데이터 침해에 대해 데이터 보호 기관에 INPS보고
(Dr. Giuseppe Gorga에 의해) 14 년 2020 월 33 일 국가 사회 보장 기관 (INPS)은 서버에서 사이버 보안 프로토콜을 여러 차례 위반했습니다. 이 사건은 예술에서 요구하는 개인 데이터 보호를 위해 보증인에게보고되었습니다. 보고의 주제와 방법을 설명하는 GDPR의 XNUMX.
INPS에 해를 끼치는 개인 데이터 위반으로 인해 사용자는 제 XNUMX 자 소유의 개인 데이터를 상대적으로 표시하여 메인 사이트 (www.inps.it)에 무단 액세스했습니다.
이 "폭발"은 이탈리아 시민의 큰 수요로 인해 탁아 서비스 (소위 "베이비 시팅 보너스") 구매에 대한 보너스 제공 및 소득 지원 서비스 요청에 대해 발생했습니다. , COVID19의 긴급 상황과 관련하여 법령 18/2020에 의해 제공됩니다.
이와 관련하여 연구소는 적절한 수준의 서비스 사용성을 보장하고 DDOS 공격으로부터 보호하기 위해 "이 관리에 적합한 CDN (Content Delivery Network) 서비스를 사용하기로 결정했습니다. 서비스 제공 모델.
Leonardo 회사도 참여하고 INPS, Microsoft 및 후자간에 "기술 테이블"을 형성하여 시스템 지원을 제공합니다.
또한이 연구소는 Akamai 기술을 기반으로 한 콘텐츠 배포 측면에서 Microsoft의 기술 제공을 활용할 것입니다. 그러나 이러한 모든 대책은 요청의 흐름을 처리하는 데 부적절 함이 입증됩니다.
비상 사태가 닥치자 INSP는 웹 사이트를 일시적으로 폐쇄하기로 결정했습니다. 이 결정은 www.inps.it 포털의 최적화를 수행하고 중개자와 시민의 트래픽을 제한하는 데 필요했습니다.
개인 데이터의 유포를 제한하기 위해 연구소에 대한 추가 보호 조치는 데이터 유출에 대한 보고서와 증거를 보낼 수 있도록 특수 violazionedatiGDPR@inps.it 상자를 만드는 것이 었습니다.
다양한 보고서를 통해 우리는 제 819자가 표시하는 데이터가 주로 XNUMX 명을 초과하지 않는 다수의 피험자가 찾은 개인 데이터, 거주지 및 전자 연락처와 관련이 있음을 이해하게되었습니다.
이와 관련하여 INPS는 "표시되는 데이터의 유형을 고려하고 시청 가능성이 시간이 지남에 따라 완전히 무작위로 제한된 방식으로 발생했음을 고려하고 관련이없고 관심이없는 것으로 보이는 대상에 의해 관련, […] 위반이 개인의 권리와 자유에 대한 높은 위험을 나타내지 않는다고 믿습니다.”.
중요하지 않은 것은 아닙니다. 예를 들어, 31 년 2020 월 19 일에 이미 발생한 개인 데이터에 대한 무단 액세스 및 절차의 맥락에서 발견 된 이상과 같이 연구소의 포털에 직접 연결되어 있지 않더라도이 분석에서 나타난 추가 이상 COVID-XNUMX 배상.
결론적으로 예술에 따른 프라이버시 보증인입니다. 58, par. 2, 렛. e) 규정에 따라 INPS에 문제의 개인 데이터 위반 사항을 관련된 모든 이해 당사자에게 지체없이 전달하도록 명령합니다. 또한 INPS는 문제를 해결하고 예술에 따라 적절하게 문서화 된 피드백을 제공하기 위해 수행 된 이니셔티브를 전달해야합니다. 규정을받은 날로부터 157 일 이내에 코드 20.
이는 기본적으로 가능한 모든 중요한 문제를 강조하지 않는 경우 데이터가 항상 잠재적으로 위험에 노출되는 방식을 반영해야합니다.