Изтичане на лични данни - наръчник как да замажем положението

През последните дни данните на повече от милиард потребители на социалните мрежи изтекоха, но големите технологични компании не виждат вината, пише в коментар европейското издание Politico. Първо беше Facebook, а след това LinkedIn и Clubhouse.

Ако си мислите, че това е проблем, социалните мрежи имат друго мнение, пише още изданието. От Clubhouse например твърдят, че изтеклите данни са така или иначе публични и всеки има достъп до тях.

LinkedIn също използва тази тактика, обяснявайки че изтеклите данни за над 500 млн. потребители (пълните имена, имейли и телефонни номера) са публични и реално няма пробиви в сигурността на системата им.

За Facebook важното е, че изтеклите данни на 533 млн. потребители, сред които и европейски високопоставени чиновници, не са в резултат от хакване на сървърите им, а от извличане от платформата им още през септември 2019 година.

На базата на обясненията на технологичните гиганти Politico е изготвило и кратък наръчник какво трябва да направим, ако изтекат данни на потребителите, съхранявани от компанията ни.

На първо място: Разбира се, кажете, че това е публична информация

Имената са публична информация, телефонните номера присъстват в множество бази данни.

Има един малък проблем - чисто правно при изтичането на данни няма значение видът на информацията. Според европейските директиви изтичането на данни представлява "нарушение на сигурността, водещо до случайно или незаконно унищожаване, загуба, изменение, неразрешено разкриване или достъп до лични данни, предавани, съхранявани или обработвани по друг начин". Не се споменава дали информацията е публична, или не.

Втората стъпка е: Не казвайте на регулаторите (и определено никога на потребителите)

Ако няма изтичане на данни, то тогава няма и какво да коментирате с регулаторите. Защо да си докарвате допълнителни проверки? За съжаление обаче някои регулатори се самосезират и започват да проверяват такива случаи - например в Италия вече анонсираха за проверка на случая с LinkedIn.

Трето: Игнорирай, игнорирай

А защо просто не кажете, че нищо не се е случило?

Или четвърто: Обвини служител или най-добре бивш служител

Обикновено тактиката, когато започнат разследванията на регулаторите, е да се открие виновникът в лицето на служител или още по-добре - бивш ядосан служител. Това направи SolarWinds през миналата година. Оказа се, че сървърите на компанията са защитени с паролата "solarwinds123", а изпълнителният директор обясни по време на изслушване в Конгреса, че това е грешка на един от служителите. Човекът е бил изморен и е тествал системата, каза още Кевин Томпсън.

Пета стъпка: При изтичане на данни кажете, че те не са пълни или се интерпретират грешно

Не винаги при изтичане на данни става въпрос за информация за потребители. През януари 2021 година станаха публични имейли, разменени между служители в Европейската агенция по лекарствата (EMA) и Pfizer/BioNTech. От тях става ясно за оказван натиск агенцията да даде по-бързо разрешение за използване на ваксината на компанията срещу коронавируса.

От ЕМА заявиха, че информацията е непълна и някои от фактите в изтеклите имейли не се интерпретират правилно.

И ако все пак системата е хакната, то обяснете колко сложно е станало всичко

През 2015 г. TalkTalk беше жертва на хакерска атака и изтекоха данни на хиляди нейни клиенти. Компанията обясни, че е била жертва на "сложна атака", но регулаторът във Великобритания не се повлия от това обяснение и наложи санкция, защото компанията не е направила достатъчно за защита на базите си, които са били "пробити с лекота".