Утечка данных

Преднамеренное или непреднамеренное раскрытие конфиденциальной информации

Нарушение данных , также известное как утечка данных , представляет собой «несанкционированное раскрытие, разглашение или потерю личной информации ». ^[1]

У злоумышленников есть множество мотивов: от финансовой выгоды до политического активизма , политических репрессий и шпионажа . Существует несколько технических первопричин утечки данных, включая случайное или преднамеренное раскрытие информации инсайдерами, потерю или кражу незашифрованных устройств, взлом системы путем использования уязвимостей программного обеспечения и атаки социальной инженерии , такие как фишинг , когда инсайдеров обманом заставляют раскрыть информацию. Хотя профилактические меры компании, хранящей данные, могут снизить риск утечки данных, они не могут свести его к нулю.

Первое сообщение о взломе было сделано в 2002 году, и с тех пор их число растет каждый год. Большое количество взломов данных никогда не обнаруживается. Если о взломе становится известно компании, владеющей данными, усилия после взлома обычно включают в себя сдерживание взлома, расследование его масштаба и причины, а также уведомления людей, чьи записи были скомпрометированы, как того требует закон во многих юрисдикциях. Правоохранительные органы могут расследовать взломы, хотя ответственные за это хакеры редко пойманы.

Многие преступники продают данные, полученные в результате нарушений, в даркнете . Таким образом, люди, чьи персональные данные были скомпрометированы, подвергаются повышенному риску кражи личных данных в течение многих лет после этого, и значительное число станет жертвами этого преступления. Законы об уведомлении об утечке данных во многих юрисдикциях, включая все штаты США и государства-члены Европейского союза , требуют уведомления людей, чьи данные были нарушены. Судебные иски против компании, которая была нарушена, являются обычным явлением, хотя немногие жертвы получают от них деньги. Существует мало эмпирических доказательств экономического ущерба для фирм от нарушений, за исключением прямых затрат, хотя есть некоторые свидетельства, предполагающие временное, краткосрочное снижение цены акций .

Определение

Утечка данных — это нарушение «организационного, нормативного, законодательного или договорного» закона или политики ^[2] , которое приводит к «несанкционированному раскрытию, раскрытию или потере личной информации ». ^[1] Юридические и договорные определения различаются. ^{[3] [2]} Некоторые исследователи включают другие типы информации, например, интеллектуальную собственность или секретную информацию . ^[4] Однако компании в основном раскрывают информацию о нарушениях, потому что это требуется по закону, ^[5] и только личная информация подпадает под действие законов об уведомлении об утечке данных . ^{[6] [7]}

Распространенность

Утечки данных, зарегистрированные в США по годам, 2005–2023 гг.

Первая зарегистрированная утечка данных произошла 5 апреля 2002 года ^[8] , когда из центра обработки данных были украдены 250 000 номеров социального страхования, собранных штатом Калифорния . ^[9] До повсеместного принятия законов об уведомлении об утечке данных около 2005 года распространенность утечек данных было трудно определить. Даже после этого нельзя полагаться на статистику за год, поскольку об утечках данных могут сообщать спустя годы после их возникновения ^[10] или не сообщать вообще. ^[11] Тем не менее, статистика показывает продолжающийся рост количества и серьезности утечек данных, который продолжается по состоянию на 2022 год ^{[обновлять]}. ^[12] В 2016 году исследователь Саша Романоски подсчитал, что утечки данных (исключая фишинг ) превысили количество других нарушений безопасности в четыре раза. ^[13]

Преступники

Согласно оценке 2020 года, 55 процентов утечек данных были вызваны организованной преступностью , 10 процентов — системными администраторами , 10 процентов — конечными пользователями , такими как клиенты или сотрудники, и 10 процентов — государствами или связанными с государством субъектами. ^[14] Оппортунистические преступники могут вызывать утечки данных — часто используя вредоносные программы или атаки социальной инженерии , но они, как правило, уходят, если уровень безопасности выше среднего. Более организованные преступники имеют больше ресурсов и более сосредоточены на своих атаках на определенные данные . ^[15] Оба они продают полученную информацию для получения финансовой выгоды. ^[16] Другим источником утечек данных являются политически мотивированные хакеры , например, Anonymous , которые преследуют определенные цели. ^[17] Спонсируемые государством хакеры нацелены либо на граждан своей страны, либо на иностранные организации, в таких целях, как политические репрессии и шпионаж . Часто они используют нераскрытые уязвимости нулевого дня , за которые хакерам платят большие суммы денег. ^[18] Шпионское ПО Pegasus — вредоносное ПО без щелчка, разработанное израильской компанией NSO Group , которое может быть установлено на большинстве мобильных телефонов и шпионит за действиями пользователей — привлекло внимание как из-за использования против преступников, таких как наркобарон Эль Чапо , так и из-за политических диссидентов, способствовавших убийству Джамаля Хашогги . ^[19]

