本文转载来自澳洲广播公司ABC中文仅代表原出处及原作者观点。仅供参考阅读,不代表本网态度和立场。
下面的每个气泡都代表一次数据泄露,使澳大利亚人面临“严重伤害”的风险。
它显示了自 2020 年初以来共有 2,784 起记录的数据泄露事件,其中包括 Optus Telecom,它暴露了来自企业和 Medicare 的数百万人的个人信息一封丢失的电子邮件的数据泄露仅影响一个“不幸的人”。
此图表基于向澳大利亚信息专员 (OAIC) 报告的数据泄露的官方记录,该记录首先由澳大利亚广播公司 (ABC) 获得并公布。
该数据并未列出涉及每一次数据泄露的组织名称,也未涵盖其他一些明显被遗漏的数据泄露事件。然而,这仍然提供了关于问题的严重性和规模的最详细的描述。
气泡的大小代表向 OAIC Global 报告的每个数据泄露事件中受影响的人数。
ABC 已在记录中识别出许多未提供机构名称的条目。
快速浏览一下数据就会发现,近年来我们错过了一些大事。
2020 年和 2021 年发生了影响全球超过 1000 万人的重大数据泄露事件,我们仍然不知道它们影响了哪些公司,也不知道影响了什么样的公司数据被泄露。
但图表中清楚显示的是导致最大头条新闻的数据泄露事件,例如 Optus Telecom 和 Medibank 私人健康保险公司的数据泄露事件2022 年底发生的事件并非孤立事件。它也不是突然出现的。
2020 年披露的数据泄露事件将比去年多 164 起。
这张图片缺少什么?
虽然这个数据集比以往任何时候都更清楚地揭示了问题的规模和严重性,但它仍然未能捕捉到全部。
澳大利亚广播公司证实,涉及至少两家跨国巨头——亚马逊和 Spotify——的数据泄露事件不属于澳大利亚类别的“应通报事件”,因此根本没有出现在上述数据集中。
像这样的例子可能还有很多。
据媒体报道,Zoom、Meta、微软、Twitch 和松下等公司都被指控存在数据泄露问题。这些公司都拒绝回答澳大利亚广播公司关于它们的数据泄露是否触发了向澳大利亚当局报告的要求的问题。
由于未报告多起重大数据泄露事件,并且有可能发生更多泄露事件,很明显,OAIC 的披露记录并不完整影响澳大利亚人的数据泄露事件。
这至少部分是因为,根据隐私法,数据泄露必须使受影响的个人“面临严重伤害的风险”当它被披露时。
但谁能决定是否存在这样的风险呢?
事实证明,受数据泄露影响的机构和组织可以进行自己的评估,以确定受害者是否面临严重伤害的风险,因此需要披露泄漏。
根据新南威尔士大学 (UNSW) 网络安全法专家 Lyria Bennett Moses 的说法,这些机构和组织并不适合进行此类评估.
她解释说,经历数据泄露的机构和组织“只知道他们在 [数据] 生态系统中放入了哪些信息,而不是泄露了哪些信息”。
Lelia Benat Moxis 希望加强澳大利亚的信息披露法。 提供:Lyria Bennett Moses
"一点信息可能不会告诉任何人太多[关于一个人]。
“但是当你积累更多信息时,你可以开始将这些东西拼凑成一幅相当全面的图画。 ”
这就是所谓的马赛克效应,也是Bennet Moxis教授说澳洲信息披露法需要加强的重要原因。
p>OAIC 发言人说,“实体必须充分评估严重伤害的风险。”
发言人没有进一步阐明如何在实践中面对马赛克效应的后果。
亚马逊和微软表示他们遵守了法律义务。亚马逊发言人还表示,“已根据需要通知相关监管机构”。
简·安德鲁(Jane Andrew)是悉尼大学商学院教授学校。跟踪媒体对数据泄露事件报道的研究工作的共同负责人。
在检查了 ABC 获得的匿名披露数据后,她的直接反应是这告诉我们,“很多事情都没有被报告”给公众。
“作为一个社区,我们真正谈论的只是少数数据泄露事件,'”她说,并补充说此类数据泄露的不透明程度“非常不同寻常。”
简·安德鲁说,“应该要求公开报告数据泄露事件。 ” ABC 新闻:Jerry Rickard
“数据泄露现在经常发生,但是我们大多不知道它们的规模、它们影响的机构和组织、泄露数据的性质或这些机构和组织如何试图减轻这些风险。
"如果我们不知道它的大小,我们甚至无法就它进行对话。"
这些机构和组织只需要在发现数据泄露时通知监管机构和直接受影响的个人。
尽管有安德鲁教授团队的协助,绝大多数事件 - 包括三个事件中的两个有史以来最大的一次 - 仍未确定。
自 2020 年 1 月以来报告的五次最大的数据泄露
< img src="/uploads/allimg/230403/103P53H0-5.JPG" title="" alt="443.JPG,0" />
通过进一步调查,OAIC 透露,受两起最大的不明数据泄露事件影响的澳大利亚人分别为 729,646 人和 186,091 人。
