Picha za Skrini PII: Uvujaji katika Zana za Ndani

Mahali Palipoachwa na Chombo cha DLP

Zana za Kuzuia Kupoteza Data (DLP) zinarekezeana na trafiki ya mtandao, viambatisho vya barua pepe, na uhamisho wa faili ili kuiba taarifa za kibinafsi (PII). Zinakamata lahajedwali zilizo na safuwima za SSN, barua pepe zenye orodha za wateja zilizounganishwa, na uhamisho wa faili una rekodi za kimatibabu.

Hazikamatai picha za skrini.

Picha ya skrini ni faili la picha. PII ndani ya picha ya skrini — majina ya wateja yanayoonekana katika kiolesura cha CRM, anwani za barua pepe katika mwonekano wa sanduku la posta, namba za akaunti katika mfumo wa malipo — haistorwa kama maandishi katika picha. Inakamatwa kama pixel. Injini za DLP za kawaida ambazo zinachunguza maudhui ya faili kwa mifumo ya PII haziezi kitu.

Matokeo: kila siku, katika shirikishi zenye miundombinu ya DLP ya hali ya juu, wafanyakazi huweka picha za skrini zilizo na taarifa ya kibinafsi ya wateja katika njia za Slack, tiketi za Jira, ujumbe wa Teams, na mlolongo wa barua pepe — na hakuna onyo za DLP anuwai.

Jadwali la PII la Picha ya Skrini katika Kazi ya Kisasa

Kazi ya mbali na mseto imefanya kwamba mgawanyiko wa picha ya skrini mara kwa mara. Zana za mawasiliano ya ndani zimejaa mitanganisho iliyopigiwa picha kwa muktadha:

• Wakala wa msaada huweka picha ya akaunti ya wateja ili kuwapa timu ya viongezi muktadha ("angalia hali hii ya akauni mgeni")
• Waendelezi huweka picha ya kumbukumbu za hitilafu zilizo na ajente za waingilizi inayoshindwa kuwa halali ili kuwagawanya katika njia za uhandisi
• Meneja wa akaunti huweka picha ya rekodi za CRM ili kuwagawanya muktadha wa shida na fedha
• Wasimamizi wa IT huweka picha ya kiolesura cha mfumo ili kuandika maghalyiba kwa waandaji mizozo
• Timu za bidhaa huweka picha ya kila kinzani cha uchambuzi wa mtumiaji kwa ajili ya hadharani za waathimini

Kila picha inaweza kuwa na PII. Picha ya akaunti ya wateja ina jina la mteja, barua pepe, hali ya akaunti, na anwani ya malipo. Picha ya kumbukumbu hitilafu ina ingizo la mtumiaji — ambalo linaweza kujumuisha majina, anwani, au maelezo ya mawasiliano yaliyoingizwa kwa hitilafu. Picha ya rekodi ya CRM ina muhtasari kamili wa akaunti. Picha ya kila kinzani cha uchambuzi inaweza kuwa na vitambulisho vya mtumiaji binafsi katika data inayosomwa iliyoonekana kwenye chati.

Sura ya Udhibiti wa Upatikanaji

Kando na pengo la DLP, mgawanyiko wa picha ya skrini unasababu tatizo la udhibiti wa upatikanaji.

Oganisesheni nyingi zina miundombinu ya udhibiti wa kuzuia kwa jukumu (RBAC) kwenye mifumo yao ya uzalishaji. Wakala wa msaada una upatikanaji wa rekodi za wateja wanaohusiana na foleni lao ya msaada; hawawezi kupatikana kwa hifadhidata kamili ya wateja. Mwanadhalilishi ana upatikanaji wa nyaraka maalum za mradi; hawawezi kupatikana kwa mifumo ya PII ya wateja.

Kakati wakala wa msaada huweka picha ya rekodi ya wateja na huipiga ndani ya njia ya Slack iliyogawanyika na waandaji mizozo, udhibiti wa upatikanaji husahau. Mwanadhalilishi hupokea taarifa ya kibinafsi ya wateja ambayo hawawezi kupatikana kupitia njia za kawaida za upatikanaji wa mfumo. DPA ambayo inasimamia uzalishaji wa taarifa za waandaji mizozo inaweza kutosimamia hili kubadilishwa. Haki za GDPR za mteja inaweza kutokuwa na nguvu kwa waandaji mizozo.

Hii ya kudhibiti udhibiti ni suala la Kifungu 5(1)(f) cha GDPR (ujumbe na siri) na inaweza kuunda matatizo ya utoaji wa Kifungu 28 ikiwa waandaji mizozo wanakubaliana na PII bila DPA zinazofaa.

Kuchunguza PII ya Picha kama Kumfadhaili Kiufundi

Kumfadhaili kiufundi ambayo inasimbamisha uvujaji wa picha ya skrini PII ni kuchunguza maandishi ya picha — OCR inayotumiwa kwa faili za picha ili kuondoa maandishi yanayoonekana, ikifuatiwa na kuchunguza PII ya NLP kwa maudhui yaliyoondolewa.

