数据保护程序和基础社会工程的不良实施可以为身份窃贼创造一个完美的竞争环境。
通用数据保护法规(GDPR)授予个人(数据主体)访问其组织(数据控制者)处理或持有的个人数据的权利。在最近的一项实验中,牛津研究员Pavur先生向150个组织提出了数据主题访问请求(DSAR)。
问题在于,他正在坚持自己成为他的合作伙伴并且正在寻求公司的个人数据(当然是她的许可)。他发现,旨在保护他人无法检索我们的个人数据的法律实际上促进了身份盗用。
Pavur先生进行了一些欺骗性但简单的技术或“社会工程”,以获取他的伴侣的个人数据。
Pavur先生的调查结果
四分之一的公司向Pavur先生的合作伙伴提供了个人数据。在这些回复中:
24%仅接受电子邮件地址和电话号码作为身份证明信息;
16%的人要求提供易于伪造的身份证明信息; 和
3%的人刚刚删除了他的合伙人的账户。
总的来说,大公司表现良好并进行了适当的检查。科技公司表现特别好。小型企业通常忽略了这些请求,中型企业了解GDPR但没有专业知识或资源来处理请求,但实验失败了。
5%的美国组织也表示他们不负责遵守GDPR。但是,GDPR适用于持有和处理居住在欧盟的个人数据的所有组织,无论该组织位于何处。如果组织提供商品或服务或监控欧盟数据主体的行为,它也将适用。
重大个人数据泄露事件
以下是向Pavur先生提供的数据泄露和个人数据的一些示例:
一家广告公司在互联网上发布了DSAR请求信。这构成了数据泄露本身;
另一个组织给了Pavur先生10位数的合伙人信用卡,到期日,发行人以及她过去和现在的地址; 和
一家美国公司提供了历史性的犯罪背景调查结果。
时限
GDPR立法规定组织在收到请求后一个月内回复DSAR,或者,如果稍后,在收到任何请求的信息后一个月内澄清请求或确认请求者的身份。如果在收到请求后一个月内通知个人,由于请求的复杂性和数量,时间限制可以再延长两个月。
根据Pavur先生的说法,一个月的时间限制导致一些公司几乎感到恐慌,并且由于担心不能及时遵守请求而导致ID检查受到损害。未能处理DSAR可能会向信息专员官员(ICO)提出投诉,或者向法院申请合规订单。
意识到社会工程策略
该实验还强调,那些负责处理DSAR的人没有经过充分培训或了解网络钓鱼和社会工程技术。这使得简单形式的身份盗窃很容易在公司上进行,这些公司主要关注在一个月的时间限制之前用完时处理请求。
在保护个人数据和响应DSAR之间取得平衡
这个实验突出的主要困难是在迅速回应DSAR并确保该人是他们所说的人之间取得平衡。
如果您对自己的身份有疑问,可以向个人索取更多身份证明文件。然而,ICO声明您只能要求提供信息以确认他们是谁,并且关键是“比例性”。遗憾的是,GDPR没有规定哪些形式的身份证明是可以接受的,但是对雇主施加了一般义务,即“使用所有合理的措施来验证制定DSAR的个人的身份”。
组织应该从这个实验中得到什么?
确保对提出请求的人员进行正确的身份证检查,并且只接受合法形式的身份证件。
当您收到DSAR时,请制定相应的程序。指定应向其推介DSAR的人员或团队。
如果您有疑虑,请不要害怕要求提供进一步的身份证明文件。收到任何请求的身份证明文件后,您就会开始回复DSAR,但如果您需要其他信息,则必须尽快告知此人。
在检测DSAR方面为员工提供适当的培训。电子邮件或信件的标题并不总是包含“数据主题访问请求”标题。请求可能更加离散。
必要时寻求建议。GDPR很复杂,处罚可能很严厉,更不用说因不遵守法律而遭受的声誉损害。
点击此处,查看《全球:通用数据保护法规(GDPR)合规性要求》
为更好的服务中国客户走出国门,揽阁信息专门整理全球各国各地区的信息安全合规性要求。
欢迎您与揽阁信息联系并沟通,获取更多满足合规要求的信息安全产品与解决方案。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!