Aujourd'hui marque l'un des jours les plus importants du calendrier pour les professionnels de la data – Data Privacy Day!
Alors que nous entrons dans les années 2020, jetons un coup d'œil sur les échecs de la confidentialité des données qui ont façonné la décennie précédente – et ce que nous avons appris d'eux – afin que nous puissions nous assurer que les 10 prochaines années se souviendront de défendre la grandeur de la confidentialité des données et de produire une décennie de la vie privée gagne.
Sommaire
1. Les échecs de confidentialité des données se sont produits dans les endroits les plus inattendus…
Imaginez-vous acheter un vibrateur connecté via Bluetooth contrôlé par application pour pimenter votre vie amoureuse lorsque votre partenaire n'est pas en ville. Tout est amusant et jeu jusqu'à ce que vous découvriez que votre partenaire ne le contrôle pas … il est en fait piraté par un parfait inconnu.
Croyez-le ou non, cela s'est réellement produit en 2016, lorsqu'il a été découvert que toute personne disposant d'une connexion Bluetooth pouvait détourner certains jouets sexuels et les contrôler en raison de leur manque total de protection de sécurité.
Et si ce n'est pas assez rebutant, il s'est avéré que la société collectait et stockait les données personnelles collectées par l'application du vibreur – sans le consentement de leurs utilisateurs. L'application a suivi la température et l'intensité des vibrations des jouets lorsqu'ils sont associés à elle.Ainsi, la société s'est retrouvée avec de gros fichiers de données qui détaillaient les besoins exacts de stimulation sexuelle de leurs clients.
Il y a certainement trop d'informations …
Les vibrateurs ne sont pas les seuls objets inhabituels qui ont été piratés au cours de la dernière décennie. En 2017, des cybercriminels ont réussi à pirater un casino en Amérique du Nord grâce à son aquarium connecté à Internet!
L'aquarium dans le hall était équipé d'un thermomètre intelligent pour réguler la température du réservoir. C'est grâce à cet appareil que les pirates ont pu exploiter une vulnérabilité et prendre pied dans le réseau. Une fois là-bas, ils ont réussi à accéder à la base de données de joueurs élevés et à la retirer à travers le réseau, sortir du thermostat et monter dans le cloud. On pourrait dire, ils sont allés pêcher …
Qu'avons-nous appris?
Les gens devraient pouvoir acheter des objets aussi personnels que des vibrateurs et aussi inoffensifs que des aquariums en toute sécurité. Il est tout simplement étonnant qu’un vibreur soit resté si peu sûr lorsque le risque d’agression était si évident. Et il était encore pire que la société se comporte de manière si envahissante qu'elle capture ces données personnelles sans consentement. Alors que vous pourriez faire valoir que le casino aurait dû savoir mieux que de mettre un aquarium intelligent à l'intérieur de son périmètre de sécurité, le risque d'exploiter une vulnérabilité pour accéder à d'autres systèmes est bien connu depuis des années, et le fabricant de l'aquarium ne devrait tout simplement pas ont mis ses clients à un tel risque.
Alors que l'Internet des objets continue de se développer, davantage d'appareils commenceront à être mis en ligne, et ces appareils prendront de nombreuses formes et tailles. Il est essentiel que les fabricants de ces appareils suivent un modèle de confidentialité dès la conception et garantissent que la confidentialité et la sécurité sont intégrées dans les produits dès le début du cycle de vie du développement – et non clouées à la fin. Il est beaucoup moins compliqué de penser à la confidentialité des données au début et de l'intégrer dans un produit, que de corriger les failles de sécurité ultérieurement – si cela est même possible.
L'adoption de la technologie IoT signifie que les cybercriminels peuvent être plus imaginatifs avec leurs attaques de cybersécurité, et ces incidents rappellent de façon convaincante que les appareils IoT sont vulnérables au piratage ou à la compromission. Le problème se produit souvent lorsque les fabricants se concentrent uniquement sur les performances et la convivialité des appareils IoT et ignorent les mesures de sécurité et les mécanismes de chiffrement. Des protocoles de cybersécurité simples tels que l'authentification via OAuth, un stockage sécurisé, des tests de pénétration et des audits réguliers devraient être standard pour les appareils connectés à Internet.
