下面每个气泡都代表着一次令澳大利亚人可能面临“严重伤害”级别风险的数据泄露。
它显示了自2020年初以来,总共有2784个有记录的数据泄漏事件,涵盖了从暴露了数百万人个人信息的Optus电讯公司和Medicare私人医保公司数据泄漏事件,到只影响了一个“倒霉蛋”的电邮错误发送的事件。
该图表基于向澳大利亚信息专员办公室(Australian Information Commissioner ,OAIC)报告的数据泄露的官方记录,由澳大利亚广播公司(ABC)首次获得并公布。
这些数据并没有列出每一数据泄漏事件所涉及的组织机构名称,也不涵盖其他一些明显遗漏的数据泄露事件。然而,这仍然提供了迄今最详细的描述,让人们了解到这个问题的严重性和规模。
气泡的大小代表向OAIC报告的每个数据泄露事件中受影响的全球人数。
澳大利亚广播公司已经识别出纪录中的一些没有给出机构名称的条目。
快速浏览一下这些数据就会知道,我们近年来错过了一些大事情。
2020年和2021年发生了影响全球1000多万人的重大数据泄漏事件,而我们仍然不知道它们影响了哪些公司,也不知道什么样的数据遭到泄露了。
但图表中明确呈现的一点是,导致最大头条新闻的数据泄漏事件,如2022年底Optus电讯公司和Medibank私人医保公司发生的数据泄漏事件,并不是孤立的事件。也不是突如其来的。
2020年披露的数据泄露事件比去年还要对出164起。
这张图中缺少了什么?
虽然这个数据集比以往任何时候都更清楚地揭示了问题的规模和严重性,但它仍然没有捕捉展现问题的全部。
澳大利亚广播公司已经证实,涉及至少两家跨国巨头——亚马逊和Spotify——的数据泄露事件在澳大利亚不属于 “应通报事件”的范畴,因此根本没有出现在以上的数据集中。
而且可能还有很多其他类似的例子。
据媒体报道,Zoom、Meta、微软、Twitch和松下等公司都被指遭受数据泄露。这些公司都拒绝回答澳大利亚广播公司的问题,即他们的数据泄漏事件是否触发了向澳大利亚当局报告的要求。
由于有多起重大数据泄露事件未被报告,而且还有可能有更多泄露事件,很明显,OAIC的披露纪录并没有完整记录影响澳大利亚人的数据泄漏事件。
这至少有一部分原因是,根据《隐私法》,数据泄露必须使受影响的个人“可能面临严重伤害的风险”时,才能被披露。
但谁能决定是否有这样的风险呢?
事实证明,受数据泄露影响的机构和组织可以自己进行评估,来决定受害者是否存在严重伤害的风险,从而决定是否需要披露该泄露事件。
而新南威尔士大学(UNSW)的网络安全法专家莱利亚·贝纳特·莫希斯(Lyria Bennett Moses)认为,这些机构和组织并不适合进行这种评估。
她解释说,遭遇数据泄漏的机构和组织“只知道他们在[数据]生态系统中填入了哪些信息,而不知道哪些信息曾遭泄露”。
莱利亚·贝纳特·莫希斯希望加强澳大利亚的信息披露法律。Supplied: Lyria Bennett Moses
“一点点信息可能不会告诉任何人[有关个人的]太多情况。”
“但当你积累了更多的信息,你就可以开始把这些东西拼凑在一起,形成一个相当全面的画面。”
这就是所谓的马赛克效应,这也是贝纳特·莫希斯教授说澳大利亚的信息披露法需要加强的一个重要原因。
OAIC的一位发言人说,“各实体必须全面地评估严重伤害的风险”。
该发言人没有进一步澄清在实践中如何面对马赛克效应带来的后果。
亚马逊和微软表示,他们遵守了法律义务。亚马逊发言人还表示,“在需要的情况下,已通知相关监管机构”。
简·安德鲁(Jane Andrew)是悉尼大学商学院一项研究工作的联合负责人,该研究正在追踪围绕数据泄露的媒体报道。
在检查了澳大利亚广播公司获得的匿名披露数据后,她的直接反应是,这告诉我们“有很多事情没有报告”给公众。
“作为一个社区,我们真正谈论的只是少数数据泄露事件,”她说,并补充道,这种数据泄露的不透明程度是“相当特别的”。
简·安德鲁说“应该要求公开报告数据泄露。”ABC News: Jerry Rickard
“数据泄露现在是经常发生的事情,但我们大多不知道它们的规模、它们影响的机构和组织、泄漏数据的性质或这些机构和组织如何试图减轻这些风险。
“如果我们不知道它的规模,我们甚至无法就此进行对话。”
当发现数据泄漏时,这些机构和组织只需要通知监管机构和直接受影响的个人。
尽管有安德鲁教授团队的协助,但绝大多数事件——包括纪录中三个最大事件中的两个——仍然无法被识别。
Five largest data breaches reported since January 2020
