国产精品人-国产精品人成人免-国产精品人成在线-国产精品人成在线播放-国产精品人成在线播放新网站-国产精品人成在线二区

行業(yè)新聞

您當(dāng)前的位置:首頁 > 新聞資訊 > 行業(yè)新聞

數(shù)據(jù)泄露簡要指南 (GDPR應(yīng)對版)

發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時間:2020-10-26 瀏覽次數(shù):

將圍繞數(shù)據(jù)泄露定義的爭論描述為 “白熱化” 未免太過夸張,畢竟我們尚未看到尸體從窗口飛出般的戲劇化情節(jié)。

但隨著《通用數(shù)據(jù)保護條例》(GDPR) 及其對數(shù)據(jù)不當(dāng)處理施以重罰時代的到來,怎么定義數(shù)據(jù)泄露就是事關(guān)切實財務(wù)影響的嚴(yán)肅問題了。

很多廠商表示,媒體和標(biāo)題黨只會幫倒忙。

但凡事件涉及數(shù)據(jù)且聽起來像個可博眼球的新聞,大部分媒體就會給安上個 “數(shù)據(jù)泄露” 的關(guān)鍵詞。

所以,在吐槽《條例》締造者居心不良之前,不妨冷靜地回顧下GDPR決議對這么個模糊不清的主題設(shè)置諸多規(guī)定的思考過程。

到底是不是數(shù)據(jù)泄露?如果生活就是墨守成規(guī)那么簡單,那這篇文章就沒必要寫也沒必要讀了。

但生活并不簡單,理清定義還是有必要的。

雖然大多數(shù)網(wǎng)絡(luò)安全組織都傾向于認(rèn)為數(shù)據(jù)泄露涉及未授權(quán)刪除或查閱數(shù)據(jù)的行為,但并沒有一個全知全能的 “數(shù)據(jù)泄露警署” 來推行這一定義。

前文提及的GDPR是與 “數(shù)據(jù)泄露警署” 最為接近的事物了,因為它擁有對違反其數(shù)據(jù)保護條例的人征收巨額罰金的權(quán)力。

由于該新規(guī)定背后的當(dāng)權(quán)者正在揮舞大棒殺雞儆猴,我們不妨來分析一下他們是怎么定義個人數(shù)據(jù)泄露的。

對傳輸、存儲或以其他方式處理的個人數(shù)據(jù)造成意外或非法破壞、遺失、變更、未授權(quán)披露或訪問的安全違規(guī)事件。

GDPR進一步闡明:數(shù)據(jù)泄露是一類安全事件,但不是所有的安全事件都是數(shù)據(jù)泄露。

這里存在三條決定性的信息安全基本原則,其中任何一條或多條都能構(gòu)成數(shù)據(jù)泄露。

違反機密性 ——未授權(quán)或意外披露個人數(shù)據(jù)。

違反可用性 ——未授權(quán)或意外喪失對個人數(shù)據(jù)的訪問權(quán)或造成對個人數(shù)據(jù)的破壞。

違反完整性——對個人數(shù)據(jù)的未授權(quán)或意外變更。情況復(fù)雜多變。

可仔細審查上述原則背景下的一些具體實例。

勒索軟件攻擊認(rèn)為勒索軟件不是什么大事兒的想法簡直大錯特錯。

這種惱人的惡意軟件在黑客圈中越來越流行,可對大大小小的公司企業(yè)造成數(shù)十億美元的損失。

勒索軟件通常是終端用戶點擊了網(wǎng)絡(luò)釣魚郵件中看似合法的惡意鏈接而植入系統(tǒng)的,會加密受害者的文件,要求受害者支付贖金以換取解密密鑰。

這算是數(shù)據(jù)泄露嗎?雖然系統(tǒng)中不受歡迎的勒索軟件入侵本身只能被看作是安全事件,但GDPR告訴我們:具體事件的細節(jié)最重要——個人數(shù)據(jù)被訪問的瞬間,就適用不一樣的原則了。

盡管數(shù)據(jù)訪問權(quán)的遺失可能只是暫時的,并不能運用可用性原則 (假設(shè)你可以從備份計劃中恢復(fù)出數(shù)據(jù)),但根據(jù)具體情況,機密性原則中的 “未授權(quán)訪問” 部分卻有可能再次適用。

