Siguria e të dhënave

Siguria e të dhënave nënkupton mbrojtjen e të dhënave dixhitale, të tilla si ato në një bazë të dhënash, nga forcat shkatërruese dhe nga veprimet e padëshiruara të përdoruesve të paautorizuar,^[1] si një sulm kibernetik ose një shkelje e të dhënave.^[2]

Teknologjitë

Kriptimi i diskut

Kriptimi i diskut i referohet teknologjisë së kriptimit që kodon të dhënat në një hard disk. Kriptimi i diskut zakonisht merr formë ose në softuer (shih softuerin e enkriptimit të diskut ) ose në harduer (shih harduerin e enkriptimit të diskut ). Kriptimi i diskut shpesh referohet si kriptim në fluturim (OTFE) ose kriptim transparent.

Softueri kundrejt mekanizmave të bazuar në harduer për mbrojtjen e të dhënave

Zgjidhjet e sigurisë të bazuara në softuer enkriptojnë të dhënat për t'i mbrojtur ato nga vjedhja. Megjithatë, një program me qëllim të keq ose një haker mund të dëmtojë të dhënat për t'i bërë ato të parikuperueshme, duke e bërë sistemin të papërdorshëm. Zgjidhjet e sigurisë të bazuara në harduer parandalojnë qasjen e leximit dhe shkrimit në të dhëna, gjë që siguron mbrojtje shumë të fortë kundër ngacmimeve dhe aksesit të paautorizuar.

Siguria e bazuar në harduer ose siguria e kompjuterit e asistuar ofron një alternativë ndaj sigurisë kompjuterike vetëm me softuer. Shenjat e sigurisë, si ato që përdorin PKCS#11 ose një telefon celular, mund të jenë më të sigurta për shkak të aksesit fizik që kërkohet për t'u rrezikuar.^[3] Aksesi mundësohet vetëm kur tokeni është i lidhur dhe PIN-i i saktë është i futur (shihni autentifikimin me dy faktorë). Megjithatë, donglet mund të përdoren nga kushdo që mund të fitojë akses fizik në to. Teknologjitë më të reja në sigurinë e bazuar në harduer zgjidhin këtë problem duke ofruar një provë të plotë të sigurisë për të dhënat.^[4]

Puna për sigurinë e bazuar në harduer: Një pajisje harduerike lejon një përdorues të identifikohet,të dalë dhe të vendosë nivele të ndryshme nëpërmjet veprimeve manuale. Pajisja përdor teknologjinë biometrike për të parandaluar përdoruesit me qëllim të keq që të hyjnë, të dalin nga llogaria dhe të ndryshojnë nivelet e privilegjeve. Gjendja aktuale e një përdoruesi të pajisjes lexohet nga kontrollorët në pajisjet periferike si disqet e ngurtë. Qasja e paligjshme nga një përdorues me qëllim të keq ose një program me qëllim të keq ndërpritet bazuar në gjendjen aktuale të një përdoruesi nga kontrollorët e diskut dhe DVD-së duke e bërë të pamundur aksesin e paligjshëm në të dhëna. Kontrolli i aksesit i bazuar në harduer është më i sigurt se mbrojtja e ofruar nga sistemet operative pasi sistemet operative janë të prekshme ndaj sulmeve me qëllim të keq nga viruset dhe hakerat. Të dhënat në disqet e ngurtë mund të dëmtohen pasi të merret një qasje me qëllim të keq. Me mbrojtjen e bazuar në harduer, softueri nuk mund të manipulojë nivelet e privilegjeve të përdoruesit. Një haker ose një program me qëllim të keq nuk mund të ketë qasje në të dhëna të sigurta të mbrojtura nga hardueri ose të kryejë operacione të privilegjuara të paautorizuara. Ky supozim prishet vetëm nëse vetë hardueri është me qëllim të keq ose përmban një derë të pasme.^[5] Pajisja mbron imazhin e sistemit operativ dhe privilegjet e sistemit të skedarëve nga ndërhyrjet. Prandaj, një sistem plotësisht i sigurt mund të krijohet duke përdorur një kombinim të sigurisë së bazuar në harduer dhe politikave të administrimit të sistemit të sigurt.