Причины

Технические причины

Несмотря на то, что разработчики стремятся предоставить продукт, который работает полностью так, как задумано, практически все программное обеспечение и оборудование содержат ошибки. ^[20] Если ошибка создает риск для безопасности, она называется уязвимостью . ^{[21] [22] [23]} Часто выпускаются исправления для исправления выявленных уязвимостей, но те, которые остаются неизвестными ( нулевые дни ), а также те, которые не были исправлены, по-прежнему подлежат эксплуатации. ^[24] Как программное обеспечение, написанное целью взлома, так и стороннее программное обеспечение, используемое ими, уязвимы для атак. ^[22] Поставщик программного обеспечения редко несет юридическую ответственность за стоимость нарушений, что создает стимул для создания более дешевого, но менее безопасного программного обеспечения. ^[25]

Уязвимости различаются по своей способности быть использованными злоумышленниками. Наиболее ценные позволяют злоумышленнику внедрять и запускать свой собственный код (называемый вредоносным ПО ), без ведома пользователя. ^[21] Некоторые вредоносные программы загружаются пользователями, нажимая на вредоносную ссылку, но вредоносные веб-приложения также могут загружать вредоносное ПО, просто посещая веб-сайт ( drive-by download ). Кейлоггеры , тип вредоносного ПО, который записывает нажатия клавиш пользователем, часто используются при утечках данных. ^[26] Большинство утечек данных можно было бы предотвратить, если бы вся конфиденциальная информация хранилась в зашифрованном формате. Таким образом, физическое владение устройством хранения или доступ к зашифрованной информации бесполезны, если у злоумышленника нет ключа шифрования . ^[27] Хеширование также является хорошим решением для защиты паролей от атак методом подбора , но только если алгоритм достаточно безопасен. ^[28]

Многие утечки данных происходят на оборудовании, эксплуатируемом партнером целевой организации, включая утечку данных Target в 2013 году и утечку данных JPMorgan Chase в 2014 году . ^[29] Аутсорсинг работы третьей стороне приводит к риску утечки данных, если у этой компании более низкие стандарты безопасности; в частности, у небольших компаний часто нет ресурсов для принятия всех мер предосторожности безопасности. ^{[30] [29]} В результате соглашения об аутсорсинге часто включают гарантии безопасности и положения о том, что произойдет в случае утечки данных. ^[30]

Человеческие причины

Человеческие причины нарушения часто основаны на доверии к другому субъекту, который оказывается злонамеренным. Атаки социальной инженерии основаны на обмане инсайдера, заставляющего его сделать что-то, что ставит под угрозу безопасность системы, например, раскрыть пароль или щелкнуть ссылку для загрузки вредоносного ПО. ^[31] Утечки данных также могут быть преднамеренно вызваны инсайдерами. ^[32] Один из видов социальной инженерии, фишинг , ^{[31] получает} учетные данные пользователя , отправляя ему вредоносное сообщение, выдавая себя за законную организацию, например, банк, и заставляя пользователя ввести свои учетные данные на вредоносном веб-сайте, контролируемом киберпреступником. Двухфакторная аутентификация может помешать злонамеренному субъекту использовать учетные данные. ^[33] Обучение сотрудников распознавать социальную инженерию является еще одной распространенной стратегией. ^[34]

Другим источником нарушений является случайное раскрытие информации, например, публикация информации, которая должна храниться в тайне. ^{[35] [36]} С ростом удаленной работы и политик использования собственных устройств большие объемы корпоративных данных хранятся на личных устройствах сотрудников. Из-за небрежности или несоблюдения политик безопасности компании эти устройства могут быть утеряны или украдены. ^[37] Технические решения могут предотвратить многие причины человеческих ошибок, такие как шифрование всех конфиденциальных данных, предотвращение использования сотрудниками небезопасных паролей, установка антивирусного программного обеспечения для предотвращения вредоносных программ и внедрение надежной системы исправлений для обеспечения актуальности всех устройств. ^[38]

