετικά με τους ρόλους και τις ευθύνες που έχουν για κάθε παραβίαση
Οι οργανισμοί θα πρέπει να εκπαιδεύσουν τους υπαλλήλους σύμφωνα με ένα συγκεκριμένο σχέδιο αντιμετώπισης για κάθε περίπτωση παραβίασης των δεδομένων τους, καθώς και τους ρόλους και τις ευθύνες που έχουν σε περίπτωση παράβασης. Συγκεκριμένα, το Γραφείο Διαχείρισης και Προϋπολογισμού ( OMB ) των ΗΠΑ ζητά την υποχρέωση των οργανισμών στο να παρέχουν αρχικά τη κατάλληλη εκπαίδευση τους υπαλλήλους της σχετικά για την ιδιωτική ζωή και την ασφάλεια, προτού να επιτρέπει σε αυτούς την πρόσβαση σε συστήματα πληροφοριών και σε στοιχεία του οργανισμού. Στη συνέχεια να παρέχει τουλάχιστον ετήσια επανεκπαίδευση, ώστε να διασφαλίζεται ότι οι εργαζόμενοι θα συνεχίσουν να κατανοούν τους ευθύνες.
Σύνταξη εκθέσεων σχετικά με πιθανολογούμενες παραβιάσεις δεδομένων και την υποβολή τους στις κατάλληλες εσωτερικές και εξωτερικές οντότητες
Οι οργανισμοί θα πρέπει να καθιερώσουν διαδικασίες για την έγκαιρη υποβολή εκθέσεων για κάθε υποψία παραβίασης δεδομένων στους κατάλληλους εσωτερικούς φορείς διαχείρισης αλλά και στους εξωτερικούς φορείς εποπτείας. Για παράδειγμα, η ομάδα αντιμετώπισης των παραβιάσεων θα πρέπει να ενημερωθεί για όλες τις υποψίες ή τις επιβεβαιωμένες παραβάσεις. Επιπλέον, οι οργανισμοί πρέπει να αναφέρουν όλα τα περιστατικά που αφορούν προσωπικές πληροφορίες στο ΗΠΑ - CERT εντός 1 ώρας από την υπόνοια ή του επιβεβαιωμένου περιστατικού.
Αξιολόγηση της βλάβης
Απαιτείται η εκτίμηση του πιθανού κίνδυνου βλάβης και το επίπεδο των επιπτώσεων της εικαζόμενης παραβίασης δεδομένων, προκειμένου να διαπιστωθεί αν απαιτείται η κοινοποίησή της στα θύματα. Εκτός από οποιαδήποτε έκτακτη λήψη διορθωτικών μέτρων που μπορούν να λάβουν οι οργανισμοί, πρέπει επίσης να αξιολογούνται οι υποψίες για παραβίαση, ώστε να προσδιορίζεται αν υπάρχει πιθανός κίνδυνος βλάβης αλλά και το επίπεδο των επιπτώσεων, εφόσον συντρέχει περίπτωση παραβίασης.
Το OMB έχει περιγράψει πέντε παράγοντες που πρέπει να εξεταστούν κατά την εκτίμηση των πιθανών κινδύνων βλάβης:
1. η φύση των στοιχείων- δεδομένων που παραβιάστηκαν,
2. ο αριθμός των ατόμων που πλήττονται,
3. η πιθανότητα όπου οι πληροφορίες είναι προσβάσιμες και χρησιμοποιήσιμες ,
4. η πιθανότητα της παράβασης να οδηγήσει σε βλάβες και
5. η ικανότητα του οργανισμού να μετριάσει τον κίνδυνο βλάβης.
Μόλις καθοριστεί το επίπεδο του κινδύνου, οι οργανισμοί οφείλουν να χρησιμοποιούν αυτές τις πληροφορίες για να καθορίσουν εάν απαιτείται η κοινοποίηση στα θιγόμενα άτομα και, αν ναι, ποιες μεθόδους θα πρέπει να χρησιμοποιούνται. Το OMB συμβούλεψε τους οργανισμούς να είναι προσεκτικοί όσων αφορά τη κοινοποίηση της παραβίασης όταν υπάρχει μικρός ή σχετικά μηδαμινός κίνδυνος βλάβης, καθώς αυτό θα μπορούσε να δημιουργήσει περιττή ανησυχία και σύγχυση. Ανέφερε επίσης ότι, ενώ το μέγεθος του αριθμού των προσβεβλημένων ατόμων μπορεί να υπαγορεύσει τη μέθοδο που επιλέγεται για να παρέχει την ενημέρωση παραβίασης, αυτό δεν θα πρέπει να αποτελεί καθοριστικό παράγοντα για το εάν ένας οργανισμός θα πρέπει εν τέλει να παρέχει την ειδοποίηση.
