(بواسطة Federica De Stefani ، المحامية ورئيسة Aidr Regione Lombardia) نسمع (أكثر فأكثر) كثيرًا ما نتحدث عن خرق البيانات والطلب المستمد منه ، بشكل طبيعي تقريبًا ، يتعلق بإمكانية تجنبه أو ، على الأقل ، احتوائه هو - هي.
الجواب ، للأسف ، بالنفي ، لا يمكن تجنب خرق البيانات لأن "الخطر الصفري" غير موجود.
من المؤكد أنه من الممكن الحد من فرص الوقوع في "فخ" الحادث السيبراني ومن الممكن أيضًا الحد من العواقب الناجمة عنه ، ولكن هذا أمر مختلف.
لفهم ظاهرة خرق البيانات ، التي غالبًا ما يتم تحديدها حصريًا بهجوم القراصنة ، من الضروري فهم ماهيتها.
ما هو خرق البيانات
يشير مصطلح "خرق البيانات" إلى خرق أمني يتضمن - بشكل عرضي أو غير قانوني - التدمير أو الضياع أو التعديل أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية المنقولة أو المخزنة أو المعالجة بطريقة أخرى.
كما ترى ، يمكن أن يؤدي خرق البيانات إلى فقدان البيانات التي لا تنجم عن هجوم المتسللين ، ولكن يمكن أن ينشأ أيضًا من فقدان توفرها ، كما يحدث في الفرضية التي يوجد بها ، على سبيل المثال ، سرقة جهاز.
عندما يحدث خرق البيانات
تتنوع أنواع خرق البيانات تمامًا ، وبالتالي ، على سبيل المثال ، يمكننا الإشارة إلى الوصول إلى البيانات أو الحصول عليها من قبل أطراف ثالثة غير مصرح بها ، أو سرقة أو فقدان أجهزة تكنولوجيا المعلومات التي تحتوي على بيانات شخصية على أنها تندرج ضمن الحالة. البيانات الناتجة عن أسباب عرضية أو هجمات خارجية ، أو فيروسات ، أو برامج ضارة ، وما إلى ذلك ، أو التغيير المتعمد للبيانات الشخصية ، أو فقدان البيانات الشخصية أو إتلافها بسبب الحوادث ، أو الأحداث السلبية ، أو الحرائق أو الكوارث الأخرى ، أو الكشف غير المصرح به عن البيانات الشخصية.
حيث يمكن أن يحدث خرق البيانات
يمكن لخرق البيانات ، الذي يُفهم ، كما ذكر ، على أنه انتهاك يؤثر على توافر البيانات وسلامتها وسريتها ، أن يتعلق بأي مجال ، ماديًا ورقميًا على حد سواء.
فكر ، على سبيل المثال ، في إتلاف الأرشيف الورقي ، أو سرقة المستندات ، أو مرة أخرى ، العبث بها وتحريفها.
الموضوعات المتضررة من خرق البيانات
يمثل خرق البيانات حدثًا ، اعتمادًا على الخصائص المحددة للحالة الفردية ، يمكن أن يشمل مواضيع مختلفة.
مراقب البيانات هو الشخص الذي ، وفقًا للفن. 33 يجب تفعيل اللائحة العامة لحماية البيانات (GDPR) دون تأخير لا داعي له ، وحيثما أمكن ، في غضون 72 ساعة من اللحظة التي أصبح فيها معروفًا ، لإبلاغ الضامن عن الانتهاك لحماية البيانات الشخصية ، باستثناء الفرضية التي من غير المحتمل فيها ذلك ينطوي انتهاك البيانات الشخصية على خطر على حقوق وحريات الأفراد. على العكس من ذلك ، إذا كان الانتهاك يمثل مخاطر كبيرة على حقوق وحريات الأشخاص الطبيعيين ، فيجب على المالك ، دائمًا دون تأخير ، إبلاغ الأطراف المعنية. في حالة تعيين معالج بيانات عندما علم بوجود انتهاك ، يجب عليه إبلاغ المالك على الفور حتى يتمكن من اتخاذ إجراء.
أسباب خرق البيانات
كما ذكرنا ، يعد خرق البيانات خرقًا أمنيًا يتضمن - بشكل عرضي أو غير قانوني - التدمير أو الضياع أو التعديل أو الكشف غير المصرح به أو الوصول إلى البيانات المعالجة وهذا يعني ، من الناحية العملية ، أن الإجراءات الأمنية المتخذة لم تنجح. ومع ذلك ، يجب ألا نقع في خطأ الربط التلقائي لخرق البيانات مع ملاءمة التدابير المعتمدة لجعلها تستمد كذا وتبسيط المسؤولية (الموضوعية) لمراقب البيانات. السؤال أكثر تعقيدًا ، نظرًا لأن اللائحة العامة لحماية البيانات لا تنص على مسؤولية من هذا النوع من جانب المالك ، ولكنها تنص على إمكانية ذلك لإثبات أنه فعل كل ما في وسعه لحماية البيانات التي تمت معالجتها .
العامل البشري وأهمية التدريب
من ناحية أخرى ، إذا كان لا يمكن القضاء على حدث خرق البيانات تمامًا ، كما هو متوقع ، لا يوجد خطر صفر ، من ناحية أخرى ، من الضروري أن يسأل المرء نفسه عن الاستراتيجيات والتدابير التي يجب اعتمادها لتقليل المخاطر.
بالإضافة إلى التدابير التقنية والتنظيمية "الملائمة" ، لذلك في مصطلحات اللائحة الأوروبية ، يتم تمثيل جزء مهم من الوقاية من خلال تدريب الموظفين.
حتى الآن ، لا يزال العامل البشري يمثل كعب أخيل واسع الانتشار في العديد من الحقائق ، حتى الواقعية منها والكبيرة.
لا يزال الافتقار إلى التدريب الكافي والمحدّد ، وغياب السياسات الملائمة بشأن استخدام أدوات وإجراءات تكنولوجيا المعلومات ، أسبابًا منتشرة إلى حد ما لخروقات البيانات.
يتم تمثيل جوهر الأمر ليس فقط بنوع الحماية المعتمدة ، ولكن أيضًا من خلال طرق تطبيقها ، من خلال التحديث والتدريب المحدد الذي يتم تقديمه للأشخاص الذين يقومون بمعالجة البيانات.
في الواقع ، يجب ألا ننسى أن الامتثال يجب أن يتم على عدة مستويات ، ويجب أن يكون مستعرضًا ولا يمكن أن يتعلق فقط بالجانب التقني والأمن السيبراني ، ولكن أيضًا بالجانب التنظيمي والإجرائي فيما يتعلق بما يسمى العامل البشري.