CONTENTS
- 1. Взлом личной информации | Обзор и структура инцидента с утечкой информации Duo 430 000
- - утечка информации
- - Характеристики структуры данных информационного бизнеса о браке
- 2. Взлом личной информации | Структура утечки персональной информации и объем ответственности руководства
- - Сбои внутреннего контроля и ограничения технических гарантий
- 3. Взлом личной информации | Основные обязательства и структура нарушений в соответствии с Законом о защите личной информации
- - Нарушение обязательств по технике безопасности
- - Нарушение обязательств по уведомлению и отчетности о нарушениях
- - Нарушение ограничений на обработку регистрационных номеров резидентов
- 4. Взлом личной информации | Стандарты определения корпоративной ответственности
- - Учтенные факторы
- - Структура корпоративного риска и характер расширения
- 5. Взлом личной информации | Стратегия корпоративного реагирования
- - Контрольный список корпоративного реагирования
- - Стратегия юридической фирмы Дэрюн
1. Взлом личной информации | Обзор и структура инцидента с утечкой информации Duo 430 000
Инцидент со взломом личной информации не был прямой атакой на базу данных извне, а доступ к ней осуществлялся через внутренний терминал.
Рабочий компьютер сотрудника, работающего с личной информацией, был заражен вредоносным ПО, в результате чего были похищены данные учетной записи базы данных (БД).
После этого злоумышленник использовал эту учетную запись для прямого доступа к серверу и экспорта всех данных участников.
В этом процессе важно то, что загружаются все данные участника, а не только некоторые данные.
Подтверждено, что в сеть попала информация примерно о 427 000 человек, причем в объем входит следующая информация.
Комиссия по защите личной информации расследовала этот инцидент.Был наложен штраф в размере около 1,197 миллиарда вон и штраф в размере 13,2 миллиона вон.Я сделал это.
утечка информации
разделение | деталь |
Основная информация | Имя, дата рождения, адрес, контактная информация |
Уникальная идентификационная информация | регистрационный номер резидента |
Конфиденциальная информация | Религия, семейная история |
и т. д. | Образование, занятость, семейные отношения, физическая информация |
Кроме того, около 300 000 фрагментов информации, которые должны были быть уничтожены после окончания контракта, хранились в хранилище и также подверглись утечке.
Характеристики структуры данных информационного бизнеса о браке
Из-за характера услуги компания, занимающаяся информацией о браке, собирает различную информацию для сопоставления участников.
В отличие от обычных онлайн-сервисов, используется информация, выходящая за рамки проверки личности и включающая среду обитания и ценности человека.
• Информация, связанная с социальным статусом, например образованием, работой и активами.
• Информация о личных характеристиках, таких как религия, ориентация и т. д.
По отдельности эта информация может быть фрагментарной, но в совокупности она имеет очень высокую точность при идентификации и анализе лиц.
Другими словами, данный инцидент не является разовым взломом личной информации.Структура, в которой все данные профиля утекают наружунет, смотри.
Существует вероятность того, что такими данными можно злоупотреблять в различных формах, таких как мошенничество, индивидуальный доступ и кража личных данных, и с точки зрения компании конфиденциальность самой информации выступает фактором, расширяющим сферу ответственности.
2. Взлом личной информации | Структура утечки персональной информации и объем ответственности руководства
Ключевой вопрос в этом инциденте со взломом личной информации заключается в том, правильно ли работала внутренняя система управления для предотвращения взлома, а не сам внешний хакерский акт.
В целом ответственность компании в случае утечки личной информации оценивается не по тому, произошел ли взлом, а по тому, были ли технические и управленческие меры достаточными для предотвращения возможности взлома.
Однако в данном случае были выявлены следующие проблемы управления:
Сбои внутреннего контроля и ограничения технических гарантий
• Недостаточная система контроля доступа к базе данных.
• Недостаточный уровень шифрования регистрационного номера и пароля резидента.
Эти факторы можно рассматривать как неспособность системы внутреннего контроля функционировать в достаточной степени на протяжении всего процесса обработки личной информации, а не как техническую слабость.
В частности, доступ к базе данных не был заблокирован даже после кражи данных учетной записи через компьютер сотрудника.Системы управления правами доступа и обнаружения аномалий не были установлены должным образом.означает.
В результате данный инцидент можно оценить не как разовый инцидент, вызванный внешней атакой, а как структурную проблему, при которой внутренняя система управления и меры технической защиты не сработали совместно.
3. Взлом личной информации | Основные обязательства и структура нарушений в соответствии с Законом о защите личной информации
Ответственность компании оценивается на основании того, были ли юридические обязательства надлежащим образом выполнены на протяжении всего процесса обработки личной информации, а не на основании отдельных нарушений.
Нарушение обязательств по технике безопасности
Статья 29 Закона о защите личной информации предусматривает, что обработчики личной информации принимают технические и управленческие меры защиты для предотвращения утечки личной информации.
Сюда входит управление правами доступа, настройка процедур аутентификации, мер шифрования и т. д.
В этом инциденте было подтверждено, что количество неудачных попыток аутентификации не ограничено, а контроль доступа к базе данных также недостаточен.
Кроме того, уровень шифрования паролей и номеров социального страхования оказался недостаточным.
Нарушение обязательств по уведомлению и отчетности о нарушениях
Статья 34 Закона о защите личной информации предусматривает, что в случае утечки личной информации компания должна уведомить субъекта информации и сообщить об этом в надзорный орган в течение 72 часов, если она превышает определенный стандарт.
