Содержание

Нарушение конфиденциальности информации – самая большая внутренняя ИТ-угроза

Нарушение конфиденциальности информации – самая большая внутренняя ИТ-угроза

Величина ущерба от действий хакеров разнится. Если по 2003 году исследователи более-менее пришли к общему мнению и определились, что сумма составляет 17 млрд. долларов, то по 2004 году оценки совершенно разные. По данным исследовательской компании Datamonitor, мировой экономический ущерб от хакерских атак – явных и скрытых – может достигнуть 155,5 млрд. долларов.

Величина ущерба от действий хакеров разнится. Если по 2003 году исследователи более-менее пришли к общему мнению и определились, что сумма составляет 17 млрд. долларов, то по 2004 году оценки совершенно разные. По данным исследовательской компании Datamonitor, мировой экономический ущерб от хакерских атак – явных и скрытых – может достигнуть 155,5 млрд. долларов.

По мнению экспертов, ежегодно хакерами взламывается до 90% сетей предприятий. Один из основных элементов безопасности – это операционная система компьютера. Британские исследователи из группы mi2g наиболее безопасными платформами считают Apple Mac OS X и открытую версию UNIX – BSD (Berkeley Software Distribution). Операционные системы Linux и Microsoft Windows, напротив, были признаны слабо защищенными. Свои выводы специалисты mi2g сделали, проанализировав 235 тыс. успешных хакерских атак, проведенных во всем мире с ноября 2003 по октябрь 2004 года. Среди компьютеров под управлением ОС Linux взломанными оказались 65%, под управлением Windows – 25%. Для компьютеров на базе ОС Mac OS X и BSD соответствующие показатели в сумме составили менее 5%.

Второй элемент безопасности – пароли. Совсем недавно аналитическая компания Gartner опубликовала информацию, согласно которой на восстановление одного пароля, забытого пользователем, компания тратит в среднем от 14 до 30 долларов. Хакерские атаки, электронный шпионаж, спам, вирусы – все это заставляет компании всерьез задуматься об аутентификации пользователей при доступе к защищенным ресурсам и об авторизации этих пользователей. В компании International Data Corporation (IDC) прогнозируют, что рынок решений для управления идентификацией вырастет с 600 млн. в 2002 году почти до 4 млрд. в 2007 году, а его совокупные темпы годового роста (CAGR) достигнут 46%. Между тем пользователям приходится все сложнее – сейчас на рынке существует множество продуктов в области управления идентификацией, и в компаниях зачастую плохо продумана политика информационной безопасности. Новые требования заставляют пользователей запоминать все более и более сложные пароли, а это, в свою очередь, ведет к растущим расходам по их модерированию.

И напоследок – данные о проблемах внутренней информационной безопасности в России. Не секрет, что у нас в стране только начинает формироваться культура профессионального отношения к информационной безопасности – лишь 16% опрошенных InfoWatch респондентов имеют выделенные отделы безопасности, причем в 94% случаев эти отделы были сформированы в течение последних двух лет. 98% считают, что нарушение конфиденциальности информации – самая большая внутренняя ИТ-угроза, а 99,4% допускают возможность наличия незарегистрированных инцидентов внутренней ИБ. При этом, чем больше организация, тем выше озабоченность угрозой утечки конфиденциальной информации. Надо признать, что это обоснованно.

нарушение конфиденциальности — это… Что такое нарушение конфиденциальности?

нарушение конфиденциальности

breach (violation) of confidentiality

Русско-английский юридический словарь. Академик.ру. 2011.

  • нарушение инструкции
  • нарушение международного права

Смотреть что такое «нарушение конфиденциальности» в других словарях:

  • нарушение секретности — нарушение конфиденциальности — [[http://www.rfcmd.ru/glossword/1.8/index.php?a=index d=23]] Тематики защита информации Синонимы нарушение конфиденциальности EN invasion of privacy …   Справочник технического переводчика

  • Удалённые сетевые атаки — Удалённая сетевая атака  информационное разрушающее воздействие на распределённую вычислительную систему (ВС), осуществляемое программно по каналам связи. Содержание 1 Введение 2 Классификация атак …   Википедия

  • Сотовый телефон — Сотовый телефон  мобильный телефон, предназначенный для работы в сетях сотовой связи; использует радиоприёмопередатчик и традиционную телефонную коммутацию для …   Википедия

  • недекларированные возможности — 3.3.14 недекларированные возможности: Функциональные возможности средств вычислительной техники и программного обеспечения, не описанные или не соответствующие описанным в документации, которые могут привести к снижению или нарушению свойств… …   Словарь-справочник терминов нормативно-технической документации

  • Tor — Тип гибридная анонимная сеть луковой маршрутизаци …   Википедия

  • Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) — Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… …   Словарь-справочник терминов нормативно-технической документации

  • Каналы утечки информации, передаваемой по оптическим линиям связи — Проверить информацию. Необходимо проверить точность фактов и достоверность сведений, изложенных в этой статье. На странице обсуждения должны быть пояснения …   Википедия

  • Недокументированные возможности — Запрос «НДВ» перенаправляется сюда; если вы искали организацию, см. НДВ Недвижимость. Недокументированными возможностями (англ. undocumented features) нередко обладают технические устройства и программное обеспечение. Некоторые из них могут быть… …   Википедия

  • Недекларированные возможности средств вычислительной техники — Недекларированные возможности функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности… …   Официальная терминология

  • подслушивание — перехват Несанкционированное извлечение информации (из канала связи). Нарушение конфиденциальности путем слежения за связью. Рекомендация МСЭ Т M.3016.0. [http://www.rfcmd.ru/glossword/1.8/index.php?a=index d=23] Тематики защита информации… …   Справочник технического переводчика

  • Инновация — (Innoatsiya) Определение инноваций, инновационная деятельность Определение инноваций, инновационная деятельность, инновационная политика Содержание Содержание Общее определение новаций Инновация и др. похожие понятия Что такое новация Основы… …   Энциклопедия инвестора

Угрозы безопасности информации — Центр безопасности данных

Важнейшей стороной обеспечения информационной безопасности является определение и классификация угроз. Угрозы безопасности информации — это некая совокупность факторов и условий, которые создают опасность в отношении защищаемой информации.

Для того чтобы определить угрозы, от которых необходимо обезопасить информацию, нужно определить объекты защиты. Ведь информация — это некоторые данные, носителями которых могут быть как материальные, так и нематериальные объекты. К примеру, носителями конфиденциальной информации могут быть документы, технические средства обработки и хранения информации и даже люди.

Документационными носителями информации могут быть проекты, бизнес-планы, техническая документация, контракты и договора, а также картотеки отдела кадров (персональные данные) и отдела по работе с клиентами. Отличительной их особенностью является зафиксированность данных на материальном объекте — бумаге.

Техническими средствами обработки и хранения информации являются персональные компьютеры, ноутбуки, серверы, сканеры, принтеры, а также съемные носители (переносные жесткие диски, флеш-карты, CD-диски, дискеты) и т.п. Информация в технических средствах хранится и обрабатывается в цифровом виде. Зачастую конфиденциальные данные отправляются через Интернет, например, по электронной почте. В сети они могут быть перехвачены злоумышленниками. Кроме того при работе компьютеров из-за их технических особенностей обрабатываемые данные преобразуются в электромагнитные излучения, распространяющиеся далеко за пределы помещения, которые также могут быть перехвачены и использованы в недобросовестных целях.

Люди также могут быть «носителями» информации. Например, сотрудники компании, которые имеют или могут иметь доступ к конфиденциальной информации. Таких людей называют инсайдерами. Инсайдер необязательно является злоумышленником, но в любой момент может им стать. Кроме того несанкционированный доступ к конфиденциальной информации могут получить посетители, клиенты или партнеры, а также обслуживающий персонал.

Теперь, когда мы понимаем, что нужно защищать, можно перейти непосредственно к рассмотрению угроз. Они могут заключаться как в нарушении конфиденциальности, так и в нарушении достоверности, целостности и доступности информации. Нарушением конфиденциальности является утечка данных, несанкционированный доступ или разглашение информации. Нарушение достоверности информации — это фальсификация данных или подделка документов. Искажение, ошибки при передаче информации, потери части данных являются нарушением целостности информации. А блокирование доступа к информации, выведение из строя средств связи, технических средств являются нарушением доступности.

По методам воздействия на информацию угрозы подразделяются на естественные и искусственные. В свою очередь искусственные угрозы состоят из преднамеренных и непреднамеренных.

Естественные угрозы:

  • стихийные бедствия;
  • пожары;
  • наводнения;
  • техногенные аварии;
  • и другие явления, не зависящие от человека.

Искусственные преднамеренные угрозы:

  • кража (копирование) документов;
  • подслушивание переговоров;
  • несанкционированный доступ к информации;
  • перехват информации;
  • внедрение (вербовка) инсайдеров;
  • фальсификация, подделка документов;
  • диверсии;
  • хакерские атаки и т.п.

Искусственные непреднамеренные угрозы:

  • ошибки пользователей;
  • неосторожность;
  • невнимательность;
  • любопытство и т.п.

Естественно, наибольшую угрозу представляют преднамеренные действия злоумышленников, но и непреднамеренные и естественные угрозы нельзя сбрасывать со счетов, так как они в определенной степени также несут в себе серьезную опасность.

Давайте обсудим конфиденциальность: что такое нарушение конфиденциальности?

Пользователи Интернета часто сталкиваются с двумя терминами: нарушение данных и нарушение конфиденциальности. Если они звучат одинаково, это потому, что они очень похожи. Когда какая-либо неавторизованная третья сторона пытается получить доступ к вашей личной информации без вашего разрешения, это считается нарушением конфиденциальности.

Начальная фаза нарушения конфиденциальности — нарушение безопасности. Это относится к нарушению системы, которая защищает сеть компьютера / устройства для доступа и кражи личных данных, включая данные вашей кредитной карты и банковского счета, номер социального страхования, адрес, имя, электронную почту и т. Д.

Нарушение данных и нарушение конфиденциальности относятся практически к одной и той же операции — кто-то пытается украсть вашу информацию. Однако нарушение конфиденциальности — это как раз нарушение вашей конфиденциальности. Поскольку это более личное, чем утечка данных, давайте посмотрим, как это может вам угрожать.

Риски нарушения конфиденциальности

Когда мы говорим о конфиденциальности, мы имеем в виду право каждого человека контролировать использование своей личной информации. Поскольку интернет-пользователи постоянно вынуждены оставлять свои личные данные во всем Интернете эта информация стала чрезвычайно ценной для широкого круга третьих лиц.