Жизненный цикл нарушения

Профилактика

Хотя внимание к безопасности может снизить риск утечки данных, оно не может свести его к нулю. Безопасность — не единственный приоритет организаций, и попытка достичь идеальной безопасности сделает технологию непригодной для использования. ^[39] Многие компании нанимают главного сотрудника по информационной безопасности (CISO) для надзора за стратегией информационной безопасности компании. ^[40] Чтобы получить информацию о потенциальных угрозах, специалисты по безопасности будут общаться друг с другом и делиться информацией с другими организациями, сталкивающимися с аналогичными угрозами. ^[41] Меры защиты могут включать обновленную стратегию реагирования на инциденты, контракты с фирмами цифровой криминалистики , которые могли бы расследовать нарушение, ^[42] киберстрахование , ^{[43] [7]} и мониторинг темной паутины на предмет украденных учетных данных сотрудников. ^{[44] В 2024 году} Национальный институт стандартов и технологий США (NIST) выпустил специальную публикацию «Конфиденциальность данных: выявление и защита активов от утечек данных». ^[45] Структура кибербезопасности NIST также содержит информацию о защите данных. ^[46] Другие организации выпустили различные стандарты защиты данных. ^[47]

Архитектура систем компании играет ключевую роль в сдерживании злоумышленников. Дасвани и Элбаяди рекомендуют иметь только одно средство аутентификации , ^[48] избегать избыточных систем и устанавливать наиболее безопасные настройки по умолчанию. ^[49] Глубокая защита и распределенные привилегии (требующие множественной аутентификации для выполнения операции) также могут сделать систему более сложной для взлома. ^[50] Предоставление сотрудникам и программному обеспечению минимального объема доступа, необходимого для выполнения их функций ( принцип наименьших привилегий ) ограничивает вероятность и ущерб от нарушений. ^{[48] [51]} Несколько нарушений данных были сделаны из-за опоры на безопасность посредством неизвестности ; жертвы поместили учетные данные доступа в общедоступные файлы. ^[52] Тем не менее, приоритет простоты использования также важен, поскольку в противном случае пользователи могли бы обойти системы безопасности. ^[53] Тщательное тестирование программного обеспечения , включая тестирование на проникновение , может снизить уязвимость программного обеспечения и должно проводиться перед каждым выпуском, даже если компания использует модель непрерывной интеграции/непрерывного развертывания , при которой постоянно выпускаются новые версии. ^[54]

Принцип наименьшего сохранения ^[55] — избегание сбора данных, которые не нужны, и уничтожение данных, которые больше не нужны, — может смягчить вред от нарушений. ^{[56] [57] [58]} Проблема в том, что уничтожение данных может быть более сложным в современных системах баз данных. ^[59]

Ответ

Большое количество утечек данных никогда не обнаруживается. ^[60] Из тех, что обнаруживаются, большинство утечек обнаруживаются третьими лицами; ^{[61] [62]} другие обнаруживаются сотрудниками или автоматизированными системами. ^[63] Реагирование на утечки часто является обязанностью специальной группы реагирования на инциденты компьютерной безопасности , часто включающей технических экспертов, специалистов по связям с общественностью и юридических консультантов. ^{[64] [65]} Многие компании не имеют достаточного опыта внутри компании и передают некоторые из этих ролей на субподряд; ^[66] часто эти внешние ресурсы предоставляются полисом киберстрахования. ^[67] После того, как компании становится известно об утечке данных, следующие шаги обычно включают подтверждение того, что она произошла, уведомление группы реагирования и попытку ограничить ущерб. ^[68]

Чтобы остановить утечку данных, общие стратегии включают отключение затронутых серверов, их перевод в автономный режим, исправление уязвимости и восстановление . ^[69] После того, как точный способ, которым данные были скомпрометированы, идентифицирован, как правило, остается только одна или две технические уязвимости, которые необходимо устранить, чтобы сдержать нарушение и предотвратить его повторное возникновение. ^[70] Затем тест на проникновение может подтвердить, что исправление работает так, как ожидалось. ^[71] Если задействовано вредоносное ПО , организация должна расследовать и закрыть все векторы проникновения и утечки, а также найти и удалить все вредоносное ПО из своих систем. ^[72] Если данные были размещены в темной паутине , компании могут попытаться удалить их. ^[73] Сдерживание нарушения может поставить под угрозу расследование, а некоторые тактики (например, отключение серверов) могут нарушить договорные обязательства компании. ^[74]

