Eine neue website, die erläutert, wie Daten Verletzung riskieren

0
11

Datenschutzverstöße sind so verbreitet, dass Sie sogar einen Diebstahl von einer Milliarde Datensätze von ernst vertrauliche Informationen kaum macht die Nachricht. Es ist business as usual. Teil des Problems ist, dass alle Daten, bei denen unsere Daten werden zusammen verschmolzen. Es scheint, als ob all unsere persönlichen Daten ist schon draußen — um ein Vielfaches. Also, wer kümmert sich, wenn es passiert einmal (oder zehnmal) mehr? Wir sind taub, um noch einen weiteren Angriff, das gilt auch für unsere persönlichen Daten. Am Anfang haben wir befürchtet angekündigt, jeden Verstoß gegen den Datenschutz. Jetzt haben wir keine Angst.

[ Wie viel kostet ein Verstoß gegen den Datenschutz Kosten? Hier ist, wo das Geld geht. | Holen Sie sich die neuesten, von CSO durch die Anmeldung für unseren Newsletter. ]

Ich habe vorher geschrieben über den Mangel an nützlichen Risiko-management-data-Umgebung die meisten Datenschutzverletzungen. Speziell, ich wusste nicht, wie den Mangel an relevanten Fakten rund um jede einzelne Verletzung der Datensicherheit, die nicht es den Akteuren ermöglichen, zu bestimmen, wie schlimm die Verletzung wirklich war. Zum Beispiel, wenn ein Krankenhaus versehentlich hinterlässt persönlichen medizinischen Informationen in einem alten Büro bei einem Umzug in neue Büroräume, es heißt ein Verstoß gegen den Datenschutz und behandelt werden, durch die Berichterstattung Einheiten und Datenbanken als so ernst wie eine böswillige Verletzung der Datensicherheit, wo kriminelle Stahlen Daten.

Das gleiche gilt, wenn eine website Codierungsfehler Blätter Datensätze ausgesetzt und ein whitehat hacker verbreiten es. Es behandelt, wie wenn böswillige Hacker haben die Sicherheitslücke zu ziehen, jeder Datensatz die website hat. “Eine Milliarde Datensätze ausgesetzt!” Schreien die Schlagzeilen, aber es gibt keinen Beweis, dass jemand in böser Absicht zog einen einzelnen Datensatz. Die Belichtung ist eine ganz andere Gefahr, von der eigentlichen Diebstahl. Leider sind die Medien oft behandelt Sie gleich.

Jeder Verstoß gegen den Datenschutz ist in der Regel behandelt wie eine schlechte Verletzung der Datensicherheit, selbst wenn die wahre Gefahr ist etwas weniger. In meiner früheren Artikel habe ich vorgeschlagen, ein Verstoß gegen den Datenschutz-rating-system, wie das, was bereits für gemeldete Sicherheitslücken in software. Ich bekam eine gute Antwort, darunter Dutzende von security-Experten, die mit mir abzusprechen. Einige der Befragten sagte sogar, Sie seien über genau das, was ich fragte.

Verstoß gegen Klarheit bietet einen Einblick Verletzung riskieren

Letzte Woche, ein, Jim Van Dyke, CEO von Futurion, zeigte mir seine neuen beta-website namens Verletzung Klarheit. Van Dyke ist eine lange Zeit, die computer-Techniker und analyst mit über 35 Jahren Erfahrung, spezialisiert auf Betrug und Identitäts-management. Er gründete mehrere Unternehmen, darunter mehrere digitale Technologie-bezogene Forschung Unternehmen. Er verkauft seine letzten, Javelin Strategy & Forschung, und arbeitet jetzt hauptberuflich als Sachverständiger Zeuge in der wichtige Daten Verletzung Fällen. Er wurde auf der Consumer Advisory Board der US-Consumer Financial Protection Bureau (CFPB) für drei Jahre und hat ausgesagt, dem US-Repräsentantenhaus. Es genügt zu sagen, dass Van Dyke hat einige einschlägige Erfahrungen in und um Datenschutzverletzungen.

Verstoß gegen Klarheit ermöglicht es jedem Besucher, um geben Sie den Namen eines gebrochenen Unternehmen und finden Sie heraus, welche Informationen genommen wurde und das relative Risiko, dass insbesondere der Verletzung, bewertet auf einer Skala von 1 bis 10, wobei 10 die höchste. Die Abbildung unten zeigt zwei Beispiele, ein hohes Risiko und die anderen relativ geringem Risiko.