Сюда входят производители компьютерных приложений, платформы социальных сетей, предприятия, финансовые учреждения, маркетологи и рекламодатели, организации здравоохранения, государственные учреждения и хакеры. Поскольку ваша информация может быть очень ценной для всех, киберпреступники нашли способ атаковать эти организации для сбора всех видов данных.

Хотя все эти учреждения не представляют для вас особой опасности, киберпреступники могут использовать ваши данные для более злонамеренных действий. Что еще хуже, они могут украсть вашу личность и совершить с ней преступления, что может привести к серьезным проблемам с властями. Даже если бы они не сделали этого сами, они могли бы продавать данные в темной сети.

Имея все это в виду, давайте поделимся несколькими полезными советами по обеспечению безопасности вашей конфиденциальности.

Использовать надежные пароли

Первое, что вам следует сделать, это проверить все свои пароли, чтобы убедиться, что они достаточно надежны и надежны. Затем убедитесь, что каждая из ваших учетных записей в Интернете имеет свой достаточно сложный пароль. Лучший способ создать надежный пароль — использовать комбинацию символов, цифр и букв. Вам также следует подумать об использовании менеджера паролей, чтобы упростить работу с десятками различных комбинаций.

Обеспечьте дополнительную защиту своих финансовых счетов

Если хакеры получат ваши личные данные, им будет легко взломать ваши брандмауэры и получить доступ к вашим учетным записям в Интернете и т. Д. Мы рекомендуем регулярно проверять все ваши учетные записи и обновлять меры безопасности, чтобы убедиться, что это не так. случаться.

Вы также можете рассмотреть возможность использования нескольких решений безопасности для получения предупреждений через e-mail или SMS каждый раз, когда происходит какое-либо незнакомое действие. Двухфакторная аутентификация также помогает предотвратить дальнейший несанкционированный доступ.

Следите за своими кредитными отчетами

В ваших кредитных отчетах вы можете сразу узнать, была ли ваша личность украдена, или если какая-либо третья сторона попыталась занять деньги или открыть новую кредитную карту на ваше имя. Если вы заметили какую-либо подозрительную активность в своих отчетах и ​​выписках с банковского счета, немедленно примите меры.

Проверьте безопасность своего смартфона

Поскольку сегодня большинство людей являются мобильными, современные смартфоны содержат много личной информации, которую можно просто взять, и хакеры это знают. Поэтому, если вы храните много личных и личных данных на своем телефоне, убедитесь, что вы защищаете его надежным паролем.

Вам также следует часто проверять наличие обновлений для своих операционных систем и приложений, блокировать устройство, когда вы его не используете, использовать сканирование лица или отпечаток пальца и создать надежный PIN-код.

Подумайте об использовании первоклассного инструмента безопасности

Если на ваших устройствах хранятся важные и жизненно важные данные, используйте высококлассный инструмент безопасности, чтобы обеспечить защиту от вирусов, вредоносных программ, программ-вымогателей и т. Д. Кроме того, часто проверяйте наличие важных обновлений программного обеспечения, чтобы обеспечить максимальную безопасность ваших данных.

Вам также следует подумать о дополнительных решениях безопасности, таких как VPN или надежное антивирусное программное обеспечение, которое может обеспечить защиту всех ваших устройств. Надежный VPN-провайдер, такой как Атлас VPN может гарантировать дополнительный уровень защиты при использовании общедоступного Wi-Fi-соединения. Таким образом, ваша информация всегда в безопасности от посторонних глаз.

Это также может повысить вашу конфиденциальность и анонимность в Интернете при просмотре веб-страниц. Что еще более важно, он может зашифровать весь ваш интернет-трафик и предотвратить множество потенциальных угроз вашей конфиденциальности и личности.

Заключение

Хотя существует бесчисленное множество решений, которые вы можете использовать для защиты своей конфиденциальности в Интернете, лучший способ обеспечить конфиденциальность вашей информации — это защитить ваши данные любыми необходимыми средствами. Избегайте чрезмерного распространения информации в социальных сетях и подумайте об услугах кредитного мониторинга и защите от кражи личных данных, чтобы ничего не оставлять на волю случая.

Статья 14. Ответственность за нарушение настоящего Федерального закона / КонсультантПлюс

Статья 14. Ответственность за нарушение настоящего Федерального закона

1. Нарушение настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

2. Работник, который в связи с исполнением трудовых обязанностей получил доступ к информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления несет дисциплинарную ответственность в соответствии с законодательством Российской Федерации.

3. Органы государственной власти, иные государственные органы, органы местного самоуправления, получившие доступ к информации, составляющей коммерческую тайну, несут перед обладателем информации, составляющей коммерческую тайну, гражданско-правовую ответственность за разглашение или незаконное использование этой информации их должностными лицами, государственными или муниципальными служащими указанных органов, которым она стала известна в связи с выполнением ими должностных (служебных) обязанностей.

4. Лицо, которое использовало информацию, составляющую коммерческую тайну, и не имело достаточных оснований считать использование данной информации незаконным, в том числе получило доступ к ней в результате случайности или ошибки, не может в соответствии с настоящим Федеральным законом быть привлечено к ответственности.

5. По требованию обладателя информации, составляющей коммерческую тайну, лицо, указанное в части 4 настоящей статьи, обязано принять меры по охране конфиденциальности информации. При отказе такого лица принять указанные меры обладатель информации, составляющей коммерческую тайну, вправе требовать в судебном порядке защиты своих прав.

Открыть полный текст документа

%d0%bd%d0%b0%d1%80%d1%83%d1%88%d0%b5%d0%bd%d0%b8%d0%b5%20%d0%ba%d0%be%d0%bd%d1%84%d0%b8%d0%b4%d0%b5%d0%bd%d1%86%d0%b8%d0%b0%d0%bb%d1%8c%d0%bd%d0%be%d1%81%d1%82%d0%b8 в польский

Командир отряда 81-го гвардейского бомбардировочного авиационного полка (1-я гвардейская бомбардировочная авиационная дивизия, 6-й гвардейский бомбардировочный авиационный корпус, 2-я воздушная армия, 1-й Украинский фронт) гвардии капитан Пётр Абрамов особенно отличился при выполнении боевых заданий по доставке оружия, боеприпасов и продовольствия партизанам Белоруссии и Украины.

Dowodził oddziałem 81 pułku lotnictwa bombowego 1 Gwardyjskiej Dywizji Lotnictwa Bombowego 6 Gwardyjskiego Korpusu Lotnictwa Bombowego 2 Armii Powietrznej 1 Frontu Ukraińskiego w stopniu kapitana, szczególnie zasłużył się przy dostarczaniu broni, zapasów i żywności dla partyzantów Białorusi i Ukrainy.

WikiMatrix

Я знала, как высоко Бог ценит человека и его тело, но даже это не останавливало меня. Дженнифер, 20 лет

Wiedziałam, że Bóg każe nam dbać o ciało, ale to mnie nie powstrzymało” (20-letnia Jennifer).

jw2019

Спорим на 20 баксов, что ты не сможешь провести целый день одна.

Założę się o 20 dolców, że nie spędzisz całego dnia sama.

OpenSubtitles2018.v3

Когда мы помогаем другим, мы и сами в какой-то мере испытываем счастье и удовлетворение, и наше собственное бремя становится легче (Деяния 20:35).

Kiedy wysilamy się na rzecz drugich, pomagamy nie tylko im, ale także sami doświadczamy szczęścia i zadowolenia, dzięki którym łatwiej nam dźwigać nasze ciężary (Dzieje 20:35).

jw2019

Речь и обсуждение со слушателями, основанные на «Сторожевой башне» от 15 июля 2003 года, с. 20.

Przemówienie połączone z udziałem obecnych, oparte na materiale ze Strażnicy z 15 lipca 2003 roku, strona 20.

jw2019

Herrenvolk [86] имеют право завоевать мир, потому что они сильны, да?

Herrnvolk miał prawo podbijać inne narody, bo był silny, prawda?

Literature

Ну, в то время, мы говорим о 80-х, в то время это было модно.

Cóż, na tamte czasy, mówimy o latach 80-tych, były bardzo modne.

OpenSubtitles2018.v3

Он уехал 20 минут назад.

OpenSubtitles2018.v3

20 Я приведу их в землю, о которой клялся их предкам+, в землю, где течёт молоко и мёд+, и они будут есть+ досыта, разжиреют+ и повернутся к другим богам+.

+ 20 Bo zaprowadzę ich do ziemi, co do której przysiągłem ich praojcom,+ która opływa w mleko i miód,+ i będą jeść,+ i nasycą się, i utyją,+ i zwrócą się do innych bogów,+ i będą im służyć, a mną wzgardzą i złamią moje przymierze.

jw2019

Я был женат 20 лет.

Byłem żonaty przez 20 lat.

OpenSubtitles2018.v3

Они стреляли снарядами М-8 (калибр 82-мм) и М-13 (калибр 132-мм).

Strzelały pociskami M–8 (kalibru 82 mm) albo M–13 (kalibru 132 mm).

Literature

20 Оставлена родителями, но любима Богом

20 Opuszczona przez rodziców — kochana przez Boga

jw2019

Когда в 80-х годах люди якудзы увидели, как легко брать ссуды и «делать» деньги, они создали компании и занялись операциями с недвижимым имуществом и куплей-продажей акций.

W latach osiemdziesiątych możliwość dużych zarobków za pożyczone pieniądze skłoniła yakuzę do zakładania przedsiębiorstw i zajęcia się handlem nieruchomościami oraz spekulacjami giełdowymi.

jw2019

Обычно проводят связь между этим древним городом и современной Газой (Газза, Азза), расположенной примерно в 80 км к З.-Ю.-З. от Иерусалима.

Starożytna Gaza z reguły jest kojarzona ze współczesnym miastem o tej nazwie (Ghazza, ʽAzza), leżącym ok. 80 km na zach. pd. zach. od Jerozolimy.

jw2019

Предложите одному из студентов прочитать вслух Учение и Заветы 84:19–21.

Poproś jednego z uczniów, by przeczytał na głos fragment: Nauki i Przymierza 84:19–21.

LDS

Гертруд Пётцингер (86 лет): «Меня приговорили к трем с половиной годам одиночного заключения.

Gertrud Pötzinger (86): „Skazano mnie na trzyipółroczny pobyt w izolatce.

jw2019

20 Даже преследование или заключение в тюрьму не может закрыть уста преданных Свидетелей Иеговы.

20 Nawet prześladowania ani więzienie nie są w stanie zamknąć ust oddanym Świadkom Jehowy.

jw2019

Сообщил, что я non gentila[20], и удалился.