Сбор данных о взломе может облегчить последующее судебное разбирательство или уголовное преследование, ^[75] но только если данные собираются в соответствии с правовыми стандартами и сохраняется цепочка поставок . ^[76] Криминалистическая экспертиза баз данных может сузить круг задействованных записей, ограничивая масштаб инцидента. ^[77] Может быть проведено обширное расследование, которое может быть даже дороже судебного разбирательства . ^[62] В Соединенных Штатах взломы могут расследоваться государственными учреждениями, такими как Управление по гражданским правам , Министерство здравоохранения и социальных служб США и Федеральная торговая комиссия (FTC). ^[78] Правоохранительные органы могут расследовать взломы, ^[79] хотя ответственные за это хакеры редко пойманы. ^[80]

Уведомления обычно рассылаются в соответствии с требованиями закона. ^[81] Многие компании предлагают бесплатный кредитный мониторинг людям, пострадавшим от утечки данных, хотя только около 5 процентов из тех, кто имеет право, пользуются этой услугой. ^[82] Выдача новых кредитных карт потребителям, хотя и дорогостоящая, является эффективной стратегией для снижения риска мошенничества с кредитными картами . ^[82] Компании пытаются восстановить доверие к своим деловым операциям и принимают меры для предотвращения повторения утечки. ^[83]

Последствия

Для потребителей

После утечки данных преступники зарабатывают деньги, продавая данные, такие как имена пользователей, пароли, информацию об аккаунтах социальных сетей или лояльности клиентов , номера дебетовых и кредитных карт ^[16] и личную информацию о состоянии здоровья (см. утечка медицинских данных ). ^[84] Преступники часто продают эти данные в даркнете — частях интернета, где трудно отследить пользователей и где широко распространена незаконная деятельность, — используя такие платформы, как .onion или I2P . ^[85] Возникнув в 2000-х годах, даркнет, а затем неотслеживаемые криптовалюты, такие как биткойн , в 2010-х годах позволили преступникам продавать данные, полученные в результате утечки, с минимальным риском быть пойманным, что способствовало росту числа взломов. ^{[86] [87]} Одна популярная торговая площадка даркнета, Silk Road , была закрыта в 2013 году, а ее операторы арестованы, но на ее месте появилось несколько других торговых площадок. ^[88] Telegram также является популярным форумом для незаконной продажи данных. ^[89]

Эта информация может быть использована для различных целей, таких как рассылка спама , получение продуктов с информацией о лояльности или платежеспособности жертвы, кража личных данных , мошенничество с рецептурными препаратами или мошенничество со страховкой . ^[90] Угроза утечки данных или раскрытия информации, полученной в результате утечки данных, может быть использована для вымогательства . ^[16]

Потребители могут понести различные формы материального или нематериального вреда от кражи своих персональных данных или не заметить никакого вреда. ^[91] Значительная часть пострадавших от утечки данных становятся жертвами кражи личных данных . ^[82] Идентификационная информация человека часто циркулирует в даркнете в течение многих лет, что приводит к повышенному риску кражи личных данных независимо от усилий по исправлению ситуации. ^{[80] [92]} Даже если клиент в конечном итоге не оплачивает счет за мошенничество с кредитными картами или кражу личных данных, ему приходится тратить время на разрешение ситуации. ^{[93] [94]} Нематериальный вред включает доксинг (публичное раскрытие чьей-либо личной информации), например, использования лекарств или личных фотографий. ^[95]

Для организаций

Существует мало эмпирических доказательств экономического ущерба от нарушений, за исключением прямых затрат, хотя есть некоторые доказательства, предполагающие временное, краткосрочное снижение цены акций . ^[96] Другие последствия для компании могут варьироваться от потери бизнеса, снижения производительности труда сотрудников из-за того, что системы отключены или персонал перенаправлен на работу над нарушением, ^[97] отставки или увольнения старших руководителей, ^[78] репутационного ущерба , ^{[78] [98]} и увеличения будущих затрат на аудит или безопасность. ^[78] Потери потребителей от нарушения, как правило, являются негативным внешним эффектом для бизнеса. ^[99] Некоторые эксперты утверждают, что доказательства свидетельствуют о том, что прямых затрат или репутационного ущерба от нарушений данных недостаточно, чтобы в достаточной степени стимулировать их предотвращение. ^{[100] [101]}

