日期违规:疯狂的持续

2009年,Identity盗窃资源中心记录了498年的违规行为,少于2008年的657年,超过2007年的446。

数据漏洞是否增加或减少?这是没有人可以回答的问题。直到有需要强制性公开报告的单个数据违约目表,这一事实不会改变。有一些违约,没有公开报告,一些国家律师不允许公众访问报告的违规行为,我们怀疑任何人都可以回答上述问题。

当我们允许创建法律时需要违规报告但不披露,并为不合规提供最小的执法或处罚,我们可以预期缺乏公开披露。计数违规成为疯狂的运动。

ITRC通过各种政府机构的可靠媒体和通知列表收集有关数据违规的信息。 2009年发生了违规行为,从未发出公共消息。如果没有答案,ITRC使用百分比,而不是专注于毫无疑问的问题,以分析今年记录的498次违规行为正在寻找任何变化或新趋势。

主要亮点是:

  • 纸张违规占近26%的已知违规行为(超过2008年增加46%)
  • 2006年至2009年,商业部门从21%攀升至41%,最糟糕的行业表现
  • 恶意攻击在三年内首次超过人为错误
  • 在498个违规中,只有六只报告他们拥有加密或其他强的安全功能,保护公开的数据。

2009年,商业部门增加到所有公开报告的违规行为的41%。虽然其他部门有一些小统计变化,但业务连续第五年继续增加。金融和医疗产业,也许是由于严格的规定,保持了最低的违规百分比。

ITRC Bracal报告于2009年录得超过22200多万潜在损害的记录。其中,200万元,归因于两个非常大的违规行为。然而,在痴迷于记录计数之前,应该意识到超过52%的违规行为报告,没有给出曝光的记录数量的陈述。因此,未知在2009年违规行为可能已经暴露了多少条记录。

ITRC Breacal报告还监测违规程度。通过(公开)提供的信息大约为1/3的违规行为,这项任务是更加困难的。对于剩下的,那些确实发生违规行为的活动,恶意攻击(黑客+内幕盗窃)已经在2009年夺取了人为错误(移动+意外暴露的数据= 27.5%)。

这是前几年的变化,人类错误高于恶意攻击。这种改变的一个理论是,犯罪戒指的组织和复杂性已经影响了信息的盗窃。例如,虽然HeartlandBreac区只是一个违规行为,但它证明了熟练的技术盗贼可以从600多种不同的实体获得1.3亿次记录。

精神错乱可能被定义为一次又一次地重复相同的行动,并期待不同的结果。考虑到这一点:

精神错乱1– 电子违规: 毕竟关于黑客攻击的文章以及违规的不断增长的成本,为什么是NON’T加密用于保护个人识别信息?专有信息几乎总是受到很好的保护。为什么不是我们的客户/消费者个人识别信息(PII)?

精神错乱2.– 纸张违规: Why aren’如果他们含有pii,则在处理纸质文件之前通过换纸文件的更多国家立法者?我们敢要求这些法律实际上是可执行的吗?也许我们正在等待纸张违规达到总数的35%。

精神错乱3.– 违规事件发生: 处理它!你会得到通知信。违规通知并不等于身份盗用。让’s stop the “blame game”而是要求违反实体通过单一的公共网站报告违规事件。这将允许分析师(和执法)来寻找趋势和将犯罪的趋势和链接到单戒指或黑客更快。

精神错乱4.– 违规是违规行为: Let’不是孩子自己。“Risk of harm”不是一个有用的标准,用于确定是否应通知违约行为,特别是如果涉及的公司才能定义“risk of harm.”如果是您在互联网上出现的#$ @%2 SSN,您认为有吗?“risk of harm?”有些公司可能会说“no.”

精神错乱5.– 移动数据: 您会注意到统计上这是一个亮点,过去3年的发病率降低。但是,真的!这是100%可避免的,无论是通过使用加密,还是其他安全措施。笔记本电脑,便携式存储设备和短公文包充满了档案,在工作场所之外,仍然是“违背等待发生。”使用分层权限,截断,缩减和其他录制工具,PII可以留下它所属的位置–在工作场所的加密墙壁后面。

分享这个