Rezervimet

Rezervimet përdoren për të siguruar që të dhënat e humbura mund të rikuperohen nga një burim tjetër. Konsiderohet thelbësore të mbash një kopje rezervë të të dhënave në shumicën e industrive dhe procesi rekomandohet për çdo skedar me rëndësi për përdoruesin.^[6]

Maskimi i të dhënave

Maskimi i të dhënave të strukturuara është procesi i mbulimit (maskimit) të të dhënave specifike brenda një tabele ose qelie të bazës së të dhënave për të siguruar që siguria e të dhënave të ruhet dhe informacioni i ndjeshëm të mos ekspozohet ndaj personelit të paautorizuar.^[7] Kjo mund të përfshijë maskimin e të dhënave nga përdoruesit (për shembull kështu që përfaqësuesit e klientëve bankarë mund të shohin vetëm katër shifrat e fundit të numrit kombëtar të identitetit të klientit), zhvilluesit (të cilët kanë nevojë për të dhëna reale të prodhimit për të testuar versione të reja të softuerit, por nuk duhet të kenë mundësi të shohin të dhëna financiare të ndjeshme), kontraktimi i shitësve,etj.^[8]

Fshirja e të dhënave

Fshirja e të dhënave është një metodë e mbishkrimit e bazuar në softuer që fshin plotësisht të gjitha të dhënat elektronike që gjenden në një hard disk ose media të tjera dixhitale për të siguruar që asnjë e dhënë e ndjeshme të mos humbasë kur një burim tërhiqet ose ripërdoret.^[9]

Ligjet dhe standardet ndërkombëtare

Ligjet ndërkombëtare

Në Mbretërinë e Bashkuar, Akti për Mbrojtjen e të Dhënave përdoret për të siguruar që të dhënat personale të jenë të qasshme për ata që kanë të bëjnë me të, dhe u ofron përmirsim individëve nëse ka pasaktësi.^[10] Kjo është veçanërisht e rëndësishme për të siguruar që individët të trajtohen në mënyrë të drejtë, për shembull për qëllime të kontrollit të kredisë. Ligji për Mbrojtjen e të Dhënave thotë se vetëm individët dhe kompanitë me arsye legjitime dhe të ligjshme mund të përpunojnë informacione personale dhe nuk mund të ndahen. Dita e Privatësisë së të Dhënave është një festë ndërkombëtare e filluar nga Këshilli i Evropës që festohet çdo 28 janar.^[11]

Që kur Rregullorja e Përgjithshme e Mbrojtjes së të Dhënave (GDPR) e Bashkimit Evropian (BE) u bë ligj më 25 maj 2018, organizatat mund të përballen me gjoba të konsiderueshme deri në 20 milionë euro ose 4% të të ardhurave të tyre vjetore nëse nuk respektojnë rregulloren.^[12] Synohet që GDPR të detyrojë organizatat të kuptojnë rreziqet e tyre të privatësisë së të dhënave dhe të marrin masat e duhura për të reduktuar rrezikun e zbulimit të paautorizuar të informacionit privat të konsumatorëve.^[13]

Standardet ndërkombëtare

Standardet ndërkombëtare ISO/IEC 27001:2013 dhe ISO/IEC 27002 :2013 mbulojnë sigurinë e të dhënave nën temën e sigurisë së informacionit, dhe një nga parimet kryesore të tij është që i gjithë informacioni i ruajtur, dmth të dhënat, duhet të jenë në pronësi në mënyrë që të jetë e qartë se e kujt është përgjegjësia të mbrojë dhe kontrollojë qasjen në ato të dhëna.^[14]^[15] Më poshtë janë shembuj të organizatave që ndihmojnë në forcimin dhe standardizimin e sigurisë kompjuterike:

Grupi i Kompjuterëve të Besuar është një organizatë që ndihmon në standardizimin e teknologjive të sigurisë kompjuterike.

