يضع مجلس حماية البيانات الأوروبي إرشادات إشعارات خرق البيانات للمؤسسات
أخبار صناعة خرق البيانات في أوروبا
يطلب المنظم تعليقات الصناعة أثناء تطويره لأمثلة إخطار الاختراق لمجموعة من الهجمات الإلكترونية
يقدم مجلس حماية البيانات الأوروبي إرشادات لإشعار الخرق للمؤسسات
إنها مادة الكوابيس: لقد وقعت منظمتك ضحية لهجوم إلكتروني ، وتحتاج إلى معرفة كيفية التعامل مع ردك.
تحدد اللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي المتطلبات الأساسية للإخطار ولكنها تترك مجالًا للمناورة ، مع وجود مراقبي البيانات المطلوبين لتقييم المخاطر واتخاذ القرارات بأنفسهم بشأن ما إذا كان الإخطار مطلوبًا ، وإذا كان الأمر كذلك ، لمن.
ومع ذلك ، أقر مجلس حماية البيانات الأوروبي (EDPB) أن اللائحة العامة لحماية البيانات (GDPR) لا تقدم تفاصيل كافية – وقد نشرت الهيئة التنظيمية الآن مجموعة من أمثلة إشعارات خرق البيانات وطالبت بالتعليق من الصناعة.
صنع مثالا
تتضمن الأمثلة الثمانية عشر الواردة في الإرشادات الخاصة بالأمثلة المتعلقة بإشعار خرق البيانات (PDF) كل شيء بدءًا من هجمات برامج الفدية إلى رسائل البريد الإلكتروني التي تم إرسالها بشكل خاطئ ، مع اقتراحات مفصلة حول كيفية منع الاختراق أو التخفيف من حدته وكيفية التعامل معه.
في إحدى دراسات الحالة ، على سبيل المثال ، تعرض الكمبيوتر الذي تستخدمه شركة زراعية لهجوم من برمجيات الفدية ، وقام المهاجم بتشفير بياناته. لا يوجد نسخ احتياطي إلكتروني متاح ، فقط السجلات الورقية.
يرتفع مستوى هجمات DDoS ذات الصلة بالفدية الموصى بها من بين الأموات مع تنوع نواقل الهجوم
تسرد الوثيقة التدابير التي كان ينبغي اتخاذها لتجنب المشكلة – في المقام الأول ، النسخ الاحتياطي والتشفير – وتوصي بأنه في هذه الحالة بالذات ، يجب إخطار كل من السلطات وموضوعات البيانات.
تشمل السيناريوهات الأخرى استخراج البيانات ، والمخاطر الداخلية المتعلقة بالبشر ، والأجهزة والوثائق المفقودة أو المسروقة ، والانتهاكات اللاحقة ذات الصلة والهندسة الاجتماعية.
لكل من هذه ، هناك مناقشة للإجراءات – إن وجدت – التي وضعتها وحدة التحكم في البيانات لحماية البيانات الشخصية ومنع الخرق ؛ الظروف المحيطة بالانتهاك ، والمخاطر الناتجة ، والخطوات المخففة التي يجب أن يتخذها المراقب ، والالتزامات المترتبة على المراقب المالي.
مجال للتحسين
يتم الترحيب بالمبادئ التوجيهية على نطاق واسع من قبل صناعة أمن المعلومات.
يقول آدم بالمر ، كبير استراتيجيي الأمن السيبراني في Tenable: “أمثلة إعلام خرق البيانات مفيدة من حيث أنها تحدد بوضوح إرشادات غير ملزمة للمؤسسات في التعامل مع بعض السيناريوهات الأكثر شيوعًا”.
ومع ذلك ، يقول بعض المراقبين إنهم لا يذهبون بعيدًا بما يكفي ، مما يسلط الضوء على نقص التفاصيل حول التعامل مع انتهاكات الخدمات السحابية.
قال نيل ثاكر ، مسؤول حماية البيانات و CISO لشركة Netskope ، لصحيفة The Daily Swig: “كنت أرغب في رؤية الإرشادات بما في ذلك 20 مثالًا ، بحيث يتم استكشاف انتهاكات السحابة والموردين الخارجيين بتفاصيل أكبر بكثير”
“كل ما لدينا في الوقت الحالي هو توصية” بتعطيل الخدمات السحابية المفتوحة “، مما يُظهر عدم فهم كيفية استخدام الخدمات السحابية في الأعمال بالضبط.”
اقرأ المزيد من أحدث أخبار خرق البيانات
ويوافقه الرأي بهارات ميستري ، المدير الفني البريطاني لشركة Trend Micro.
“النقص الذي أراه في التقرير هو أنه لا يشير إلى الهجمات العامة المستندة إلى السحاب ، وعلى وجه الخصوص عندما تستفيد إحدى المؤسسات من مزيج من الخدمات السحابية الأصلية مثل تخزين الملفات السحابية والحوسبة بدون خادم ووقت التشغيل في حاويات للخدمات الصغيرة” يقول.
“كنت أتوقع رؤية مراجع وأمثلة لنموذج المسؤولية المشتركة ، حتى يعرف المتحكمون أين تكمن مسؤوليتهم.”
ويضيف ديف بارنيت ، مدير حماية الحواف لمنطقة أوروبا والشرق الأوسط وإفريقيا في Forcepoint ، “إن الأمثلة العملية المذكورة في هذه الإرشادات الجديدة موضع تقدير من قبل المستخدمين ، ولكن يمكنهم الذهاب إلى أبعد من ذلك من خلال تقديم أمثلة محكمة قانونًا للاتصالات التي يمكن إصدارها للمواضيع المعنية في حالة وقوع حادث “.
قد تعجبك أيضًا تعرض موقع منسا البريطاني لهجوم إلكتروني
إغفال آخر يتعلق بوباء الفيروس التاجي.
“لسوء الحظ ، لا تتضمن الإرشادات الجديدة المخاطر المحددة التي تنشأ من مواقف العمل من المنزل التي أصبحت سائدة جدًا خلال العام الماضي ، والتي ستستمر في المستقبل إلى حد ما حتى بعد التعامل مع كوفيد إلى حد كبير ،” يقول Dave Waterson ، الرئيس التنفيذي في SentryBay.
“الموظفون الذين يعملون من المنزل ، ويعالجون البيانات الحساسة ، غالبًا من خلال أجهزة غير مُدارة ، يفتحون ثغرات أمنية جديدة يجب التعامل معها مباشرةً في إرشادات الاتحاد الأوروبي”.
يدعو EDPB إلى تقديم ملاحظات ، مستحقًا بحلول 2 مارس على أبعد تقدير ، مما قد يعني أنه تمت معالجة بعض هذه المشكلات. يمكن للأطراف المهتمة التعليق عبر موقع EDPB.