ວິທີການປະຕິບັດຕົວໃນກໍລະນີຂອງການລະເມີດຂໍ້ມູນ?

ກ່ອນອື່ນ ໝົດ, ຢ່າຕົກໃຈແລະໃຫ້ແນ່ໃຈວ່າທ່ານມີຜ້າເຊັດຕົວຂອງເຈົ້າຢູ່ສະ ເໝີ.

ໃນທີ່ສຸດມັນກໍ່ເກີດຂຶ້ນ. ມີຂໍ້ບົກພ່ອງໃນລະບົບຂອງເຈົ້າແລະບາງຄົນໄດ້ໃຊ້ປະໂຫຍດຈາກມັນເພື່ອປະຕິບັດສິ່ງທີ່, ໃນຄໍາສັບຕ່າງໆ, ເອີ້ນວ່າ a ການລະເມີດຂໍ້ມູນ. ການລະເມີດຂໍ້ມູນສ່ວນຕົວ. ບໍ່ຕ້ອງເປັນຫ່ວງ, ມັນບໍ່ແມ່ນປະກົດການທີ່ຜິດປົກກະຕິ. ໂຊກດີທີ່ສຸດທີ່ແລ່ນເຂົ້າໄປໃນເຫດການນີ້ຫນ້ອຍກວ່າຫນຶ່ງຄັ້ງຕໍ່ປີ, ແຕ່ໃນໂລກທີ່ພັດທະນາໄວເທົ່າທີ່ອິນເຕີເນັດສາມາດເກີດຂື້ນໄດ້ທີ່ເຫດການນີ້ກາຍເປັນເລື້ອຍໆເລື້ອຍໆ. ໃນຂະນະທີ່ເຈົ້າພະຍາຍາມບໍ່ຕົກໃຈ, ພວກເຮົາຊຸກຍູ້ໃຫ້ເຈົ້າຍຶດ ໝັ້ນ ກັບກົດລະບຽບຂອງໂປ້ມື: ເພື່ອຈັດການກັບການລະເມີດ, ເຈົ້າຕ້ອງ ປະຕິບັດຕາມການຊີ້ບອກຂອງກົດລະບຽບເອີຣົບ 16/679 (GDPR) ເຊິ່ງສະເຫນີຄໍາແນະນໍາກ່ຽວກັບສິ່ງທີ່ຕ້ອງເຮັດຖ້າການລະເມີດຂໍ້ມູນເກີດຂື້ນ.

ການລະເມີດຂໍ້ມູນແມ່ນຫຍັງ?

ການລະເມີດຂໍ້ມູນສ່ວນຕົວແມ່ນຂອງ 6 ປະເພດ, ແລະແຕ່ລະຄົນເຫຼົ່ານີ້ສາມາດສະຫມັກໃຈຫຼືອຸບັດຕິເຫດ ອີງໃສ່ວ່າເປັນຫຍັງມັນເກີດຂຶ້ນ:

• ການເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ. ບາງ​ຄົນ​ບໍ່​ສາ​ມາດ​ເຂົ້າ​ເຖິງ​ຂໍ້​ມູນ​ສະ​ເພາະ​ໃດ​ຫນຶ່ງ, ແຕ່​ເຂົາ​ເຈົ້າ​ເຮັດ​ໄດ້. ໃນກໍລະນີທີ່ນີ້ແມ່ນຄວາມຜິດພາດ, ທ່ານອາດຈະໄດ້ສົ່ງເອກະສານທີ່ສໍາຄັນໃຫ້ຄົນຫນຶ່ງແທນທີ່ຈະເປັນຂອງຄົນອື່ນ. ມັນແມ່ນອຸປະຕິເຫດ, ແຕ່ມັນຍັງເປັນການລະເມີດຂໍ້ມູນ. ຢ່າງໃດກໍຕາມ, ໃນກໍລະນີທີ່ທ່ານໄດ້ເຂົ້າເຖິງຂໍ້ມູນຂອງຜູ້ອື່ນໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ, ເຫດການນີ້ສາມາດກາຍເປັນ espionage.
• ສຳເນົາທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ. ມີຄົນເອົາຂໍ້ມູນບາງຢ່າງທີ່ບໍ່ໄດ້ຂຶ້ນກັບເຂົາເຈົ້າ ແລະຄັດລອກເອົາເອງ. ນີ້ອາດຈະເປັນອຸປະຕິເຫດຖ້າເພື່ອນຮ່ວມງານຕັດສິນໃຈພິມເອກະສານທີ່ພວກເຂົາບໍ່ຄວນມີເພື່ອລວບລວມເອກະສານການເຮັດວຽກທີ່ດີກວ່າ. ໃນກໍລະນີຂອງການຄັດລອກແບບສະຫມັກໃຈສໍາລັບຈຸດປະສົງທີ່ຊັດເຈນຫນ້ອຍ, ມັນອາດຈະເປັນ ລັກ.
• ການເປີດເຜີຍທີ່ບໍ່ຄາດຄິດ. ມີຄົນຮົ່ວຂໍ້ມູນໂດຍບັງເອີນທີ່ບໍ່ຄວນອອນລາຍດ້ວຍເຫດຜົນໃດໆ. ຕົວຢ່າງ, ຮູບພາບຂອງລູກຄ້າທີ່ສໍາຄັນຖືກປ່ອຍອອກມາໃນໂປຣໄຟລ໌ເຟສບຸກຂອງບໍລິສັດ. ໃນກໍລະນີຂອງການສໍ້ໂກງ, ການດໍາເນີນງານນີ້ເອີ້ນວ່າ ແຜ່​ກະ​ຈາຍ​ເຊື້ອ.
• ການ​ດັດ​ແກ້​ທີ່​ບໍ່​ໄດ້​ຮັບ​ອະ​ນຸ​ຍາດ​. ມີຄົນປ່ຽນຂໍ້ມູນບາງຢ່າງ, ເຖິງແມ່ນວ່າພວກເຂົາບໍ່ສາມາດເຮັດໄດ້. ຖ້າມັນເກີດຂຶ້ນໂດຍຄວາມຜິດພາດ, ນີ້ແມ່ນມັນ. ຖ້າບໍ່ດັ່ງນັ້ນມັນອາດຈະເປັນ ການລົບກວນ ໂດຍແຮກເກີ ຫຼືຜູ້ໂຈມຕີ.
• ການສູນເສຍການເຂົ້າເຖິງ. ບາງຄົນສູນເສຍຂໍ້ມູນແລະມັນບໍ່ມີຕໍ່ໄປອີກແລ້ວ. ການລືມລະຫັດຜ່ານຄອມພິວເຕີຂອງທ່ານເປັນການລະເມີດ, ເຈົ້າຮູ້ບໍ? ແລະໃນກໍລະນີທີ່ມັນຖືກເຮັດດ້ວຍຈຸດປະສົງ, ມັນຈະກາຍເປັນ ການເຂົ້າລະຫັດ.
• ການລຶບຂໍ້ມູນ. ບາງຄົນລຶບຂໍ້ມູນທີ່ລະອຽດອ່ອນ. ຖ້າຫາກວ່ານີ້ເກີດຂຶ້ນໂດຍຄວາມຜິດພາດ, ມັນເປັນການລະເມີດ. ແຕ່ໃນກໍລະນີທີ່ການຍົກເລີກແມ່ນຄວາມສະໝັກໃຈ, ມັນເກີດຂຶ້ນ ການ​ທໍາ​ລາຍ​ຂໍ້​ມູນ​.

ການລະເມີດຂໍ້ມູນສ່ວນຕົວ: ວິທີການປະຕິບັດ?

ກະລຸນາອ້າງອີງເຖິງມາດຕາ 33 ແລະ 34 ຂອງ GDPR. ບົດຄວາມທັງສອງສະບັບນີ້ອ້າງເຖິງກົດລະບຽບຂອງເອີຣົບທີ່ຊອກຫາຂັ້ນຕອນທີ່ຈະປະຕິບັດຕາມໃນກໍລະນີທີ່ມີການລະເມີດຂໍ້ມູນ. ມາດຕາ 33 ກ່ຽວຂ້ອງກັບການຄຸ້ມຄອງພາຍໃນຂອງບໍລິສັດແລະການພົວພັນກັບຜູ້ຄໍ້າປະກັນ, ໃນຂະນະທີ່ມາດຕາ 34 ກ່ຽວຂ້ອງກັບການຄຸ້ມຄອງກັບພາກສ່ວນທີ່ສົນໃຈ, ຫຼືປະຊາຊົນທີ່ມີຂໍ້ມູນສ່ວນຕົວຂອງພວກເຮົາ.

