Se un hacker ruba dati che tengo su un server, posso essere ritenuto responsabile dalla legge sulla protezione dei dati del Regno Unito? [chiuso]

Naviga le tue risposte
2

Durante la stesura di un tema ho trovato questa domanda. Se un hacker ruba i dati che tengo su un server, posso essere ritenuto responsabile dalla legge sulla protezione dei dati del Regno Unito?

Ad esempio, ho l'indirizzo del cliente "sul mio server e credo di aver preso le precauzioni corrette per fermare gli hacker (ad esempio firewall, crittografia corretta, tutto ciò che è necessario) nonostante tutto ciò che un hacker usa su di me un nuovo metodo di hacking e ruba i dati per poi venderli.

Sarei quindi in grado di essere ritenuto responsabile mediante l'utilizzo della legge sulla protezione dei dati?

    
posta Alex Wilson 12.01.2017 - 16:52
fonte

2 risposte

4

IANAL, ma sembra che non si possa essere ritenuti responsabili di una violazione dei dati purché:

  • puoi dimostrare di aver preso le misure appropriate per impedire l'accesso ai dati,

  • riesamina periodicamente queste misure per assicurarti che siano aggiornate e

  • gestisci le violazioni in modo adeguato (includendo informazioni sulle persone che sono state interessate)

Ecco un paio di estratti dal sito ico.org.uk sull'argomento:

Che cosa dice il Data Protection Act a proposito del diritto a compensazione?

If an individual suffers damage because you have breached the Act, they are entitled to claim compensation from you. This right can only be enforced through the courts. The Act allows you to defend a claim for compensation on the basis that you took all reasonable care in the circumstances to avoid the breach.

Che cosa dice la legge sulla protezione dei dati in merito alla sicurezza delle informazioni?

The Data Protection Act says that:

Appropriate technical and organisational measures shall be taken against unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data.

     

Questo è il settimo principio di protezione dei dati. In pratica, significa che è necessario disporre della sicurezza appropriata per impedire che i dati personali in tuo possesso vengano accidentalmente o deliberatamente compromessi. In particolare, dovrai:

     

  • progetta e organizza la tua sicurezza in base alla natura dei dati personali in tuo possesso e ai danni che possono derivare da una violazione della sicurezza;

    •   

  • indica chiaramente chi è responsabile dell'organizzazione per garantire la sicurezza delle informazioni;

    •   

  • assicurati di avere la giusta sicurezza fisica e tecnica, supportata da solide politiche e procedure e da personale affidabile e ben addestrato; e

    •   

  • sii pronto a rispondere a qualsiasi violazione della sicurezza in modo rapido ed efficace.

    •   
    
risposta data 12.01.2017 - 17:50
fonte
1

Disclaimer Non sono un avvocato.

La parte principale della domanda è sicuramente più in argomento su law.se, ma ha implicazioni sulla sicurezza IT.

Presumo che la parte legale finirà per: sei responsabile della sicurezza dei dati a meno che tu non possa provare di aver usato tutte le misure appropriate.

E sono abbastanza sicuro che ad eccezione di alcuni casi speciali (per lo più relativi ai dati relativi alla salute) le misure appropriate non sono elencate ... E anche quando lo sono, dovresti avere una politica di sicurezza dettagliata che descriva precisamente cosa viene fatto, quando e come, e chi ne è responsabile. Potrebbe essere pericoloso se il tuo livello di sicurezza è basso perché sarà visibile. Ma potrebbe essere d'aiuto perché se le regole di sicurezza sono note, sarai in grado di dimostrare ciò che hai fatto per prevenire l'hacking.

Tra le domande:

  • E la sicurezza fisica?
  • c'è una segregazione pulita tra le macchine di produzione e quelle non di produzione, come viene implementata?
  • c'è una segregazione pulita, fisica tra rete di produzione e non di produzione, quali sono le regole del firewall sui nodi?
  • come è implementata la protezione periferica, i firewall, i proxy inversi, ecc.?
  • che dire della protezione approfondita (cosa succede se una macchina o un'applicazione deve essere compromessa)?
  • chi ha accesso alle macchine di produzione e con quali privilegi?
  • gli amministratori e gli operatori sono a conoscenza delle minacce alla sicurezza IT e in che modo?
  • per quanto riguarda la politica di backup?
  • in caso di amministrazione remota quali sono le procedure di autenticazione remota?
  • le procedure sono esaminate, quando, da chi e sono le azioni proposte e impostate?
  • c'è qualche seguito su queste azioni?
  • c'è un responsabile della sicurezza nella tua organizzazione e come può mantenere le sue competenze?

Non mi aspetto che l'elenco di cui sopra sia esaustivo, ma se dici solo che ... quando ne affronti uno, sarà difficile fingere di aver preso tutte le misure appropriate ...

    
risposta data 12.01.2017 - 18:15
fonte

Leggi altre domande sui tag

script dannoso che compromette le estensioni del browser In che misura i repository yum supplementari sono certificati da CentoS?