Il est également important pour les consommateurs de se rappeler que tout objet, aussi anodin soit-il, qui puisse se connecter à Internet peut être piraté. Soyez vigilant, gardez vos systèmes d'exploitation et vos logiciels à jour, utilisez des mots de passe forts et, si possible, gardez Internet des objets séparés des données importantes.
2. L'échec de la confidentialité des données qui a empêché Harry d'avoir son nom de famille sur son livre scolaire…
Personne ne veut perdre son identité, mais une lecture trop enthousiaste du RGPD en 2019 a presque conduit à cela. Une école primaire a interdit l'utilisation du nom de famille des enfants sur les manuels scolaires, afin de se conformer à (leur perception des) règlements GDPR.
La situation bizarre a conduit un jeune garçon, connu sous le nom de Harry Szlatoszlavek, à être étiqueté «Harry2» par ses camarades de classe. «Harry2» a même reçu une carte de Noël d'un autre garçon qui disait: «À Harry2 de Jack2.», Et la mère de Harry a affirmé que l'école essayait de lui enlever son identité.
Le chiffre a été utilisé pour que les enseignants puissent faire la différence entre Harry et un autre garçon de sa classe, également appelé Harry. L'école pensait que l'utilisation de noms de famille sur les cahiers de travail des enfants serait contraire à la réglementation du RGPD, par exemple si les livres devaient être retirés de la salle de classe le soir des parents, alors ils ont choisi d'interdire complètement les noms de famille.
Cependant, un porte-parole du Commissariat à l'information a clarifié les choses: "Bien que la loi sur la protection des données accorde un statut spécial aux données des enfants, elle n'empêche pas que le nom complet d'un enfant soit inscrit sur un manuel scolaire."
Qu'avons-nous appris?
Il est important d'éduquer tous les employés sur les règles de confidentialité – en particulier si vous manipulez régulièrement des données de catégories spéciales ou des données personnelles appartenant à des enfants. Les erreurs peuvent être tout aussi graves lorsqu'elles poussent les organisations à aller trop loin dans la confidentialité que lorsqu'elles ne vont pas assez loin.
Il peut également être utile de disposer d'un soutien spécialisé pour répondre aux questions et vérifier que les décisions sont appropriées. Toutes les organisations n'ont pas besoin d'avoir des responsables de la protection des données en place pour ce faire, mais chaque organisation doit réfléchir à la manière dont elle obtiendra les bons conseils en matière de confidentialité lorsqu'elle en aura besoin. Comme le montre ce cas, les identités peuvent être perdues de plusieurs manières.
3. L'échec de la confidentialité des données qui a tenté d'ignorer l'ICO
Avec tout incident de confidentialité des données, la seule personne que vous ne voulez vraiment pas vraiment prendre du mauvais côté est le Commissaire à l'information. Et l'ignorer est un très bon moyen de faire exactement cela.
En mai 2018, quelqu'un a soumis une demande d'accès au sujet (SAR) à Hudson Bay Finance. Il a été ignoré. Après une période d'environ 5 mois, n'ayant toujours pas eu de nouvelles de la société, la personne a signalé l'incident à l'ICO – qui a ensuite tenté de contacter la société afin de lui faire terminer le SAR.
L'OIC a écrit plusieurs lettres à Hudson Bay Finance, qui ont ensuite été marquées comme «retour à l'expéditeur». Ils ne les ont pas simplement ignorés, ils ont activement retourné leurs lettres – l'audace!
