Утечка данных
Нарушение данных , также известное как утечка данных , — это «несанкционированное раскрытие, раскрытие или потеря личной информации ». [1]
У злоумышленников самые разные мотивы: от финансовой выгоды до политической активности , политических репрессий и шпионажа . Существует несколько технических причин утечки данных, включая случайное или преднамеренное раскрытие информации инсайдерами, потерю или кражу незашифрованных устройств, взлом системы с использованием уязвимостей программного обеспечения и атаки социальной инженерии , такие как фишинг , когда инсайдеров обманом вынуждают раскрыть информацию. . Хотя профилактические усилия компании, хранящей данные, могут снизить риск утечки данных, они не могут свести его к нулю.
Первое зарегистрированное нарушение произошло в 2002 году, и с тех пор их число растет каждый год. Большое количество утечек данных никогда не обнаруживается. Если о нарушении становится известно компании, хранящей данные, усилия после взлома обычно включают сдерживание нарушения, расследование его масштабов и причин, а также уведомления людей, чьи записи были скомпрометированы, как того требует закон во многих юрисдикциях. Правоохранительные органы могут расследовать нарушения, хотя виновных хакеров редко ловят.
Многие преступники продают данные, полученные в результате взлома, в даркнете . Таким образом, люди, чьи личные данные были скомпрометированы, в течение многих лет подвергаются повышенному риску кражи личных данных , и значительное число людей станет жертвой этого преступления. Законы об уведомлении об утечке данных во многих юрисдикциях, включая все штаты США и государства-члены Европейского Союза , требуют уведомления людей, чьи данные были взломаны. Судебные иски против взломанной компании являются обычным явлением, хотя немногие жертвы получают от них деньги. Существует мало эмпирических данных об экономическом ущербе для компаний от нарушений, за исключением прямых издержек, хотя есть некоторые данные, свидетельствующие о временном, краткосрочном снижении цен на акции .
Определение [ править ]
Утечка данных — это нарушение «организационных, нормативных, законодательных или договорных» законов или политики. [2] что приводит к «несанкционированному раскрытию, раскрытию или потере личной информации ». [1] Юридические и договорные определения различаются. [3] [2] Некоторые исследователи включают другие типы информации, например, интеллектуальную собственность или секретную информацию . [4] Однако компании чаще всего раскрывают нарушения, поскольку этого требует закон. [5] и только личная информация подпадает под действие законов об уведомлении о нарушении данных . [6] [7]
Распространенность [ править ]
Первая зарегистрированная утечка данных произошла 5 апреля 2002 г. [8] когда 250 000 номеров социального страхования , собранных штатом Калифорния, были украдены из центра обработки данных. [9] До широкого принятия законов об уведомлении об утечках данных примерно в 2005 году распространенность утечек данных определить было сложно. Даже после этого на статистику за год нельзя полагаться, поскольку об утечках данных можно сообщить спустя годы после того, как они произошли. [10] или вообще не сообщается. [11] Тем не менее, статистика показывает продолжающийся рост количества и серьезности утечек данных, который продолжается по состоянию на 2022 год. [update]. [12] В 2016 году исследователь Саша Романоски подсчитал, что количество утечек данных (исключая фишинг ) превысило количество других нарушений безопасности в четыре раза. [13]
Преступники [ править ]
По оценкам на 2020 год, 55 процентов утечек данных были вызваны организованной преступностью , 10 процентов - системными администраторами , 10 процентов - конечными пользователями, такими как клиенты или сотрудники, и 10 процентов - государствами или субъектами, связанными с государством. [14] Преступники-оппортунисты могут вызвать утечку данных, часто используя вредоносное ПО или атаки социальной инженерии , но они, как правило, будут действовать дальше, если уровень безопасности выше среднего. У более организованных преступников больше ресурсов, и они более сосредоточены на получении конкретных данных . [15] Оба они продают полученную информацию ради финансовой выгоды. [16] Еще одним источником утечки данных являются политически мотивированные хакеры , например Anonymous , преследующие определенные цели. [17] Хакеры, спонсируемые государством, нацелены либо на граждан своей страны, либо на иностранные организации в таких целях, как политические репрессии и шпионаж . Часто они используют нераскрытые уязвимости нулевого дня , за которые хакерам платят крупные суммы денег. [18] Шпионское ПО Pegasus — вредоносное ПО, не требующее щелчка мыши, разработанное израильской компанией NSO Group , которое можно установить на большинство мобильных телефонов и шпионить за деятельностью пользователей — привлекло внимание как для использования против преступников, таких как наркобарон Эль Чапо, так и против политических диссидентов. , способствуя убийству Джамаля Хашогги . [19]
