谁报告了数据违规行为?

您的组织使用哪种语言(包括内部和外部)讨论安全事件响应?最近是Cyber​​event事件还是数据违规或两者?你怎么知道?谁决定所需的行动 - 正式和非正式的?让我们探索。

by / June 23, 2018

数据漏洞正在变得(几乎)普遍。似乎每周宣布主要新的公共和私营部门数据违规行为— if not most days.

大多数国家都有法律,该法律要求公开披露数据违约,其中个人可识别信息(PII)有风险。您可以查看这些法律的详细信息 国家立法机构(NCSL)网站.

我在三年前提出了这一话题,并探讨了某种类型的需求“数据违规Richter Scale,”和其他作家和 媒体组织喜欢 SC. magazine have agreed 与我一起。然而,数据泄露问题在过去36个月中只会变得更糟。

在南非,最近宣称的标题: 另一天,另一个数据违规。这里’s an excerpt:

“就像数百万的南非人一样,我从自由的短信中突然出现在我的星期天早晨贪睡,告诉我它的数据被黑了。由于有关攻击的有限信息慢慢过滤,它只致力于提高更多问题而不是答案。

如果它是“largely”电子邮件和附件,其电子邮件和附件—这是否意味着我的银行陈述和医疗记录掌握在网络中 - 勒索者手中?

最近几个月袭击了南非的几个主要数据违规行为也是如此,例如臭名昭​​着的南非人留下超过6000万的臭名昭着’在互联网上公开访问的个人记录。

但最终,最令人不安的是关于自由攻击的人’T一直缺乏具体信息或关于攻击者如何在第一位置管理他们所做的内容的强烈猜测。

作为消费者来说,我最令人震惊的是现实,实际上,当这种情况发生数据违约时,目前目前对南非人追索权。…”

对于世界上大多数国家也是如此。很多人 觉得Equifax甚至可能会受益于其可怕的数据泄露 由于他们收到的自由宣传和新业务。

看起来更宽,这 市场手表文章 展示了有关全球趋势的更多细节,清楚地表明问题越来越糟。 Quote:通过这一计数,去年1,300人的重大违规行为,而2005年的少于200。”

但是让我们’挖掘此主题更深入探讨数据泄露。情况甚至比报告的情况更糟糕吗?

所有组织现在遵守数据违抗法律吗?

众所周知,没有公共或私营部门的领导者想要听到这些话,“我们有一个确认的数据泄露。”几乎所有我们在企业安全计划中所做的一切作为领导者,或顾问或程序员或分析师或伦理黑客或培训师或公司业务管理人员或(填写包含其他角色包括最终用户的角色)旨在防止此刻当那些话说时说。

那么组织如何决定该怎么办?你什么时候报告?您如何在国家和世界的不同地区调整到不同的法律?

在我的经验中,答案差异很大。

这里有一些例子:

  • 国际隐私专业人士协会(IAPP.org):描述了四个类别(引用国家标准和技术研究所),包括活动,安全事件,隐私事件和数据泄露。每个都在那篇文章中,但这是他们对数据违规的定义:“如果隐私事件符合特定的法律定义,则 州和/或联邦违规法律,然后它被认为是一个数据违规行为。数据违规需要通知受影响的个人,监管机构,有时信用报告机构或媒体。此外,如果事件影响客户,合同义务要求通知商业客户’员工或客户。…”
  • 安全大道: 语言涉及数据泄露时 — ““数据泄露”长期以来一直是几乎任何捕获的术语。普通用户理解违规的一般概念,但并不是’T始终意识到还有各种各样的网络攻击’t导致数据泄露。例如,勒索软件(例如,加密文件并使它们无法访问,直到赎金付款,但通常,文件本身aren’t opened and the 数据永远不会破坏。然而,当报告时,赎金软件攻击几乎总是等同于数据漏洞。数据发生在数据上;因此,它被违反了。 ......