Ils ont également raccroché plusieurs fois lorsque l'ICO a tenté d'appeler pour discuter du SAR et a finalement cessé de répondre. Sans surprise, cela ne s'est pas bien passé et a conduit à la dénomination et à la honte de Hudson Bay Finance sur le site Web de l'OIC et à un avis d'exécution. Ce que je présume que l'entreprise n'a pas ignoré, car il s'agit d'une infraction pénale …
Qu'avons-nous appris?
Ignorer l'ICO n'allait jamais être une bonne idée.
Les SAR peuvent être un véritable casse-tête et compliqués à réaliser, surtout si vous traitez beaucoup de données personnelles. Cependant, c'est une raison de plus pour vous assurer que vous disposez des processus appropriés afin de pouvoir les gérer efficacement.
Il est tout aussi important de former tout votre personnel afin qu'il puisse reconnaître un SAR et réagir en conséquence. De plus, une fois que vos protocoles sont en place, c'est une bonne idée de faire appel à une entreprise externe qui peut les tester régulièrement pour s'assurer que vos processus fonctionnent. Les RAS sont souvent liés à une plainte ou à une préoccupation et doivent donc être pris très au sérieux.
4. L'échec de la confidentialité des données qui ne comprenait pas pleinement le concept d '«anonymisation»…
Diriez-vous que votre numéro de mobile est un assez bon identifiant de vous? Une compagnie de taxi danoise ne le pensait pas. À l'automne 2018, Taxa 4×35 a été condamné à une amende de 1,2 million de DKK pour avoir «anonymisé» des données personnelles, ce qui semble inattendu, jusqu'à ce que vous découvriez leur méthode d'anonymisation, c'était de conserver les numéros de téléphone personnels des gens et simplement d'effacer leurs noms. Cela signifiait que les informations sur les trajets en taxi du client (y compris les historiques de localisation) pouvaient toujours être retracées jusqu'au client via le numéro de téléphone et que les informations étaient identifiables pendant trois ans de plus que nécessaire.
Qu'avons-nous appris?
Les données ne deviennent anonymes que lorsqu'elles ne peuvent plus être associées à un individu, même en combinaison avec d'autres données. C'est très difficile à réaliser dans la pratique et Taxa 4×35 n'est pas la seule entreprise à confondre les données «anonymes» avec les données «pseudonymes».
Les taxons 4×35 étaient également tombés dans le piège de publier un avis de confidentialité conforme à la loi, mais ne reflétant pas ses pratiques réelles. S'il avait correctement identifié les périodes de conservation appropriées pour les données, ses systèmes ne lui permettaient pas d'effacer toutes les données personnelles à la fin de ces périodes. Combiné à l’incapacité de comprendre pleinement les exigences relatives aux données «anonymes», cela l’a amené à mettre un œil sur la confidentialité au lieu de se conformer à la loi et de protéger ses clients.
Que se passe-t-il lors d'une journée entre garçons au football, reste au football, non?
Pas si vous aviez l'application La Liga. À l'été 2019, la Liga a été condamnée à une amende de 250 000 € pour avoir espionné les utilisateurs de son application. Bien que l'application ait demandé la permission d'utiliser le microphone et de suivre les emplacements des utilisateurs, elle n'a pas expliqué que ces fonctions seraient activées à distance – aussi souvent qu'une fois par minute – afin d'établir si les utilisateurs regardaient des matchs dans des endroits qui ne le faisaient pas. pas les bonnes licences pour les montrer.
La société voulait s'assurer que les bars sportifs ne diffusaient pas de matchs en utilisant des forfaits câblés ou télévisés domestiques moins chers, plutôt que des abonnements commerciaux plus chers. C'était certainement une méthode sournoise pour garder un œil sur les pirates, mais comme l'a décidé le régulateur espagnol, c'était aussi une énorme violation de la vie privée.
Qu'avons-nous appris?
Les entreprises doivent être en mesure de démontrer que le traitement qu'elles effectuent est nécessaire, proportionné et équilibré par rapport à l'impact sur les individus. Dans ce cas, il est difficile de voir comment espionner les utilisateurs simplement pour protéger les revenus de la Liga pourrait répondre à ces tests.