Προσφορά βοήθειας στα προσβεβλημένα άτομα (κατά περίπτωση)
Οι οργανισμοί οφείλουν να διαθέτουν διαδικασίες που να καθορίζεται εάν θα πρέπει να παρέχονται υπηρεσίες στα θιγόμενα άτομα, όπως η παρακολούθηση της πιστοληπτικής ικανότητας, ώστε να μετριάσουν τον πιθανό κίνδυνο. Το OMB ανέφερε στους οργανισμούς ότι, ενώ η αξιολόγηση του κινδύνου σε μια δεδομένη κατάσταση είναι απαραίτητη, θα πρέπει όμως να εξετάζονται ταυτόχρονα επιλογές για την εξασθένηση του εν λόγω κινδύνου.
Λεπτομερής ανάλυση της παράβασης και ο προσδιορισμός των διδαγμάτων
Οι οργανισμοί οφείλουν να επανεξετάσουν και να αξιολογήσουν τη παραβίαση που πραγματοποιήθηκε στα δεδομένα, συμπεριλαμβανομένων τυχόν διορθωτικών μέτρων που ελήφθησαν και να διδαχθούν καταλλήλως. Τα διδάγματα αυτά θα πρέπει να ενσωματωθούν με το γραφείο ασφαλείας, τις πολιτικές και τις πρακτικές προστασίας προσωπικών δεδομένων, όπως απαιτείται. Η NIST συνέστησε την πραγματοποίηση μιας συνεδρίασης «διδαγμάτων» με όλα τα εμπλεκόμενα μέρη μετά από ένα σοβαρό περιστατικό και πιο περιοδικά μετά από μικρότερο περιστατικά, όπως το επιτρέπουν και οι πόροι της επιχείρησης για να βοηθήσουν στο χειρισμό παρόμοιων περιστατικών και τη βελτίωση των μέτρων ασφαλείας.
Τα στοιχεία αυτά προέρχονται από τη μαρτυρία που έκανε η κυβέρνηση Accountability Office σε μια ακρόαση στο Κογκρέσο "Η παραβίαση των δεδομένων σε έξαρση: Προστασία των προσωπικών πληροφοριών από τη ζημιά".
Το GAO ανέφερε, πως οι παραβιάσεις σε δεδομένα που σχετίζονται με προσωπικά στοιχεία μπορεί να συμβεί υπό πολλές περιπτώσεις και για πολλούς λόγους. Μπορεί να οφείλεται σε παραδρομή, όπως από την απώλεια μιας ηλεκτρονικής συσκευής, ή και σκόπιμα, όπως από την κλοπή μιας συσκευής ή μιας κυβερνοεπίθεσης που πραγματοποιείται από ένα κακόβουλο άτομο ή ομάδα ατόμων, από κάποια ξένη χώρα, λόγω τρομοκρατίας ή οποιοσδήποτε άλλος εχθρός. Έχουν αναφερθεί διάφορα περιστατικά σε ένα ευρύ φάσμα ιδρυμάτων του δημόσιου αλλά και του ιδιωτικού τομέα, συμπεριλαμβανομένων των ομοσπονδιακών και κρατικών φορέων, οργανισμών τοπικής αυτοδιοίκησης, εκπαιδευτικά ιδρύματα, σε νοσοκομεία και σε διάφορες άλλες ιατρικές εγκαταστάσεις, χρηματοπιστωτικά ιδρύματα, μεταπωλητές πληροφοριών, λιανοπωλητές και άλλους τύπους επιχειρήσεων.