Оценить стоимость утечек данных сложно, как потому, что не все утечки сообщаются, так и потому, что подсчет влияния утечек в финансовом выражении не является простым. Существует несколько способов расчета стоимости для предприятий, особенно когда речь идет о времени персонала, выделенном на борьбу с утечкой. ^[102] Автор Кеви Фаулер подсчитал, что более половины прямых затрат, понесенных компаниями, приходится на судебные издержки и услуги, предоставленные пострадавшим лицам, а оставшиеся расходы делятся между уведомлением и обнаружением, включая судебную экспертизу и расследование. Он утверждает, что эти затраты снижаются, если организация инвестировала в безопасность до утечки или имеет предыдущий опыт с утечками. Чем больше записей данных задействовано, тем дороже обычно будет утечка. ^[103] В 2016 году исследователь Саша Романоски подсчитал, что, хотя средняя стоимость утечки для целевой фирмы составляет около 5 миллионов долларов, эта цифра была завышена за счет нескольких очень дорогих утечек, а типичная утечка данных обходилась гораздо дешевле — около 200 000 долларов. Романоски оценил общие годовые расходы корпораций в Соединенных Штатах примерно в 10 миллиардов долларов. ^[104]

Законы

Уведомление

Закон об утечках данных часто встречается в законодательстве, направленном на защиту конфиденциальности в более общем плане, и в нем преобладают положения, требующие уведомления при возникновении нарушений. ^[105] Законы сильно различаются по определению нарушений, ^[3] по типу защищаемой информации, крайнему сроку уведомления ^[6] и по тому, кто имеет право подать в суд в случае нарушения закона. ^[106] Законы об уведомлениях повышают прозрачность и создают репутационный стимул для компаний, чтобы сократить количество нарушений. ^[107] Стоимость уведомления о нарушении может быть высокой, если пострадало много людей, и она понесена независимо от ответственности компании, поэтому она может функционировать как штраф со строгой ответственностью . ^[108]

По состоянию на 2024 год ^{[обновлять]}Томас в Data Breach перечислил 62 государства-члена Организации Объединенных Наций , на которые распространяются законы об уведомлении об утечке данных. Некоторые другие страны требуют уведомления о нарушении в более общих законах о защите данных . ^[109] Вскоре после первой зарегистрированной утечки данных в апреле 2002 года Калифорния приняла закон, требующий уведомления в случае утечки личной информации человека. ^[9] В Соединенных Штатах законы об уведомлении получили распространение после утечки данных ChoicePoint в феврале 2005 года, широко разрекламированной отчасти из-за большого количества пострадавших людей (более 140 000), а также из-за возмущения тем, что компания изначально информировала только пострадавших людей в Калифорнии. ^{[110] [111]} В 2018 году вступил в силу Общий регламент по защите данных (GDPR) Европейского союза . GDPR требует уведомления в течение 72 часов, при этом для крупных компаний, не соблюдающих требования, возможны очень высокие штрафы. Этот регламент также стимулировал ужесточение законов о конфиденциальности данных в других местах. ^{[112] [113]} По состоянию на 2022 год единственный федеральный закон США, требующий уведомления об утечках данных, ограничивается медицинскими данными, регулируемыми HIPAA , но все 50 штатов (с тех пор как Алабама приняла закон в 2018 году) имеют свои собственные общие законы об уведомлении об утечках данных. ^{[113][обновлять]}

Меры безопасности

Меры по защите данных от утечки обычно отсутствуют в законе или неопределенны. ^[105] Заполнение этого пробела осуществляется стандартами, требуемыми киберстрахованием , которое поддерживается большинством крупных компаний и функционирует как фактическое регулирование . ^{[114] [115]} Из существующих законов существует два основных подхода: один, который предписывает конкретные стандарты, которым необходимо следовать, и подход разумности . ^[116] Первый редко используется из-за отсутствия гибкости и нежелания законодателей решать технические вопросы; при втором подходе закон неопределен, но конкретные стандарты могут возникнуть из прецедентного права . ^[117] Компании часто предпочитают подход стандартов для обеспечения большей правовой определенности , но они могут соответствовать всем требованиям, не предоставляя безопасный продукт. ^[118] Дополнительным недостатком является то, что законы плохо соблюдаются, а штрафы часто намного меньше, чем стоимость нарушения, и многие компании их не соблюдают. ^[119]