Les nouvelles règles de confidentialité signifient désormais que le consentement doit être donné librement, spécifique, informé et sans ambiguïté. Dans ce cas, bien que la société ait demandé l'autorisation d'utiliser le microphone, elle ne savait pas clairement quelles étaient ses intentions ni comment elle envisageait de l'utiliser – le consentement n'a donc pas été informé.
Lors de la collecte et de la gestion de toute forme de données personnelles, vous devez vous assurer que vos avis de confidentialité détaillent exactement ce que vous avez l'intention d'en faire et comment vous allez les utiliser, mais sans entrer dans un long jargon qui découragera vos utilisateurs de les lire.
Si vous n'indiquez pas spécifiquement comment vous avez l'intention d'utiliser les données, c'est généralement parce que vous savez que ce que vous faites est une violation de la vie privée. Nous pourrions spéculer que la Liga n'a pas spécifiquement indiqué aux utilisateurs combien de fois elle allait accéder au microphone parce que la plupart des gens n'aiment pas l'idée d'un étranger écoutant leurs conversations privées dans le pub. Si vous ne pouvez pas être honnête avec vos clients au sujet de vos pratiques, vous ne devriez probablement pas les faire.
6. L'échec de la confidentialité des données a laissé des données de catégorie spéciale à la vue de tous…
Imaginez un parfait inconnu tomber sur vos antécédents médicaux parce qu'il a été jeté à l'extérieur d'une pharmacie pour que tout le monde puisse le voir. Cela aurait pu vous arriver si vous obtenez vos pilules auprès du dispensaire de Doorstep. Il a été constaté que la pharmacie avait déversé environ 500 000 documents dans des caisses déverrouillées, des sacs à déchets et une boîte en carton dans une cour arrière des locaux.
Ces documents comprenaient les noms, adresses, dates de naissance, numéros du NHS, informations médicales et de prescription. Sans surprise, l'ICO a infligé une amende de 275 000 £ à la pharmacie pour sa mauvaise gestion.
Qu'avons-nous appris?
Il est important de garder à l’esprit que les données ne sont pas toujours numériques, et vous devez prendre autant soin de vos documents papier que de vos fichiers numériques. Dans le cas de Doorstep Dispensaree, non seulement les dossiers papier étaient accessibles à tous ceux qui pouvaient accéder à la cour, beaucoup d'entre eux étaient gravement endommagés par l'eau, ce qui signifie que les informations dont Doorstep Dispensaree avait besoin n'étaient peut-être pas disponibles. Dans le cas des dossiers de santé, cela pourrait avoir de graves conséquences.
Si vous ne l'avez pas déjà fait, créez une politique de destruction de documents papier et assurez-vous qu'elle est complètement et clairement expliquée au personnel, tout en soulignant pourquoi ils doivent la suivre.
7. L'échec de la confidentialité des données est venu de l'intérieur …
Si vous travaillez chez le géant pétrolier Shell, vous ne voudrez probablement pas que vos coordonnées soient entre les mains de personnes totalement opposées aux activités de l'entreprise.
En 2010, un ancien employé très mécontent de Shell a envoyé par courrier électronique une base de données contenant les coordonnées de 170 000 employés de Shell à des groupes de campagne qui étaient contre les activités de l'entreprise, y compris Greenpeace et le site Web de campagne anti-Shell royaldutchshellplc.
La base de données contenait des noms, des numéros de téléphone et d'autres détails sur les employés permanents et contractuels et aurait pu avoir de graves conséquences pour ces personnes.
Qu'avons-nous appris?
Vous pouvez construire un mur, mettre en place des défenses périmétriques et dépenser d'énormes sommes d'argent pour tout entretenir. Mais si votre ennemi est à l'intérieur, ce mur ne va pas aider. Alors, comment combattez-vous un employé voyou?