Powiedział, że jestem non gentila i poszedł.

Literature

Хики открыл кейс и вынул оттуда 20 упакованных в целлофан белых брикетов.

Hickey otworzył walizkę i wyciągnął dwadzieścia białych cegieł owiniętych w celofan.

Literature

Гребной слалом вернулся в программу Игр после 20 лет отсутствия.

Skeleton wrócił do programu olimpijskiego po 20 latach przerwy.

WikiMatrix

Ты был в отключке минут 20.

Leżałeś tu około 20 minut.

OpenSubtitles2018.v3

Есть ещё кое- что в начале 20— го века, что усложняло вещи ещё сильнее.

Ale oto w początkach XX w. rzeczy komplikują się jeszcze bardziej.

QED

Миссис Смит из Портсмута, Кимберли-роуд, 80… умерла внезапно в пансионе в Блэкпуле.

Mrs Smith z Portsmouth, Kimberley Road 80… zmarła nagle w pensjonacie w Blackpool.

Literature

«К одинадцати Апостолам» был причислен Матфий, чтобы служить с ними (Деяния 1:20, 24—26).

Przypadło ono w udziale Maciejowi „i dołączono go do liczby jedenastu apostołów” (Dzieje 1:20, 24-26).

jw2019

Большинство местных органов при планировании развития на следующие 5, 10, 15, 20 лет начинают с предпосылки, что можно ожидать больше энергии, больше автомобилей, больше домов, больше рабочих мест, больше роста и т.д.

Większość miejskich organów przy planowaniu rozwoju na kolejne 10, 15 lub 20 lat opiera się na założeniu, że będzie więcej energii, więcej samochodów, więcej domów, więcej miejsc pracy, większy wzrost gospodarczy itp.

ted2019

Ответственность за нарушение режима конфиденциальности

Ответственность за нарушение режима конфиденциальности

К способам нарушения режима конфиденциальности относятся:

— разглашение конфиденциальной информации;

— неправомерное использование конфиденциальной информации;

— утрата документов и иных материальных носителей, содержащих сведения конфиденциального характера;

— неправомерное уничтожение документов, содержащих сведения конфиденциального характера;

— нарушение требований хранения документов, содержащих сведения конфиденциального характера;

— другие нарушения требований законодательства.

За разглашение конфиденциальной информации, а также за нарушение порядка обращения с документами, содержащими сведения конфиденциального характера, работник организации несет персональную ответственность и может быть привлечен к дисциплинарной или иной предусмотренной законодательством Российской Федерации ответственности.

Работник, который в связи с исполнением трудовых обязанностей получил доступ к сведениям, составляющим конфиденциальную информацию, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления, в соответствии со статьей 192 Трудового кодекса РФ может быть привлечен к дисциплинарной ответственности.

Работник, осуществляющий сбор сведений, составляющих коммерческую тайну, незаконными способами в целях разглашения либо незаконного использования этих сведений, а также за их разглашение или незаконное использование, совершенные из корыстной или иной личной заинтересованности и причинивший крупный ущерб организации, в соответствии со        статьей 183 Уголовного кодекса РФ несет уголовную ответственность.

Также уголовная ответственность предусмотрена за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия) (статья 137 УК РФ), неправомерный доступ к охраняемой законом компьютерной информации (статья 272 УК РФ), неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан) (статья 140 УК РФ).

В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.

Состояние законов о конфиденциальности потребительских данных в США (и почему это важно)

Поскольку все больше вещей люди покупают с подключением к Интернету, все больше наших обзоров и рекомендаций в Wirecutter включают длинные разделы с подробным описанием функций конфиденциальности и безопасности такие продукты, все, от умных термостатов до фитнес-трекеров. Поскольку данные, которые собирают эти устройства, продаются и передаются, а также взламываются, решение о том, какие риски вас устраивают, является необходимой частью осознанного выбора.И эти риски сильно различаются, отчасти потому, что не существует единого всеобъемлющего федерального закона, регулирующего сбор, хранение или обмен данными о клиентах в большинстве компаний.

Большая часть экономики данных, лежащей в основе обычных продуктов и услуг, невидима для покупателей. По мере того, как ваши данные передаются между бесчисленным количеством третьих лиц, появляется не только больше компаний, получающих прибыль от ваших данных, но и больше возможностей для утечки или взлома ваших данных таким образом, что причиняет реальный вред. Только за последний год мы видели, как новостное издание использовало псевдонимные данные приложения, предположительно просочившиеся от рекламодателя, связанного с приложением для знакомств Grindr, чтобы разоблачить священника.Мы читали о том, что правительство США покупает данные о местоположении у молитвенного приложения. Исследователи обнаружили, что приложения для лечения опиоидной зависимости обмениваются конфиденциальными данными. А в T-Mobile недавно произошла утечка данных, которая затронула как минимум 40 миллионов человек, некоторые из которых даже никогда не имели учетной записи T-Mobile.

«У нас есть эти компании, которые накапливают просто гигантские объемы данных о каждом из нас, весь день, каждый день», — сказала Кейт Руан, старший советник по законодательным вопросам Первой поправки и конфиденциальности потребителей в Американском союзе гражданских свобод. .Руан также указал, что данные в конечном итоге используются неожиданным образом — намеренно или нет, — например, для таргетинга рекламы или корректировки процентных ставок в зависимости от расы. «Ваши данные берутся и используются во вред».

Законы о конфиденциальности данных потребителей могут дать людям право контролировать свои данные, но при ненадлежащем исполнении такие законы также могут сохранить статус-кво. — Мы можем это остановить, — продолжил Руан. «Мы можем создать лучший Интернет, лучший мир, в котором будет больше защиты конфиденциальности.

Что (не) делают действующие национальные законы о конфиденциальности

В настоящее время законы о конфиденциальности представляют собой беспорядочную смесь различных отраслевых правил. «Исторически сложилось так, что в США существует множество разрозненных федеральных [и государственных] законов, — говорит Эми Степанович, исполнительный директор Silicon Flatirons Center в Colorado Law. «[Они] либо смотрят на определенные типы данных, такие как кредитные данные или информацию о здоровье, — сказал Степанович, — либо смотрят на определенные группы населения, такие как дети, и регулируют в этих сферах.”

В Соединенных Штатах нет единого закона, регулирующего конфиденциальность всех типов данных. Вместо этого в нем есть набор законов, которые обозначаются такими аббревиатурами, как HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA и VPPA.

Данные, собираемые подавляющим большинством продуктов, которые люди используют каждый день, не регулируются. Поскольку федеральных законов о конфиденциальности, регулирующих многие компании, нет, они практически вольны делать с данными все, что хотят, если только в штате нет собственного закона о конфиденциальности данных (подробнее об этом ниже).

  • В большинстве штатов компании могут использовать, делиться или продавать любые данные, которые они собирают о вас, не уведомляя вас об этом.
  • Никакое национальное законодательство не устанавливает, когда (или если) компания должна уведомлять вас, если ваши данные взломаны или раскрыты неуполномоченным сторонам.
  • Если компания передает ваши данные, включая конфиденциальную информацию, такую ​​как ваше здоровье или местонахождение, третьим сторонам (например, брокерам данных), эти третьи стороны могут в дальнейшем продавать или передавать их без уведомления вас.

«Большинство людей считают, что они защищены, до тех пор, пока они не перестанут», — сказал Ашкан Солтани, независимый исследователь и бывший главный технолог Федеральной торговой комиссии. «К сожалению, поскольку эта экосистема в основном скрыта от глаз и непрозрачна, потребители не могут видеть и понимать поток информации».

Всеобъемлющий европейский закон о конфиденциальности, Общий регламент по защите данных (GDPR), требует от компаний запрашивать некоторые разрешения на обмен данными и дает отдельным лицам права доступа, удаления или контроля над использованием этих данных.В Соединенных Штатах, напротив, нет единого закона, регулирующего конфиденциальность всех типов данных. Вместо этого в нем есть набор законов, обозначаемых такими аббревиатурами, как HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA и VPPA, предназначенных для обработки только определенных типов данных в особых (часто устаревших) обстоятельствах.

  • Закон о переносимости и подотчетности медицинского страхования (HIPAA) имеет мало общего с конфиденциальностью и распространяется только на общение между вами и «застрахованными лицами», к которым относятся врачи, больницы, аптеки, страховые компании и другие подобные предприятия.Люди склонны думать, что HIPAA охватывает все данные о здоровье, но это не так. Например, ваши данные Fitbit не защищены, и закон не ограничивает, кто может запрашивать ваш статус прививки от COVID-19.
  • Закон о достоверной кредитной отчетности (FCRA) распространяется на информацию, содержащуюся в вашем кредитном отчете. Он ограничивает круг лиц, которым разрешено просматривать кредитный отчет, информацию, которую могут собирать бюро кредитных историй, и способы получения информации.
  • Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) подробно описывает, кто может запрашивать документы об образовании учащихся.Это включает в себя предоставление родителям, правомочным учащимся и другим школам права проверять документы об образовании, которые ведет школа.
  • Закон Грэмма-Лича-Блайли (GLBA) требует, чтобы потребительские финансовые продукты, такие как кредитные услуги или услуги инвестиционного консультирования, объясняли, как они обмениваются данными, а также право клиента на отказ. Закон не ограничивает использование компаниями собираемых ими данных, если они заранее сообщают о таком использовании. По крайней мере, он пытается защитить некоторые личные данные.
  • Закон о конфиденциальности электронных коммуникаций (ECPA) ограничивает прослушивание телефонных разговоров и других электронных сигналов государственными органами (хотя Закон США о патриотизме многое изменил). Он также устанавливает общие правила, касающиеся того, как работодатели могут отслеживать общение сотрудников. Критики часто отмечают, что ECPA, принятый в 1986 году, устарел. Поскольку ECPA был написан задолго до появления современного Интернета, он не защищает от современных тактик наблюдения, таких как доступ правоохранительных органов к старым данным, хранящимся на серверах, в документах облачного хранилища и в поисковых запросах.
  • Правило о защите конфиденциальности детей в Интернете (COPPA) налагает определенные ограничения на сбор компанией данных о детях младше 13 лет.
  • Закон о защите конфиденциальности видео (VPPA) запрещает раскрытие записей об аренде видеокассет. Сейчас этот закон может показаться глупым, но он был принят после того, как журналист вытащил видеопрокат кандидата в Верховный суд Роберта Борка. Однако VPPA не устояла против стриминговых компаний.
  • Закон о Федеральной торговой комиссии (Закон о Федеральной торговой комиссии) уполномочивает Федеральную торговую комиссию преследовать приложение или веб-сайт, которые нарушают ее собственную политику конфиденциальности.FTC также может расследовать нарушения маркетинговых формулировок, связанных с конфиденциальностью, как это было, когда она подала жалобу на Zoom за обман пользователей, заявив, что видеочаты были зашифрованы сквозным шифрованием. Некоторые группы также недавно призвали Федеральную торговую комиссию распространить эту власть на неправомерные действия с данными.

