لطالما كانت انتهاكات البيانات كارثية ، وتجبر قوانين خصوصية البيانات الجديدة المؤسسات على حماية موضوعات البيانات مما يجعل تأثير الانتهاكات أسوأ. ستساعد سياسة خرق البيانات في حمايتك.
تشريعات حماية البيانات والخصوصية
المنظمات التي تحتفظ بالبيانات الشخصية أو تعالجها عليها واجبات لحماية تلك البيانات وحمايتها. تتضمن التشريعات الحديثة عادةً قيودًا على بيع وشراء البيانات الشخصية والأغراض الكامنة وراء جمع البيانات. صاحب البيانات أو المستهلك له حقوق تتعلق ببياناته الشخصية ، ويتم وضع التزامات أخرى على المنظمات لدعم هذه الحقوق وخدمتها.
عدم الامتثال لحماية البيانات المحلية أو تشريعات الخصوصية - أو أي تشريع مماثل من مناطق جغرافية أخرى تنطبق عليك - سيكون له عواقب وخيمة. يؤدي فقدان ثقة العملاء إلى الإضرار بما يعتبر غالبًا أعظم أصول المؤسسة: سمعتها.
بالطبع ، هناك المزيد من الأضرار القابلة للقياس أيضًا. معظم التشريعات لديها القدرة على فرض عقوبات مالية. يمكن أن تفرض اللائحة العامة لحماية البيانات (GDPR) غرامات قدرها 20 مليون يورو أو 4 في المائة من حجم المبيعات العالمي السنوي للعام الماضي - أيهما أكبر - تُفرض على المخالفات الأكثر خطورة. يتم فرض هذه الغرامات من قبل هيئة الإشراف على حماية البيانات في الدولة الأوروبية ذات الصلة ، أو من قبل المفوضية الأوروبية إذا كان الانتهاك يؤثر على مواطني دول متعددة.
ينص قانون خصوصية المستهلك في ولاية كاليفورنيا (CCPA) أيضًا على فرض غرامات على عدم الامتثال. يتم فرضها من قبل مكتب المدعي العام في كاليفورنيا.هناك عقوبات مدنية قدرها 2 ، 500 دولار أمريكي لكل انتهاك أو 7500 دولار أمريكي لكل انتهاك لاحق بعد الحادث الأول ، بعد 30 يومًا من الفرصة لتطبيق الإصلاح لإصلاح القصور الفني أو الإجرائي الذي أدى إلى عدم - الامتثال.
من المحتمل أن يكون لها تأثير أكبر ، فإن قانون خصوصية المستهلك في كاليفورنيا (CCPA) يوفر أيضًا للمدعين الخاصين رفع دعوى مدنية ضد المنظمة إذا كان الحادث عبارة عن خرق - وصول غير مصرح به وسرقة أو سرقة أو الكشف عن البيانات الشخصية - حدث بسبب الفشل في تنفيذ الإجراءات والممارسات الأمنية المعقولة بما يتناسب مع طبيعة المعلومات الشخصية المفقودة.
يُنظر إلى CCPA على أنها شيء من مخطط للدول الأخرى لسن قوانين حماية البيانات والخصوصية الخاصة بها. لقد أجرت نيفادا بالفعل بعض التغييرات. فشل كل من قانون الخصوصية في نيويورك (NYPA) وقانون خصوصية ولاية واشنطن (WSPA) في تمرير جلساتهما التشريعية في عام 2019 ، ولكن هناك توقعًا بإعادة تقديمها مع التغييرات.
التحقيقات في خرق البيانات
من الواضح أنه يجب بذل كل جهد لمنع حدوث خروقات للبيانات. ولكن ، بغض النظر عن مدى أمان شبكتك ، يمكن أن تحدث خروقات للبيانات. يمكن أن تنتج الخروقات عن هجوم إلكتروني ناجح مثل الاستغناء عن المعلومات. وفي أوروبا ، من الجدير بالذكر أن اللائحة العامة لحماية البيانات تعتبر هجوم برامج الفدية خرقًا للبيانات لأنك فقدت السيطرة على البيانات. يمكن أن تنجم انتهاكات البيانات عن النوايا الخبيثة من الداخل الساخط أو ترك الموظفين. يمكن أن تنشأ من خطأ بشري أو خطأ بريء.