Судебные разбирательства

После утечек данных было подано много коллективных исков , производных исков и других судебных разбирательств. ^[120] Они часто урегулируются независимо от сути дела из-за высокой стоимости судебных разбирательств. ^{[121] [122]} Даже если урегулирование выплачивается, немногие пострадавшие потребители получают какие-либо деньги, поскольку обычно это всего лишь центы или несколько долларов на жертву. ^{[78] [122]} Юристы Дэниел Дж. Солов и Вудро Хартцог утверждают, что «судебные разбирательства увеличили расходы на утечки данных, но мало что добились». ^[123] Истцы часто пытаются доказать, что они понесли ущерб от утечки данных. ^[123] Вклад действий компании в утечку данных различается, ^{[119] [124]} и также ответственность за ущерб, возникший в результате утечек данных, является спорным вопросом. Спорным является то, какой стандарт следует применять, будь то строгая ответственность, халатность или что-то еще. ^[124]

Смотрите также

• Полное раскрытие информации (компьютерная безопасность)
• Утечка медицинских данных
• Капитализм наблюдения
• Утечки данных в Индии

Ссылки

1. Solove & Hartzog 2022, стр. 5.
2. Fowler 2016, стр. 2.
3. Solove & Hartzog 2022, стр. 41.
4. Шукла и др. 2022, стр. 47–48.
5. Национальные академии наук, инженерии и медицины 2016, стр. 18.
6. Solove & Hartzog 2022, стр. 42.
7. Fowler 2016, стр. 45.
8. Joerling 2010, стр. 468 fn 7.
9. Lesemann 2010, стр. 206.
10. Солов и Хартцог 2022, стр. 18.
11. Солов и Хартцог 2022, стр. 29.
12. Солов и Хартцог 2022, стр. 17–18.
13. Национальные академии наук, инженерии и медицины 2016, стр. 9.
14. Кроули 2021, стр. 46.
15. Фаулер 2016, стр. 7–8.
16. Fowler 2016, стр. 13.
17. Фаулер 2016, стр. 9–10.
18. Фаулер 2016, стр. 10–11.
19. Кастер и Ensign 2023, с. 355.
20. Эблон и Богарт 2017, стр. 1.
21. Ablon & Bogart 2017, стр. 2.
22. Дасвани и Эльбаяди 2021, с. 25.
23. Seaman 2020, стр. 47–48.
24. Дасвани и Эльбаяди, 2021, стр. 26–27.
25. Слоан и Уорнер 2019, стр. 104–105.
26. Дасвани и Эльбаяди 2021, с. 19–22.
27. Дасвани и Эльбаяди 2021, с. 15.
28. Нтантогян, Маллиарос и Ксенакис 2019.
29. Дасвани и Эльбаяди, 2021, стр. 22–23.
30. Fowler 2016, стр. 19–20.
31. Sloan & Warner 2019, стр. 94.
32. Макридис 2021, стр. 3.
33. Дасвани и Эльбаяди, 2021, стр. 16–19.
34. Слоан и Уорнер 2019, стр. 106–107.
35. Дасвани и Эльбаяди 2021, с. 28.
36. Фаулер 2016, стр. 19.
37. Фаулер 2016, стр. 18–19.
38. Дасвани и Эльбаяди, 2021, стр. 31–32.
39. Солов и Хартцог 2022, стр. 69–70.
40. Дасвани и Эльбаяди 2021, стр. 7, 9–10.
41. Дасвани и Эльбаяди 2021, стр. 200–201.
42. Дасвани и Эльбаяди 2021, стр. 203–204.
43. Дасвани и Эльбаяди 2021, с. 205.
44. Дасвани и Эльбаяди, 2021, стр. 206–207.
45. Фишер и др. 2024, Титульный лист.
46. Фишер и др. 2024, стр. 2.
47. Фаулер 2016, стр. 210.
48. Дасвани и Эльбаяди 2021, с. 217.
49. Дасвани и Эльбаяди 2021, стр. 215–216.
50. Тьоа и др. 2024, стр. 14.
51. Ленхард 2022, стр. 53.
52. Дасвани и Эльбаяди 2021, с. 218.
53. Дасвани и Эльбаяди 2021, стр. 218–219.
54. Дасвани и Эльбаяди 2021, стр. 314–315.
