(Aidr Regione Lombardia'nın avukatı ve başkanı Federica De Stefani tarafından) (Giderek daha fazla) veri ihlali hakkında konuştuğunu ve bundan kaynaklanan talep, neredeyse doğal olarak, bundan kaçınma veya en azından sınırlama olasılığı ile ilgili. o.
Cevap maalesef olumsuz, "sıfır risk" olmadığı için veri ihlalinden kaçınmak mümkün değil.
Siber olayın "tuzağı"na düşme fırsatlarını sınırlamak elbette mümkündür ve bundan kaynaklanan sonuçları sınırlamak da mümkündür, ancak bu farklı bir konudur.
Genellikle bir bilgisayar korsanı saldırısıyla özdeşleştirilen veri ihlali olgusunu anlamak için, bunun ne olduğunu anlamak gerekir.
veri ihlali nedir
"Veri ihlali" terimi, iletilen, saklanan veya başka bir şekilde işlenen kişisel verilere - yanlışlıkla veya yasa dışı olarak - imha, kayıp, değişiklik, yetkisiz ifşa veya erişim içeren bir güvenlik ihlali anlamına gelir.
Gördüğünüz gibi, bir veri ihlali, bir hacker saldırısından kaynaklanmayan veri kaybına yol açabilir, ancak aynı zamanda, olduğu hipotezde olduğu gibi, aynısının kullanılabilirliğinin kaybından da kaynaklanabilir. örneğin, bir cihazın çalınması.
Veri ihlali gerçekleştiğinde
Veri ihlali türleri oldukça çeşitlidir ve bu nedenle, örnek olarak, yetkisiz üçüncü şahısların verilere erişimini veya veriyi elde etmesini, kişisel verileri içeren BT cihazlarının çalınmasını veya kaybolmasını davaya dahil olarak gösterebiliriz. yanlışlıkla veya harici saldırılar, virüsler, kötü amaçlı yazılımlar vb. nedeniyle kişisel verilerin kasıtlı olarak değiştirilmesi, kişisel verilerin kazalar, olumsuz olaylar, yangınlar veya diğer felaketler nedeniyle kaybolması veya imha edilmesi, kişisel verilerin izinsiz olarak ifşa edilmesi.
Bir veri ihlalinin meydana gelebileceği yerler
Belirtildiği gibi, verilerin kullanılabilirliğini, bütünlüğünü ve gizliliğini etkileyen bir ihlal olarak anlaşılan bir veri ihlali, hem fiziksel hem de dijital her alanı ilgilendirebilir.
Örneğin, bir kağıt arşivin imha edilmesini veya belgelerin çalınmasını veya yine bunların tahrif edilmesini ve değiştirilmesini düşünün.
Bir veri ihlalinden etkilenen konular
Bir veri ihlali, bireysel vakanın belirli özelliklerine bağlı olarak farklı konuları içerebilen bir olayı temsil eder.
Veri sorumlusu, Sanata göre işlem yapan kişidir. 33 GDPR, gereksiz gecikme olmaksızın etkinleştirilmelidir ve mümkünse, ihlalin öğrenildiği andan itibaren 72 saat içinde, ihlalin kişisel verilerin korunması için Garantöre bildirilmesi gerekir. kişisel verilerin ihlali, kişilerin hak ve özgürlükleri için bir risk oluşturmaktadır. Aksine, ihlal gerçek kişilerin hak ve özgürlükleri açısından yüksek riskler içeriyorsa, hak sahibi her zaman gecikmeksizin ilgilileri de haberdar etmek zorundadır. Bir Veri İşleyenin, bir ihlalden haberdar olduğu anda atanması halinde, işlem yapabilmesi için derhal sahibine bilgi vermesi gerekmektedir.
Veri ihlalinin nedenleri
Belirtildiği gibi, veri ihlali - yanlışlıkla veya yasa dışı olarak - imha, kayıp, değişiklik, yetkisiz ifşa veya işlenen verilere erişimi içeren bir güvenlik ihlalidir ve bu, uygulamada, alınan güvenlik önlemlerinin işe yaramadığı anlamına gelir. Ancak, veri ihlalini otomatik olarak veri sorumlusunun (nesnel) bir sorumluluğu haline getirmek için alınan önlemlerin yeterliliği ile ilişkilendirme hatasına düşmemeliyiz. GDPR'nin mal sahibi adına bu tür bir sorumluluk sağlamadığı, ancak aynı kişinin işlenen verileri korumak için elinden gelen her şeyi yaptığını gösterme olasılığını sağladığı göz önüne alındığında, soru çok daha karmaşıktır. .
İnsan faktörü ve eğitimin önemi
Bir yandan veri ihlali olayı tamamen ortadan kaldırılamıyorsa, beklendiği gibi sıfır risk mevcut değilse, diğer yandan riski en aza indirmek için alınması gereken stratejiler ve önlemler hakkında kişinin kendi kendine sorması gerekir.
“Yeterli” teknik ve organizasyonel önlemlerin ötesinde, Avrupa Tüzüğü terminolojisinde, önlemenin önemli bir kısmı personel eğitimi ile temsil edilmektedir.
Bugüne kadar, insan faktörü, yapılandırılmış ve büyük olanlar da dahil olmak üzere birçok gerçeklikte hala oldukça yaygın bir Aşil topuğunu temsil etmektedir.
Yeterli ve özel eğitimin olmaması, BT araçlarının ve prosedürlerinin kullanımına ilişkin yeterli politikaların olmaması, günümüzde hala veri ihlallerinin oldukça yaygın nedenleridir.
Meselenin özü, yalnızca benimsenen koruma türüyle değil, aynı zamanda bunların uygulama yöntemleri, güncellemeler ve verileri işleyen kişilere verilen özel eğitimlerle de temsil edilmektedir.
Aslında, uyumun çeşitli seviyelerde gerçekleşmesi, çapraz olması ve sadece teknik yönü ve siber güvenliği değil, aynı zamanda sözde insan faktörü ile ilgili organizasyonel ve prosedürel yönü de ilgilendirmesi gerektiği unutulmamalıdır.