ມັນເປັນສິ່ງຈໍາເປັນທີ່ຈະລະບຸວ່າ ການລະເມີດຂໍ້ມູນຕ້ອງຖືກບັນທຶກໄວ້ສະ ເໝີ e, ໃນກໍລະນີ, ແຈ້ງໃຫ້ຜູ້ຮັບປະກັນ ດັ່ງທີ່ໄດ້ລະບຸໄວ້ໃນມາດຕາ 33. ນີ້ຍັງບອກວ່າໃນກໍລະນີການລະເມີດ, ຜູ້ຄວບຄຸມຂໍ້ມູນຕ້ອງແຈ້ງໃຫ້ເຈົ້າຫນ້າທີ່ຄວບຄຸມພາຍໃນ 72 ຊົ່ວໂມງຫຼັງຈາກຮັບຮູ້ມັນ, ໂດຍສະເພາະຖ້າມັນມີຄວາມສ່ຽງຕໍ່ສິດທິແລະເສລີພາບຂອງບຸກຄົນທໍາມະຊາດ. ຜູ້ປະມວນຜົນຂໍ້ມູນ (ບໍລິສັດຈ່າຍເງິນເດືອນ, ນັກບັນຊີ, ນັກວິເຄາະລະບົບ…) ຕ້ອງແຈ້ງໃຫ້ຜູ້ຄວບຄຸມຂໍ້ມູນ.

ຖ້າທ່ານຕັດສິນໃຈແຈ້ງໃຫ້ຜູ້ຮັບປະກັນ, ລາວຕ້ອງການຂໍ້ມູນ: ລັກສະນະຂອງການລະເມີດ, ຈໍານວນຜູ້ທີ່ກ່ຽວຂ້ອງ, ຂໍ້ມູນສັນຍາຂອງເຈົ້າຫນ້າທີ່ປົກປ້ອງຂໍ້ມູນ, ຜົນສະທ້ອນທີ່ເປັນໄປໄດ້ຂອງການລະເມີດແລະມາດຕະການໃດໆທີ່ປະຕິບັດຫຼືຖືກປະຕິບັດ.

ຢ່າງໃດກໍຕາມ, ບໍລິສັດມີພັນທະທີ່ຈະ ສື່ສານທຸກຢ່າງທີ່ເກີດຂຶ້ນ, ໂດຍບໍ່ຄໍານຶງເຖິງວ່າການລະເມີດຈະບໍ່ມີເຈດຕະນາຫຼືເຈດຕະນາ, ແລະຮັບຜິດຊອບ (ຄວາມຮັບຜິດຊອບ).

ຄວາມ​ຮັບ​ຜິດ​ຊອບ​?

ບໍ​ລິ​ສັດ ຕ້ອງມີຄວາມຮັບຜິດຊອບ, ມີຄວາມສາມາດແລະຮູ້ເຖິງສິ່ງທີ່ເກີດຂື້ນ ໃນສະພາບແວດລ້ອມແລະລະບົບຂອງມັນ. ບໍລິສັດຕ້ອງສະແດງຄວາມສາມາດຂອງຕົນໃນການແກ້ໄຂບັນຫາຢ່າງຕັ້ງຫນ້າແລະສະແດງໃຫ້ເຫັນວ່າມັນມີເຄື່ອງມືເພື່ອສະກັດກັ້ນຜົນສະທ້ອນຂອງການລະເມີດຂໍ້ມູນ. ນີ້ແມ່ນເຮັດໄດ້ໂດຍການສະຫນອງຫຼັກຖານແລະຂໍ້ມູນ - ແລະໂດຍສະເຫນີໃຫ້ທ່ານສະເຫນີໃຫ້ຜູ້ຮັບປະກັນຄວາມແນ່ນອນວ່າສິ່ງທີ່ເກີດຂຶ້ນຈະບໍ່ເກີດຂຶ້ນອີກ. ໃນກໍລະນີທີ່ຂາດ "ຄວາມຮັບຜິດຊອບ", ການປັບໄຫມແມ່ນເກີດຂຶ້ນ.

ການລະເມີດທີ່ຈະແຈ້ງໃຫ້ຜູ້ຮັບປະກັນແມ່ນຫຍັງ?