Среди множества различных законов легко увидеть, как люди путаются в том, какие права у них есть, а какие нет. Чтобы добавить к этому, наряду с этими федеральными законами также есть несколько законов штатов.

Всего в трех штатах действуют всеобъемлющие законы о конфиденциальности данных

Изображение: IAPP

В настоящее время в трех штатах США действуют три различных всеобъемлющих закона о конфиденциальности потребителей: Калифорния (CCPA и его поправка, CPRA), Вирджиния (VCDPA) и Колорадо (ColoPA). . Независимо от того, в каком штате находится компания, права, предусмотренные законодательством, распространяются только на людей, проживающих в этих штатах.

«Многие положения подтверждают бизнес-модель. [VCDPA], по сути, позволяет компаниям, занимающимся сбором больших данных, продолжать делать то, что они делали.” — Кейт Руан, старший советник по законодательным вопросам, Американский союз защиты гражданских свобод

Эти законы имеют схожие положения, которые, как правило, дают вам определенное уведомление и возможность выбора в управлении вашими данными. По сути, компания, работающая в соответствии с этими правилами, должна сообщить вам, продает ли она ваши данные; у вас также есть выбор, согласны вы с этим или нет, и у вас есть право доступа, удаления, исправления или перемещения ваших данных. Эти законы немного отличаются в других аспектах, например, в разрешенных периодах исправления (количество времени, которое компания должна исправить ошибку), размере или уровне доходов предприятий, к которым применяется закон, а также в том, можете ли вы использовать инструменты или «уполномоченные агенты» для запросов на отказ (например, настройка в вашем веб-браузере, которая автоматически отключает вас от продажи данных на веб-странице, или служба, в которой другой человек делает запросы на отказ от вас).

Эксперты, с которыми мы разговаривали, назвали систему защиты конфиденциальности в Калифорнии самой надежной в США, поскольку правила включают ограниченное «частное право на иск» — возможность подать в суд на компанию — в отношении определенных типов утечек данных. Калифорния также требует «глобального отказа», чтобы отказаться от обмена данными с помощью устройства или браузера, вместо того, чтобы быть вынужденным отказаться на каждом сайте в отдельности. Напротив, некоторые из экспертов, с которыми мы беседовали, скептически отнеслись к Закону о защите данных потребителей штата Вирджиния.«Я бы посчитал [VCDPA] довольно слабым законопроектом», — сказал Руан из ACLU. «Это основано на согласии на отказ. Нет защиты гражданских прав. Частного права на иск нет. Многие положения подтверждают бизнес-модель. По сути, это позволяет компаниям, занимающимся сбором больших данных, продолжать делать то, что они делали раньше». Ничто из этого не должно вызывать удивления, учитывая, что закон Вирджинии был написан при активном участии Amazon.

По крайней мере, четыре других штата, Массачусетс, Нью-Йорк, Северная Каролина и Пенсильвания, прямо сейчас имеют серьезные комплексные предложения по конфиденциальности потребительских данных в комитете.В других штатах действуют различные законы на ранних стадиях. Может быть сложно отследить статус всех этих предложений, но у Международной ассоциации профессионалов в области конфиденциальности есть трекер, который показывает, в каких штатах действует законодательство о конфиденциальности и где эти законопроекты находятся в процессе. Согласно исследованию The Markup, по крайней мере 14 предложений аналогичны более слабому закону Вирджинии.

Как и в случае с национальными законами, существуют законы на уровне штатов, которые охватывают отдельные аспекты конфиденциальности данных.В штате Миссури действуют правила конфиденциальности электронных книг. Закон Иллинойса о конфиденциальности биометрической информации (BIPA) дает людям право на конфиденциальность их биометрических данных, таких как отпечатки пальцев или сканирование лица. Когда дело доходит до уведомлений об утечке данных, особенно сложно знать свои права, поскольку существует как минимум 54 различных закона, которые различаются в зависимости от региона.

Эми Степанович из Silicon Flatirons Center отметила, что такие государственные законы по-прежнему полезны, даже если они могут ввести в заблуждение. «Вы можете думать о них как о повышении уровня воды», — сказала она, добавив, что компании часто предпочитают «применять более сильные, более защитные стандарты для всех», когда юридические стандарты повышаются.

Существует также риск того, что слишком много законов штатов создадут путаницу, как для компаний, так и для потребителей. Уитни Меррилл, поверенный в области конфиденциальности и сотрудник по защите данных, сказала, что федеральный закон упростит задачу для всех. «Нам нужен федеральный закон, который рассматривает вещи с гораздо более последовательным подходом, — сказал Меррилл, — чтобы убедиться, что потребители понимают и имеют правильные ожидания в отношении прав, которые они имеют в отношении своих данных».

Четыре области, которые заслуживают базовой защиты, по мнению экспертов по конфиденциальности

Все, с кем мы разговаривали, описывали потенциальные законы о конфиденциальности данных потребителей как «этаж», на котором можно было бы опираться на них в будущем по мере появления новых технологий.Этот уровень обычно включает в себя несколько основных средств защиты:

  • Права на сбор и обмен данными : Законы должны давать людям право видеть, какие данные о них собрали различные компании, требовать, чтобы компании удаляли любые данные, которые они собрали, и для удобного переноса данных из одного сервиса в другой. Это также включает в себя право запретить компаниям продавать (или передавать) ваши данные третьим лицам. Чтобы получить представление о том, как такое регулирование работает на практике, мы рассмотрели, каково это запрашивать информацию в Калифорнии в соответствии с CCPA, которое, как правило, требует, чтобы вы щелкнули по крайней мере одну форму на каждом веб-сайте, с которым вы взаимодействуете (и для некоторых третьих лиц, о существовании которых вы можете даже не знать).
  • Согласие на согласие: Компания должна спросить вас, может ли она передавать или продавать ваши данные третьим лицам. Вам не придется часами отказываться от сбора ваших личных данных через каждый сервис, которым вы пользуетесь.
  • Минимизация данных: Компания должна собирать только то, что ей необходимо для предоставления услуги, которой вы пользуетесь.
  • Недискриминация и отсутствие дискриминации в отношении использования данных: Компания не должна дискриминировать людей, осуществляющих свои права на неприкосновенность частной жизни; например, компания не может взимать с кого-то дополнительную плату за защиту их конфиденциальности, а компания не может предлагать клиентам скидки в обмен на то, что они откажутся от большего количества данных.Этот регламент также должен включать разъяснения о защите гражданских прав, например о предотвращении дискриминации рекламодателями определенных характеристик.

Компания Merrill также хотела бы видеть более полный закон об уведомлении об утечке данных, возможно, в виде отдельного законопроекта. «Я думаю, что это будет довольно легко пройти», — сказала она. «Кто получает уведомление? Каковы общие стандарты? Давайте упростим задачу, чтобы все были на одной волне».

«Особенно в тех штатах, где они не разрешают частному праву [подавать в суд], чтобы затем также недофинансировать государственное правоприменение — это просто оскорбление.— Хейли Цукаяма, законодательный активист, Electronic Frontier Foundation

Никакое регулирование не имеет большого значения без правоприменительного механизма. И лоббисты оспаривали «частное право на иск» — разрешение частному лицу подавать в суд на компанию за нарушение конфиденциальности — как один из таких механизмов. Законодательство Калифорнии имеет ограниченное частное право на иск, связанный с небрежностью в отношении утечки данных. В законах Колорадо и Вирджинии даже этого нет. Несколько законопроектов, в том числе в Коннектикуте, Флориде, Оклахоме и Вашингтоне, не стали законами, потому что они включали частное право на иск.В начале 2021 года законодатели Северной Дакоты представили законопроект, который включал частное право на действия и согласие на согласие, и в ответ группа рекламных компаний (PDF) заявила: «Такой подход приведет к созданию самого ограничительного закона о конфиденциальности в Соединенные Штаты.» Законопроект провалился в государственной палате.

Хейли Цукаяма, законодательный активист Electronic Frontier Foundation, резко описала ситуацию. «Мы хотели бы видеть в законодательстве о конфиденциальности полные права частных лиц», — сказала она.«Мы просто считаем, что если компания нарушает вашу конфиденциальность, вы должны иметь возможность подать на нее в суд».

«Исторически сложилось так, что маргинализированные сообщества не могли полагаться на государственные институты для защиты своих прав», — сказал Степанович. «Поэтому наличие чего-то вроде частного права на иск для чернокожих и других сообществ, не являющихся белыми, гарантирует, что они могут отстаивать свои права или обращаться в суд, если что-то пошло не так».

Солтани, напротив, видел путь вперед без частного права на иск: «Я думаю, что правоприменение — действительно важный аспект.Если есть адекватное правоприменение — юридическая защита и регулирующие ресурсы — я не думаю, что отказ от частного права на иск является нарушением условий сделки».

Эти ресурсы важны. «Особенно в тех штатах, где они не разрешают частное право [действовать], чтобы затем также недофинансировать государственное правоприменение — это просто оскорбление», — сказал Цукаяма. Калифорния создала группу правоприменения только для этой цели под названием Калифорнийское агентство по защите конфиденциальности, которое будет получать 10 миллионов долларов ежегодного финансирования.Генеральная прокуратура штата Вирджиния занимается правоприменением там с финансированием в размере 400 000 долларов, дополненным штрафами и пенями.

Выбрасывание денег на правоприменение или требование от компаний адаптироваться к новым правилам также требует, чтобы люди выполняли работу, а эти люди не всегда легко доступны. «Одна из моих проблем с законами штатов заключается в том, что нужно изучать все больше и больше вещей, — отметил Меррилл, — и я боюсь выгорания в сообществе конфиденциальности, потому что невозможно идти в ногу, а ставки очень высоки.

Интернет-ассоциация, отраслевая группа, представляющая несколько крупных технологических компаний, включая Amazon, Facebook и Google, указала нам на письмо и свидетельство, направленное в законодательный орган штата Нью-Джерси, в котором основное внимание уделяется двум пунктам: согласию и частному праву на иск. . Ассоциация настаивает на том, чтобы текущая модель отказа от согласия сохраняла статус-кво, при котором потребители должны приложить все усилия, чтобы получить защиту конфиденциальности, изложенную в законе. Ассоциация также включила документ Института правовой реформы, филиала Торговой палаты США, который выступает за благоприятные для бизнеса правовые реформы, в котором утверждается, что частные иски будут препятствовать инновациям, будут стоить слишком много денег и приведут к противоречивым решениям.

