Đừng để sự cường điệu đến với bạn
Vi phạm dữ liệu là các sự kiện mà thông tin được lấy từ một hệ thống mà không có kiến thức của chủ sở hữu hệ thống, và thường là không có chủ tài khoản cũng biết về nó.
Loại thông tin được thực hiện phần lớn phụ thuộc vào mục tiêu vi phạm dữ liệu, nhưng trong quá khứ, thông tin đã bao gồm thông tin sức khỏe cá nhân; thông tin nhận dạng cá nhân , chẳng hạn như tên, mật khẩu, địa chỉ và số an sinh xã hội; và thông tin tài chính, bao gồm thông tin ngân hàng và thẻ tín dụng.
Mặc dù dữ liệu cá nhân thường là mục tiêu, nhưng không phải là loại thông tin duy nhất mong muốn. Bí mật thương mại, quyền sở hữu trí tuệ và bí mật của chính phủ được đánh giá cao, mặc dù các vi phạm dữ liệu liên quan đến loại thông tin này không làm cho tiêu đề hoàn toàn thường xuyên như những thông tin liên quan đến thông tin cá nhân.
Các loại vi phạm dữ liệu
Thông thường chúng ta nghĩ về một sự vi phạm dữ liệu xảy ra bởi vì một số nhóm tin tặc bất hợp pháp thâm nhập vào cơ sở dữ liệu của công ty bằng cách sử dụng các công cụ phần mềm độc hại để khai thác bảo mật hệ thống yếu hoặc bị xâm nhập.
Tấn công được nhắm mục tiêu
Mặc dù điều này chắc chắn xảy ra và là phương pháp được sử dụng trong một số vi phạm nổi tiếng nhất, bao gồm vi phạm dữ liệu Equifax vào cuối mùa hè năm 2017, dẫn đến hơn 143 triệu người bị mất cắp thông tin cá nhân và tài chính của họ hoặc 2009 Hệ thống thanh toán Heartland, một bộ xử lý thẻ tín dụng có mạng máy tính bị xâm phạm, cho phép tin tặc thu thập dữ liệu trên hơn 130 triệu tài khoản thẻ tín dụng, nó không phải là phương pháp duy nhất được sử dụng để có được loại thông tin này.
Công việc nội bộ
Một số lượng lớn các vi phạm an ninh và việc lấy dữ liệu công ty xảy ra từ bên trong, bởi các nhân viên hiện tại hoặc nhân viên mới phát hành, những người duy trì kiến thức nhạy cảm về cách mạng và cơ sở dữ liệu của công ty hoạt động.
Vi phạm ngẫu nhiên
Các loại vi phạm dữ liệu khác không liên quan đến bất kỳ loại kỹ năng máy tính đặc biệt nào, và chắc chắn không phải là ấn tượng hay đáng kinh ngạc. Nhưng chúng chỉ xảy ra mỗi ngày. Hãy xem xét một nhân viên y tế có thể vô tình xem thông tin sức khỏe của bệnh nhân mà họ không được phép xem . HIPAA (Đạo luật về trách nhiệm giải trình và trách nhiệm bảo hiểm sức khỏe) quy định ai có thể xem và sử dụng thông tin sức khỏe cá nhân và việc xem ngẫu nhiên các hồ sơ đó được coi là vi phạm dữ liệu theo tiêu chuẩn HIPAA.
Vi phạm dữ liệu có thể xảy ra, sau đó, dưới nhiều hình thức, bao gồm việc tình cờ xem thông tin sức khỏe cá nhân, nhân viên hoặc cựu nhân viên với thịt bò với chủ nhân, cá nhân hoặc nhóm người dùng sử dụng công cụ mạng, phần mềm độc hại và kỹ thuật xã hội được truy cập bất hợp pháp vào dữ liệu của công ty, gián điệp của công ty tìm kiếm bí mật thương mại và gián điệp của chính phủ.
Cách vi phạm dữ liệu xảy ra
Vi phạm dữ liệu xảy ra chủ yếu theo hai cách khác nhau: một vi phạm dữ liệu có chủ đích và một sự cố không chủ ý.
Vi phạm không chủ ý
Vi phạm không chủ ý xảy ra khi người dùng được ủy quyền của dữ liệu mất quyền kiểm soát, có lẽ do có một máy tính xách tay có chứa dữ liệu bị thất lạc hoặc bị đánh cắp, sử dụng các công cụ truy cập hợp pháp theo cách để cơ sở dữ liệu tiếp xúc với người khác. Hãy xem xét các nhân viên người đứng đầu để ăn trưa, nhưng vô tình để lại trình duyệt web của họ mở trên cơ sở dữ liệu của công ty.
Vi phạm không chủ ý cũng có thể xảy ra kết hợp với một vi phạm cố ý. Một ví dụ như vậy là việc sử dụng mạng Wi-Fi được thiết lập để bắt chước giao diện của kết nối doanh nghiệp . Người dùng không nghi ngờ có thể đăng nhập vào mạng Wi-Fi giả mạo, cung cấp thông tin xác thực đăng nhập và thông tin hữu ích khác cho một lần hack trong tương lai.
Cố ý vi phạm
Vi phạm dữ liệu có chủ ý có thể xảy ra khi sử dụng nhiều kỹ thuật khác nhau, bao gồm cả truy cập vật lý trực tiếp. Nhưng phương pháp thường được đề cập trong tin tức là một dạng tấn công mạng, nơi kẻ tấn công nhúng một số phần mềm độc hại vào máy tính hoặc mạng của mục tiêu cung cấp quyền truy cập cho kẻ tấn công. Khi phần mềm độc hại được đặt ra, cuộc tấn công thực sự có thể xảy ra ngay lập tức hoặc kéo dài hơn vài tuần hoặc vài tháng, cho phép kẻ tấn công thu thập càng nhiều thông tin càng tốt.
Bạn có thể làm gì
Kiểm tra xem liệu xác thực hai yếu tố (2FA) có sẵn không và tận dụng lợi thế của bảo mật tăng lên mà nó cung cấp.
Nếu bạn cho rằng thông tin của mình có liên quan đến một sự cố, hãy lưu ý rằng luật thông báo vi phạm dữ liệu thay đổi theo từng tiểu bang và xác định trong điều kiện nào khách hàng phải được thông báo. Nếu bạn tin rằng bạn là một phần của vi phạm dữ liệu, hãy liên hệ với công ty có liên quan và yêu cầu họ xác minh xem thông tin của bạn có bị xâm phạm hay không và họ dự định làm gì để giảm bớt tình huống.