ພຽງແຕ່ມີການລະເມີດຄວາມສະໝັກໃຈ ແລະ ບໍ່ໄດ້ບັງເອີນເທົ່ານັ້ນທີ່ຕິດຕໍ່ກັບຜູ້ຄໍ້າປະກັນ. ຜູ້ຄວບຄຸມຂໍ້ມູນຕ້ອງຕັດສິນໃຈວ່າຈະແຈ້ງຫຼືບໍ່, ໃນເຫດຜົນຂອງຄວາມຮັບຜິດຊອບ, ຖ້າການລະເມີດຂໍ້ມູນສາມາດເຮັດໃຫ້ເກີດຄວາມເສຍຫາຍຕໍ່ສິດແລະເສລີພາບຂອງບຸກຄົນ. ລENISA (ອົງ​ການ​ສະ​ຫະ​ພາບ​ເອີ​ຣົບ​ສໍາ​ລັບ​ການ Cybersecurity​) ໄດ້​ສ້າງ​ຕັ້ງ a ວິທີການຄິດໄລ່ຄວາມສ່ຽງ ກ່ຽວ​ກັບ​ສິດ​ເສລີ​ຂອງ​ບຸກ​ຄົນ​ໃນ​ການ​ປະ​ເຊີນ​ກັບ​ການ​ລະ​ເມີດ​ໄດ້​. ວິທີການນີ້ຍັງສາມາດຖືກນໍາໃຊ້ໃນບໍລິສັດ.

ເຈົ້າຮູ້ໄດ້ແນວໃດວ່າມີການລະເມີດ?

ການລະເມີດຕ້ອງໄດ້ຮັບການເຂົ້າໃຈເພື່ອຖືກກວດພົບຢ່າງແທ້ຈິງ. ນີ້ເປັນໄປໄດ້ຖ້າມີການຝຶກອົບຮົມພຽງພໍໃນບໍລິສັດເພື່ອຄາດຄະເນຄວາມສ່ຽງແລະເຂົ້າໃຈຄວາມເສຍຫາຍໃດໆ. ສະຫຼຸບແລ້ວ, ທ່ານບໍ່ຕ້ອງການວິສະວະກອນທີ່ເຂົ້າໄປໃນ scene ເປັນເວລາສອງເດືອນໃນຄວາມພະຍາຍາມທີ່ຈະຄາດຄະເນຄວາມເສຍຫາຍທີ່ເປັນໄປໄດ້ຂອງ flash drive ທີ່ສູນເສຍໄປ: ທ່ານຕ້ອງການການຝຶກອົບຮົມທີ່ຊ່ວຍໃຫ້ພະນັກງານທີ່ມີຄວາມເຂົ້າໃຈກ່ຽວກັບຂອບເຂດຂອງຄວາມເສຍຫາຍໂດຍບໍ່ມີການເພີ່ມຄ່າໃຊ້ຈ່າຍໃນການຄຸ້ມຄອງທີ່ສໍາຄັນ. ເວົ້າງ່າຍໆ, ພະນັກງານຕ້ອງໄດ້ຮັບການຝຶກອົບຮົມໃນສິ່ງທີ່ລະເມີດແລະການສື່ສານຂັ້ນຕອນກັບຫົວຂໍ້ຂໍ້ມູນຢ່າງທັນເວລາ.

ມາດຕາ 34 ບອກພວກເຮົາວ່າຕົວຄວບຄຸມຂໍ້ມູນ ອາດຈະບໍ່ສື່ສານການລະເມີດຕໍ່ກັບຫົວຂໍ້ຂໍ້ມູນ ເມື່ອ​ໃດ​:

• ມາດຕະການທາງດ້ານວິຊາການແລະການຈັດຕັ້ງທີ່ພຽງພໍແມ່ນໄດ້ຖືກວາງໄວ້, ແຕ່ມີການແຈ້ງການເຖິງຜູ້ຮັບປະກັນແລະຫຼັກຖານສະແດງຄວາມຮັບຜິດຊອບ.
• ມັນໄດ້ຮັບຮອງເອົາມາດຕະການເພື່ອຫຼີກເວັ້ນການມີຄວາມສ່ຽງສູງຂອງການລະເມີດຂໍ້ມູນ.
• ການເປີດເຜີຍສາມາດຖືກຍົກເລີກໄດ້ຖ້າມັນຕ້ອງການຄວາມພະຍາຍາມທີ່ບໍ່ສົມສ່ວນ - ໃນກໍລະນີນີ້, ມັນຕ້ອງໄດ້ຮັບການປະກາດຢ່າງເປີດເຜີຍ!

ການລະເມີດຂໍ້ມູນເກີດຂຶ້ນ. ແຕ່ທ່ານຄິດວ່າທ່ານສາມາດຈັດການກັບມັນໄດ້ແນວໃດ?