對所有此類事件,我們必須仔細審閱定義的精確措辭。

員工點擊網(wǎng)絡(luò)釣魚電子郵件鏈接釋放出勒索軟件算不算違反機密性原則?這可能屬于 “意外訪問” 條款的管轄范圍,但也有可能不是。

開放S3存儲桶之殤亞馬遜的云存儲服務(wù)近些年讓這家公司更加聲名大噪。

但問題是,錯誤配置的安全設(shè)置引發(fā)了數(shù)據(jù)泄露事件的盛行——拜未受保護的開放存儲桶所賜。

或者,這些事件僅僅是安全事件?運用GDPR的三條安全原則一審便知。

偶然撞上一個開放S3存儲桶某種程度上相當(dāng)于隨機訪問一個網(wǎng)站,而該站點擁有者毫無安全措施地將網(wǎng)站暴露在公網(wǎng)上時并未預(yù)期會有人訪問這個網(wǎng)站。

很明顯,近期的S3數(shù)據(jù)泄露中,比如威瑞森、LocalBlox和GoDaddy遭遇的那些,并沒有哪家苦主想要暴露這數(shù)百萬條個人數(shù)據(jù)集。

但如果是安全研究人員偶然遇到了開放存儲桶,順手查看一番的情況呢?他們會被就地歸類為正在制造數(shù)據(jù)泄露事件的黑客嗎?讓我們回到機密性原則上來。

必須承認(rèn),因為該存儲桶就這么敞開在網(wǎng)上,這位友好的鄰家研究員的確有權(quán)查看。

若以該原則認(rèn)定此類行為有罪,那只要看過不屬于自己的東西難道就是罪犯嗎?別人家沒關(guān)窗簾被你看到室內(nèi)陳設(shè)也算犯罪嗎?至于意外披露或訪問的情況,那就跟機密性原則有關(guān)了。

按常理推測,GoDaddy是不會想要自己的商業(yè)秘密和基礎(chǔ)設(shè)施信息暴露在公網(wǎng)上的,于是,意外披露的情況存在。

技術(shù)專家將S3存儲桶問題的涌現(xiàn)歸罪于糟糕的產(chǎn)品設(shè)計,稱普通人太難搞懂并應(yīng)用正確的安全設(shè)置了。

亞馬遜可以從理論意義上爭辯稱,GoDaddy存儲桶可被訪問的事實并不構(gòu)成數(shù)據(jù)泄露,因為除非該存儲桶被拷貝或移動到外部,否則是沒有發(fā)生任何損害的。

然而,GDPR監(jiān)管機構(gòu)會回應(yīng)稱,GoDaddy將自身商業(yè)秘密交托給該亞馬遜服務(wù)時并未預(yù)期該信息能在網(wǎng)上公開訪問。“我只是復(fù)制而已”上一節(jié)內(nèi)容引出了另一個問題:如果你只是復(fù)制了系統(tǒng)中的信息算數(shù)據(jù)泄露嗎?截至目前,機密性原則可謂嚴(yán)酷監(jiān)工的概念應(yīng)該建立起來了,尤其是在其甚至連意外披露或訪問都禁止的措辭方面。

這種情況下,很難申辯你只是復(fù)制了受保護數(shù)據(jù)而沒有訪問 (查看) 其內(nèi)容,因此——違規(guī)罪名成立!但真的成立嗎?未必。

很明顯,這種對GDPR標(biāo)準(zhǔn)的應(yīng)用給律師、法庭和GDPR本身留下了很大的解釋空間。

收集數(shù)據(jù)的各種方式有時候你可能就在收集GDPR規(guī)定的個人數(shù)據(jù)而不自知:有沒有電子郵件訂閱表單?通過這條途徑收集的任何信息(姓名、郵箱地址等等)都算。

評論區(qū)呢?如果訪客可以留下包含自身郵箱地址、網(wǎng)站URL、姓名等內(nèi)容的評論,數(shù)據(jù)收集判定成立。

對虛擬主機有多信任?除非運營的是完全自給自足的服務(wù)器,否則就有很大概率往托管主機提供商那兒存儲GDPR轄下的文件——即便你并不認(rèn)為自己在通過作為托管主機標(biāo)準(zhǔn)流程的日志文件收集包含網(wǎng)站訪客IP地址的數(shù)據(jù)。