Mmomeko wa kazi:

1. Mfanyakazi hukamata picha ya skrini ya kiolesura cha mteja
2. Kabla ya kuwagawanya katika Slack/Jira/Teams: huweka picha ya skrini kwa zana ya kuchunguza PII ya picha
3. Chombo kiondolewa maandishi yanayoonekana kutoka picha kupitia OCR
4. NLP inakagua kama PII inaitambuliwa katika maandishi yaliyoondolewa
5. Mfanyakazi hupokea ripoti: "Picha hii ina: [jina la mteja], [anwani ya barua pepe], [kitambulisho cha akaunti]"
6. Mfanyakazi ama: (a) kusambaza PII kwa kuficha katika picha ya skrini, (b) kuchagua upana mdogo wa mgawanyiko, au (c) kuendelea na mgawanyiko chini ya sababu iliyoandikwa

Mmomeko huu wa kazi hauisukumi mgawanyiko wote wa picha ya skrini PII — inafanya PII inayoonekana kwa mfanyakazi kabla ya mgawanyiko, kuwezesha maamuzi ya data.

Kesi ya Utumishi: Sera ya Picha ya Jira ya Msaada wa SaaS

Mkutano wa IT wa msaada wa shirikishi la SaaS uliundwa kwenye tiketi za Jira za kufanya kazi na matatizo ya akaunti ya mtumiaji. Picha zilizounganishwa na tiketi za Jira zilikuwa na:

• Anwani za barua pepe ya mtumiaji (kutoka kwa kiolesura cha usimamizi wa akaunti)
• Maelezo ya mpango wa membwa
• Kiasi cha malipo na tarihi
• Wakati mwingine habari ya malipo mwingine

Kadri ya GDPR illiyoizitaji ikiifanya iigambulia kwamba tiketi 847 za Jira zilizoundwa kwa miezi 18 zilikuwa na picha za skrini zinazobeba PII. Upatikanaji wa Jira ulikuwa unakokizwa kwa wote wanaofanya kazi 200 wa uhandisi, kubwa na waandaji mizozo bila Maafikiano ya Uzalishaji wa Taarifa yanayosimamia upatikanaji wa taarifa ya malipo ya mteja.

Njia ya kukamatia matatizo:

1. Utaftaji wa kukamatia: Kuchunguza PII ya picha kwa picha zote kufa zilizopo katika tiketi — 847 tiketi zilizokaguliwa, 312 zilizo na PII muhimu zinazamanisha kwa DPO
2. Kukamatia kwa tiketi: Tiketi 89 zilikuwa na picha zilizohiribiwa (anwani za barua pepe ya mteja, maelezo ya malipo yalifichwa kabla ya kuunganisha)
3. Utekelezaji wa mmomeko: Mmomeko mpya wa msaada unastahitaji kuangalia PII ya picha kabla ya kuunganisha kwa Jira
4. Mafunzo: Mafunzo ya dakika 15 kwa wote wanafanyakazi wa msaada kuhusu mmomeko wa kuangalia PII ya picha

Matokeo (siku 90 baada ya kuanza):

• Matukio ya PII ya picha ya skrini katika Jira: ilishuka 90%
• Matukio yanayobaki: matukio ambapo wanafanyakazi wa msaada walitendelea baada ya kukagulia pamoja na sababu iliyoandikwa (haja ya kuzuia kuwa na jinga inayostahili upatikanaji unafaa kwa jukumu)
• Ukaguzi wa DPA: Upana wa upatikanaji wa waandaji mizozo ulibadilishwa ili kuepuka kufichwa bila sababu ya PII

Tiketi 312 za Jira zinazosasauliana kuwa na picha za skrini zinazobeba PII ziliwakilisha hitimisho la utoaji katika ukaguzi wa GDPR. Kupungua kwa 90% baada ya utekelezaji ulikuwa umeorodheshwa kama mufidho wa kukamatia matatizo kwa mwitikio wa ukaguzi.

Kujenga Ukaguzi wa Picha ya Skrini katika Mmmomeko wa Miwazi

Kwa ajili ya shirikishi kutekeleza kumfadhaili kusambaza PII ya picha bila kukamatia mmmomeko wa operesheni:

Muunganisho wa chache: Kiweza au chombo chache kile ambacho wanafanyakazi hutumia kabla ya kuweka Slack/Jira — kuburukia picha ya skrini → kupokea ripoti ya PII katika sekunde 5 → kuendelea au kusambaza

Muunganisho wa Jira/ServiceNow: Kufurika kabla ya kuunganisha ambayo inacheza kuchunguza PII kabla ya picha za skrini kuunganishwa kwa tiketi — sawa na kuchunguza visa kabla ya kuunganisha faili

Muunganisho wa bot wa Slack: Bot inayokubali picha za skrini zilizoingia katika njia maalum, inaendesha kuchunguza PII, na kuorodheshwa kumwambukia jibu na vitambulisho vya PII vilivyogundua — kumakabicha PII katika njia bila kupigia gwaride kwa mmmomeko

Njia ya kaida ya timu (chache ya msuguano): Kaida ya timu + kila wiki sampuli ya kiotomati — vitengo 10% vya picha za skrini katika zana za miwazi, inaendesha kuchunguza PII, na kuorodheshwa ripoti ya matokeo kwa viongezi wa timu — inasababu wajibu bila kupigia gwaride mmmomeko

Kwa kufanya hati ya GDPR: kumfadhaili PII ya picha ni "kipimo cha shirikishi" chini ya Kifungu 32. Kufanya hati ya kumfadhaili (sera + chombo cha kiufundi) na mufidho wa utekelezaji (rekodi za mafunzo, mifadhailo ya kupungua kwa matukio) inakidhi kanuni ya wajibu wa Kifungu 5(2).

Vyanzo:

• GDPR Article 5: Principles for Data Processing
• GDPR Article 32: Security of Processing
• ICO: Data Protection by Design and Default