Как более строгие законы о конфиденциальности изменят вашу повседневную жизнь

Если вы когда-либо нажимали на одно из этих надоедливых уведомлений о файлах cookie или были вынуждены прокручивать до конца политику конфиденциальности, прежде чем вы сможете использовать программное обеспечение, вы увидели, как такие законы могут иметь пагубное влияние на вашу повседневную жизнь.

Так быть не должно. Степанович сказал, что если закон о конфиденциальности написан хорошо, жизнь большинства людей не должна измениться. «Конфиденциальность заключается не в том, чтобы не использовать технологии, а в том, чтобы иметь возможность участвовать в жизни общества и знать, что вашими данными не будут злоупотреблять или что вы не причините вреда в будущем из-за этого», — сказала она. .Если все сделано правильно, последствия скандалов, подобных тем, что были вокруг Cambridge Analytica или Grindr, можно свести к минимуму. И вы увидите меньше персонализированной рекламы и больше контекстной, которая, возможно, менее пугающая (для чтения статьи требуется подписка).

Хорошо написанный закон о конфиденциальности данных облегчит вам покупку многих интересующих вас продуктов, не беспокоясь о конфиденциальности. Возможно, обзоры и руководства Wirecutter не потребуют подробных сравнений с оценкой политик конфиденциальности для работающих часов, умных весов или роботов-пылесосов, потому что все они будут иметь базовый уровень конфиденциальности, а также четкие, простые для понимания опции. -in правила обмена данными.И если компания ошибается и злоупотребляет этими правами на неприкосновенность частной жизни, эта компания будет нести ответственность за изменение.

Даже самые последние законы не учитывают всевозможные другие проблемы с данными, такие как прозрачность алгоритма или использование правительством системы распознавания лиц.

Одним из камней преткновения нынешней системы отказа является усталость от уведомлений. Когда каждое приложение и веб-сайт запрашивает у вас десятки разрешений, становится проще принять статус-кво, чем вручную отказаться от каждой технологии отслеживания.Обзорная статья в журнале Science (PDF) в 2015 году показала, насколько плохо большинство людей справились с рисками, связанными с конфиденциальностью, а в статье 2019 года описывалось своего рода согласие «уведомление и выбор», к которому все привыкли, как «метод регулирования конфиденциальности, который обещает прозрачность и агентность, но не обеспечивает ни того, ни другого».

Все эксперты, с которыми мы говорили, предпочли модель добровольного согласия и концепцию «конфиденциальность по умолчанию». Такая договоренность изначально сделает учетные записи закрытыми, а приложения не будут иметь никаких разрешений.Вы можете выбрать эти настройки. Наряду с правом подавать в суд на компании согласие на подписку оказывается одним из самых сложных моментов для включения в законы о конфиденциальности. Вместо этого эксперты настаивают на возможности использования расширений браузера или других инструментов, которые отключаются автоматически.

Ашкан Солтани, бывший главный технолог FTC, предложил техническое решение с глобальным контролем конфиденциальности (GPC), которое позволяет отказаться от продажи данных на уровне браузера или устройства — улучшение по сравнению с потребностью отказаться на каждом сайте или в каждом сервисе.В настоящее время GPC включен в несколько браузеров и пользуется уважением нескольких изданий, в том числе The New York Times. Калифорния будет более явно требовать от компаний соблюдать GPC после того, как в 2023 году вступят в силу ее правила «глобального отказа». – отметил Эми Степанович. «Вы хотите, чтобы эта безнадежность ушла, и чтобы люди знали: вы находитесь под защитой, пока занимаетесь этим делом.

Основные законы о конфиденциальности, за которые выступают, которые предлагаются, а иногда и принимаются, не могут и не будут все исправлять. Учитывая сложность экономики данных, которая сейчас существует, можно и, возможно, нужно сделать гораздо больше. Даже самые последние законы не учитывают всевозможные другие проблемы с данными, такие как прозрачность алгоритмов или использование правительством системы распознавания лиц. Существует несколько национальных законов о конфиденциальности, находящихся на разных стадиях принятия, но ни один из них не имеет серьезных шансов быть принятым в ближайшее время.

Но новые законы могли бы, по крайней мере, поощрять продукты и услуги, менее враждебные конфиденциальности, и они могли бы обеспечить базовую защиту (и правоприменение) от наиболее вредоносных типов интеллектуального анализа данных, а также сформировать основу для большей защиты конфиденциальности в будущем. В лучшем случае закон о конфиденциальности данных может сделать так, чтобы вы могли покупать новейшие штуковины с забавными новыми функциями, не беспокоясь о том, что компания собирает больше данных, чем вы думаете, и продает их компаниям, о которых вы никогда не слышали. из которых будут использоваться рекламодателями для продажи вам.

Источники

1. Уитни Меррилл, адвокат по вопросам конфиденциальности и специалист по защите данных, телефонное интервью, 26 июля 2021 г.

2. Ашкан Солтани, независимый исследователь и бывший главный технолог Федеральной торговой комиссии, телефонное интервью, 21 июля 2021 г.

3. Кейт Руан, старший советник по вопросам Первой поправки и конфиденциальности прав потребителей в Американском союзе гражданских свобод, интервью по телефону, 21 июля 2021 г.

4. Эми Степанович, исполнительный директор Silicon Flatirons Center в Colorado Law, тел. интервью, 15 июля 2021 г.

5.Хейли Цукаяма, законодательный активист Electronic Frontier Foundation, интервью по телефону, 14 июля 2021 г.

Нарушение конфиденциальности | СебБД | SebDB Docs

Behaviors

Пример из практики

Grubman Shire Meiselas & Sacks

В 2020 году известная юридическая фирма подверглась крупной кибератаке, в результате которой была раскрыта личная информация, касающаяся клиентов, включая Мадонну и Леди Гагу.

Группа хакеров украла 756 гигабайт файлов у Grubman Shire Meiselas & Sacks.Файлы включали юридические документы, такие как проектные контракты, соглашения о конфиденциальности, рекламные материалы и возмещения расходов.

Хакеры потребовали выкуп в размере 21 миллиона долларов, который фирма отказалась платить. В результате хакеры слили часть украденной информации. Когда новость о взломе стала достоянием общественности, группа потребовала новый выкуп в размере 42 миллионов долларов, угрожая раскрыть дополнительную конфиденциальную информацию, касающуюся президента США Дональда Трампа.

Grubman Shire Meiselas & Sacks сотрудничала с правоохранительными органами и экспертами по безопасности и объявила, что не будет платить злоумышленникам.Он также заявил, что будет консультироваться со специалистами по кибербезопасности, чтобы улучшить безопасность записей своей компании и отслеживать будущий несанкционированный доступ к активам.

NordVPN1 2019

В 2019 году NordVPN, провайдер виртуальной частной сети, который обещал «защитить вашу конфиденциальность в Интернете», подвергся утечке данных.

Несмотря на их политику «нулевого ведения журналов», согласно которой NordVPN не отслеживает, не собирает и не передает личные данные, утечка оставила незащищенными записи клиентов NordVPN.

Взлом полностью скомпрометировал систему удаленного управления NordVPN.Теоретически преступники могли использовать данные, к которым они получили доступ, для создания поддельного веб-сайта NordVPN и мониторинга пользовательского трафика, нарушая «приватный» просмотр, обещанный NordVPN своим клиентам.

Узнав о взломе, NordVPN немедленно отключил незащищенный сервер и отключил скомпрометированные ключи безопасности. Он также сотрудничал со специалистами по кибербезопасности для усиления тестирования на проникновение, обработки вторжений и анализа исходного кода.

Yahoo, 2019

В 2019 году недовольный бывший сотрудник Yahoo взломал учетные записи своих коллег и получил доступ к их личной информации.

Вскоре после того, как Рейес Дэниел Руис потерял работу в Yahoo, он воспользовался привилегированным доступом, который у него все еще был, и взломал 6000 учетных записей Yahoo, включая учетные записи своих коллег и друзей. Он также воспользовался склонностью людей повторно использовать пароли, взламывая учетные записи Apple iCloud, Dropbox, Facebook и Gmail. После поиска в этих учетных записях конфиденциальных изображений и видео Рейес скопировал украденную информацию на свой персональный компьютер.

Yahoo быстро заметила подозрительную активность в учетной записи и проследила взлом до Рейеса, который затем уничтожил свой компьютер и диски, тем самым удалив доказательства украденных данных.Он признал себя виновным в своих преступлениях и был приговорен к испытательному сроку и домашнему заключению.

Говоря об инциденте, представители Yahoo призвали пользователей сбросить свои пароли, не использовать один и тот же пароль для нескольких учетных записей и включить многофакторную аутентификацию на своих устройствах.

6 примеров нарушения конфиденциальности в Интернете

Большинство людей делятся данными, не задумываясь об этом. Они предоставляют информацию компаниям при покупке товаров, подписке на списки адресов электронной почты, загрузке приложений и многом другом.Они также ожидают, что соответствующие предприятия сохранят эти данные.

К сожалению, рассматриваемые предприятия часто не справляются с поставленной задачей, раскрывая ценные данные. В результате нарушение законов о конфиденциальности может привести к огромным штрафам и подорвать общественное доверие.

Вот шесть недавних примеров компаний, которые не сделали все возможное для соблюдения конфиденциальности пользователей.

1. Zoom передал данные третьим лицам без ведома пользователей

В статье The New York Times за апрель 2020 года утверждалось, что популярный сайт видеоконференций Zoom занимался скрытым анализом данных во время разговоров пользователей.В сообщении утверждалось, что когда человек подписывался на собрание, Zoom передавал его данные в систему, которая сопоставляла людей с их профилями в LinkedIn.

Инцидент произошел с помощью инструмента LinkedIn Sales Navigator на основе подписки, который Zoom предлагал клиентам помочь с их маркетинговыми потребностями.

Более того, когда кто-то входил в конференцию Zoom под анонимным именем, инструмент по-прежнему подключал этого человека к его соответствующему профилю LinkedIn. Таким образом, настоящее имя человека было раскрыто другому пользователю, несмотря на попытки сохранить его в тайне.Zoom пообещал отключить инструмент и удалить его из предложений компании.