إذا تعرضت لخرق خطير بما يكفي لجذب انتباه السلطة التي تقف وراء تشريع حماية البيانات لديك ، فسيتم إجراء تحقيق. عادةً ما ينظر المحققون في بعض أو كل النقاط التالية. النتائج التي توصلوا إليها في كل حالة ستكون إما نقطة لصالحك أو نقطة ضدك. يمكن تقليل حجم الغرامات في بعض الحالات أو زيادتها وفقًا للتصنيف الذي تمنحه لأمن الشبكة وإدارة البيانات والحماية وحقائق الحادث نفسه.
- شدة الخرقماذا حدث وما الذي سمح بحدوث الخرق؟ كم عدد الأشخاص الذين تأثروا بالبيانات الفردية؟ إذا كانت بيانات فئة خاصة مثل المعلومات الطبية أو السياسية ، أو البيانات الشخصية للأطفال ، فسيتم اعتبار الحادث أكثر خطورة.
- السبب الجذري للخرقنظرة أعمق على الظروف التي سمحت بحدوث الخرق. على سبيل المثال ، هل تم اختراق أمن الشبكة ، أم تم تجاهل الإجراءات التشغيلية من قبل المطلعين؟ ما هو الفشل الأمني وكيف يمكن منعه؟ إن القول بأن الموظف فشل في اتباع الإجراء لا يكفي لإبعادك عن المشكلة. بسبب المفاهيم القانونية للمسؤولية بالإنابة والاستجابة للرئيس ، يمكن أن تكون المنظمة مسؤولة عن تصرفات أحد موظفيها.
- التواصل والتخفيفهل كانت هناك أي إجراءات كان من الممكن أن تتخذها لتقليل تأثير الاختراق على موضوعات البيانات المتأثرة ، وهل اتخذتها؟ هل قمت بتنبيه أصحاب البيانات في أقرب فرصة ، وهل قمت بتقديم المشورة لهم؟ هل يعرفون ما حدث ، وكيف كان من المحتمل أن يؤثر عليهم ، وماذا كنت تفعل حيال ذلك ، وما الإجراءات التي يجب عليهم اتخاذها؟
- Network Securityما هي الخطوات التي اتخذتها لتقوية وحماية شبكتك؟ سيكون من الواضح للمحققين إذا كنت تأخذ الأمن السيبراني على محمل الجد - باستخدام التدابير والسياسات والإجراءات التكنولوجية ، وتدريب توعية الموظفين - أو إذا كنت تدير شبكة فانيليا بسيطة وتأمل فقط ألا تحدث لك الأشياء السيئة.
- السجل السابقهل لديك تاريخ من خروقات البيانات؟ إذا كان هذا هو أول خرق للبيانات ، فستكون في وضع أفضل قليلاً مما لو كان هذا هو الأحدث في سلسلة من الخروقات.
- تعاونسيتم ملاحظة مدى استعدادك للتعاون مع المحققين والسلطة الإشرافية. النهج المفتوح والصادق هو الأفضل. لا تعامل المحققين كعدو. سيكونون قادرين على تقديم نصائح رائعة لقطف الفاكهة المتدلية لتعزيز أمنك. تشديد الأمن لا يجب أن يكلف ثروة. احصل على مدخلاتهم وتصرف بناءً عليها. ومنحهم الوصول والمعلومات التي يطلبونها.
- الإبلاغ الرسميهل أبلغت السلطة الإشرافية عن الانتهاك خلال الجداول الزمنية المحددة؟ السيناريو الأسوأ هو عندما يقوم صاحب البيانات بالإبلاغ عنها قبل أن تفعل ذلك. إذا كان الخرق ناتجًا عن إجراء ضار - داخليًا أو خارجيًا - فتذكر إبلاغ سلطات إنفاذ القانون به.