Причины [ править ]
Технические причины [ править ]
Несмотря на цель разработчиков создать продукт, который работает полностью так, как задумано, практически все программное и аппаратное обеспечение содержит ошибки. [20] Если ошибка создает угрозу безопасности, она называется уязвимостью . [21] [22] [23] Патчи часто выпускаются для исправления выявленных уязвимостей, но те, которые остаются неизвестными ( нулевые дни ), а также те, которые не были исправлены, по-прежнему подлежат эксплуатации. [24] Как программное обеспечение, написанное объектом взлома, так и используемое им стороннее программное обеспечение уязвимы для атак. [22] Поставщик программного обеспечения редко несет юридическую ответственность за убытки, связанные с нарушениями, что создает стимул для создания более дешевого, но менее безопасного программного обеспечения. [25]
Уязвимости различаются по возможности использования злоумышленниками . Наиболее ценные из них позволяют злоумышленнику внедрить и запустить свой собственный код (называемый вредоносным ПО ) без ведома пользователя. [21] также могут Некоторые вредоносные программы загружаются пользователями при нажатии на вредоносную ссылку, но вредоносные веб-приложения загружать вредоносное ПО просто при посещении веб-сайта ( попутная загрузка ). Кейлоггеры — тип вредоносного ПО, которое записывает нажатия клавиш пользователя, часто используются при утечке данных. [26] Большую часть утечек данных можно было бы предотвратить, храня всю конфиденциальную информацию в зашифрованном формате. Таким образом, физическое владение устройством хранения или доступ к зашифрованной информации бесполезны, если у злоумышленника нет ключа шифрования . [27] Хеширование также является хорошим решением для защиты паролей от атак методом перебора , но только в том случае, если алгоритм достаточно безопасен. [28]
Многие утечки данных происходят на оборудовании, которым управляет партнер целевой организации, включая утечку данных Target в 2013 году и утечку данных JPMorgan Chase в 2014 году . [29] Аутсорсинг работы третьей стороне приводит к риску утечки данных, если эта компания имеет более низкие стандарты безопасности; в частности, небольшим компаниям часто не хватает ресурсов для принятия стольких мер безопасности. [30] [29] В результате соглашения об аутсорсинге часто включают гарантии безопасности и положения о том, что произойдет в случае утечки данных. [30]
Человеческие причины [ править ]
Человеческие причины нарушений часто основаны на доверии к другому субъекту, который оказывается злонамеренным. Атаки социальной инженерии основаны на том, чтобы заставить инсайдера сделать что-то, что ставит под угрозу безопасность системы, например раскрыть пароль или щелкнуть ссылку для загрузки вредоносного ПО. [31] Утечка данных также может быть преднамеренно вызвана инсайдерами. [32] Один из видов социальной инженерии – фишинг . [31] пользователя получает учетные данные , отправляя ему вредоносное сообщение, выдавая себя за законное лицо, например банк, и заставляя пользователя ввести свои учетные данные на вредоносный веб-сайт, контролируемый киберпреступником. Двухфакторная аутентификация может помешать злоумышленнику использовать учетные данные. [33] Обучение сотрудников навыкам социальной инженерии — еще одна распространенная стратегия. [34]
Еще одним источником нарушений является случайное раскрытие информации, например, публикация информации, которая должна оставаться конфиденциальной. [35] [36] С ростом удаленной работы и политикой использования собственных устройств большие объемы корпоративных данных хранятся на личных устройствах сотрудников. По неосторожности или несоблюдению политики безопасности компании эти устройства могут быть потеряны или украдены. [37] Технические решения могут предотвратить многие причины человеческих ошибок, такие как шифрование всех конфиденциальных данных, предотвращение использования сотрудниками небезопасных паролей, установка антивирусного программного обеспечения для предотвращения вредоносного ПО и внедрение надежной системы исправлений для обеспечения актуальности всех устройств. [38]
Нарушение жизненного цикла [ править ]
Профилактика [ править ]