2. Google нарушил законы о конфиденциальности детей

Google подвергается критике за нарушение законов о конфиденциальности, говорится в недавних сообщениях. Федеральный суд Калифорнии получил иск от двух детей, подавших в суд на технологического гиганта через своего отца. Пара утверждает, что платформа G Suite for Education незаконно собирает биометрические данные детей, которые ее используют. Если это так, то это действие, вероятно, будет означать, что Google проигнорировал Закон о защите конфиденциальности детей в Интернете (COPPA), федеральный мандат, который требует получения согласия родителей перед сбором данных от несовершеннолетних в возрасте до 13 лет.Более того, компания может столкнуться с обвинениями в нарушениях, связанных с биометрическими законами штата. Эти проблемы могут затронуть миллионы детей и их конфиденциальность.

3. Хакеры сливают конфиденциальные данные юридической фирмы

Система управления документами юридической фирмы (DMS) содержит все юридические документы о ее клиентах. Некоторые включают записи за период от 10 до 20 лет, что делает особенно необходимой защиту данных. Нарушения конфиденциальности иногда происходят из-за неадекватной кибербезопасности. Например, хакерская группа Maze атаковала техасскую юридическую фирму Baker Wotring и опубликовала «полный дамп» данных организации.Инцидент был атакой программы-вымогателя, и утечка, вероятно, произошла, когда киберпреступники не получили запрошенный платеж. Скомпрометированные записи включали дневники случаев, формы согласия и многое другое.

4. Facebook оштрафован за участие в сборе данных Cambridge Analytica

Федеральные чиновники в Соединенных Штатах провели 16-месячное расследование и установили, что Facebook неоднократно вводил своих пользователей в заблуждение и ставил под угрозу усилия по защите конфиденциальности. Это решение было принято после того, как Cambridge Analytica использовала стороннее приложение для сбора данных из викторины Facebook в политических целях.

Федеральная торговая комиссия (FTC) оштрафовала Facebook на 5 миллиардов долларов за нарушения, что является самой большой суммой, когда-либо наложенной на компанию за нарушение правил конфиденциальности потребителей.

5. Приложение Ring Doorbell якобы загружено трекерами

Дверной звонок Ring имеет сопутствующее приложение, которое позволяет людям видеть, слышать и говорить с людьми, которые приходят к ним на порог, даже не находясь дома. К сожалению, когда организация Electronic Frontier Foundation (EFF) исследовала версию Android, она обнаружила множество сторонних трекеров.Исследователи говорят, что Ring отправил данные четырем внешним организациям, предоставив им личную информацию.

Передаваемые данные включают имена, IP-адреса и данные с датчиков устройств пользователей. EFF предупредил, что получатели могут объединить всю информацию, чтобы получить уникальную фотографию пользователя.

6. Недостаток WhatsApp принес в жертву конфиденциальность высокопоставленных государственных чиновников

Нарушения конфиденциальности также происходят, если злоумышленники используют уязвимости в широко используемых приложениях.Такая ситуация сложилась, когда NSO Group, израильский разработчик хакерских инструментов, якобы построил и продал продукт, который позволил проникнуть на серверы WhatsApp из-за выявленной уязвимости. Из-за этой проблемы мобильные телефоны по меньшей мере 1400 пользователей были взломаны примерно за две недели в апреле и мае 2019 г. 

Сообщается, что значительную часть выявленных жертв составляли высокопоставленные правительственные чиновники, находящиеся как минимум в 20 странах. Ранние следственные действия не смогли установить преступников, которые использовали инструмент от NSO Group.

Как защитить конфиденциальность в Интернете

Велика вероятность, что большинство упомянутых здесь компаний вам знакомы. Понятно, что беспокоиться о том, безопасно ли продолжать использовать продукты брендов. Это очень личное решение. Компании и частные лица могут предпринять решительные шаги для защиты своей конфиденциальности: 

  • и недобросовестное поведение
  • Прочтите все соглашения о конфиденциальности и пользовательские соглашения перед регистрацией службы или приложения.
  • Ограничение типа и количества разрешений, которые установленные приложения имеют на устройствах
  • Просмотр всех текущих настроек конфиденциальности для приложений и сайтов не реже одного раза в месяц и корректировка их по мере необходимости.
  • Быть в курсе новостей о кибербезопасности, чтобы узнавать о соответствующих нарушениях законов о конфиденциальности, нарушениях Загрузка приложений из авторитетных источников, таких как официальные веб-сайты или магазины приложений, которые проверяют контент и удаляют вредоносное программное обеспечение

Знание того, как защитить вашу конфиденциальность, увеличивает шансы на то, что ценные данные останутся под вашим контролем.В противном случае возрастает вероятность того, что личные данные попадут в чужие руки и будут использованы не по назначению.

Еще из CyberNews:
  • Не знаете, как смотреть Формулу 1 онлайн из вашей страны? Прочтите нашу статью
  • Хотите личный или бизнес-сайт? Создайте его с помощью одного из лучших конструкторов сайтов.
  • Безопасен ли Роблокс? Статический анализ выявляет некачественные методы обеспечения безопасности в приложении Roblox для Android
  • Наш рейтинг лучших провайдеров веб-хостинга — выберите для себя

Что такое нарушение конфиденциальности?

На прошлой неделе я написал статью под названием «Конфиденциальность, Smivacy.Отслеживание — не проблема». Я выступал против бессмысленной пропаганды хулиганов приватности.

Их пропаганда работает отлично. Теперь вас могут обвинить в нарушении приватности людей только потому, что данные хранятся на одном сервере, а не на другом

Проблемы с сообществом приватности заключаются в двух вещах: во-первых, они создают поле искажения реальности вокруг ваших прав на неприкосновенность частной жизни, а во-вторых, они не могут отличить потенциальное нарушение от фактического нарушения.

Итак, давайте упростим.

Ваше право на неприкосновенность частной жизни

Представьте, что вы увлекаетесь авиамоделированием, но хотите сохранить это в секрете. Пока вы находитесь в своем собственном доме, у вас есть полное право на неприкосновенность частной жизни. Вы устанавливаете правила, и все должны их соблюдать .

Однако, если вы возьмете свою модель самолета в общественный парк, все смогут увидеть, что вы делаете. Каждый может фотографировать, рассказывать друзьям и т. д. У вас нет прав на неприкосновенность частной жизни в общественном месте .Вы не можете сказать другим людям не смотреть в вашу сторону.

Если вы зайдете в сад друга, у вас опять же не будет прав на неприкосновенность частной жизни. Ваш друг может настоять на том, чтобы ему сказали, что вы там делаете , и вы должны ответить ему или уйти. Ваш друг может наблюдать все, что он хочет. Он также может пригласить других друзей посмотреть. Он может делать фотографии или видео и даже загружать их на YouTube.

Вы можете попросить его сохранить это в секрете, но это полностью зависит от вашего друга, примет ли он это. Это его сад. Он устанавливает правила. Так же, как в своем саду вы устанавливаете правила.

Хулиганы приватности, кажется, не понимают этой очень простой концепции. Они считают, что у вас должно быть право ходить в чей-либо сад и делать все, что вам нравится, но владельцу этого сада не позволено знать, что вы там находитесь.

Владелец сада должен сначала спросить вашего разрешения. И у вас должно быть право сказать «нет», по-прежнему требуя, чтобы вас обслужил ваш друг в его саду.

Это безумие!

Это происходит онлайн. Когда вы посещаете веб-сайт, вы идете в чужой сад. Таким образом, владелец имеет право знать, что вы там делаете. Он имеет право наблюдать за вами.

Но с принятием в Европе закона о файлах cookie хулиганы, выступающие за конфиденциальность, лоббировали запрет владельцев на наблюдение за своими посетителями на своих собственных веб-сайтах .

Онлайн-сады издателя

Для издателей (таких как я) принцип тот же.Сайт — это наш сад, и вы его посещаете. Мы имеем право знать, что вы здесь делаете, и мы имеем право наблюдать за вами, привлекать внешних подрядчиков, нанимать охранников и т. д.

Но мы хотим, чтобы вы пришли в наши сады. Мы хотим, чтобы вы хорошо провели время. Мы хотим, чтобы вы развлекались и возвращались почаще. Для этого нам нужно знать, чего вы хотите и что вам нравится. Без этой информации мы не смогли бы держать наш сад открытым для вас.Наблюдение за тем, что вы делаете, важно для наших усилий, чтобы вам было комфортно.

Мы также хотим построить доверие. Итак, мы предлагаем вам прийти в наш сад, воспользоваться услугами, которые мы предоставляем, и мы не будем делиться ими с общественностью. Мы сохраним это в секрете.

Хулиганы приватности пытаются заставить вас поверить, что это нарушение вашей приватности. Нет. На самом деле мы предлагаем конфиденциальность , когда вы посещаете наши сады. Мы не отнять .

Возможное нарушение неприкосновенности частной жизни против фактического нарушения

Это приводит нас ко второй проблеме с пропагандой хулиганов неприкосновенности частной жизни, возможности нарушения неприкосновенности частной жизни.

Почти в каждом отдельном примере «нарушение» на самом деле не является нарушением, а лишь потенциальным нарушением. Важно, чтобы мы различали их.

Когда вы что-то рассказываете другу, он не нарушает вашу конфиденциальность. У него есть потенциал, но это не нарушение.

Это простая концепция, которую хулиганы с конфиденциальностью просто не понимают.Они пытаются убедить вас, что ваш друг нарушает вашу личную жизнь, просто слушая вас. Говорят, будет еще хуже, если он это запишет. И если он хранит его на сервере где-то в облаке, хулиганы приватности впадают в ярость.

Фактическое нарушение может иметь место только в том случае, если ваш друг расскажет об этом другим людям или если другие люди «взломают» разговор. Информация должна быть обнародована, прежде чем ваша конфиденциальность будет нарушена.

Сделаем посложнее.

Когда вы посетите магазин, все внутри узнают об этом. Не только владелец магазина или продавцы, но и все остальные покупатели.

Все они имеют такое же право быть там, как и вы. Вы не имеете права делать покупки в частном порядке. Люди, которым принадлежит магазин, имеют право знать, что вы делаете и чего хотите. Вы находитесь в чужом саду.

То же самое, если магазин нанял охранную компанию. Охранники также будут знать, что вы делаете.Канал видеонаблюдения запишет это, и оно будет передано на центральный сервер где-то в мире.

Чтобы завоевать доверие, магазин предложит уважать вашу частную жизнь. Они никому не расскажут, чем вы занимаетесь. А при найме охранной компании магазин попросит их подписать договор, в котором говорится, что они тоже не могут делиться никакой информацией о вас.

Охранники увидят и понаблюдают за вами, но ничем не поделятся. Магазин защищает вашу конфиденциальность.

Это не означает, что нарушения нет. Но наем охранной компании не является нарушением неприкосновенности частной жизни.

