Årtiondets 10 dataintegritetsfel och vad vi lärde oss av dem

Årtiondets 10 dataintegritetsfel och vad vi lärde oss av dem

Idag är en av de största dagarna på kalendern för dataproffs: Data Privacy Day! När vi går in i 2020-talet, låt oss ta en titt på de dataintegritetsfel som format det senaste decenniet, och vad vi har lärt oss av dem, så att vi kan säkerställa att de kommande 10 åren kommer att komma ihåg att stå upp för storhet i integriteten. producera ett decennium av integritetsvinster.

1. Dataintrång har inträffat på de mest oväntade platser...

Föreställ dig att köpa en app-kontrollerad, Bluetooth-ansluten vibrator för att piffa upp ditt kärleksliv när din partner är utanför stan. Allt är roligt och lek tills du upptäcker att din partner inte kontrollerar det... den är faktiskt hackad av en fullständig främling. Tro det eller ej, detta hände faktiskt redan 2016, när det upptäcktes att vem som helst med en Bluetooth-anslutning kunde kapa några sexleksaker och kontrollera dem på grund av deras totala brist. säkerhetsskydd Och om det inte var tillräckligt otäckt visade det sig att företaget samlade in och lagrade de personuppgifter som samlats in av vibratorappen, utan samtycke från sina användare. Appen spårade leksakernas temperatur och vibrationsintensitet när de var förknippade med den, så företaget fick stora filer med data som beskriver kundernas exakta sexuella stimulansbehov. Det finns definitivt för mycket information... Vibratorer är inte de enda ovanliga föremålen som har hackats under det senaste decenniet. Under 2017 lyckades cyberkriminella hacka sig in på ett nordamerikanskt kasino tack vare dess internetuppkopplade akvarium! Akvariet i rummet var försett med en smart termometer för att reglera temperaturen på tanken. Tack vare denna enhet kunde hackare utnyttja en sårbarhet och få fotfäste på nätverket. Väl där lyckades de komma åt och radera den förhöjda spelardatabasen via nätverket, ta sig ur termostaten och upp i molnet. Man kan säga att de gick och fiskade... Vad vi har lärt oss Människor ska säkert kunna köpa saker som är så personliga som vibratorer och lika ofarliga som akvarier. Det är bara fantastiskt att en vibrator var så osäker när risken för misshandel var så uppenbar. Och det var ännu värre att samhället beter sig så påträngande att det fångar in dessa personuppgifter utan samtycke. Även om du kanske hävdar att kasinot borde ha vetat bättre än att placera ett smart akvarium inom dess säkerhetsomkrets, har risken att utnyttja en sårbarhet för att få tillgång till andra system varit välkänd i flera år, och akvarietillverkaren borde helt enkelt inte ha utsätta sina kunder för en sådan risk. När Internet of Things fortsätter att utvecklas kommer fler enheter att börja ansluta, och dessa enheter kommer att ta många former och storlekar. Det är viktigt att tillverkare av dessa enheter följer en integritetsmodell från designstadiet och säkerställer att integritet och säkerhet är inbyggd i produkter tidigt i utvecklingens livscykel, inte spikas i slutet. Det är mycket lättare att tänka på datakonfidentialitet i förväg och bygga in den i en produkt än att åtgärda säkerhetshål senare, om det är möjligt. Antagandet av IoT-teknik innebär att cyberkriminella kan vara mer fantasifulla med sina cybersäkerhetsattacker, och dessa incidenter påpekar övertygande att IoT-enheter är sårbara för hackning eller kompromisser. Problemet uppstår ofta när tillverkare bara fokuserar på IoT-enheters prestanda och användbarhet och ignorerar säkerhetsåtgärder och krypteringsmekanismer. Enkla cybersäkerhetsprotokoll som autentisering via OAuth, säker lagring, penetrationstestning och regelbundna granskningar bör vara standard för internetanslutna enheter. Det är också viktigt för konsumenter att komma ihåg att alla föremål, oavsett hur ofarliga de kan ansluta till Internet, kan hackas.