Хотя внимание к безопасности может снизить риск утечки данных, оно не может свести его к нулю. Безопасность — не единственный приоритет организаций, и попытка достичь идеальной безопасности сделает эту технологию непригодной для использования. [39] Многие компании нанимают директора по информационной безопасности (CISO) для наблюдения за стратегией информационной безопасности компании. [40] Чтобы получить информацию о потенциальных угрозах, специалисты по безопасности будут общаться друг с другом и делиться информацией с другими организациями, сталкивающимися с аналогичными угрозами. [41] Меры защиты могут включать обновленную стратегию реагирования на инциденты, контракты с фирмами, занимающимися цифровой криминалистикой , которые могли бы расследовать нарушения, [42] киберстрахование , [43] [7] и мониторинг даркнета на предмет украденных учетных данных сотрудников. [44] США В 2024 году Национальный институт стандартов и технологий (NIST) выпустил специальную публикацию «Конфиденциальность данных: выявление и защита активов от утечек данных». [45] Структура кибербезопасности NIST также содержит информацию о защите данных. [46] Другие организации выпустили другие стандарты защиты данных. [47]
Архитектура систем компании играет ключевую роль в сдерживании злоумышленников. Дасвани и Эльбаяди рекомендуют иметь только одно средство аутентификации . [48] избегать дублирующих систем и устанавливать наиболее безопасные настройки по умолчанию . [49] Глубокая защита и распределенные привилегии (требующие многократной аутентификации для выполнения операции) также могут затруднить взлом системы. [50] Предоставление сотрудникам и программному обеспечению минимального объема доступа, необходимого для выполнения их функций ( принцип наименьших привилегий ), ограничивает вероятность и ущерб от нарушений. [48] [51] Несколько утечек данных стали возможными из-за того, что безопасность была скрыта ; жертвы поместили учетные данные доступа в общедоступные файлы. [52] Тем не менее, приоритет простоты использования также важен, поскольку в противном случае пользователи могут обойти системы безопасности. [53] Тщательное тестирование программного обеспечения , включая тестирование на проникновение , может снизить количество уязвимостей программного обеспечения и должно проводиться перед каждым выпуском, даже если компания использует модель непрерывной интеграции/непрерывного развертывания, при которой постоянно развертываются новые версии. [54]
Принцип наименьшего упорства [55] — отказ от сбора данных, в которых нет необходимости, и уничтожения данных, которые больше не нужны, — может смягчить ущерб от взломов. [56] [57] [58] Проблема в том, что уничтожение данных может быть более сложным в современных системах баз данных. [59]
Ответ [ править ]
Большое количество утечек данных никогда не обнаруживается. [60] Из тех, что есть, большинство нарушений обнаруживается третьими лицами; [61] [62] другие обнаруживаются сотрудниками или автоматизированными системами. [63] Реагирование на нарушения часто является обязанностью специальной группы реагирования на инциденты компьютерной безопасности , в которую часто входят технические эксперты, специалисты по связям с общественностью и юрисконсульты. [64] [65] Многие компании не обладают достаточным собственным опытом и передают некоторые из этих функций субподрядчикам; [66] часто эти внешние ресурсы предоставляются полисом киберстрахования. [67] После того, как компании становится известно об утечке данных, следующие шаги обычно включают подтверждение того, что она произошла, уведомление группы реагирования и попытку локализовать ущерб. [68]
Чтобы остановить кражу данных, распространенные стратегии включают в себя отключение затронутых серверов, их перевод в автономный режим, исправление уязвимости и восстановление файлов . [69] После определения точного способа компрометации данных обычно остается только одна или две технические уязвимости, которые необходимо устранить, чтобы сдержать нарушение и предотвратить его повторное появление. [70] Затем тест на проникновение может подтвердить, что исправление работает должным образом. [71] Если речь идет о вредоносном ПО , организация должна расследовать и закрыть все пути проникновения и эксфильтрации, а также обнаружить и удалить все вредоносные программы из своих систем. [72] Если данные были размещены в темной сети , компании могут попытаться удалить их. [73] Сдерживание нарушения может поставить под угрозу расследование, а некоторые тактики (например, отключение серверов) могут нарушить договорные обязательства компании. [74]
Сбор данных о нарушении может облегчить последующие судебные разбирательства или уголовное преследование. [75] но только в том случае, если данные собираются в соответствии с правовыми стандартами и цепочка поставок . сохраняется [76] Экспертиза базы данных может сузить количество задействованных записей, ограничивая масштаб инцидента. [77] Может быть проведено обширное расследование, которое может оказаться даже более дорогостоящим, чем судебное разбирательство . [62] В Соединенных Штатах нарушения могут расследоваться государственными учреждениями, такими как Управление по гражданским правам , Министерство здравоохранения и социальных служб США и Федеральная торговая комиссия (FTC). [78] Правоохранительные органы могут расследовать нарушения [79] хотя ответственных за это хакеров редко ловят. [80]
