الانتقال إلى المحتوى الرئيسي
HubSecure
القائمة

المدونة

ما هو اختراق البيانات وماذا يجب على شركتك فعله في أول 72 ساعة؟

لا يلزم أن يكون اختراق البيانات هجوماً إلكترونياً. قد يكون بريداً إلكترونياً مُوجَّهاً خطأ، أو حاسوباً محمولاً مسروقاً، أو مجلداً سحابياً غير محمي. إليك ما يتطلبه القانون وما يجب فعله فوراً حين يقع.

· بواسطة HubSecure Security

يتخيل معظم أصحاب الأعمال اختراق البيانات على هيئة هجوم إلكتروني درامي: قراصنة ملثمون وخوادم مخترقة ومطالب بفدية. الواقع أكثر مألوفية وأكثر شيوعاً بكثير. اختراق البيانات هو أي حادثة تُعرَّض فيها بيانات شخصية للوصول أو الإفصاح أو التعديل أو الفقدان أو الإتلاف بصورة عرضية أو غير مشروعة — بصرف النظر عن كون ذلك متعمداً أم لا.

البريد الإلكتروني المُوجَّه خطأ الذي يحمل تفاصيل مالية لعميل. الحاسوب المحمول المنسي في القطار. مجلد Google Drive المشترك الذي جُعل عن طريق الخطأ عاماً. الموظف السابق الذي لم يُلغَ وصوله قط. وفق اللائحة الأوروبية العامة لحماية البيانات ومعظم قوانين حماية البيانات الوطنية، كل هذه الحالات تُعدّ اختراقات بيانات واجبة الإبلاغ إذا بلغت حد المخاطرة على حقوق الأفراد وحرياتهم.

وحين يقع ذلك، تملك 72 ساعة لإخطار جهة الإشراف المختصة.

ما يُعدّ اختراقاً للبيانات الشخصية

لا يستلزم الاختراق وجود نية خبيثة. يشمل التعريف القانوني ثلاثة أنواع من الإخفاق:

اختراق السرية: إفصاح غير مصرح به أو عرضي عن بيانات شخصية — شخص خارج المنشأة يطلع على بيانات لا ينبغي أن يراها.

اختراق السلامة: تعديل غير مصرح به أو عرضي للبيانات الشخصية.

اختراق التوافر: فقدان عرضي أو غير مصرح به للوصول إلى البيانات الشخصية — البيانات مفقودة أو مشفرة ببرامج الفدية أو محذوفة ولا يمكن استرجاعها.

حد المخاطرة

لا يجب الإبلاغ عن كل اختراق للجهة الرقابية. الإخطار مطلوب حين يكون الاختراق “من المحتمل أن يُفضي إلى مخاطرة على حقوق الأفراد وحرياتهم”. الإخطار المباشر للأفراد المتضررين مطلوب حين تكون المخاطرة “مرتفعة”.

عند الشك، أخطر. الجهات الرقابية تتعامل مع الإخطار المتأخر بقسوة أكبر بكثير من الإخطار المفرط في الحيطة.

ساعة ال72

من اللحظة التي تُدرك فيها منشأتك وقوع اختراق — أي حين يعلم به أي موظف يُعدّ معقولاً أن يكون مسؤولاً — يبدأ العد التنازلي. تملك 72 ساعة لإخطار الجهة الرقابية.

لا يعني ذلك امتلاك كل الإجابات في 72 ساعة. يمكن للإخطار الأولي أن يعترف بما تعرفه وما لا تعرفه بعد وما تتخذه من خطوات لمعرفته. يمكنك تكملة الإخطار بمعلومات إضافية مع تقدم التحقيق.

ما يجب أن يتضمنه إخطارك الأولي

  • طبيعة الاختراق: نوع البيانات المتضررة ومن تضرر وعدد السجلات تقريباً
  • اسم وبيانات اتصال مسؤول حماية البيانات أو المسؤول عن حماية البيانات
  • العواقب المحتملة للاختراق
  • التدابير المتخذة أو المقترحة لمعالجة الاختراق والتخفيف من آثاره

الإجراءات الفورية

الساعة الأولى: احتواء أوقف النزيف قبل عدّ الجرح. ألغِ بيانات الاعتماد المخترقة. أوقف تشغيل الأنظمة المتضررة إذا لزم الأمر. وثّق كل إجراء يُتخذ منذ هذه اللحظة.

الساعات 1–12: تقييم حدّد البيانات المتضررة وأصحابها. استوثق ما إذا كان الاختراق مستمراً أو محتوى. عيّن مسؤولاً عن الحادثة. ابدأ السجل الموثق لاستجابتك.

الساعات 12–48: قرار قيّم المخاطرة. اتخذ قراراً موثقاً بشأن ضرورة الإخطار ومستواه. إذا كان الإخطار مطلوباً، ابدأ في الصياغة.

الساعات 48–72: إخطار قدّم الإخطار للجهة الرقابية. إذا كان الأفراد المتضررون في خطر مرتفع، أخطرهم مباشرة بتواصل واضح يشرح ما حدث وما البيانات المعنية وما الإجراءات المتخذة وما الذي ينبغي عليهم فعله.

سجل الاختراقات

تشترط اللائحة الأوروبية ومعظم القوانين المعادلة الاحتفاظ بسجل داخلي لجميع الاختراقات، بما فيها تلك التي لا تبلغ حد الإخطار. يجب أن يتضمن هذا السجل: تاريخ الاختراق وطبيعته وآثاره والإجراءات التصحيحية المتخذة.

ما تبحث عنه الجهة الرقابية

حين يُبلَّغ عن اختراق، تقيّم الجهة الرقابية شيئين: الاختراق ذاته واستجابتك له. المنشآت التي تستجيب جيداً — باحتواء سريع وإخطار فوري وتواصل واضح مع المتضررين — تتلقى باستمرار عقوبات أقل شدة.

النتيجة الأسوأ ليست وقوع اختراق. إنها اختراق يكتشفه المنظّم عبر شكوى من فرد متضرر، بعد أسابيع من وقوعه، دون إخطار ودون سجل اختراقات ودون دليل على أي استجابة.