2. Brott mot konfidentialitet för uppgifterna som hindrade Harry från att ha sitt efternamn i sin skolbok...

Ingen vill förlora sin identitet, men en övernitisk läsning av GDPR 2019 har nästan lett till detta. En grundskola har förbjudit användning av barns efternamn i läroböcker, för att följa (deras uppfattning om) GDPR-bestämmelser. Den bisarra situationen ledde till att en pojke, känd som Harry Szlatoszlavek, blev stämplad som "Harry2" av sina klasskamrater. "Harry2" fick till och med ett julkort från ett annat barn där det stod "Till Harry2 från Jack2", och Harrys mamma hävdade att skolan försökte ta bort hans identitet. Figuren användes så att lärare kunde se skillnad på Harry och en annan pojke i hans klass, även kallad Harry. Skolan ansåg att att använda efternamn i barns arbetsböcker skulle gå emot GDPR-bestämmelserna, till exempel om böckerna togs ut ur föräldrarnas klassrum på natten, då bestämde de sig för att förbjuda efternamn helt. En talesperson för informationskommissionärens kontor förtydligade dock: "Även om dataskyddslagstiftningen ger barns data särskild status, hindrar den inte att ett barns fullständiga namn registreras i en textbok". Vad vi har lärt oss Det är viktigt att utbilda alla anställda om integritetsregler, särskilt om du regelbundet hanterar särskilda kategoridata eller personuppgifter som tillhör barn. Misstag kan vara lika allvarliga när de pressar organisationer att gå för långt i konfidentialitet som när de inte går tillräckligt långt. Det kan också vara till hjälp att ha specialiserat stöd för att svara på frågor och verifiera att besluten är lämpliga. Alla organisationer behöver inte ha dataskyddsombud för att göra detta, men varje organisation måste tänka på hur den ska få rätt integritetsråd när den behöver den. Som det här fallet visar kan identiteter gå förlorade på ett antal sätt.

3. Misslyckandet med konfidentialitet för data som ICO försökte ignorera

Med någon dataintegritetsincident är den person du verkligen inte vill ta på fel sida informationskommissionären. Och att ignorera det är ett bra sätt att göra det. I maj 2018 skickade någon in en subject Access Request (SAR) till Hudson Bay Finance. Han ignorerades. Efter en period på cirka 5 månader, fortfarande utan att ha hört från företaget, rapporterade personen händelsen till ICO, som sedan försökte kontakta företaget för att få det att avsluta SAR. OIC skrev flera brev till Hudson Bay Finance, som senare markerades med "return to avsändaren". De ignorerade dem inte bara, utan lämnade aktivt tillbaka sina kort, vågat! De lade också på luren vid flera tillfällen när ICO försökte ringa för att diskutera SAR och till slut slutade svara. Föga överraskande gick detta inte bra och ledde till Hudson Bay Finances namngivning och skam på ICO-webbplatsen och ett meddelande om avrättning. Vilket jag antar att företaget inte har förbisett eftersom det är ett brott... Vilket vi har lärt oss Att ignorera ICO skulle aldrig vara en bra idé. SAR kan vara en verklig huvudvärk och komplicerad att utföra, speciellt om du behandlar mycket personuppgifter. Detta är dock desto större anledning att se till att du har rätt processer på plats för att hantera dem effektivt. Det är lika viktigt att utbilda all din personal så att de kan känna igen SAR och reagera därefter. När dina protokoll väl är på plats är det också en bra idé att anlita ett externt företag som regelbundet kan testa dem för att se till att dina processer fungerar. SAR är ofta knutna till ett klagomål eller problem och bör därför tas på största allvar.