经过进一步的调查,OAIC透露,受两个最大的不明数据泄漏影响的澳大利亚人的数量分别为729,646和186,091。
就受影响的人数而言,这些可能是最大的数据泄漏事件,但它们的规模并没有告诉我们这些黑客攻击事件的复杂性。
Optus负有责任,因为它相当于在数据世界里把窗户打开了,而Medibank那边,一个被泄露的密码就足以访问其客户数据。
但是,其他数据泄漏行为的性质目前仍遥不可及,令人感到沮丧,而这是全面了解澳大利亚面临的网络威胁所需要的。
我们甚至不知道这许多数据泄漏中究竟是什么时候发生的。
披露纪录日志中的日期只是指OAIC收到通知的时间,由于公司有可能在披露前“搁置“这些数据泄漏事件,这些时间也被打上了问号。
就像其他许多细节一样,OAIC没有提供更多有关逐一泄露案件披露时间的信息。
我们所能做的只是汇总数字,最新的报告显示,29%的数据泄漏事件超过一个月的时间才被报告。
图表:机构和组织通常会等上超过一个月时间通报数据泄露事件的发生
图注:2022年7月-12月数据
日志纪录中的一些数据泄漏事件比数据显示的时间早了几个月,甚至几年,但我们不知道到底是哪些数据泄漏事件。
建立对系统的信任
安德鲁教授认为,目前的信息披露法给遭受信息泄露的组织留下了太多的自由裁量权。
她说,就目前情况而言,她说:“我们无法形成一个明智的观点,以了解我们所委托管理我们数据的机构和组织能够或应该做出什么样的行为。”
最近涉及医学研究机构QIMR Berghofer的事件是没有正式向公众宣布的数据泄露的最新例子。该研究所的皮肤癌调查数据的一个子集有可能在其第三方承包商Datatime的服务器上被泄漏。
根据其法律义务,QIMR Berghofer通知了所有受该数据泄露影响的个人和相关监管机构,但它不需要进行任何公开披露。
该研究所在继续进行各项调查,而潜在参与者则不知道已发生的数据泄露事件。
QIMR Berghofer没有被要求对数据泄露进行任何公开披露。ABC News: Cameron Lang
安德鲁教授坚信有必要实施改革,要求各机构和组织向公众报告数据泄露事件。
她把这种情况比作澳大利亚证券交易所(ASX)对公司的透明度要求。
“我们的证券交易所从严格的报告义务中受益,因为它们意味着我们可以信任所提供的信息,”她说。
“它们支撑着我们对这个体系的信任。”
她说,当涉及到公司如何管理客户数据时,同样的原则也应该适用。
“我不知道为什么我们对数据的思考方式与[财务披露]不同,”她说。
“在参与数字经济方面,我们别无选择。人们感觉不到我们对自己数据的控制,这一点需要改变。”
有迹象显示正在发生变化
在堪培拉,联邦司法部长马克·德雷福斯(Mark Dreyfus)正在对《隐私法》进行审查,其中包括数据泄露披露法。
在给澳大利亚广播公司的一份声明中,司法部长的发言人说,“数据泄露不是一个新问题,正如[OAIC]的数据所示。”
“令人遗憾的是,之前的联盟党政府没有采取行动,以加强《隐私法》,以便当局能够更好地处理这些数据泄露问题。”
虽然很容易责怪前任政府的不作为,但这次审查结果将不言则明。
联邦司法部长德雷福斯正在对《隐私法》进行审查。ABC News: Matt Roberts
今年2月发布的《隐私法审查报告》提出了一些建议,但对“严重伤害”规则和公开披露要求的修改都不在其中。
在提交给审查的报告中,OAIC建议维持现有“严重伤害”的规则。
OAIC的一位发言人告诉澳大利亚广播公司说,“有针对性的方法可以避免对没有风险的个人造成不必要的困扰,限制通知疲劳(notification fatigue,即因为接到太多通知而采取无视态度),并减少受监管实体的行政成本”。
司法部长办公室拒绝就审查的这些方面发表评论。
根据审查中提出的有限的改变,各机构和组织将继续自我评估他们自身涉及的这些事件所产生的风险。
而低估这些风险的动机是巨大的。只要看看Optus公司如何试图声称造成其数据泄漏的原因是复杂的,尽管联邦网络安全部长(Minister for Cyber Security )克莱尔·奥尼尔(Clare O’Neil)后来说这是一个“初级”失误。
去年年底,联邦政府提升了OAIC的调查权力,并提高了对违规行为的最高处罚。
但是,如果监管机构无法第一时间就获悉某一数据泄漏事件,那么这些权力又有什么用呢?
而且,需要被告知的还不仅仅是监管机构。
只要这些数据泄漏事件的细节仍然在OAIC手中,对公众不予公开,那么澳大利亚人的个人数据究竟被如何妥善管理或不善管理,事情的全貌仍将被继续掩盖。
欢迎光临 澳洲同城网 (https://www.tongchengau.com/) | Powered by Discuz! X3.2 |