(توسط فدریکا دی استفانی ، وکیل و سرپرست Aidr Regione Lombardia) ما اغلب (بیشتر و بیشتر) درباره نقض داده ها صحبت می کنیم و درخواستی که از آن ناشی می شود ، تقریباً به طور طبیعی ، به احتمال اجتناب از آن یا حداقل جلوگیری از آن اشاره دارد. آی تی.
متأسفانه پاسخ منفی است ، از نقض داده ها جلوگیری نمی شود زیرا "خطر صفر" وجود ندارد.
مطمئناً می توان فرصت های افتادن در "دام" حادثه سایبری را محدود کرد و همچنین می توان پیامدهای ناشی از آن را محدود کرد ، اما این موضوع دیگری است.
برای درک پدیده نقض داده ها ، که اغلب به طور انحصاری با حمله هکرها مشخص می شود ، لازم است درک کنیم که چیست.
نقض داده ها چیست
اصطلاح "نقض داده" نشان دهنده نقض امنیتی است که شامل - به طور تصادفی یا غیرقانونی - تخریب ، از دست دادن ، اصلاح ، افشای غیرمجاز یا دسترسی به داده های شخصی منتقل شده ، ذخیره شده یا پردازش شده است.
همانطور که می بینید ، نقض داده ها می تواند منجر به از دست رفتن داده هایی شود که از حمله هکرها ناشی نمی شود ، اما همچنین می تواند از دست دادن دسترسی به همان موارد ناشی شود ، همانطور که در فرضیه ای وجود دارد ، برای به عنوان مثال ، سرقت یک دستگاه.
وقتی رخنه داده رخ می دهد
انواع نقض داده ها بسیار متنوع است و بنابراین ، به عنوان مثال ، می توانیم دسترسی یا به دست آوردن داده ها توسط اشخاص ثالث غیرمجاز ، سرقت یا از دست دادن دستگاه های فناوری اطلاعات حاوی اطلاعات شخصی را به عنوان مورد ذکر کنیم. ناتوانی در دسترسی داده های ناشی از علل تصادفی یا حملات خارجی ، ویروس ها ، بدافزارها و غیره ، تغییر عمدی داده های شخصی ، از بین رفتن یا از بین رفتن داده های شخصی در اثر تصادفات ، حوادث ناگوار ، آتش سوزی یا سایر بلایا ، افشای غیر مجاز داده های شخصی.
جایی که امکان نقض داده وجود دارد
نقض داده ها ، همانطور که گفته شد ، به عنوان نقضي که بر دسترسي ، صداقت و محرمانه بودن اطلاعات تأثير مي گذارد ، مي تواند به هر حوزه اي ، اعم از فيزيكي و ديجيتال ، مربوط شود.
به عنوان مثال ، به تخریب آرشیو کاغذ ، یا سرقت اسناد یا دوباره دستکاری و تغییر آنها فکر کنید.
افراد تحت تأثیر نقض داده ها قرار گرفته اند
نقض داده ها نشان دهنده رویدادی است که بسته به ویژگی های خاص هر مورد ، می تواند موضوعات مختلفی را درگیر کند.
کنترل کننده اطلاعات شخصی است که مطابق هنر. 33 GDPR ، باید بدون تاخیر بی مورد فعال شود و در صورت امکان ، ظرف 72 ساعت از لحظه ای که مشخص شد ، نقض را برای حفاظت از داده های شخصی به ضامن اطلاع دهید ، به جز فرضیه ای که بعید به نظر می رسد نقض اطلاعات شخصی خطری را برای حقوق و آزادیهای افراد به دنبال دارد. برعکس ، اگر نقض خطرات زیادی را برای حقوق و آزادیهای اشخاص حقیقی به همراه داشته باشد ، مالک ، همیشه بدون تأخیر ، باید طرفهای ذینفع را نیز مطلع سازد. درصورتی که با آگاهی از نقض ، پردازنده داده تعیین شده است ، لازم است فوراً مالک را مطلع کند تا بتواند اقدامی انجام دهد.
علل نقض داده ها
همانطور که گفته شد ، نقض داده ها یک نقض امنیتی است که شامل - به طور تصادفی یا غیرقانونی - تخریب ، از دست دادن ، اصلاح ، افشای غیرمجاز یا دسترسی به داده های پردازش شده است و این بدان معنی است که در عمل ، اقدامات امنیتی انجام شده بی نتیجه بوده است. با این حال ، ما نباید در خطای ارتباط خودکار نقض داده ها با کفایت اقدامات اتخاذ شده برای ایجاد مسئولیت ساده و ساده کنترل کننده داده ها قرار بگیریم. این سوال بسیار پیچیده تر است ، با توجه به اینکه GDPR مسئولیتی از این قبیل را از طرف مالک پیش بینی نمی کند ، اما این امکان را برای همان شخص فراهم می کند تا نشان دهد که او برای محافظت از داده های پردازش شده تمام توان خود را انجام داده است. به
عامل انسانی و اهمیت آموزش
اگر از یک سو رویداد نقض داده ها را نمی توان به طور کامل حذف کرد ، همانطور که پیش بینی می شد ، خطر صفر وجود ندارد ، از سوی دیگر لازم است استراتژی ها و اقدامات لازم برای محدود کردن هرچه بیشتر ریسک مورد سوال قرار گیرد.
فراتر از اقدامات فنی و سازمانی "کافی" ، بنابراین در اصطلاح مقررات اروپایی ، بخش مهمی از پیشگیری با آموزش کارکنان نشان داده می شود.
تا به امروز ، عامل انسانی هنوز نشان دهنده یک پاشنه آشیل نسبتاً گسترده در بسیاری از واقعیتها ، حتی ساختارهای بزرگ و بزرگ است.
فقدان آموزش کافی و خاص ، عدم وجود سیاست های کافی در مورد استفاده از ابزارها و رویه های فناوری اطلاعات ، هنوز هم امروزه از علل گسترده نقض داده ها هستند.
اصل موضوع نه تنها با نوع حفاظت اتخاذ شده ، بلکه با روشهای استفاده از آن ، با به روز رسانی و آموزش های خاص به افرادی که داده ها را پردازش می کنند ، نشان داده می شود.
در واقع ، نباید فراموش کرد که رعایت باید در سطوح مختلف صورت گیرد ، باید عرضی باشد و فقط نمی تواند به جنبه های فنی و امنیت سایبری مربوط شود ، بلکه جنبه های سازمانی و رویه ای را نیز در رابطه با عامل به اصطلاح انسانی مطرح می کند.