55. Тьоа и др. 2024, стр. 68.
56. Ленхард 2022, стр. 60.
57. Фаулер 2016, стр. 184.
58. Солов и Хартцог 2022, стр. 146.
59. Тьоа и др. 2024, стр. 69.
60. Кроули 2021, стр. 39.
61. Фаулер 2016, стр. 64.
62. Национальные академии наук, инженерии и медицины 2016, стр. 25.
63. Фаулер 2016, стр. 4.
64. Кроули 2021, стр. 97.
65. Фаулер 2016, стр. 5, 32.
66. Фаулер 2016, стр. 86.
67. Фаулер 2016, стр. 94.
68. Фаулер 2016, стр. 4–5.
69. Фаулер 2016, стр. 120–122.
70. Фаулер 2016, стр. 115.
71. Фаулер 2016, стр. 116.
72. Фаулер 2016, стр. 117–118.
73. Фаулер 2016, стр. 119.
74. Фаулер 2016, стр. 124.
75. Фаулер 2016, стр. 81–82.
76. Фаулер 2016, стр. 83.
77. Фаулер 2016, стр. 128.
78. Национальные академии наук, инженерии и медицины 2016, стр. 22.
79. Фаулер 2016, стр. 44.
80. Solove & Hartzog 2022, стр. 58.
81. Фаулер 2016, стр. 5, 44.
82. Национальные академии наук, инженерии и медицины 2016, стр. 13.
83. Фаулер 2016, стр. 5–6.
84. Фаулер 2016, стр. 14.
85. Фаулер 2016, стр. 12–13.
86. Дэвидофф 2019, «Современные брокеры темных данных».
87. Солов и Хартцог 2022, стр. 21.
88. Хауэлл, Кристиан Джордан; Маймон, Дэвид (2 декабря 2022 г.). «Рынки даркнета генерируют миллионы доходов, продавая украденные персональные данные, согласно исследованию цепочки поставок». The Conversation . Получено 22 апреля 2024 г.
89. Гаркава, Таисия; Монева, Асьер; Лейкфельдт, Э. Рутгер (2024). «Рынки украденных данных в Telegram: анализ сценария преступления и меры ситуативной профилактики преступлений». Тенденции в организованной преступности . doi :10.1007/s12117-024-09532-6.
90. Фаулер 2016, стр. 13–14.
91. Национальные академии наук, инженерии и медицины 2016, стр. 27.
92. Национальные академии наук, инженерии и медицины 2016, стр. 30–31.
93. Национальные академии наук, инженерии и медицины 2016, стр. 29.
94. Солов и Хартцог 2022, стр. 56.
95. Национальные академии наук, инженерии и медицины 2016, стр. 27–29.
96. Макридис 2021, стр. 1.
97. Фаулер 2016, стр. 22.
98. Фаулер 2016, стр. 41.
99. Sloan & Warner 2019, стр. 104.
100. Макридис 2021, стр. 1, 7.
101. Слоан и Уорнер 2019, стр. 64.
102. Национальные академии наук, инженерии и медицины 2016, стр. 8–10.
103. Фаулер 2016, стр. 21.
104. Национальные академии наук, инженерии и медицины 2016, стр. 10.
105. Solove & Hartzog 2022, стр. 10.
106. Солов и Хартцог 2022, стр. 43.
107. Солов и Хартцог 2022, стр. 44.
108. Солов и Хартцог 2022, стр. 45.
109. Томас 2023, стр. xxvii, xxix, xxxii–xxxiii, xxxiv.
110. Леземанн 2010, стр. 206–207.
111. Йёрлинг 2010, стр. 468–469.
112. Seaman 2020, стр. 6–7.
113. Solove & Hartzog 2022, стр. 40.
114. Национальные академии наук, инженерии и медицины 2016, стр. 24.
115. Талеш 2018, стр. 237.
116. Солов и Хартцог 2022, стр. 48.
117. Солов и Хартцог 2022, стр. 48–49.
118. Солов и Хартцог 2022, стр. 52.
119. Solove & Hartzog 2022, стр. 53.
120. Фаулер 2016, стр. 5.
121. Фаулер 2016, стр. 222.
122. Solove & Hartzog 2022, стр. 55, 59.
123. Solove & Hartzog 2022, стр. 55.
124. Национальные академии наук, инженерии и медицины 2016, стр. 23.