Уведомления обычно рассылаются в соответствии с требованиями законодательства. [81] Многие компании предлагают бесплатный кредитный мониторинг людям, пострадавшим от утечки данных, хотя только около 5 процентов тех, кто имеет на это право, пользуются этой услугой. [82] Выдача потребителям новых кредитных карт, хотя и дорогая, является эффективной стратегией снижения риска мошенничества с кредитными картами . [82] Компании пытаются восстановить доверие к своим бизнес-операциям и принять меры для предотвращения повторения нарушений. [83]
Последствия [ править ]
Для потребителей [ править ]
После взлома данных преступники зарабатывают деньги, продавая данные, такие как имена пользователей, пароли, социальных сетей или программ лояльности клиентов информацию об учетных записях дебетовых и кредитных карт , , номера [16] и личная медицинская информация (см. «Нарушение медицинских данных» ). [84] Преступники часто продают эти данные в темной сети — частях Интернета, где трудно отследить пользователей и где широко распространена незаконная деятельность, — используя такие платформы, как .onion или I2P . [85] Зародившись в 2000-х годах, даркнет, а в 2010-х годах последовали неотслеживаемые криптовалюты, такие как Биткойн , позволили преступникам продавать данные, полученные в результате взлома, с минимальным риском быть пойманными, что способствовало увеличению числа хакерских атак. [86] [87] Одна популярная даркнет-площадка Silk Road была закрыта в 2013 году, а ее операторы арестованы, но на ее месте появилось несколько других торговых площадок. [88] Telegram также является популярным форумом для нелегальной продажи данных. [89]
Эта информация может использоваться для различных целей, таких как рассылка спама , получение продуктов с информацией о лояльности или платежной информации жертвы, кража личных данных , мошенничество с рецептурными лекарствами или страховое мошенничество . [90] Угроза утечки данных или раскрытие информации, полученной в результате утечки данных, может быть использована для вымогательства . [16]
Потребители могут понести различные формы материального или нематериального вреда в результате кражи их личных данных или не заметить никакого вреда. [91] Значительная часть тех, кто пострадал от утечки данных, становятся жертвами кражи личных данных . [82] Идентифицирующая личность информация часто циркулирует в темной сети в течение многих лет, что повышает риск кражи личных данных, независимо от усилий по исправлению ситуации. [80] [92] Даже если клиент в конечном итоге не оплатит счет за мошенничество с кредитной картой или кражу личных данных, ему придется потратить время на разрешение ситуации. [93] [94] Нематериальный вред включает доксинг (публичное раскрытие чьей-либо личной информации), например, использование лекарств или личные фотографии. [95]
Для организаций [ править ]
Эмпирических данных об экономическом ущербе от нарушений мало, за исключением прямых издержек, хотя есть некоторые свидетельства, свидетельствующие о временном, краткосрочном снижении курса акций . [96] Другие последствия для компании могут варьироваться от потери бизнеса, снижения производительности труда сотрудников из-за отключения систем или перенаправления персонала на работу по устранению нарушения, [97] отставка или увольнение высшего руководства, [78] репутационный ущерб , [78] [98] и увеличение будущих затрат на аудит или безопасность. [78] Потери потребителей в результате взлома обычно являются негативным внешним эффектом для бизнеса. [99] Некоторые эксперты утверждают, что имеющиеся данные свидетельствуют о том, что прямых издержек или репутационного ущерба от утечки данных недостаточно, чтобы в достаточной степени стимулировать их предотвращение. [100] [101]
Оценить стоимость утечек данных сложно как потому, что не обо всех утечках сообщается, так и потому, что подсчитать последствия утечек в финансовом выражении непросто. Существует несколько способов расчета затрат для бизнеса, особенно когда речь идет о времени персонала, затрачиваемом на устранение нарушений. [102] По оценкам автора Кевви Фаулера, более половины прямых затрат, понесенных компаниями, приходится на судебные издержки и услуги, оказанные пострадавшим лицам, а оставшаяся часть расходов распределяется между уведомлением и обнаружением, включая судебную экспертизу и расследование. Он утверждает, что эти затраты уменьшаются, если организация инвестировала в безопасность до взлома или имеет предыдущий опыт взлома. Чем больше записей данных задействовано, тем дороже обычно обходится взлом. [103] В 2016 году исследователь Саша Романоски подсчитала, что, хотя средняя стоимость взлома целевой компании составила около 5 миллионов долларов, эта цифра была завышена из-за нескольких очень дорогостоящих взломов, а типичная утечка данных обходилась гораздо дешевле — около 200 000 долларов. Романоски оценил общие ежегодные затраты корпораций в Соединенных Штатах примерно в 10 миллиардов долларов. [104]