Prévenir vaut mieux que guérir. Vous devriez commencer par examiner les mesures pratiques que vous pouvez prendre en relation avec les employés mécontents, dans le cadre de tout programme de conformité des données en cours. Les contrôles d'accès empêchant les individus de télécharger des ensembles de données volumineux ou d'accéder à des données sans raison commerciale valable peuvent rendre ces types de violations beaucoup plus difficiles.
Cependant, un employé qualifié et motivé peut contourner même les meilleurs contrôles. Les technologies de prévention de la perte de données sont un bon moyen de rester au courant de tout, même si vous subissez une violation de données par un employé mécontent. Des plates-formes telles que BreachTrak vous permettent de garder un œil sur vos données même lorsqu'elles quittent le bâtiment et dépassent votre contrôle direct, ce qui signifie que vous pouvez surveiller l'utilisation des données de vos employés pour les activités suspectes et agir immédiatement si vous repérez des drapeaux rouges.
8. L'échec de la confidentialité des données en révèle un peu trop…
Nous ne pouvons pas parler de violations de données sans faire référence à la violation qui a provoqué plus de visages rouges que la plupart au cours de la dernière décennie …
Ashley Madison, comme on l'appelait alors, était un site Web qui facilitait la vie des conjoints mariés. De toute évidence, cela ne convenait pas à beaucoup de gens, et cela comprenait un groupe de pirates. En 2015, l'organisation est devenue une cible et a subi une violation de sécurité massive qui a exposé plus de 300 Go de données utilisateur – y compris les vrais noms des utilisateurs, les données bancaires, les transactions par carte de crédit et les fantasmes sexuels secrets. Le pire cauchemar d'un conjoint qui triche.
Qu'avons-nous appris?
Ashley Madison savait qu'elle possédait d'énormes quantités de données personnelles très sensibles et qu'il était essentiel de les garder secrètes pour que son entreprise fonctionne. Il aurait également dû se rendre compte que son modèle commercial l'exposait à un risque accru d'attaques ciblées. Par conséquent, son évaluation des risques aurait dû lui indiquer qu'il avait besoin de pratiques de cybersécurité de pointe pour protéger la vie privée de ses utilisateurs.
Ce n'est pas ce qui s'est passé. L'utilisation par Ashley Madison du protocole de hachage MD5 pour protéger les mots de passe des utilisateurs était une erreur évidente, mais ce n'est pas la seule erreur qu'ils ont commise. L'audit ultérieur a révélé que l'ensemble de la plate-forme avait de graves problèmes de sécurité, qui n'avaient pas été corrigés car ils étaient le travail d'une précédente équipe de développement.
Les entreprises disposant de nombreuses informations sensibles doivent faire des efforts considérables pour les protéger, notamment en veillant à ce que les plans d'action pour identifier et corriger les vulnérabilités soient suivis au niveau du conseil d'administration. Il ne devrait pas être possible de perdre la trace de vulnérabilités graves simplement parce que des personnes clés ont évolué.
Vous devez également engager une entreprise externe pour tester vos mesures de sécurité via des tests de pénétration et des évaluations de vulnérabilité. Bien qu'une violation de données ne soit pas quelque chose qu'une organisation souhaite traverser, c'est quelque chose auquel vous devez vous préparer, au cas où. Il est également important de vous assurer que votre plan de réponse aux incidents inclut les communications de crise, afin de ne pas vous bousculer lorsque les pirates attaquent.
9. La confidentialité des données échoue par pure paresse …
En l'espace de six mois, un chercheur en sécurité a trouvé des milliers de fichiers provenant de dizaines d'ordinateurs, de téléphones et de lecteurs flash, dont la plupart contenaient des données personnelles de leurs anciens propriétaires. Et tout ce qu'il avait à faire était de parcourir les magasins d'occasion pour trouver des technologies remises à neuf et remises à neuf!