Источники

• Эблон, Лиллиан; Богарт, Энди (2017). Нулевые дни, тысячи ночей: жизнь и времена уязвимостей нулевого дня и их эксплойтов (PDF) . Rand Corporation. ISBN 978-0-8330-9761-3.
• Кроули, Ким (2021). 8 шагов к лучшей безопасности: простое руководство по киберустойчивости для бизнеса. John Wiley & Sons. ISBN 978-1-119-81124-4.
• Дасвани, Нил ; Элбаяди, Муди (2021). Большие нарушения: уроки кибербезопасности для всех. Apress. ISBN 978-1-4842-6654-0.
• Давидофф, Шерри (2019). Утечки данных: кризис и возможности . Addison-Wesley Professional. ISBN 978-0-13-450772-9.
• Фишер, Уильям; Крафт, Р. Юджин; Экстром, Майкл; Секстон, Джулиан; Свитнэм, Джон (2024). Конфиденциальность данных: идентификация и защита активов от утечек данных (PDF) (Отчет). Специальные публикации NIST. Национальный институт стандартов и технологий .
• Фаулер, Кевви (2016). Подготовка к утечке данных и реагирование на нее: утечки неизбежны, последствия — нет. Elsevier Science. ISBN 978-0-12-803451-4.
• Joerling, Jill (2010). «Законы об уведомлении об утечке данных: аргумент в пользу всеобъемлющего федерального закона о защите данных потребителей». Журнал права и политики Вашингтонского университета . 32 : 467.
• Кастер, Шон Д.; Энсин, Прескотт К. (2023). «Приватизированный шпионаж: NSO Group Technologies и его шпионское ПО Pegasus». Thunderbird International Business Review . 65 (3): 355–364. doi : 10.1002/tie.22321 .
• Ленхард, Томас Х. (2022). Безопасность данных: технические и организационные меры защиты от потери данных и компьютерных преступлений . Springer Nature. ISBN 978-3-658-35494-7.
• Lesemann, Dana J. (2010). «Еще один к нарушению: анализ правовых, технологических и политических вопросов, касающихся статутов об уведомлении об нарушении данных». Akron Intellectual Property Journal . 4 : 203.
• Макридис, Христос А. (2021). «Наносят ли утечки данных ущерб репутации? Данные 45 компаний в период с 2002 по 2018 год». Журнал кибербезопасности . 7 (1). doi : 10.1093/cybsec/tyab021 .
• Национальные академии наук, инженерии и медицины (2016). "Форум по киберустойчивости. Серия семинаров". Последствия утечки данных и восстановление для отдельных лиц и учреждений: материалы семинара. Издательство Национальных академий. ISBN 978-0-309-44505-4.{{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка )
• Нтантогян, Христофорос; Маллиарос, Стефанос; Ксенакис, Христос (2019). «Оценка схем хеширования паролей на веб-платформах с открытым исходным кодом». Компьютеры и безопасность . 84 : 206–224. doi :10.1016/j.cose.2019.03.011.
• Симан, Джим (2020). PCI DSS: Руководство по интегрированному стандарту безопасности данных . Apress. ISBN 978-1-4842-5808-8.
• Шукла, Самикша; Джордж, Джосси П.; Тивари, Капил; Куритара, Джозеф Варгезе (2022). Этика данных и проблемы . Спрингер Природа. ISBN 978-981-19-0752-4.
• Слоан, Роберт Х.; Уорнер, Ричард (2019). Почему мы не защищаемся лучше?: утечки данных, управление рисками и государственная политика . CRC Press. ISBN 978-1-351-12729-5.
• Солов, Дэниел Дж .; Хартцог, Вудроу (2022). Нарушено!: Почему закон о безопасности данных терпит неудачу и как его улучшить. Oxford University Press. ISBN 978-0-19-094057-7.
• Талеш, Шаухин А. (2018). «Утечка данных, конфиденциальность и киберстрахование: как страховые компании выступают в качестве «менеджеров по обеспечению соответствия» для предприятий». Законодательство и социальные исследования . 43 (2): 417–440. doi :10.1111/lsi.12303.
• Томас, Лииса М. (2023). Томас о утечке данных: практическое руководство по обработке уведомлений об утечке данных по всему миру (PDF) . Thomson Reuters . ISBN 978-1-7319-5405-3.
• Tjoa, Simon; Gafić, Melisa; Kieseberg, Peter (2024). Основы киберустойчивости . Springer Nature. ISBN 978-3-031-52064-8.