Законы [ править ]
Уведомление [ править ]
Закон, касающийся утечки данных, часто встречается в законодательстве о защите конфиденциальности в целом, и в нем преобладают положения, обязывающие уведомлять о нарушениях. [105] Законы сильно различаются в том, как определяются нарушения. [3] какой тип информации защищен, срок уведомления, [6] и кто имеет право подать в суд в случае нарушения закона. [106] Законы об уведомлениях повышают прозрачность и дают компаниям репутационный стимул к сокращению нарушений. [107] Стоимость уведомления о нарушении может быть высокой, если пострадало много людей, и она будет понесена независимо от ответственности компании, поэтому она может действовать как штраф со строгой ответственностью . [108]
По состоянию на 2024 год [update], Томас в разделе «Утечка данных» перечислил 62 государства-члена ООН , на которые распространяются законы об уведомлении об утечке данных. Некоторые другие страны требуют уведомления о нарушении в более общих законах о защите данных . [109] Вскоре после первого сообщения об утечке данных в апреле 2002 года Калифорния приняла закон, требующий уведомления в случае утечки личной информации человека. [9] В Соединенных Штатах законы об уведомлениях получили широкое распространение после утечки данных ChoicePoint в феврале 2005 года , получившей широкую огласку отчасти из-за большого числа затронутых людей (более 140 000), а также из-за возмущения, которое компания первоначально проинформировала только затронутых людей в Калифорнии. [110] [111] В 2018 году регламент ЕС вступил в силу Общий по защите данных (GDPR). GDPR требует уведомления в течение 72 часов, при этом для крупных компаний, не соблюдающих требования, возможны очень высокие штрафы. Это постановление также стимулировало ужесточение законов о конфиденциальности данных в других странах. [112] [113] По состоянию на 2022 год [update]Единственный федеральный закон США, требующий уведомления в случае утечки данных, ограничивается медицинскими данными, регулируемыми в соответствии с HIPAA , но все 50 штатов (с тех пор как Алабама приняла закон в 2018 году) имеют свои собственные общие законы об уведомлении об утечке данных. [113]
Меры безопасности [ править ]
Меры по защите данных от взлома обычно отсутствуют в законе или расплывчаты. [105] Этот пробел заполняют стандарты, необходимые для киберстрахования , которое поддерживается большинством крупных компаний и действует как фактически регулирование . [114] [115] Из существующих законов существует два основных подхода: один предписывает конкретные стандарты, которым необходимо следовать, и подход разумности . [116] Первый используется редко из-за отсутствия гибкости и нежелания законодателей решать технические вопросы; при последнем подходе закон является расплывчатым, но конкретные стандарты могут возникнуть из прецедентного права . [117] Компании часто предпочитают стандартный подход для обеспечения большей юридической определенности , но они могут отметить все флажки, не предоставляя безопасный продукт. [118] Дополнительным недостатком является то, что законы плохо соблюдаются, штрафы часто намного меньше, чем цена нарушения, и многие компании им не следуют. [119]
Судебное разбирательство [ править ]
Многие коллективные иски , производные иски и другие судебные разбирательства были возбуждены после утечки данных. [120] Они часто разрешаются независимо от существа дела из-за высокой стоимости судебного разбирательства. [121] [122] Даже если компенсация будет выплачена, лишь немногие пострадавшие потребители получат какие-либо деньги, поскольку обычно она составляет от нескольких центов до нескольких долларов на одну жертву. [78] [122] Учёные-правоведы Дэниел Дж. Солов и Вудро Харцог утверждают, что «судебные разбирательства увеличили издержки, связанные с утечкой данных, но мало что дали». [123] Истцам часто сложно доказать, что они понесли ущерб в результате утечки данных. [123] Вклад действий компании в утечку данных варьируется: [119] [124] Аналогичным образом, ответственность за ущерб, возникший в результате утечки данных, является спорным вопросом. Спорным является то, какой стандарт следует применять, будь то строгая ответственность, халатность или что-то еще. [124]
См. также [ править ]
- Полное раскрытие информации (компьютерная безопасность)
- Утечка медицинских данных
- Надзорный капитализм
- Утечки данных в Индии
Ссылки [ править ]
- ^ Jump up to: Перейти обратно: а б Соловье и Харцог 2022 , с. 5.
- ^ Jump up to: Перейти обратно: а б Фаулер 2016 , с. 2.
- ^ Jump up to: Перейти обратно: а б Соловье и Харцог 2022 , с. 41.