Roger Grimes , Roger Grimes

Es zeigt, dass Sie nicht nur das relative ranking-score, aber welche Arten von Informationen gestohlen wurden (z.B., name, Kreditkarten-oder Sozialversicherungsnummern) und sagt Ihnen, welche Art von Betrug, die Gefahr, dass insbesondere die Art der Daten führt. Es gibt auch Verbraucher Maßnahmen, die Sie ergreifen können, Ihre Identität zu schützen und Betrug zu verhindern. In meinen Tests von der Website fand ich ein paar kleine bugs, und ich nicht immer einverstanden mit der Rangliste. Ich bin mir auch nicht sicher, was geht in den Algorithmus, der festlegt, erzielt. Allerdings habe ich noch nie über eine Website, die macht es so einfach zu sehen, welche Informationen aufgenommen wurde, Feld für Feld, und was die möglichen Risiken der Exposition ist. Es ist ein wirklich guter Einstieg in ein sehr Komplexes problem.

[ Vorbereitung zum Certified Information Security Systems Professional mit diesem umfassenden online-Kurs von PluralSight. Jetzt bietet eine 10-tägige Kostenlose Testversion! ] [Verstoß gegen Klarheit ist] ein wirklich guter Einstieg in ein sehr Komplexes problem.

Ich Sprach mit Van Dyke, und er ist leidenschaftlich über das Thema und hat zusätzliche persönliche motivation, um die Welt zu verbessern. Das ist eine gute Sache und ich bin froh, dass er an dem problem arbeiten.

Verstoß gegen Klarheit ergänzt HaveIBeenPwnd

Ich würde gerne sehen, ein feature, wo jede person könnte Ihre eigenen Namen ein und sehen Sie alle Informationen, die gestohlen wurde, über Sie, von dem, was Unternehmen und wenn. Das wäre ein sehr harter Brocken für jedermann zu ziehen, weil es keine zentralen öffentlichen (oder auch privaten) Datenbank, die tracks, die Verstöße von einzelnen Namen. Das wäre der Heilige Gral.

Wenn ich weiß, dass meine Daten verletzt wurde, von so-und-so ein Unternehmen kann ich gehen, um Jim ‘ s Seite und sehen, welche Informationen aufgenommen und erhalten eine relative Risiko-score. Viele Male haben wir keine Kenntnis von Datenschutzverstößen, die mit unseren Informationen. wenn ich ging zu Troy Hunt ‘ s HaveIBeenPwnd Ort, war ich schockiert, wie viele Male meine E-Mail-Adresse aufgeführt war, als kompromittiert wurde. (Hinweis: Hunt setzt seine fantastische Website zum Verkauf angeboten. Ein großes Lob an die glücklichen Käufer und vielen Dank, Troy, dass er uns einen Ort, um herauszufinden, wie viele Male unsere einzelnen Datensätze kompromittiert wurden.)

Was wir brauchen, ist eine Kombination aus der Verletzung Klarheit und HaveIBeenPwnd services verschmolzen miteinander, zusammen mit einem öffentlich bekannten Algorithmus, der zeigt, wie die verschiedenen Schweregrade der Verletzung ermittelt wurden. Ich möchte klarstellen, dass ein wirklich geringes Risiko “Verletzung” wie verlassen Datensätze hinter einem alten office ist bei weitem nicht so riskant wie, wenn ein schlechter Kerl nimmt mit meinen persönlichen Daten. Die Absicht der Angreifer, wenn bekannt ist, muss ein Teil der Gleichung.

Ich bin erfreut zu sehen, Fortschritte auf eine bessere Risiko-ranking von Verstößen gegen die Datensicherheit. Diese neuen und sich entwickelnden Dienste sind nicht weit verbreitet, aber Sie sind Schritte in die richtige Richtung. Ich wünschte, die Van Dykes und Jagt der Welt mehr Erfolg. Wir brauchen diese Art von Menschen dort, die unsere Fürsprecher.

Mehr über hacks und Verletzungen:

  • Die 16 größten Daten Verletzung des 21sten Jahrhunderts
  • Die Ziel-Daten-Verletzung-Siedlung setzt einen niedrigen Balken für die Industrie-Sicherheits-standards
  • Zwei Jahre nach der OPM-Datenpanne: Was Behörden tun müssen, jetzt
  • Hymne: Wie funktioniert eine Verletzung wie diese passieren?
  • Lehren aus der Heartland Payment Systems data breach redux

Diese Geschichte, “Eine neue website erklärt data breach risk” wurde ursprünglich veröffentlicht von