4. Misslyckandet med datakonfidentialitet som inte helt förstod begreppet "anonymisering" ...

Skulle du säga att ditt mobilnummer är en bra identifierare för dig? Det tyckte inte ett danskt taxibolag. Hösten 2018 fick Taxa 4x35 böter på 1,2 miljoner DKK för att ha "anonymiserat" personuppgifter, vilket verkar oväntat, tills du får reda på att deras metod för anonymisering handlade om att behålla människors personliga telefonnummer och bara radera deras namn. Detta innebar att information om kundens taxiresor (inklusive platshistorik) alltid kunde spåras tillbaka till kunden via telefonnummer och att informationen var identifierbar i tre år längre än nödvändigt. Vad vi har lärt oss Data blir anonyma först när de inte längre kan associeras med en individ, inte ens i kombination med annan data. Detta är mycket svårt att uppnå i praktiken och Taxa 4x35 är inte det enda företaget som blandar ihop "anonyma" uppgifter med "pseudonyma" uppgifter. Taxa 4x35 föll också i fällan att publicera ett sekretessmeddelande som följer lagen, men som inte återspeglar deras faktiska praxis. Om du korrekt hade identifierat lämpliga lagringsperioder för uppgifterna, skulle dina system inte tillåta dig att radera alla personuppgifter i slutet av dessa perioder. I kombination med en oförmåga att helt förstå kraven på "anonyma" data, ledde detta till att han fokuserade på konfidentialitet snarare än att följa lagen och skydda sina kunder. Vad händer under ett barns dag i fotboll, stannar i fotboll, eller hur? Inte om du hade La Liga-appen. Sommaren 2019 bötfälldes La Liga med 250,000 XNUMX € för att ha spionerat på sina appanvändare. Även om appen bad om tillåtelse att använda mikrofonen och spåra användarnas platser, förklarade den inte att dessa funktioner skulle utlösas på distans, så ofta som en gång i minuten: för att fastställa om användare tittade på spel på platser de inte var. . Inte rätt licenser att skryta med. Företaget ville se till att sportbarer inte sände spel med billigare nationella kabel- eller tv-paket snarare än dyrare kommersiella abonnemang. Det var förvisso en lömsk metod att hålla ett öga på hackare, men som den spanska tillsynsmyndigheten beslutade var det också ett stort integritetskränkning. Vad vi har lärt oss Företag måste kunna visa att den bearbetning de genomför är nödvändig, proportionerlig och balanserad i förhållande till påverkan på människor. I det här fallet är det svårt att se hur spioneri på användare bara för att skydda La Liga-intäkterna skulle kunna uppfylla dessa tester. De nya sekretessreglerna innebär nu att samtycke ska ges fritt, specifikt, informerat och entydigt. I det här fallet, även om företaget begärde tillstånd att använda mikrofonen, var det oklart vad dess avsikter var och hur det planerade att använda den; samtycke informerades därför inte. När du samlar in och hanterar någon form av personlig information bör du se till att dina integritetsmeddelanden beskriver exakt vad du tänker göra med dem och hur du kommer att använda dem, men utan att introducera lång jargong som avskräcker dina användare från att läsa dem. Om du inte specifikt anger hur du planerar att använda data beror det oftast på att du vet att det du gör är ett integritetskränkning. Vi skulle kunna spekulera i att La Liga inte specifikt berättade för användarna hur ofta de skulle komma åt mikrofonen eftersom de flesta inte gillar tanken på att en främling lyssnar på deras privata konversationer på puben.

6. Misslyckandet med datakonfidentialitet exponerade data från speciella kategorier...

Föreställ dig att en helt främling hamnar i din journal för att han kastades ut från ett apotek för alla att se. Detta kunde ha hänt dig om du fick dina piller från Doorstep-dispensären. Apoteket visade sig ha dumpat cirka 500,000 275,000 dokument i olåsta lådor, soppåsar och en kartong på en bakgård till anläggningen. Dessa dokument inkluderade namn, adresser, födelsedatum, NHS-nummer, medicinsk information och receptinformation. Föga överraskande bötfällde ICO apoteket XNUMX XNUMX euro för dess felaktiga hantering. Vad vi har lärt oss Det är viktigt att notera att data inte alltid är digitala, och du måste ta hand om både dina pappersdokument och dina digitala filer. I fallet Doorstep Dispensaree var inte bara pappersarkiven tillgängliga för alla som kunde komma åt domstolen, utan många av dem fick allvarliga vattenskador, vilket gjorde att information, inklusive nödvändig Doorstep Dispensaree, kanske inte var tillgänglig. När det gäller journaler kan detta få allvarliga konsekvenser. Om du inte redan har gjort det, skapa en policy för förstöring av pappersdokument och se till att den är fullständigt och tydligt förklarad för personalen, samtidigt som du betonar varför de bör följa den.