上述問題很多在線云托管及云存儲提供商都很難回答。

亞馬遜、谷歌和微軟等公司可能發(fā)現(xiàn)自己違反了GDPR要求,但他們體量足夠大,能夠挺過經(jīng)濟處罰。

小型服務(wù)提供商就未必了。

比如廣受位于猶他州鹽湖城的加拿大及美國中小企業(yè)推崇的虛擬主機提供商Bluehost。

他們闡述了虛擬主機、客戶和客戶網(wǎng)站之間的復(fù)雜關(guān)系。

雖然Bluehost在遵循嚴(yán)格的《隱私政策》收集、處理和存儲客戶數(shù)據(jù)方面毫無疑問符合GDPR規(guī)定,但其《數(shù)據(jù)處理協(xié)議》(涵蓋通過客戶網(wǎng)站上傳服務(wù)器的數(shù)據(jù)) 卻沒那么確定了。

托管服務(wù)提供商將GDPR終端用戶要求簡單轉(zhuǎn)嫁給網(wǎng)站擁有者的行為并不鮮見。對SaaS公司而言情況更加詭譎。SaaS公司仰賴第三方托管以維持業(yè)務(wù)運營。

如果某SaaS應(yīng)用要使用不符合GDPR規(guī)定的托管服務(wù)會出現(xiàn)什么狀況?最近的一篇《福布斯》文章中,Varonis創(chuàng)始人 Yaki Faitelson 描述了此類案例的復(fù)雜性:SaaS公司及其云托管服務(wù)提供商都必須簽署符合GDPR第28條規(guī)定的合約。

這些合約旨在防止互相推諉責(zé)任,比如托管服務(wù)提供商對SaaS公司 (或SaaS公司對托管服務(wù)提供商) 宣稱自己免于數(shù)據(jù)泄露責(zé)任。

結(jié)論網(wǎng)站擁有者應(yīng)重視對GDPR的解讀,重點搞清構(gòu)成數(shù)據(jù)泄露的要素有哪些,以及如何向客戶通報數(shù)據(jù)泄露事件。

注意72小時窗口期,因為這是必須通報數(shù)據(jù)泄露的時間底線。


  • 上一篇:數(shù)據(jù)泄密案件逐年上升,企業(yè)文件泄密怎么辦?
  • 下一篇:Instagram近五千萬條數(shù)據(jù)泄露
  • Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有

    粵ICP備2021016007號

    主站蜘蛛池模板: 久久久久人妻一区精品色火影忍者 | 国产美女裸体免费网站 | 爆乳熟妇一区二区三区爆乳漫画 | 午夜精品久久久久久毛片综合 | 日韩AV无码成人精品区一本 | 国产亚洲A片无 码导航 | 亚洲逼导航| 内射丰满人妻 | 电影院伦理 | 国产一品道一区二区三区 | 日本一本道中文字幕在线播放 | 国产999精品久久久久久麻豆 | AVFAVDby在线观看免费 | 亚洲 AV 高清 在线 | 亚洲成人77 | 影音先锋电影资源网站熟女 | 国产三级精品三级在线观看四季网 | 午夜精品久久久久久久久久久 | 亚洲成人AV午夜 | 午夜欧美日韩精品 | 日本少妇粉嫩小穴 | 性色av浪潮av色欲 | 无码av一区| 插亚洲无码 | 91色精品| 国产精品成人四虎免费视频 | 国产成人精品电影 | 免费看无码一级A片在线播放 | 国产69视频一区二区 | 无码麻豆| 精品久久久久久久久久免费影院8 | 国产在线黄色一级a片电影 免费国产一级 片内射 | 国产成人MV毛毛A片小说 | 国产精品白丝JK喷水网站 | 中文字幕不卡一区 | av在线免费资源老A 激情五月成人 | 亚洲成人AV在线免黄 | 午夜精品| 亚洲一区二区无码成人AV | 东京热毛片視频 | 激情亚洲成人婷婷 |