- ^ Шукла и др. 2022 , стр. 47–48.
- ^ Национальные академии наук, инженерии и медицины, 2016 г. , стр. 18.
- ^ Jump up to: Перейти обратно: а б Соловье и Харцог 2022 , с. 42.
- ^ Jump up to: Перейти обратно: а б Фаулер 2016 , с. 45.
- ^ Йоерлинг 2010 , с. 468 сн 7.
- ^ Jump up to: Перейти обратно: а б Лесеманн 2010 , с. 206.
- ^ Солове и Харцог 2022 , с. 18.
- ^ Солове и Харцог 2022 , с. 29.
- ^ Solove & Hartzog 2022 , стр. 17–18.
- ^ Национальные академии наук, инженерии и медицины, 2016 г. , стр. 9.
- ^ Кроули 2021 , с. 46.
- ^ Фаулер 2016 , стр. 7–8.
- ^ Jump up to: Перейти обратно: а б с Фаулер 2016 , с. 13.
- ^ Фаулер 2016 , стр. 9–10.
- ^ Фаулер 2016 , стр. 10–11.
- ^ Кастер и Прапорщик 2023 , стр. 355.
- ^ Аблон и Богарт 2017 , с. 1.
- ^ Jump up to: Перейти обратно: а б Аблон и Богарт 2017 , с. 2.
- ^ Jump up to: Перейти обратно: а б Дасвани и Эльбаяди 2021 , с. 25.
- ^ Моряк 2020 , стр. 47–48.
- ^ Дасвани и Эльбаяди 2021 , стр. 26–27.
- ^ Слоан и Уорнер 2019 , стр. 104–105.
- ^ Дасвани и Эльбаяди 2021 , с. 19–22.
- ^ Дасвани и Эльбаяди 2021 , с. 15.
- ^ Нтантогян, Маллиарос и Ксенакис 2019 .
- ^ Jump up to: Перейти обратно: а б Дасвани и Эльбаяди 2021 , стр. 22–23.
- ^ Jump up to: Перейти обратно: а б Фаулер 2016 , стр. 19–20.
- ^ Jump up to: Перейти обратно: а б Слоан и Уорнер, 2019 , с. 94.
- ^ Макридис 2021 , с. 3.
- ^ Дасвани и Эльбаяди 2021 , стр. 16–19.
- ^ Слоан и Уорнер 2019 , стр. 106–107.
- ^ Дасвани и Эльбаяди 2021 , с. 28.
- ^ Фаулер 2016 , с. 19.
- ^ Фаулер 2016 , стр. 18–19.
- ^ Дасвани и Эльбаяди 2021 , стр. 31–32.
- ^ Solove & Hartzog 2022 , стр. 69–70.
- ^ Дасвани и Эльбаяди 2021 , стр. 7, 9–10.
- ^ Дасвани и Эльбаяди 2021 , стр. 200–201.
- ^ Дасвани и Эльбаяди 2021 , стр. 203–204.
- ^ Дасвани и Эльбаяди 2021 , с. 205.
- ^ Дасвани и Эльбаяди 2021 , стр. 206–207.
- ^ Фишер и др. 2024 г. , Титульный лист.
- ^ Фишер и др. 2024 , с. 2.
- ^ Фаулер 2016 , с. 210.
- ^ Jump up to: Перейти обратно: а б Дасвани и Эльбаяди 2021 , с. 217.
- ^ Дасвани и Эльбаяди 2021 , стр. 215–216.
- ^ Тхоа и др. 2024 , с. 14.
- ^ Ленхард 2022 , с. 53.
- ^ Дасвани и Эльбаяди 2021 , с. 218.
- ^ Дасвани и Эльбаяди 2021 , стр. 218–219.
- ^ Дасвани и Эльбаяди 2021 , стр. 314–315.
- ^ Тхоа и др. 2024 , с. 68.
- ^ Ленхард 2022 , с. 60.
- ^ Фаулер 2016 , с. 184.
- ^ Солове и Харцог 2022 , с. 146.
- ^ Тхоа и др. 2024 , с. 69.
- ^ Кроули 2021 , с. 39.
- ^ Фаулер 2016 , с. 64.
- ^ Jump up to: Перейти обратно: а б Национальные академии наук, техники и медицины, 2016 г. , с. 25.
- ^ Фаулер 2016 , с. 4.
- ^ Кроули 2021 , с. 97.
- ^ Фаулер 2016 , стр. 5, 32.
- ^ Фаулер 2016 , с. 86.
- ^ Фаулер 2016 , с. 94.
- ^ Фаулер 2016 , стр. 4–5.