Хулиганы приватности считают, что у вас должен быть выбор. Говорят, вы не договорились, что магазин нанял охранную фирму.

Довольно глупая идея и она не работает. Это не ваш сад. Вы не имеете права выбирать, может ли магазин нанять охранную компанию. Вы имеете право выбирать, хотите ли вы пойти в магазин, но не то, как магазин работает.Если вы не доверяете магазину, чтобы нанять нужных партнеров, не ходите туда.

Точно так же онлайн. Когда вы посещаете веб-сайт, сам сервер, скорее всего, находится где-то в облаке. Этот сайт, например, размещен на Rackspace.

Я нанял Rackspace для оказания услуг моему «магазину». Но я также удостоверился, что они согласились с контрактом (условиями обслуживания), в котором говорится, что им не разрешено делиться какой-либо личной информацией.

Это не нарушение конфиденциальности.Чтобы ваша конфиденциальность была нарушена, ваша личная информация должна оказаться в руках кого-то другого.

То же самое для многих сайтов, использующих Google Analytics.

Я получил такие комментарии:

Когда я посещаю baekdal.com, я соглашаюсь с тем, что вы отслеживаете меня и сохраняете мои данные. Я не заключаю никаких подобных соглашений ни с какими третьими лицами, Google или кем-либо еще. Google не нарушает мою конфиденциальность. Они также не делятся моими данными ни с кем. Но когда вы используете Google Analytics на своем веб-сайте, вы [нарушаете мою конфиденциальность].

Это просто пропаганда конфиденциальности. Когда вы посещаете этот сайт, вы должны принять сайт в целом. Вы соглашаетесь с тем, что он размещен на Rackspace. Вы соглашаетесь с тем, что я использую Cloudflare в качестве своего охранника. Вы соглашаетесь с тем, что я использую Disqus для публикации комментариев. Вы соглашаетесь с тем, что я использую Facebook, Twitter и Stumbleupon для социальной интеграции. И вы соглашаетесь с тем, что я использую Google Analytics, Postrank и Chartbeat для аналитики.

Вы должны верить, что я ответственно отношусь к этому. Говорить, что вы принимаете только часть, просто глупо.Это как зайти в магазин и сказать, что вы принимаете полки с продуктами на них, но не принимаете кассу.

Когда я добавляю Google Analytics на этот сайт, я должен согласиться с «условиями обслуживания», в которых говорится о двух вещах:

Во-первых: мне, как владельцу сайта, не разрешено использовать Google Analytics для отслеживания личной информации. Я могу отследить, что ты делаешь, но не то, кто ты. Ваша конфиденциальность абсолютно защищена.

Во-вторых: Google также не разрешается получать доступ или использовать какую-либо личную информацию для чего-либо, кроме Google Analytics для конкретного сайта.Google не имеет права просматривать необработанные данные или использовать вашу личную информацию в связи с любой другой службой Google.

Нарушения конфиденциальности нет.

Аналогично, Я ничем не делюсь с Google. Я храню данные на серверах Google. Если я поделюсь чем-то с Google , , я должен сделать это доступным для Google *использовать* . Я не. Им не разрешается использовать его каким-либо образом.

Если бы Google когда-либо нарушил их условия обслуживания и доверие между нами, я бы бросил их в миллисекунду.Я выбрал Google Analytics, потому что доверяю им в соблюдении тех же принципов конфиденциальности, в которые верю сам.

Но это не главное.

Дело в том, что когда вы посещаете веб-сайт, вы посещаете чужой сад. Владелец этого сада, скорее всего, сделает все возможное, чтобы вы были счастливы. Это то, что я пытаюсь сделать здесь. Он даже предложит сохранить ваш визит в секрете и примет меры, чтобы он так и остался.

Но это все равно его сад.Он имеет право знать, почему вы здесь и что вы делаете. Он решает, как должен выглядеть сад и каких подрядчиков нанять, чтобы он работал.

Хулиганы конфиденциальности говорят, что вы должны иметь право использовать своих друзей. Вы должны иметь право пользоваться их вещами, но вашим друзьям не позволено об этом знать. Все потому, что у вашего друга может быть потенциал поделиться тем, что вы сделали в их саду.

Это очень грустный взгляд на мир… и я его не приемлю.И вы не должны.

Боритесь с людьми, которые на самом деле нарушают вашу личную жизнь (это почти никогда не происходит). И боритесь с хулиганами, которые пытаются убедить вас, что все вокруг преступники. Они начали с печенья, но мы все знаем, что это не заканчивается.

 

Нарушение конфиденциальности – темная сторона социальных сетей…

Вы заметили, что некоторые объявления на сайтах, которые вы посещаете, идеально соответствуют вашим интересам? Думаете, это совпадение? В Интернете это, конечно, не так, поскольку рекламодатели будут делать практически все, что им позволяет онлайн-среда, даже если это означает нарушение вашей конфиденциальности в Интернете, чтобы разрабатывать новые способы продвижения продуктов.И самый простой способ узнать о ваших симпатиях и привычках — внимательно следить за вашим поведением в социальных сетях.

 

Существует несколько способов, которыми рекламодатели могут вторгнуться в вашу конфиденциальность в социальных сетях, воспользоваться вашими данными и сделать вас мишенью для своей рекламы. Вот самые распространенные:

 

Сбор данных.

Он включает в себя отслеживание действий людей в Интернете и сбор личных данных и разговоров из социальных сетей, сайтов вакансий и онлайн-форумов.Обычно исследовательские компании являются сборщиками и продают собранные данные другим компаниям. Они, в свою очередь, используют эти данные для разработки целевых рекламных кампаний для своих продуктов. Хотя можно утверждать, что люди сознательно делятся личными данными в социальных сетях и, следовательно, это бесплатно для всех, сборщики данных не запрашивают согласия владельца. И это поднимает этику, а также проблему онлайн-конфиденциальности.

 

В мае 2011 года было возбуждено одно серьезное дело о серьезном нарушении конфиденциальности в Интернете.Nielsen Co., компания, занимающаяся исследованиями в области СМИ, была уличена в том, что вычищала каждое сообщение с онлайн-форумов «PatientLikeMe», где люди рассказывают о своих эмоциональных проблемах — в, как им кажется, безопасной и приватной обстановке. Как вы можете себе представить, многие люди почувствовали, что их конфиденциальность в Интернете была нарушена.

 

Приложения Facebook сливают личные данные.

Несколько раз сообщалось, что некоторые приложения Facebook передают идентифицирующую информацию о тех, кто их использует, рекламным компаниям и компаниям по отслеживанию в Интернете.И без пользователей, имеющих ключ!

 

Вот как работает «утечка»: в процессе установки приложения вам предлагается принять определенные условия, и как только вы нажмете «Разрешить», приложение получит «токен доступа». Некоторые приложения Facebook передают эти токены доступа рекламодателям, предоставляя им доступ к данным личного профиля, таким как журналы чатов и фотографии. Тем не менее, не отображается заявление об отказе от ответственности, сообщающее о том, что ваши данные передаются третьим лицам. Таким образом, ваша конфиденциальность и безопасность в Интернете находятся под угрозой.

 

Примеры приложений, в которых обнаружена утечка идентификационной информации, включают FarmVille и Family Tree.

 

Социальное онлайн-отслеживание.

Все мы используем кнопки «Нравится», «Твитнуть», «+1» и другие кнопки, чтобы делиться контентом с друзьями. Но эти социальные виджеты также являются ценными инструментами отслеживания для веб-сайтов социальных сетей. Они работают с файлами cookie — небольшими файлами, хранящимися на компьютере, которые позволяют отслеживать пользователя на разных сайтах — которые социальные сайты помещают в браузеры, когда вы создаете учетную запись или входите в систему, и вместе они позволяют социальным сайтам распознавать вас на любом сайте, который использует эти виджеты.Таким образом, ваши интересы и поведение при совершении покупок в Интернете можно легко отследить, а вашу конфиденциальность в Интернете грубо нарушить.

 

И все становится еще хуже. Другие социальные веб-сайты позволяют компаниям размещать в рекламных объявлениях файлы cookie и маяки — части программного обеспечения, которые могут отслеживать вас и собирать информацию о том, что вы делаете на странице. Примечание: эти инструменты отслеживания широко используются в Интернете, но в основном на веб-сайтах, предназначенных для детей и подростков, что вызывает серьезную озабоченность по поводу конфиденциальности детей в Интернете.

 

Примером сайта для подростков, на котором хранится множество отслеживающих файлов cookie, является Snazzyspace.com.

 

 

Как предотвратить очистку, утечку или отслеживание ваших данных и поведения в Интернете?

 

  • К сожалению, вы не можете контролировать сбор данных, но вы можете контролировать, сколько информации о себе вы там размещаете. Итак, отредактируйте настройки конфиденциальности правильно. Кроме того, если вы окажетесь в базе данных какого-либо сайта «поиска людей», вы можете попросить их удалить ваши данные, а затем отредактировать информацию, опубликованную через социальные сети.

 

  • Вопросы конфиденциальности Facebook должны быть главной проблемой при работе в сети. Поскольку привлекательные приложения, созданные независимыми разработчиками программного обеспечения, появляются часто, вы не можете знать, какие из них являются утечками. Иногда этого не делает и Facebook. Мы настоятельно рекомендуем вам изменить свой пароль Facebook после принятия приложения, чтобы сделать эти токены доступа недействительными.

 

  • Даже если куки-файлы не обязательно вредны, просто представьте их как тихого преследователя, следящего за каждым вашим шагом.Вы можете удалить их из своего веб-браузера и ограничить типы файлов cookie, которые могут быть размещены на компьютере.

 

  • Что касается конфиденциальности ваших детей во время общения в сети, мы рекомендуем вам поговорить с ними об угрозах конфиденциальности в Интернете. Кроме того, используйте программное обеспечение для мониторинга их онлайн-активности. В этом отношении BullGuard Internet Security и BullGuard Mobile Security могут действовать как бдительные защитники конфиденциальности на ПК и смартфоне соответственно. Функция родительского контроля, включенная в оба пакета, позволяет вам видеть, что ваши дети делают в Интернете, и блокировать их доступ к определенным веб-сайтам или контенту.

Была ли эта статья полезной?

Да нет

нарушений конфиденциальности в различных отраслях — Hitachi Systems Security

Как могут помочь NIST, GDPR и другие стандарты конфиденциальности

Каковы наиболее распространенные нарушения конфиденциальности в разных отраслях?

Конфиденциальность данных и промышленность — две концепции, которые кажутся неразрывно связанными, но не всегда в хорошем смысле. С тех пор, как концепция цифровой конфиденциальности попала в заголовки газет со скандалом со Сноуденом в 2014 году, разоблачения нарушений конфиденциальности не ослабевают.