7. Datasekretessfelet kom inifrån...

Om du arbetar för oljejätten Shell vill du förmodligen inte ha din data i händerna på personer som är totalt motståndare till företagets verksamhet. 2010 mailade en missnöjd före detta Shell-anställd en databas med kontaktuppgifter för 170,000 XNUMX Shell-anställda till kampanjgrupper som var emot företagets aktiviteter, inklusive Greenpeace och Shells webbplats.anti-Shell-kampanj royaldutchshellplc. Databasen innehöll namn, telefonnummer och andra uppgifter om fast anställda och kontraktsanställda och kunde ha fått allvarliga konsekvenser för dessa personer. Vad vi har lärt oss Du kan bygga en mur, sätta upp perimeterförsvar och spendera enorma summor pengar för att underhålla allt. Men om din fiende är inuti kommer den här muren inte att hjälpa dig. Så hur bekämpar man en oärlig anställd? Det är bättre att förebygga än att bota. Du bör börja med att överväga praktiska åtgärder du kan ta för att hantera missnöjda anställda, som en del av alla pågående program för efterlevnad av data. Åtkomstkontroller som hindrar människor från att ladda ner stora datamängder eller komma åt data utan ett giltigt affärsskäl kan göra dessa typer av intrång mycket svårare. En kvalificerad och motiverad medarbetare kan dock kringgå även de bästa kontrollerna. Teknik för att förhindra dataförlust är ett bra sätt att hålla koll på allt, även om en missnöjd anställd bryter mot data. Plattformar som BreachTrak låter dig hålla ett öga på din data även när de lämnar byggnaden och är utanför din direkta kontroll, vilket innebär att du kan övervaka dina anställdas dataanvändning för dem. misstänkt aktivitet och vidta omedelbara åtgärder om du ser röda flaggor.

8. Misslyckandet med datakonfidentialitet avslöjar för mycket...

Vi kan inte prata om dataintrång utan att hänvisa till intrånget som har orsakat fler röda ansikten än de flesta under det senaste decenniet... Ashley Madison, som hon hette då, var en webbplats som gjorde livet lättare för gifta makar. Uppenbarligen var detta inte lämpligt för många människor, och det inkluderade en grupp pirater. 2015 blev organisationen ett mål och drabbades av ett massivt säkerhetsintrång som avslöjade över 300 GB användardata, inklusive riktiga användarnamn, bankuppgifter, kreditkortstransaktioner och hemliga sexuella fantasier. en otrogen make Vad vi har lärt oss Ashley Madison visste att hon hade enorma mängder mycket känsliga personuppgifter och att det var viktigt att hålla dem hemliga för att driva hennes företag. Du borde också ha insett att din affärsmodell exponerade dig för en större risk för riktade attacker. Därför borde din riskbedömning ha sagt till dig att du behöver avancerade cybersäkerhetsmetoder för att skydda dina användares integritet. Detta är inte vad som har hänt. Ashley Madisons användning av hashprotokollet MD5 för att skydda användarnas lösenord var ett uppenbart misstag, men det var inte det enda misstaget de gjorde. Den efterföljande granskningen fann att hela plattformen hade allvarliga säkerhetsproblem, som inte hade åtgärdats eftersom de var ett tidigare utvecklingsteams arbete. Företag med en stor mängd känslig information måste göra stora ansträngningar för att skydda den, inklusive att se till att handlingsplaner för att identifiera och åtgärda sårbarheter följs på styrelsenivå. Det borde inte vara möjligt att tappa allvarliga sårbarheter ur sikte bara för att nyckelpersoner har utvecklats. Du bör också anlita ett externt företag för att testa dina säkerhetsåtgärder genom penetrationstester och sårbarhetsbedömningar. Även om ett dataintrång inte är något som en organisation vill gå igenom, är det något de bör förbereda sig på, för säkerhets skull. Det är också viktigt att se till att din incidentresponsplan inkluderar kriskommunikation, så att ni inte stöter på varandra när hackare attackerar.