- ^ Фаулер 2016 , стр. 120–122.
- ^ Фаулер 2016 , с. 115.
- ^ Фаулер 2016 , с. 116.
- ^ Фаулер 2016 , стр. 117–118.
- ^ Фаулер 2016 , с. 119.
- ^ Фаулер 2016 , с. 124.
- ^ Фаулер 2016 , стр. 81–82.
- ^ Фаулер 2016 , с. 83.
- ^ Фаулер 2016 , с. 128.
- ^ Jump up to: Перейти обратно: а б с д и Национальные академии наук, техники и медицины, 2016 г. , с. 22.
- ^ Фаулер 2016 , с. 44.
- ^ Jump up to: Перейти обратно: а б Соловье и Харцог 2022 , с. 58.
- ^ Фаулер 2016 , с. 5, 44.
- ^ Jump up to: Перейти обратно: а б с Национальные академии наук, техники и медицины, 2016 г. , с. 13.
- ^ Фаулер 2016 , стр. 5–6.
- ^ Фаулер 2016 , с. 14.
- ^ Фаулер 2016 , стр. 12–13.
- ^ Давидофф 2019 , «Современные брокеры темных данных».
- ^ Солове и Харцог 2022 , с. 21.
- ^ Хауэлл, Кристиан Джордан; Маймон, Дэвид (2 декабря 2022 г.). «Рынки даркнета приносят миллионы доходов от продажи украденных личных данных, как показало исследование цепочки поставок» . Разговор . Проверено 22 апреля 2024 г.
- ^ Гаркава, Таисия; Монева, Азиер; Лейкфельдт, Э. Рутгер (2024). «Рынки украденных данных в Telegram: анализ сценария преступлений и ситуационные меры по предотвращению преступлений» . Тенденции в организованной преступности . дои : 10.1007/s12117-024-09532-6 .
- ^ Фаулер 2016 , стр. 13–14.
- ^ Национальные академии наук, инженерии и медицины, 2016 г. , стр. 27.
- ^ Национальные академии наук, техники и медицины, 2016 , стр. 30–31.
- ^ Национальные академии наук, инженерии и медицины, 2016 г. , стр. 29.
- ^ Солове и Харцог 2022 , с. 56.
- ^ Национальные академии наук, техники и медицины, 2016 , стр. 27–29.
- ^ Макридис 2021 , с. 1.
- ^ Фаулер 2016 , с. 22.
- ^ Фаулер 2016 , с. 41.
- ^ Слоан и Уорнер 2019 , с. 104.
- ^ Макридис 2021 , стр. 1, 7.
- ^ Слоан и Уорнер 2019 , с. 64.
- ^ Национальные академии наук, инженерии и медицины, 2016 г. , стр. 8–10.
- ^ Фаулер 2016 , с. 21.
- ^ Национальные академии наук, инженерии и медицины, 2016 г. , стр. 10.
- ^ Jump up to: Перейти обратно: а б Соловье и Харцог 2022 , с. 10.
- ^ Солове и Харцог 2022 , с. 43.
- ^ Солове и Харцог 2022 , с. 44.
- ^ Солове и Харцог 2022 , с. 45.
- ^ Томас 2023 , стр. xxvii, xxix, xxxii–xxxiii, xxxiv.
- ^ Лесеманн 2010 , стр. 206–207.
- ^ Йоерлинг 2010 , стр. 468–469.
- ^ Моряк 2020 , стр. 6–7.
- ^ Jump up to: Перейти обратно: а б Соловье и Харцог 2022 , с. 40.
- ^ Национальные академии наук, инженерии и медицины, 2016 г. , стр. 24.
- ^ Талеш 2018 , с. 237.
- ^ Солове и Харцог 2022 , с. 48.
- ^ Solove & Hartzog 2022 , стр. 48–49.
- ^ Солове и Харцог 2022 , с. 52.
- ^ Jump up to: Перейти обратно: а б Соловье и Харцог 2022 , с. 53.
- ^ Фаулер 2016 , с. 5.
- ^ Фаулер 2016 , с. 222.
- ^ Jump up to: Перейти обратно: а б Солове и Харцог 2022 , стр. 55, 59.
- ^ Jump up to: Перейти обратно: а б Соловье и Харцог 2022 , с. 55.
- ^ Jump up to: Перейти обратно: а б Национальные академии наук, техники и медицины, 2016 г. , с. 23.
Источники [ править ]
- Аблон, Лилиан; Богарт, Энди (2017). Нулевые дни, тысячи ночей: жизнь и времена уязвимостей нулевого дня и их использования (PDF) . Корпорация Рэнд. ISBN 978-0-8330-9761-3 .
