بعد خرق بيانات Optus ، تحتاج أستراليا إلى قوانين إفشاء إلزامية

مجلة المذنب نت متابعات عالمية:
أثار خرق بيانات Optus ، الذي أثر على ما يقرب من 10 ملايين أسترالي ، دعوات لإجراء تغييرات على قوانين الخصوصية الأسترالية ، ووضع قيودًا على ما وإلى متى يمكن للمنظمات الاحتفاظ ببياناتنا الشخصية.
على نفس القدر من الأهمية هو تعزيز التزامات المنظمات للكشف علنا عن انتهاكات البيانات. أصدرت Optus إعلانًا عامًا عن خرقها ، لكنها لم تكن ملزمة قانونًا بالقيام بذلك.
اقرأ المزيد: يمكن أن تكون الدعوى الجماعية ضد Optus هي الأكبر بسهولة في أستراليا: إليك ما تتضمنه
في الواقع ، بخلاف البيانات المجمعة التي ينتجها مكتب مفوض المعلومات الأسترالي ، لا يتم إطلاع الجمهور على الغالبية العظمى من انتهاكات البيانات التي تحدث في أستراليا كل عام.
لدى أستراليا مخطط “خرق البيانات الواجب الإخطار به” منذ فبراير 2018 والذي يتطلب من جميع المنظمات إخطار الأفراد المتضررين بالإضافة إلى مكتب مفوض المعلومات الأسترالي في حالة خرق المعلومات الشخصية التي من المحتمل أن تؤدي إلى ضرر جسيم.
ومع ذلك ، لا يلزم الإخطار إذا اتخذت المنظمة إجراءً علاجيًا لمنع الضرر. والأهم من ذلك ، أن الإفصاح العلني غير مطلوب أبدًا.
هذا يعطي الكثير من السلطة التقديرية للمنظمات. يمكنهم إجراء تقييمهم الخاص حول المخاطر ويقررون عدم الكشف عن أي خرق على الإطلاق.
الشركات المدرجة في بورصة الأوراق المالية الأسترالية (ASX) ملزمة أيضًا بالكشف عن أي خرق للبيانات يُتوقع أن يكون له “تأثير اقتصادي جوهري” على سعر سهم الشركة. لكن من المعروف أنه من الصعب قياس الأثر الاقتصادي المادي. لذا فإن هذه الإعلانات ليست مصدرًا موثوقًا للمعلومات للجمهور.
الإخطار بخروقات البيانات
في حين أن مخطط خرق البيانات القابلة للإبلاغ يعد خطوة في الاتجاه الصحيح ، فمن المستحيل معرفة ما إذا كانت عمليات الكشف التي تم الكشف عنها تعكس حجم ونطاق انتهاكات البيانات.
يسرد أحدث تقرير لخرق البيانات القابلة للإبلاغ ، والذي يغطي الأشهر الستة من يوليو إلى ديسمبر 2021 ، 464 إشعارًا (بزيادة 6٪ عن الفترة السابقة).
من بين هؤلاء ، نُسب 256 (55٪) إلى هجمات خبيثة أو إجرامية ، و 190 (41٪) إلى خطأ بشري ، مثل إرسال معلومات شخصية بالبريد الإلكتروني إلى المستلم الخطأ ، أو نشر المعلومات عن طريق الصدفة ، أو فقدان أجهزة تخزين البيانات أو الأعمال الورقية. 18 أخرى (4٪) نُسبت إلى أخطاء النظام.
وكانت القطاعات التي سجلت أكبر عدد من المخالفات هي خدمة الرعاية الصحية (83 إخطارا). تمويل (56)؛ و خدمات قانونية و محاسبية و إدارية (51).
أفادت التقارير أن 70٪ من جميع الحوادث أثرت على أقل من 100 شخص. لكن حدثًا واحدًا أثر على مليون شخص على الأقل. على الرغم من الحجم ، لم يتم تزويد الجمهور بتفاصيل هذه الأحداث أو هويات المنظمات المسؤولة.
بغض النظر عن النطاق أو السبب ، فإن جميع خروقات البيانات لها تأثير على الأشخاص والمؤسسات. على الرغم من ذلك ، نادرًا ما نتعرف على أي شيء آخر غير أكثر الأحداث إثارة وإجرامية.
بدون الإفصاح الإلزامي ، لا توجد مساءلة عامة كافية.
كيف يجب أن يعمل الحد الأدنى من الإفصاح؟
يجب أن يتضمن إطار عمل الإفصاح الأدنى معلومات حول نوع البيانات التي تم اختراقها ، وحساسية البيانات ، وسبب وحجم الخرق ، واستراتيجيات التخفيف من المخاطر التي اعتمدتها المنظمة.
يجب أن يتطلب إطار العمل كلاً من إعلان عام موحد عند حدوث أي خرق كبير للبيانات ، بالإضافة إلى تقرير عام سنوي إلزامي عن انتهاكات البيانات. يجب نشر التقارير والإعلانات على موقع الشركة (تمامًا مثل التقرير السنوي) وتقديمها إلى مكتب مفوض المعلومات الأسترالي.
اقرأ المزيد: تقول Optus إنها بحاجة إلى الاحتفاظ ببيانات الهوية لمدة ست سنوات. لكن هل فعلت ذلك حقًا؟
سيضمن ذلك وصول الجمهور إلى سجل تاريخي متماسك للأحداث المتعلقة بالخرق والاستجابات التنظيمية. سيسمح الإفصاح لمجموعات المجتمع والهيئات التنظيمية والأطراف المعنية بتحليل انتهاكات بياناتنا والتصرف وفقًا لذلك.
في أبسط صوره ، يشجع إطار الإفصاح الإلزامي عمليات الإفصاح السنوية القابلة للمقارنة والمتاحة للجمهور. على أقل تقدير ، فهي تخلق فرصًا للتدقيق والمناقشة.
نشكركم على قراءة المنشور عبر مجلة المذنب نت, المتخصصة في التداول والعملات الرقمية والمشفرة