9. Datakonfidentialitet misslyckas av ren lättja...

Under loppet av sex månader hittade en säkerhetsforskare tusentals filer från dussintals datorer, telefoner och flash-enheter, varav de flesta innehöll personuppgifter från deras tidigare ägare. Och allt du behövde göra var att leta igenom secondhandbutiker efter uppdaterad och förnyad teknik! Erfarenheten har visat hur problematisk teknik kan vara. Utredaren köpte 85 enheter för 650 euro och hittade mer än 366,300 XNUMX filer, inklusive bilder och dokument. Efter att ha analyserat varje enhet hittade utredaren e-postadresser, födelsedatum, person- och kreditkortsnummer, körkortsinformation och passnummer. Det är dock inte bara telefoner och datorer som innehåller en stor mängd personlig information som behöver raderas. Det har nyligen uppmärksammats av Vehicle Remarketing Association att begagnade bilar ofta fortfarande har satnavdata och personliga telefonuppgifter, adresser och telefonnummer. Vad vi har lärt oss Det blir allt vanligare att organisationer låter anställda använda sina egna enheter på jobbet, och det här felet visar hur problematiskt det kan vara. När organisationer kontrollerar anskaffning och avyttring av enheter ser de vanligtvis (men absolut inte alltid!) till att all personlig information tas bort. Men när människor styr sina egna enheter är det mycket mer sannolikt att de missar detta viktiga steg. Organisationer förblir ansvariga för de personuppgifter de kontrollerar, oavsett ägaren till utrustningen som lagrar den. Organisationer bör ha en policy som beskriver vad som händer med mobiltelefoner och bärbara datorer när de inte längre används eller överlämnas till en annan anställd. Att se till att enheten raderas från all personlig information innan den ominstalleras är en process som organisationer bör ha på plats, särskilt om du inte vill att data hamnar i fel händer. Tänk också på att det inte bara är telefoner (tror vad som helst en anställd har som kan ansluta till internet), tjänstebilar måste följa detta protokoll också.

10. Datakonfidentialitet misslyckas på grund av öronblockerande bots...

2018 klagade en kvinna till Amazon efter att en Alexa-enhet spelade in ett privat samtal mellan henne och hennes man och skickade det till ett slumpmässigt nummer i hennes adressbok – allt utan hennes tillåtelse. Men Alexa är inte den enda roboten som inte har varit bra. Föreställ dig att hotellets concierge väcker dig flera gånger under natten. Detta är vad som hände med hotellgäster i Japan. Hotellet var tvungen att "avskeda" hälften av sin robotpersonal eftersom de ignorerade kundernas integritet. Conciergen i rummet vaknade hes och snarkade gästerna när han hade aktiverat roboten för att fråga honom "Förlåt, jag kunde inte förstå. Kan du upprepa din begäran?" flera gånger per natt Vad vi har lärt oss När ny teknik introduceras är det viktigt att testa dem fullständigt för att säkerställa att de fungerar som avsett och inte är mer inkräktande på integriteten än de de ersätter. . Att träna ditt team i att utforma konfidentialitet säkerställer att konfidentialitet är inbyggt i de produkter och tjänster du väljer och använder redan från början av ett projekts livscykel. Enbart införandet av ny teknik räcker inte för att lösa denna utmaning: det avgörande första steget är att ändra medarbetarnas tankesätt mot integritet så att de förstår och tror på dess betydelse. Vi har lärt oss mycket om datasekretess under de senaste 10 åren, och det är viktigt att vi lär oss av dem som misslyckades den här gången så att dessa misstag inte upprepas. Nya integritetslagar är ett bra första steg, men bra integritetshantering är en pågående process som kräver ständig granskning och uppdatering – det här är ingen avkryssningsövning. Så när det faller dig på, dubbelkolla dina säkerhetssystem, uppdatera din incidentresponsplan, finjustera din SAR-process eller boka nästa anställds sekretessutbildning. Och kom ihåg, det är aldrig en bra idé att ignorera ICO! Låt oss gå tillbaka till nästa decennium när hela livet vinner. Camilla Winlo är direktör för konsulttjänster på DQM GRC

Du kanske också är intresserad...