Однако в данном случае было подтверждено, что даже после выявления утечки сообщение в установленный срок не было сделано, а уведомление субъекта информации было задержано.
Нарушение ограничений на обработку регистрационных номеров резидентов
Статья 24-2 Закона о защите личной информации запрещает сбор и обработку регистрационных номеров резидентов в принципе и допускает исключения только при наличии явных юридических оснований.
В случае брачных брокерских компаний было отмечено, что существует проблема со сбором и хранением регистрационных номеров резидентов, несмотря на отсутствие четкой правовой основы для сбора такой информации.
Это показывает, что независимо от того, установлен ли срок хранения, если фактические процедуры уничтожения не реализованы, все данные могут быть преобразованы в юридический риск.
4. Взлом личной информации | Стандарты определения корпоративной ответственности
В случае взлома личной информации ответственность компании заключается в том, в какой степени обработчик личной информации фактически реализовал необходимые меры защиты.
В частности, комплексно учитываются следующие факторы:
Учтенные факторы
• Объем и масштаб утечки информации
• Уровень контроля доступа и системы внутреннего управления.
• Были ли внедрены процедуры отчетности и уведомления после утечки?
В подобных случаях, когда учитываются семейная история, семейные отношения, занятость и экономическое положение человека, конфиденциальность информации может быть высоко оценена, и объем ответственности, которую несет компания, также может соответственно расшириться.
Кроме того, даже при наличии внутренних стандартов обработки личной информации или политики безопасности трудно сказать, что обязательства руководства выполнены, если стандарты не функционируют должным образом в реальном процессе работы.
В результате определение ответственности за инцидент со взломом личной информации более важно, чем вопрос о том, произошла ли утечка самой информации.Характеристики основывались на том, действительно ли работала заранее созданная система управления.Это видно.
Структура корпоративного риска и характер расширения
Первоначально налагаются административные санкции в виде штрафов и штрафов, но это обычно приводит к искам о возмещении ущерба, а когда это сочетается с ущербом корпоративному имиджу и бегством клиентов, реальный масштаб потерь еще больше расширяется.
шаг | Детали риска |
Шаг 1 | Административные санкции, такие как штрафы и пени |
Шаг 2 | Претензии о возмещении ущерба и групповые споры |
Шаг 3 | Падение репутации и отток клиентов |
Шаг 4 | Дополнительное регулирование и усиленный надзор |
В частности, если включены конфиденциальная информация и данные профиля, как в этом инциденте, риск, вероятно, быстро увеличится после этапа 2.
Кроме того, если подтвердится задержка с уведомлением об утечке или недостаточная система внутреннего управления, это может повлиять не только на размер штрафов, но и на объем гражданской ответственности.
В результате инциденты взлома личной информации необходимо понимать как структуру, в которой в цепочке возникают административные, гражданские и бизнес-риски.
5. Взлом личной информации | Стратегия корпоративного реагирования
Этот инцидент со взломом личной информации представляет собой случай, когда ответственность компании лежит на том, функционирует ли внутренняя система управления, а не на самой внешней атаке.
Соответственно, компании обязаны структурно проверять весь процесс обработки личной информации.
В частности, важно подтвердить, что система управления на каждом этапе, начиная со сбора, хранения, доступа, уничтожения и реагирования на утечки личной информации, действительно работает.
Контрольный список корпоративного реагирования
разделение | Проверить элементы |
Сбор личной информации | Собираем ли мы только минимальный набор информации, необходимый для предоставления услуг? |
Обработка уникальной идентификационной информации | Проверьте, собирается ли и на каком основании юридически ограниченная информация, такая как регистрационный номер резидента, собирается и хранится |
контроль доступа | Действует ли внутренняя система управления правами доступа сотрудников и систем? |
система безопасности | Стоит ли создавать процедуры аутентификации, шифрования и системы обнаружения вторжений |
Удержание и уничтожение | Осуществляется ли фактический порядок уничтожения информации, срок хранения которой истек |
Реакция на утечку | Будет ли создана система отчетности и уведомления субъектов информации в течение 72 часов |
внутреннее управление | Действительно ли действуют стандарты обработки персональной информации и процедуры внутреннего контроля? |
Стратегия юридической фирмы Дэрюн
Инциденты взлома личной информации характеризуются тем, что объем ответственности компании варьируется в зависимости от того, установлена ли система проактивного управления, а не реагирования после инцидента.
Кроме того, в случае утечки одновременно могут возникнуть административные санкции, ущерб и репутационные риски, поэтому необходима комплексная юридическая проверка.
Юридическая фирма Дэрюн предоставляет практические юридические консультации по общей структуре корпоративной обработки личной информации, основываясь на своем опыте в области защиты личной информации, соблюдения требований к данным и реагирования на корпоративные споры.
▶ Проверить законность уникальной идентификационной информации и структуры обработки конфиденциальной информации и определить меры по улучшению.
▶ Анализ юридических рисков системы внутреннего контроля доступа и управления безопасностью
▶ Установить стратегии отчетности/уведомления и реагирования для надзорных органов в случае утечки личной информации.
▶ Создание системы предварительной диагностики рисков и реагирования на возмещение ущерба и возможность возникновения споров
При необходимости проверки структуры обработки персональной информации или выработки стратегии реагирования на утечки 🔗корпоративный юристПожалуйста, продолжите предварительную проверку через .