Standardi i Sigurisë së të Dhënave të Industrisë së Kartës së Pagesave (PCI DSS) është një standard ndërkombëtar i sigurisë së informacionit për organizatat që trajtojnë informacionin e mbajtësit të kartës për kartat kryesore të debitit, kreditit, me parapagesë, kuletën elektronike, makineritë e automatizuara dhe pikat e shitjes.^[16]

Rregullorja e Përgjithshme për Mbrojtjen e të Dhënave (GDPR) e propozuar nga Komisioni Evropian do të forcojë dhe unifikojë mbrojtjen e të dhënave për individët brenda BE-së, ndërkohë që trajton eksportin e të dhënave personale jashtë BE-së.

Masat mbrojtëse

Katër llojet e mbrojtjeve teknike janë kontrollet e qasjes, kontrollet e rrjedhës, kontrollet e konkluzioneve dhe kriptimi i të dhënave. Kontrollet e qasjes menaxhojnë hyrjen e përdoruesit dhe manipulimin e të dhënave, ndërsa kontrollet e rrjedhës rregullojnë shpërndarjen e të dhënave. Kontrollet e konkluzionit parandalojnë zbritjen e informacionit konfidencial nga bazat e të dhënave statistikore dhe kriptimi i të dhënave parandalon qasjen e paautorizuar në informacionin konfidencial.^[17]

Shih edhe

Referime

^ Summers, ,G. Data and databases (në anglisht). In: Koehne, H Developing Databases with Access: Nelson Australia Pty Limited. p4-5.{{cite book}}: Mirëmbajtja CS1: Emra të shumëfishtë: lista e autorëve (lidhja)
^ "Knowing Your Data to Protect Your Data". IT Business Edge (në anglishte amerikane). 2017-09-25. Marrë më 2022-11-03.
^ Thanh, Do van; Jorstad, Ivar; Jonvik, Tore; Thuan, Do van (2009). "Strong authentication with mobile phone as security token". 2009 IEEE 6th International Conference on Mobile Adhoc and Sensor Systems (në anglisht). fq. 777–782. doi:10.1109/MOBHOC.2009.5336918. ISBN 978-1-4244-5114-2. S2CID 5470548.
^ Stubbs, Rob (10 sht 2019). "Why the World is Moving to Hardware-Based Security" (në anglisht). Fortanix. Marrë më 30 shtator 2022.
^ Waksman, Adam; Sethumadhavan, Simha (2011), "Silencing Hardware Backdoors" (PDF), Proceedings of the IEEE Symposium on Security and Privacy (në anglisht), Oakland, California, arkivuar nga origjinali (PDF) më 2013-09-28
^ "Back-ups | Stay Smart Online" (në anglisht). Arkivuar nga origjinali më 2017-07-07.
^ "Data Masking Definition" (në anglisht). Arkivuar nga origjinali më 2017-02-27. Marrë më 1 mars 2016.
^ "data masking" (në anglisht). Arkivuar nga origjinali më 5 janar 2018. Marrë më 29 korrik 2016.
^ Michael Wei; Laura M. Grupp; Frederick E. Spada; Steven Swanson (2011). "Reliably Erasing Data From Flash-Based Solid State Drives". FAST'11: Proceedings of the 9th USENIX conference on File and storage technologies. Wikidata Q115346857 (në anglisht). Retrieved 2022-11-22.{{cite book}}: Mirëmbajtja CS1: Emra shifrorë: lista e autorëve (lidhja) Mirëmbajtja CS1: Emra të shumëfishtë: lista e autorëve (lidhja)
^ "data protection act" (në anglisht). Arkivuar nga origjinali më 13 prill 2016. Marrë më 29 korrik 2016.
^ Peter Fleischer, Jane Horvath, Shuman Ghosemajumder (2008). "Celebrating data privacy" (në anglisht). Google Blog. Arkivuar nga origjinali më 20 maj 2011. Marrë më 12 gusht 2011.{{cite web}}: Mirëmbajtja CS1: Emra të shumëfishtë: lista e autorëve (lidhja)
^ "GDPR Penalties" (në anglisht). Arkivuar nga origjinali më 2018-03-31.
^ "Detect and Protect for Digital Transformation". Informatica (në anglisht). Marrë më 27 prill 2018.
^ "ISO/IEC 27001:2013". ISO (në anglisht). 16 dhjetor 2020. Marrë më 2022-11-03.
^ "ISO/IEC 27002:2013". ISO (në anglisht). 15 prill 2021. Marrë më 2022-11-03.
^ "PCI DSS Definition" (në anglisht). Arkivuar nga origjinali më 2 mars 2016. Marrë më 1 mars 2016.{{cite web}}: Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
^ Denning, Dorothy E., and Peter J. Denning. "Data security." ACM computing surveys (CSUR) 11.3 (1979): 227-249.