- Certificationهل أنت معتمد لأي مخطط جودة ذي صلة مثل ISO / IEC 27001 أو Cyber Essentials في المملكة المتحدة؟ لا توجد مخططات اعتماد لتشريعات حماية البيانات ، بما في ذلك قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) واللائحة العامة لحماية البيانات (GDPR) ، لذلك من الصعب إثبات أنك متوافق. يجب عليك وضع الوثائق والحوكمة ، والإشعارات على موقع الويب الخاص بك ، وتحسين ممارسات الأمان والتشغيل كما هو مطلوب ، ولكن لن يتراجع أحد عنك ويختم جهودك. إن الحصول على شهادة في نظام الجودة للأمن السيبراني أو إدارة الأمن لن يثبت أنك ملتزم بالتشريع ولكنه سيظهر أنك جاد بشأن حماية البيانات والخصوصية وأنك تعمل على نظام معتمد ومعترف به.
تخطيط سياستك
تم بشكل شامل ، هناك الكثير من الأعمال المتفرقة وجمع المعلومات التي يجب القيام بها قبل صياغة سياسة التعامل مع الخرق. يجب تكرار بعض خطوات العمل هذه بشكل دوري لأن المواقف تتغير. وإذا تغيروا ، فقد تحتاج سياستك إلى أن تعكس تأثير تلك التغييرات.
حدد أكبر المخاطر الخاصة بك
يوضح لك هذا الشكل الأكثر احتمالاً لسيناريوهات الاختراق. أثناء تواجدك فيه ، افعل ما يمكنك علاجه أو تخفيفه لتقليل المخاطر. يمكنك اختيار تقسيم شبكتك ، أو استخدام التشفير ، أو تنفيذ نظام كشف التسلل ، أو إعداد جمع السجل التلقائي والمسح الضوئي ، أو بعض الخطوات التكنولوجية الأخرى التي ستوفر تنبيهات بوجود خطأ ما ، ودرجة من الاحتواء في حالة وقوع حادث.
تنفيذ تمارين رسم الخرائط
قم بإنشاء أو تحديث سجل أصول الأجهزة ، وقم بتعيين شبكتك. افهم كيف تبدو ملكية أجهزتك ، وكيف تتقدم في العمر ، وما الذي سيحتاج إلى استبدال أو ترقية ، ومتى.
قم بإجراء تمرين تعيين البيانات - يسمى أيضًا تنسيق البيانات - وسجل مكان وجود بياناتك ، وما تحتويه ، ومن يمكنه الوصول إليها ، وجميع المعلومات الأخرى المطلوبة حول بياناتك التي يتطلبها التشريع. قد تضطر إلى تسجيل أغراضك من جمع البيانات أو معالجتها أو تخزينها ، ومع من تشاركها. قد تحتاج إلى تسجيل أدلة الموافقة والاحتفاظ بها إذا لم يكن لديك أي أساس قانوني آخر للحصول على تلك البيانات. كل هذا سيشكل سجل أصول البيانات الخاص بك.
تحديد وترشيد حقوق وامتيازات المستخدم. قم بالحد منها قدر الإمكان. تأكد من أن لديك إجراء "جديد للمبتدئين / المسجلين / تغيير الدور" للتحكم في كيفية إنشاء أو تعديل الامتيازات للحسابات الجديدة وتغييرات الأدوار ، ولقفل الحسابات القديمة عندما يغادر شخص ما المؤسسة.
الاكتشاف المبكر أمر حيوي
تسلل الشبكة قد يمر دون أن يلاحظه أحد. ما لم يتم الكشف عن الخرق وتنبيهه لموظفي تكنولوجيا المعلومات ، فقد يختبئ ممثلو التهديد في شبكتك لأيام أو أسابيع أو شهور.
يعتبر نظام كشف التسلل (IDS) فكرة جيدة ، فهناك عروض ممتازة مفتوحة المصدر مثل Snort. من المهم إنشاء خط أساس للنشاط العادي بحيث يمكن تحديد النشاط المشبوه.
إذا اكتشف نظام IDS الخاص بك محاولات اتصال مشبوهة ، فقد تتمكن من إيقاف الخرق قبل حدوثه. إذا كشف تحليل السجل عن اتصالات غير قابلة للتفسير - ولكنها ناجحة - تم إجراؤها خلال ساعات أو من عناوين IP المحيرة جغرافيًا ، فقد يشير ذلك إلى أن الجهات الفاعلة في التهديد تمكنت من الوصول.