L'expérience a révélé à quel point la technologie mise au rebut peut être problématique. Le chercheur a acheté 85 appareils pour 650 $ et a trouvé plus de 366 300 fichiers, y compris des images et des documents. Après une analyse de chaque appareil, le chercheur a trouvé des adresses e-mail, des dates de naissance, des numéros de sécurité sociale et de carte de crédit, des données de permis de conduire et des numéros de passeport.
Cependant, ce ne sont pas seulement les téléphones et les ordinateurs qui contiennent une multitude d'informations personnelles qui doivent être éliminés. Il a été récemment porté à l’attention de la Vehicle Remarketing Association que les voitures d’occasion ont souvent encore des données de satnav et des enregistrements téléphoniques, des adresses et des numéros de téléphone personnels.
Qu'avons-nous appris?
Il est de plus en plus courant pour les organisations d'autoriser les employés à utiliser leurs propres appareils au travail, et cet échec montre à quel point cela peut être problématique. Lorsque les organisations contrôlent l'acquisition et l'élimination des appareils, elles veillent généralement (mais certes pas toujours!) À s'assurer que toutes les données personnelles sont supprimées. Cependant, lorsque les individus contrôlent leurs propres appareils, il est beaucoup plus probable qu'ils ratent cette étape essentielle. Les organisations restent responsables des données personnelles qu'elles contrôlent, quel que soit le propriétaire du matériel qui les stocke.
Les organisations doivent avoir une politique qui décrit ce qui se passe avec les téléphones portables et les ordinateurs portables lorsqu'ils ne sont plus utilisés ou qu'ils sont remis à un autre membre du personnel. Veiller à ce que l'appareil soit débarrassé de toutes les informations personnelles avant de les réinstaller est un processus que les organisations doivent mettre en place, surtout si vous ne voulez pas que ces données tombent entre de mauvaises mains. N'oubliez pas non plus que ce ne sont pas seulement les téléphones – pensez à tout ce qu'un employé a qui peut être connecté à Internet – les voitures de société doivent également respecter ce protocole.
10. La confidentialité des données échoue à cause des robots qui bouchent les oreilles…
En 2018, une femme s'est plainte à Amazon après qu'un appareil Alexa ait enregistré une conversation privée entre elle et son mari et l'ait envoyée à un numéro aléatoire dans leur carnet d'adresses – le tout sans leur permission.
Mais Alexa n'est pas le seul robot qui n'a pas été bon. Imaginez être réveillé plusieurs fois pendant la nuit par le concierge de votre hôtel. C'est ce qui est arrivé aux clients d'un hôtel au Japon.
L’hôtel a dû «licencier» la moitié de son personnel robotique car ils ne tenaient pas compte de la vie privée des clients. Le concierge dans la chambre se réveillait bruyamment en ronflant les invités car cela avait déclenché le robot pour lui demander "Désolé, je n'ai pas pu comprendre. Pourriez-vous répéter votre demande?" plusieurs fois dans une nuit.
Qu'avons-nous appris?
Lors de l'introduction de nouvelles technologies, il est important de les tester complètement pour s'assurer qu'elles fonctionnent comme prévu et ne sont pas plus intrusives pour la vie privée que celles qu'elles remplacent.
Nous avons beaucoup appris sur la confidentialité des données au cours des 10 dernières années, et il est important que nous tirions des leçons de ceux qui ont échoué cette fois-ci afin que ces erreurs ne se répètent pas. Les nouvelles lois sur la confidentialité sont une bonne première étape, mais une bonne gestion de la confidentialité est un processus continu qui nécessite un examen et une mise à jour cohérents, ce n'est pas un exercice à cocher. Donc, pendant que cela vous vient à l'esprit, revérifiez vos systèmes de sécurité, actualisez votre plan de réponse aux incidents, affinez votre processus SAR ou réservez la prochaine session de formation sur la confidentialité de vos employés. Et rappelez-vous, ce n'est jamais une bonne idée d'ignorer l'ICO!
Revenons sur cette prochaine décennie alors que la pleine vie gagne.
Camilla Winlo est directrice des services de conseil chez DQM GRC