"Η απώλεια ή μη εξουσιοδοτημένη αποκάλυψη ή τροποποίηση πληροφοριών που φιλοξενούνται σε ομοσπονδιακά συστήματα, τα οποία μπορεί να περιλαμβάνουν προσωπικές πληροφορίες δύναται να οδηγήσει σε σοβαρές συνέπειες και σημαντική ζημία στους ιδιώτες αλλά και το έθνος", δήλωσε το GAO.
Στην κατάθεσή του ο οργανισμός watchdog παρουσίασε ένα σχεδιάγραμμα για το πώς οι δημόσιοι φορείς, απασχολούμενοι ειδικά με κομμάτι IT, θα πρέπει να χειριστούν τις παραβιάσεις στα δεδομένα τους. Οι λεπτομέρειες της προτεινόμενης απάντησης σίγουρα ισχύουν για δημόσιες αλλά και ιδιωτικές επιχειρήσεις.
Από την έκθεση του GAO:
Καθιερώστε μια ομάδα απόκρισης παραβίασης δεδομένων
Ενώ οι τεχνικές αποκατάστασης συνήθως αντιμετωπίζονται από το προσωπικό ασφαλείας, οι οργανισμοί οφείλουν να δημιουργήσουν μια ομάδα που να επιβλέπει τις αναφορές σε κάθε υποψία ή επιβεβαίωση παραβίασης δεδομένων, συμπεριλαμβανομένου του διευθυντή του προγράμματος από το πρόγραμμα που βιώνει την παράβαση, του επικεφαλής αξιωματικού των πληροφοριών, του επικεφαλής των privacy officer ή ανώτερου επίσημου οργανισμού για την προστασία της ιδιωτικής ζωής, του γραφείου επικοινωνιών, του γραφείου που χειρίζεται τις νομοθετικές υποθέσεις, το γενικό σύμβουλο και το γραφείο διαχείρισης που αναλαμβάνει τους προϋπολογισμούς και τις λειτουργίες προμηθειών.
Εκπαιδεύστε τους υπαλλήλους σχετικά με τους ρόλους και τις ευθύνες που έχουν για κάθε παραβίαση
Οι οργανισμοί θα πρέπει να εκπαιδεύσουν τους υπαλλήλους σύμφωνα με ένα συγκεκριμένο σχέδιο αντιμετώπισης για κάθε περίπτωση παραβίασης των δεδομένων τους, καθώς και τους ρόλους και τις ευθύνες που έχουν σε περίπτωση παράβασης. Συγκεκριμένα, το Γραφείο Διαχείρισης και Προϋπολογισμού ( OMB ) των ΗΠΑ ζητά την υποχρέωση των οργανισμών στο να παρέχουν αρχικά τη κατάλληλη εκπαίδευση τους υπαλλήλους της σχετικά για την ιδιωτική ζωή και την ασφάλεια, προτού να επιτρέπει σε αυτούς την πρόσβαση σε συστήματα πληροφοριών και σε στοιχεία του οργανισμού. Στη συνέχεια να παρέχει τουλάχιστον ετήσια επανεκπαίδευση, ώστε να διασφαλίζεται ότι οι εργαζόμενοι θα συνεχίσουν να κατανοούν τους ευθύνες.
Σύνταξη εκθέσεων σχετικά με πιθανολογούμενες παραβιάσεις δεδομένων και την υποβολή τους στις κατάλληλες εσωτερικές και εξωτερικές οντότητες
Οι οργανισμοί θα πρέπει να καθιερώσουν διαδικασίες για την έγκαιρη υποβολή εκθέσεων για κάθε υποψία παραβίασης δεδομένων στους κατάλληλους εσωτερικούς φορείς διαχείρισης αλλά και στους εξωτερικούς φορείς εποπτείας. Για παράδειγμα, η ομάδα αντιμετώπισης των παραβιάσεων θα πρέπει να ενημερωθεί για όλες τις υποψίες ή τις επιβεβαιωμένες παραβάσεις. Επιπλέον, οι οργανισμοί πρέπει να αναφέρουν όλα τα περιστατικά που αφορούν προσωπικές πληροφορίες στο ΗΠΑ - CERT εντός 1 ώρας από την υπόνοια ή του επιβεβαιωμένου περιστατικού.