الهدف هو اكتشاف التهديدات والتصرف بشأنها عند ظهورها ، ومنع الوصول في الوقت الفعلي ، واكتشاف السلوك المشبوه لتحديد الوصول غير المصرح به إذا تمكنوا من الاتصال.
البروفات
بمجرد صياغة سياستك ، قم بتجربتها. في خضم الأزمة ، أنت بحاجة إلى موظفين لمتابعتها ، وليس الخروج عن الزحلقة. التدرب على الخطة مع أصحاب المصلحة واللاعبين الآخرين - فريق الحادث - يساعد على العودة إلى المنزل بأن أفضل استراتيجية هي اتباع السياسة ، وليس أن يتصرف الأشخاص المشتتون والمفرطون في العمل بشكل مستقل وغالبًا ما يكون لديهم نتائج عكسية. يمكن أن يكون للانتهاكات الحقيقية تأثير "مشغول لكن مشلول" مغلق.
إجراء عمليات تجول في الحوادث وعمليات المحاكاة للتمرن على السياسة يسمح بتعديل السياسة وتحسينها. إنه يحدد من يتحمل مسؤولية ماذا ، وبأي ترتيب ينبغي تنفيذ الخطوات. ليس من المنطقي تنبيه السلطة الإشرافية الخاصة بك ، على سبيل المثال ، قبل وصف الخرق. انتظر حتى تعرف عدد السجلات التي تم كشفها ونوع البيانات الشخصية التي تحتوي عليها.
التواصل أمر حيوي
لا تنسى التواصل.هذه إحدى الطرق التي ستقاس بها الهيئة الإشرافية والعملاء وموضوعات البيانات المتأثرة على حد سواء. إسناد مسؤولية الاتصالات إلى فريق أو قسم. تأكد من استخدام القنوات الرسمية فقط لتقديم التحديثات وأن يكون لها نقطة اتصال واحدة. قم بالتحديث مبكرًا وبشكل متكرر واستخدم الإنجليزية البسيطة والواضحة. تحلى بالصدق والشفافية
تذكر أن تطلع موظفيك على ما حدث. بعد كل شيء ، فإن بياناتهم موجودة في شبكتك ، لذا فقد يتأثرون بالخرق أيضًا. كحد أدنى ، يحتاجون إلى معرفة كافية للرد على الاستفسارات وتوجيه المتصلين المعنيين إلى البيان الرسمي على موقع الويب الخاص بك.
ستحتاج أيضًا إلى إبقاء الجناح C أو مجلس الإدارة على اطلاع بالحادث ، والتقدم أثناء العمل من خلال الوصول إلى الحل.
تقديم إرشادات مفصلة
عند الاشتباه في وجود خرق محتمل ، يجب إبلاغ فريق الحادث كتنبيه ، والسياسة المتبعة للتحقق مما إذا كان الخرق حقيقيًا.إذا كان الأمر كذلك ، فيمكن تدافع الفريق والبدء في تقييم النطاق والتأثير. هل كانت البيانات الشخصية متورطة في الانتهاك ، إذا كان الأمر كذلك ، فكم عدد الأشخاص المعنيين بالبيانات؟ هل تم الكشف عن البيانات الشخصية للفئة الخاصة؟
مسلحًا بهذه المعرفة ، يمكن لفريق تكنولوجيا المعلومات الانتقال إلى الاحتواء والمعالجة ، ويمكن لفريق الاتصال بدء دورة التحديثات والمشورة. قد يكون من الضروري ، بناءً على التشريع الذي تعمل بموجبه ، الاتصال بجميع موضوعات البيانات المتأثرة مباشرةً. تتطلب اللائحة العامة لحماية البيانات هذا.
يجب أن تكون الخطوات مفصلة وواضحة ، ولكن ليس طويلاً تقضي الفرق وقتها في القراءة بدلاً من القيام بذلك. تعد المخططات الانسيابية وقوائم التعداد النقطي ذات الأولوية أفضل من الصفحات ذات النص الكثيف.
الخروقات لا مفر منها في بعض الأحيان ، لكن خطة الاستجابة القوية ستساعدك على تقليل تعطيل العمليات التجارية ، والتأثير على مواضيع البيانات ، والإجراءات العقابية من السلطة الإشرافية.