Lidhje të jashtme

Përgatitja për ligjet e reja të të dhënave – Revista e Qeverisjes Vendore (Britania e Madhe)
Rregullorja e Përgjithshme e BE-së për Mbrojtjen e të Dhënave (GDPR)
Kundër sulmeve të ransomware

[1] Summers, ,G. Data and databases (në anglisht). In: Koehne, H Developing Databases with Access: Nelson Australia Pty Limited. p4-5.{{cite book}}: Mirëmbajtja CS1: Emra të shumëfishtë: lista e autorëve (lidhja)

[2] "Knowing Your Data to Protect Your Data". IT Business Edge (në anglishte amerikane). 2017-09-25. Marrë më 2022-11-03.

[3] Thanh, Do van; Jorstad, Ivar; Jonvik, Tore; Thuan, Do van (2009). "Strong authentication with mobile phone as security token". 2009 IEEE 6th International Conference on Mobile Adhoc and Sensor Systems (në anglisht). fq. 777–782. doi:10.1109/MOBHOC.2009.5336918. ISBN 978-1-4244-5114-2. S2CID 5470548.

[4] Stubbs, Rob (10 sht 2019). "Why the World is Moving to Hardware-Based Security" (në anglisht). Fortanix. Marrë më 30 shtator 2022.

[5] Waksman, Adam; Sethumadhavan, Simha (2011), "Silencing Hardware Backdoors" (PDF), Proceedings of the IEEE Symposium on Security and Privacy (në anglisht), Oakland, California, arkivuar nga origjinali (PDF) më 2013-09-28

[6] "Back-ups | Stay Smart Online" (në anglisht). Arkivuar nga origjinali më 2017-07-07.

[7] "Data Masking Definition" (në anglisht). Arkivuar nga origjinali më 2017-02-27. Marrë më 1 mars 2016.

[8] "data masking" (në anglisht). Arkivuar nga origjinali më 5 janar 2018. Marrë më 29 korrik 2016.

[9] Michael Wei; Laura M. Grupp; Frederick E. Spada; Steven Swanson (2011). "Reliably Erasing Data From Flash-Based Solid State Drives". FAST'11: Proceedings of the 9th USENIX conference on File and storage technologies. Wikidata Q115346857 (në anglisht). Retrieved 2022-11-22.{{cite book}}: Mirëmbajtja CS1: Emra shifrorë: lista e autorëve (lidhja) Mirëmbajtja CS1: Emra të shumëfishtë: lista e autorëve (lidhja)

[10] "data protection act" (në anglisht). Arkivuar nga origjinali më 13 prill 2016. Marrë më 29 korrik 2016.

[dataprivacyday-11] Peter Fleischer, Jane Horvath, Shuman Ghosemajumder (2008). "Celebrating data privacy" (në anglisht). Google Blog. Arkivuar nga origjinali më 20 maj 2011. Marrë më 12 gusht 2011.{{cite web}}: Mirëmbajtja CS1: Emra të shumëfishtë: lista e autorëve (lidhja)

[12] "GDPR Penalties" (në anglisht). Arkivuar nga origjinali më 2018-03-31.

[13] "Detect and Protect for Digital Transformation". Informatica (në anglisht). Marrë më 27 prill 2018.

[14] "ISO/IEC 27001:2013". ISO (në anglisht). 16 dhjetor 2020. Marrë më 2022-11-03.

[15] "ISO/IEC 27002:2013". ISO (në anglisht). 15 prill 2021. Marrë më 2022-11-03.

[16] "PCI DSS Definition" (në anglisht). Arkivuar nga origjinali më 2 mars 2016. Marrë më 1 mars 2016.{{cite web}}: Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)

[17] Denning, Dorothy E., and Peter J. Denning. "Data security." ACM computing surveys (CSUR) 11.3 (1979): 227-249.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]