根据Benjamin Wright,律师和Sans学院的数据安全和调查法律教练,如“breach,” “incident” and “vulnerability”受到很多解释。“一个事件起初可能看起来像违约,” he explained, “但在更仔细的检查时,它可能会看起来不同。与调查有关的证据数量可能是巨大的。专家可能不同意哪些证据(日志,报警等)是相关的,其不是。”

  • 法律: 国家72小时数据泄露通知标准的挑战 — “在某些情况下,国家法律甚至相互矛盾:例如,马萨诸塞州禁止描述任何通知中违反的性质,而其他一些国家在内的北卡罗来纳州,明确要求包括这些信息。此外,各国一直在修改其违约通知法,频率使符合其挑战的频率。自2018年初单独,至少30个州颁布或正在考虑将现有法律拨入其他法律,以及其他方面,扩大有关信息的范围,并强加更严格的截止日期来提供违约通知。这种多种多样的要求的网络可能对任何实体有挑战性—特别是一个在一个重要的网络安全事件中的一个—to navigate.”

当数据泄露迅速报告时会发生什么?

这个 Experian的重要文章 explains that “美国证券交易委员会(SEC)最近更新了公共公司在披露网络攻击,数据泄露或任何物质安全风险或劣势的信息时采用更直接的方法。…”

2018年2月更新了他们的指导,并且没有遵循这些规则存在惩罚和其他后果。

去年, 华盛顿邮政 described 为什么公司可以为公司报告数据泄露这么久。这里’s an excerpt: “有时,公司并不意识到他们被违反了,就像雅虎在2016年的情况一样,当它宣布了一个巨大的数据违约时 发生在2013年。该公司表示,直到几年后,它不了解侵入,感谢外部调查员的团队。

即使公司确实自己发现了违约,还有其他原因 why people 可能没有立即听到它。

对于一个,执法部门可能会要求一家公司保持安静,以免提醒黑客被发现违规行为;若干州数据泄露披露法律表示,公司可以延迟执法请求的披露。…”

在某些情况下,已经涵盖了数据违规行为。优步报告说 没有理由覆盖有数据违规行为. “我认为我们在没有向消费者报告的情况下造成了误导,我认为我们在未经报告的情况下毫无报告,“优步首席信息保证官告诉参议院小组,”约翰···········斯坦

Flynn确认了报告称,该公司支付了一个黑客10万美元以销毁被盗数据并没有公开披露违约行为。

就数据泄露的过程而言,通常需要网络取证来确定安全事件中是否发生数据泄露。本文展示了您的组织如何 确定是否发生了数据泄露和what the source of the incident was.

更多资源来帮助企业

即使组织确实理解并遵守有关数据漏洞的所有不同的全球法律,即使有关数据泄露的所有不同规律,也可以使用哪些步骤(某种类型)“incident” to “data breach?”

以下是一些有用的材料:

最后的想法

消费者还需要在收到数据泄露通知时该做什么的指导。这个 隐私权清算房屋指南 能帮忙。它从不同术语和潜在情况的描述开始:

  1. 什么是数据泄露?
    2. 如果您的个人信息已被数据泄露暴露,您应该怎么做?
    3. 违反您的信用卡或借记卡信息
    4. 违反您现有的财务账户
    5. 违反您的司机’S许可或其他政府识别文件
    6. 违反您的社会安全号码(SSN)
    7. 违规公开您的密码

我会添加消费者在提供时需要利用身份盗窃保护。许多人错误地认为,当他们在邮件中收到通知时,他们会自动注册,但他们从不拨打1-800号码或注册服务。

我对没有的人的百分比感到惊讶’t花时间在发生数据泄露后的少数阳性结果之一中保护自己。

总之,这种更广泛的数据漏洞主题继续发展,因此我敦促所有读者重新检查他们如何检测,反应和响应个人和组织级别的数据违规。


永远不会错过每日Govtech今天的故事时事通讯。

订阅


E.Republic平台& Programs