Организации по всему миру все еще не понимают, что такое соблюдение конфиденциальности данных. К сожалению, этот пробел в понимании часто приводит к крупным штрафам и потере доверия клиентов.

Недавним примером является штраф в размере 5 миллиардов долларов, наложенный Федеральной торговой комиссией (FTC) на Facebook, в котором говорится, что: « Несмотря на неоднократные обещания своим миллиардам пользователей по всему миру, что они могут контролировать, как передается их личная информация, Facebook подрывает доверие потребителей. выбор. »

В этой статье блога мы поговорим о том, что такое нарушение конфиденциальности, и приведем примеры нарушений конфиденциальности в разных отраслях. Мы также предоставим рекомендации о том, как организации могут убедиться, что они не окажутся под прицелом FTC и аналогичных органов, например. путем внедрения структур конфиденциальности, таких как NIST или GDPR.

.

Что такое нарушение конфиденциальности?

Нарушения конфиденциальности бывают самых разных форм и размеров. Следующий пример, возможно, может показать, насколько легко злоупотребить личными данными.

Твиттер недавно подвергся критике, потому что было обнаружено, что они злоупотребляют номерами мобильных телефонов или адресами электронной почты, предоставленными только для использования двухфакторной аутентификации. Вместо этого Twitter разрешил совместное использование этих каналов для демонстрации целевых маркетинговых кампаний отдельным лицам. Твиттер сказал, что это ошибка. Однако это демонстрирует, насколько важно иметь четкое представление о том, что представляет собой нарушение конфиденциальности.

Конечно, ошибки случаются, но нужно помнить, что за ошибки кто-то должен платить, как правило, потребитель.

Нарушения конфиденциальности, когда они доведены до конца, становятся ущербом для конфиденциальности. Вопрос, который волнует многих, заключается в том, должны ли нарушения неприкосновенности частной жизни доходить до причинения вреда человеку? В конечном счете, это вопрос управления рисками, когда необходимо взвесить вероятность того, что нарушение станет причинением вреда. Многие утверждают, что любое нарушение следует рассматривать как высокий риск.

Связанное сообщение: Является ли кибербезопасность тем же, что и конфиденциальность данных?

.

Примеры нарушений конфиденциальности в разных отраслях

Чтобы составить представление о масштабах нарушений конфиденциальности, которые могут нанести ущерб конфиденциальности, мы привели ниже три примера.

Конечно, есть много других…

.

1.   Пример 1. Неправомерное использование или утеря биометрических данных

Биометрические данные становятся все более популярными для проверки и аутентификации личности. Рост рынка биометрических данных хорошо демонстрирует эту популярность: прогнозируемая глобальная стоимость к 2025 году превысит 59 миллиардов долларов США.

В результате недавней утечки данных, затронувшей Suprema, было раскрыто более 1 миллиона записей отпечатков пальцев. Если пароль раскрыт, вы можете изменить его — вы не можете легко изменить отпечаток пальца.

Биометрические данные по уважительной причине подвергаются дополнительной тщательности в правилах, ориентированных на конфиденциальность, таких как Общий регламент по защите данных (GDPR).

.

2.   Пример 2. Получение ненужных данных и передача их без согласия

Минимизация данных выгодна как сервису, так и клиенту. Чем больше данных вы собираете, тем больше мер безопасности и конфиденциальности вам необходимо применять.

Если вам не нужны какие-либо данные, рекомендуется не собирать их.Многие системы теперь берут данные без раздумий и должной осмотрительности. В то время как такие правила, как Калифорнийский закон о конфиденциальности потребителей (CCPA), не требуют минимизации данных, такие правила, как GDPR, делают это.

Однако практика минимизации данных является частью предоставления услуг, направленных на создание хороших отношений с клиентами и доверия.

.

3.   Пример 3. Плохие меры безопасности, такие как хранение паролей в виде обычного текста

Как правило, плохие меры безопасности влияют на конфиденциальность.

Хотя конфиденциальность — это не только безопасность, хорошая безопасность — это основа службы, уважающей конфиденциальность. Слишком часто утечки данных включают потерю паролей и других личных данных, потому что данные просто не хранились безопасным образом.

.

Помощь в устранении нарушений конфиденциальности

Создать сервис с повышенной конфиденциальностью (или внедрить практику «Конфиденциальность в дизайне») непросто. Чтобы помочь в этом начинании, было разработано несколько рамок и правил, которые предлагают рекомендации и меры по предотвращению нарушений, в том числе:

.

1.   Пример платформы: NIST Privacy Framework

NIST Privacy Framework находится на заключительном этапе согласования и готов к публикации. Конфиденциальность Framework фокусируется на управлении рисками конфиденциальности в службе. Он предлагает инструмент, с которым вы можете работать при разработке управления данными в системе. Эту структуру можно использовать с существующей платформой кибербезопасности NIST, чтобы помочь вам реализовать надлежащие меры конфиденциальности.

Связанная публикация: Структура конфиденциальности NIST: введение

.

2.   Пример законодательства: GDPR

Общий регламент ЕС по защите данных (GDPR) представляет собой эволюцию предыдущего законодательства, отражающего изменяющиеся потребности потребителей в мире, ориентированном на Интернет. Он охватывает ряд прав субъекта данных, включая такие области, как доступ к данным, удаление данных и переносимость данных. Важно отметить, что при создании онлайн-сервисов, обрабатывающих личные данные, требуется использование конфиденциальности по умолчанию и по умолчанию.

Публикация по теме: Через год после GDPR: извлеченные уроки

.

3.   Пример рекомендации: Совет индустрии информационных технологий

Совет индустрии информационных технологий (ITI) является голосом технологического сектора. ITI разработала основу для продвижения интероперабельных правил (FAIR) в отношении конфиденциальности. Эта структура делает акцент на ответственном использовании персональных данных и предоставляет структуры для ориентированного на пользователя контроля над данными.

Эта структура описывается как «нейтральный к бизнес-модели подход» и должна быть доступна любому бизнесу, желающему понять области, которые необходимо учитывать при создании услуг с расширенной конфиденциальностью.

.

Применение руководства по конфиденциальности в вашей организации

Конфиденциальность данных теперь (или должна быть) неотъемлемой частью нашей бизнес-культуры. Услуги, которые мы предоставляем нашим клиентам и клиентам, должны предусматривать конфиденциальность в качестве условия по умолчанию.Внимание к конфиденциальности является беспроигрышным. Это хорошо для бизнеса, поскольку помогает создать доверительную среду, которая, в свою очередь, укрепляет отношения, и это выигрыш для клиентов в условиях, когда утечка данных является обычным явлением.

Конфиденциальность не должна вызывать опасений у бизнеса. Наоборот, внимание к конфиденциальности может стать настоящим преимуществом для любой организации, которая придерживается этого духа.

Однако для обеспечения того, чтобы вы создавали сервисы в соответствии с обязанностями Privacy by Design, обеспечивая соблюдение правил, требуется набор специальных навыков.Именно здесь действительно могут помочь фреймворки и стратегические методы обеспечения конфиденциальности. Они предлагают руководство в областях, которые вам необходимо охватить, чтобы обеспечить соблюдение требований конфиденциальности. Специализированные фирмы, предлагающие услуги по обеспечению конфиденциальности, могут гарантировать, что ваши системы отвечают требованиям конфиденциальности и соответствуют вашим бизнес-целям.

Если вы хотите узнать больше о наших услугах по обеспечению конфиденциальности, нажмите кнопку ниже.

 

нарушений политики конфиденциальности в Вашингтоне, округ Колумбия.C.

Защита прав и безопасности клиентов в Вашингтоне и его окрестностях

В этой стране потребители имеют определенные меры защиты, предоставляемые им в соответствии с законами штата и федеральными законами, которые гарантируют, что наша личная информация не будет доступна или распространена без вашего разрешения. Это обещание является частью политики конфиденциальности большинства компаний. Когда компания нарушает свою политику конфиденциальности, Федеральная торговая комиссия (FTC) может обвинить ее в незаконной торговой практике, а правительство отдельных штатов или федеральное правительство может наложить на нее штраф.

Как потребитель, чья конфиденциальность была нарушена, вы также можете подать иск против компании. В Paulson & Nace, PLLC мы помогаем нашим клиентам в Большом Вашингтоне, округ Колумбия, вернуть себе контроль над своей жизнью и своим будущим, привлекая компании к ответственности, когда они нарушают вашу конфиденциальность. Когда вам нужны агрессивные и инновационные стратегии на вашей стороне, наша команда по защите прав потребителей готова и готова бороться за вас.

Пять основных принципов защиты конфиденциальности

Поскольку в разных штатах действуют разные законы, касающиеся конфиденциальности и защиты прав потребителей, Федеральная торговая комиссия США (FTC) сформулировала 5 основных принципов, называемых «кодексами честной информации», которым должны следовать все политики конфиденциальности:

  • Уведомление/осведомленность .Все потребители должны быть уведомлены о том, что организация планирует собирать данные от этих потребителей и что у организации есть действующие политики в отношении того, как эти данные будут использоваться. Однако от штата к штату зависит, сколько уведомлений должна предоставить организация.
  • Выбор/Согласие . Потребителю должна быть предоставлена ​​возможность подписаться или отказаться от планов компании по использованию/распространению их данных. Другими словами, «выбор означает предоставление потребителям вариантов того, как можно использовать любую полученную от них личную информацию.”
  • Доступ/Участие . Потребителям должно быть разрешено видеть, как используются их данные, и им должно быть разрешено оспаривать любую неточную или неполную информацию.
  • Целостность/безопасность . Все организации должны предпринимать надлежащие шаги для обеспечения безопасности личных данных потребителей.
  • Правоприменение/восстановление . Эти шаги ничего не значат, если они не выполняются принудительно или если не существует политики для исправления ошибок и возложения ответственности за эти ошибки на организации.

Это очень общий вид ступеней; они влекут за собой гораздо больше деталей и намного сложнее, чем это краткое изложение. В Paulson & Nace мы хорошо знакомы с нюансами Вашингтона, округ Колумбия, и федеральными законами, касающимися нарушений политики конфиденциальности, а также с законами и правилами, регулирующими окружающие штаты. Каждый адвокат по защите прав потребителей в нашей фирме обладает навыками ведения сложных переговоров, представительских исков и судебных разбирательств, а наша фирма имеет ресурсы для борьбы с подобной незаконной торговой практикой до тех пор, пока это необходимо.

Добавить комментарий

Ваш адрес email не будет опубликован.