就受影响的人数而言,这些可能是最大的数据泄露事件,但它们的规模并没有告诉我们这些黑客攻击的复杂程度。
Optus 负有责任,因为它在数据世界和 Medibank 中打开了窗口,一个泄露的密码就足以访问其客户数据。
然而,令人沮丧的是,其他数据泄露的性质目前仍然遥不可及,需要充分了解澳大利亚面临的网络威胁。
我们甚至不知道这些数据泄露中的一个到底是什么时候发生的。
披露日志中的日期仅指通知 OAIC 的时间,这也是由于该公司有可能在披露前“搁置”这些数据泄露事件标有问号。
与许多其他细节一样,OAIC 没有提供有关个案披露时间的更多信息。
我们所能做的就是汇总数字,最新报告显示 29% 的数据泄露需要一个多月的时间才能报告。
图表:机构和组织通常要等待一个多月才能报告数据泄露
图例:7月数据- 2022 年 12 月
日志记录中的一些数据泄露比数据显示的时间早了几个月,甚至几年,但我们并不知道具体发生了哪些数据泄露。
建立对系统的信任
Andrew 教授认为当前的披露法律为遭受违规行为的组织留下了太多的自由裁量权。
就目前情况而言,她说,“我们无法描述��关于我们委托管理我们的数据的机构和组织可以或应该做什么的知情观点。 ”
最近发生的涉及医学研究机构 QIMR Berghofer 的事件是尚未正式向公众公布的数据泄露的最新例子。该研究所皮肤癌调查数据的一个示例可能在其第三方承包商 Datatime 的服务器上泄露了一个子集。
根据其法律义务, QIMR Berghofer 已通知所有个人和相关监管机构,但不需要进行任何公开披露。
研究所继续进行各种调查,潜在参与者并不知情,发生了数据泄露。
QIMR Berghofer 没有被要求就数据泄露进行任何公开披露。 ABC 新闻:Cameron Lang
安德鲁教授坚信改革的必要性要求机构和组织向公众报告数据泄露。
她将这种情况比作澳大利亚证券交易所 (ASX) 对公司的透明度要求。
“我们的证券交易所取消了严格的报告义务,因为这意味着我们可以信任所提供的信息,”她说。
“它们巩固了我们对系统的信任。'”
她说,同样的原则应该适用于公司如何管理客户数据。
“我不知道为什么我们对数据的看法与 [财务披露] 不同,”她说。
“在参与数字经济方面,我们别无选择。人们觉得我们无法控制他们的数据,这需要改变。 ”
有变化的迹象
在堪培拉,联邦总检察长马克·德雷福斯 (Mark Dreyfus) 正在审查隐私法,其中包括数据泄露披露法。
在给澳大利亚的一封信中在给广播公司的一份声明中,总检察长发言人表示,“正如 [OAIC] 数据显示的那样,数据泄露并不是一个新问题。
“令人遗憾的是,之前的联合政府没有采取行动加强隐私法,以便当局更好地处理这一数据泄露问题。 ”
虽然很容易将前几届政府的不作为归咎于他们,但这次审查的结果将不言自明。
总检察长 Dreyfus 正在审查隐私法。ABC 新闻:Matt Roberts
The 2 月份发布的《隐私法评论》提出了一些建议,但其中不包括对“严重危害”规则和公开披露要求的修改。
在其报告中为了审查,OAIC 建议维持现有的“严重伤害”规则。
OAIC 的一位发言人告诉澳大利亚,“有针对性的方法可以避免对那些受到伤害的个人造成不必要的痛苦没有风险,限制通知疲劳(忽略太多通知的倾向),并减轻受监管实体的行政负担,”该广播公司说。成本”。
总检察长办公室拒绝就审查的这些方面发表评论。
根据审查中提出的有限变化,机构和组织将继续自我评估这些事件在其自身参与方面带来的风险。
没有理由低估这些风险是巨大的。看看 Optus 如何试图声称其数据泄露的原因很复杂,尽管联邦网络安全部长克莱尔奥尼尔后来表示这是一个“初级”错误。
去年年底,联邦政府增加了 OAIC 的调查权力,并提高了对违规行为的最高处罚。
但如果监管机构没有立即被告知数据泄露,那么这些权力有什么用呢?
而且需要的不仅仅是监管机构被告知。
只要这些数据泄露的细节还在OAIC手中,不向公众披露,澳大利亚人的个人数据如何妥善管理还是管理不善?事情的全貌将继续被掩盖。
本文由澳大利亚广播公司ABC中文转载,仅代表原始出处原作者观点仅供参考,不代表本网态度和立场。< /strong>
澳洲中文论坛热点
- 悉尼部份城铁将封闭一年,华人区受影响!只能乘巴士(组图)
- 据《逐日电讯报》报导,从明年年中开始,因为从Bankstown和Sydenham的城铁将因Metro South West革新名目而
- 联邦政客们具有多少房产?
- 据本月早些时分报导,绿党副首领、参议员Mehreen Faruqi已获准在Port Macquarie联系其房产并建造三栋投资联
