为什么组织仍然难以保护我们的数据?我们采访了 50 位隐私前线专业人士
如今,我们的个人数据被收集并在线存储的程度比历史上任何时候都要高。数据泄露的增多应该让我们所有人都感到不安。从个人层面来看,数据泄露会损害我们的隐私、损害我们的财务和心理健康,甚至导致身份盗窃。
对于组织而言,其影响可能同样严重,常常导致重大的财务损失和品牌损害。
尽管保护我们的个人信息越来越重要,但这样做仍然充满挑战。
作为对数据泄露通知实践的全面研究的一部分,我们采访了 50 名从事信息安全和隐私工作的高级人员。以下是他们向我们讲述的他们面临的多方面挑战。
法律究竟是怎么说的?
每当个人信息在未经授权的情况下被访问或披露,甚至完全丢失时,就会发生数据泄露。Optus近年来,、Medibank和Canva都经历了备受关注的事件。
根据澳大利亚的隐私法,组织不得掩盖重大网络攻击。
他们必须将可能导致“严重伤害”的违规行为告知监管机构——澳大利亚信息专员办公室(OAIC)和任何受影响的个人。
但据我们采访的组织领导人说,这提出了一个棘手的问题。如何定义严重伤害?
对于“严重损害”的实际含义以及发生的可能性,人们的解释存在很大差异。这种不一致使得无法预测数据的具体影响泄露对个人的具体影响。
例如,家庭暴力受害者在个人信息被泄露时可能会面临更大的风险,造成难以预见或减轻的伤害。
执行规则
受访者还担心监管机构能否提供指导并执行数据保护措施。
许多人表示,他们认为 OAIC 资金不足,缺乏适当实施和执行罚款的权力。大家一致认为,保护我们数据的挑战现在已经超出了监管机构的权力和资源。
作为一位首席信息安全官正如一家上市公司的
“如果没有人开罚单,那么设置超速标志和摄像头有什么意义呢?”
缺乏执行力可能会削弱组织投资强大数据保护的动力。
只是冰山一角
数据泄露事件也未得到充分报道,特别是在企业部门。
一家大型跨国公司的高级网络安全顾问告诉我们,为了避免尴尬,公司有强烈的动机减少或掩盖违规行为。
这种文化意味着许多应该报告的违规行为根本就没有被披露。一位高级公务员估计,只有大约 10% 的可报告违规行为最终被真正披露。
如果没有这种基本的透明度,监管机构和受影响的个人就无法采取必要的措施保护自己。
第三方违规
有时,当我们将个人信息提供给一个组织时,这些信息最终可能会落入我们意想不到的另一个组织手中。这是因为关键任务(尤其是管理数据库)通常外包给第三方。
对于组织来说,外包任务可能是一种更有效的选择,但它会使保护个人数据变得更加复杂。
受访者告诉我们,与第三方提供商合作时更容易发生违规行为,因为这限制了他们对安全措施的控制。
2023 年 7 月至 12 月期间,澳大利亚的感染率增长了300% 以上2023 年 7 月至 12 月,澳大利亚第三方数据泄露事件与前六个月相比
有一些备受瞩目的例子。
今年 5 月,许多 Clubs NSW 客户的个人信息可能遭到泄露因第三方软件提供商 Outabox 受到攻击
2021 年末,Bunnings 也遭遇了类似的攻击,当时调度软件提供商 FlexBooker 遭到攻击。
打好基础
一些组织仍在努力解决基本问题。我们的研究发现许多数据泄露的发生是因为过时或“遗留”的数据系统仍在使用。
这些系统是旧的或不活跃的数据库,通常包含所有以前与其互动过的个人的大量个人信息。
组织保存个人数据的时间往往超过法律要求的时间。这可能归因于对数据保留要求的困惑,也可能归因于安全停用旧系统的高成本和复杂性。
一家大型金融服务机构的首席隐私官告诉我们:
“在我们这样的组织中,我们有超过 2,000 个遗留系统 [...] 这些系统之间无法互相通信。它们没有大红色的删除按钮。”
其他受访者指出,危险的数据测试行为十分普遍。
软件开发人员和技术团队经常使用“生产数据”(真实客户数据)来测试新产品。这通常比创建测试数据集更快、更便宜。
然而,这种做法会将真实的客户信息暴露在不安全的测试环境中,使其更容易受到攻击。一位资深网络安全专家告诉我们:
“我在每个行业都见过太多这样的情况[...]这实际上是将实时的真实信息输入到不实时、不真实且安全性较低的系统中。”
需要做什么?
我们的研究借鉴了第一线专业人士的见解,强调了澳大利亚的数据保护已经变得多么复杂,以及形势发展的速度有多快。
解决这些问题需要采取多管齐下的方法,包括更清晰的立法指南、更好的执法、更高的透明度和针对第三方提供商的更强有力的安全措施。
随着数字世界的不断发展,我们保护自己和数据的策略也必须不断发展。
页:
[1]