Αξιολόγηση της βλάβης
Απαιτείται η εκτίμηση του πιθανού κίνδυνου βλάβης και το επίπεδο των επιπτώσεων της εικαζόμενης παραβίασης δεδομένων, προκειμένου να διαπιστωθεί αν απαιτείται η κοινοποίησή της στα θύματα. Εκτός από οποιαδήποτε έκτακτη λήψη διορθωτικών μέτρων που μπορούν να λάβουν οι οργανισμοί, πρέπει επίσης να αξιολογούνται οι υποψίες για παραβίαση, ώστε να προσδιορίζεται αν υπάρχει πιθανός κίνδυνος βλάβης αλλά και το επίπεδο των επιπτώσεων, εφόσον συντρέχει περίπτωση παραβίασης.
Το OMB έχει περιγράψει πέντε παράγοντες που πρέπει να εξεταστούν κατά την εκτίμηση των πιθανών κινδύνων βλάβης:
1. η φύση των στοιχείων- δεδομένων που παραβιάστηκαν,
2. ο αριθμός των ατόμων που πλήττονται,
3. η πιθανότητα όπου οι πληροφορίες είναι προσβάσιμες και χρησιμοποιήσιμες ,
4. η πιθανότητα της παράβασης να οδηγήσει σε βλάβες και
5. η ικανότητα του οργανισμού να μετριάσει τον κίνδυνο βλάβης.
Μόλις καθοριστεί το επίπεδο του κινδύνου, οι οργανισμοί οφείλουν να χρησιμοποιούν αυτές τις πληροφορίες για να καθορίσουν εάν απαιτείται η κοινοποίηση στα θιγόμενα άτομα και, αν ναι, ποιες μεθόδους θα πρέπει να χρησιμοποιούνται. Το OMB συμβούλεψε τους οργανισμούς να είναι προσεκτικοί όσων αφορά τη κοινοποίηση της παραβίασης όταν υπάρχει μικρός ή σχετικά μηδαμινός κίνδυνος βλάβης, καθώς αυτό θα μπορούσε να δημιουργήσει περιττή ανησυχία και σύγχυση. Ανέφερε επίσης ότι, ενώ το μέγεθος του αριθμού των προσβεβλημένων ατόμων μπορεί να υπαγορεύσει τη μέθοδο που επιλέγεται για να παρέχει την ενημέρωση παραβίασης, αυτό δεν θα πρέπει να αποτελεί καθοριστικό παράγοντα για το εάν ένας οργανισμός θα πρέπει εν τέλει να παρέχει την ειδοποίηση.
Προσφορά βοήθειας στα προσβεβλημένα άτομα (κατά περίπτωση)
Οι οργανισμοί οφείλουν να διαθέτουν διαδικασίες που να καθορίζεται εάν θα πρέπει να παρέχονται υπηρεσίες στα θιγόμενα άτομα, όπως η παρακολούθηση της πιστοληπτικής ικανότητας, ώστε να μετριάσουν τον πιθανό κίνδυνο. Το OMB ανέφερε στους οργανισμούς ότι, ενώ η αξιολόγηση του κινδύνου σε μια δεδομένη κατάσταση είναι απαραίτητη, θα πρέπει όμως να εξετάζονται ταυτόχρονα επιλογές για την εξασθένηση του εν λόγω κινδύνου.
Λεπτομερής ανάλυση της παράβασης και ο προσδιορισμός των διδαγμάτων
Οι οργανισμοί οφείλουν να επανεξετάσουν και να αξιολογήσουν τη παραβίαση που πραγματοποιήθηκε στα δεδομένα, συμπεριλαμβανομένων τυχόν διορθωτικών μέτρων που ελήφθησαν και να διδαχθούν καταλλήλως. Τα διδάγματα αυτά θα πρέπει να ενσωματωθούν με το γραφείο ασφαλείας, τις πολιτικές και τις πρακτικές προστασίας προσωπικών δεδομένων, όπως απαιτείται. Η NIST συνέστησε την πραγματοποίηση μιας συνεδρίασης «διδαγμάτων» με όλα τα εμπλεκόμενα μέρη μετά από ένα σοβαρό περιστατικό και πιο περιοδικά μετά από μικρότερο περιστατικά, όπως το επιτρέπουν και οι πόροι της επιχείρησης για να βοηθήσουν στο χειρισμό παρόμοιων περιστατικών και τη βελτίωση των μέτρων ασφαλείας.