- Кроули, Ким (2021). 8 шагов к повышению безопасности: простое руководство по киберустойчивости для бизнеса . Джон Уайли и сыновья. ISBN 978-1-119-81124-4 .
- Дасвани, Нил ; Эльбаяди, Муди (2021). Большие нарушения: уроки кибербезопасности для всех . Апресс. ISBN 978-1-4842-6654-0 .
- Давидофф, Шерри (2019). Утечки данных: кризис и возможности . Аддисон-Уэсли Профессионал. ISBN 978-0-13-450772-9 .
- Фишер, Уильям; Крафт, Р. Юджин; Экстром, Майкл; Секстон, Джулиан; Свитнэм, Джон (2024). Конфиденциальность данных: выявление и защита активов от утечек данных (PDF) (отчет). Специальные публикации NIST. Национальный институт стандартов и технологий .
- Фаулер, Кевви (2016). Подготовка и реагирование на утечку данных: утечка данных очевидна, последствия — нет . Эльзевир Наука. ISBN 978-0-12-803451-4 .
- Джорлинг, Джилл (2010). «Законы об уведомлениях о несанкционированном доступе к данным: аргумент в пользу принятия комплексного федерального закона о защите потребительских данных» . Журнал права и политики Вашингтонского университета . 32 : 467.
- Кастер, Шон Д.; Прапорщик, Прескотт К. (2023). «Приватизированный шпионаж: NSO Group Technologies и ее шпионское ПО Pegasus» . Обзор международного бизнеса Thunderbird . 65 (3): 355–364. дои : 10.1002/tie.22321 .
- Ленхард, Томас Х. (2022). Безопасность данных: технические и организационные меры защиты от потери данных и компьютерных преступлений . Спрингер Природа. ISBN 978-3-658-35494-7 .
- Леземанн, Дана Дж. (2010). «Еще один к нарушению: анализ правовых, технологических и политических вопросов, связанных с законами об уведомлении об утечке данных» . Акронский журнал интеллектуальной собственности . 4 : 203.
- Макридис, Христос А (2021). «Вредит ли утечка данных репутации? Данные 45 компаний за период с 2002 по 2018 год» . Журнал кибербезопасности . 7 (1). дои : 10.1093/cybsec/tyab021 .
- Национальные академии наук, техники и медицины (2016 г.). «Серия семинаров Форума по киберустойчивости». Последствия утечки данных и восстановление для частных лиц и учреждений: материалы семинара . Пресса национальных академий. ISBN 978-0-309-44505-4 .
{{cite book}}
: CS1 maint: несколько имен: список авторов ( ссылка ) - Нтантогян, Христофорос; Маллиарос, Стефанос; Ксенакис, Христос (2019). «Оценка схем хеширования паролей на веб-платформах с открытым исходным кодом» . Компьютеры и безопасность . 84 : 206–224. дои : 10.1016/j.cose.2019.03.011 .
- Моряк, Джим (2020). PCI DSS: Стандартное руководство по интегрированной безопасности данных . Апресс. ISBN 978-1-4842-5808-8 .
- Шукла, Самикша; Джордж, Джосси П.; Тивари, Капил; Куратор Джозеф Варгезе (2022 г.). Этика данных и проблемы . Спрингер Природа. ISBN 978-981-19-0752-4 .
- Слоан, Роберт Х.; Уорнер, Ричард (2019). Почему бы нам не защититься лучше?: Утечки данных, управление рисками и государственная политика . ЦРК Пресс. ISBN 978-1-351-12729-5 .
- Солове, Дэниел Дж .; Харцог, Вудро (2022). Нарушено!: Почему закон о безопасности данных не работает и как его улучшить . Издательство Оксфордского университета. ISBN 978-0-19-094057-7 .
- Талеш, Шаухин А. (2018). «Нарушение данных, конфиденциальность и киберстрахование: как страховые компании выступают в роли «менеджеров по соблюдению требований» для бизнеса». Право и социальные исследования . 43 (2): 417–440. дои : 10.1111/lsi.12303 .
- Томас, Лийза М. (2023). Томас об утечке данных: Практическое руководство по обработке уведомлений об утечке данных во всем мире (PDF) . Томсон Рейтер . ISBN 978-1-7319-5405-3 .
- Тхоа, Саймон; Гафич, Мелиса; Кизеберг, Питер (2024). Основы киберустойчивости . Спрингер Природа. ISBN 978-3-031-52064-8 .