Blok zinciri ve veri gizliliği (GDPR)

   Kasım 11, 2022  Posted in CyberSecurity-Insiders


[ This article was originally published here ]

Bu yazının içeriği yalnızca yazarın sorumluluğundadır. AT&T, bu makalede yazar tarafından sağlanan hiçbir görüş, konum veya bilgiyi benimsememekte veya onaylamamaktadır.

Eşler arası bir ağda kendini gösteren tüm işlemlerin kaydını tutan dijital, merkezi olmayan bir defter olarak özetlenmiştir. Ortak arabulucu olmamakla birlikte varlıkların güvenli bir şekilde transferine izin verir. Birlikte, kesinlikle net olan ve katılımcılarla ilgili iyi şeyler için zaman diliminde görüntülenen işlemlerin bir kaydını sağlar.

veri/Bilgi güvenliğini koruyan, dijital platformlarda bir kişinin bireysel veri ve bilgileri üzerinde birçok yönetimi teşvik eden bir yasadır. Öte yandan Blockchain, değişmeyen işlem defterleri geliştiren bir teknolojidir.

GDPR’nin veri gizliliği hakları arasındaki etkileşim ve dolayısıyla merkezi olmayan, bozuk bir dijital bağlantı olarak hizmet veren blok zinciri fikri, klasik felsefi çatışmalarda çeşitli yaklaşımlara yol açmıştır.

GDPR nedir?

GDPR, AB’de yasa olarak kabul edilen bir Genel Bilgi Koruma Yönetmeliğidir. Kanunun amacı, bir bireyin bilgi gizliliği gereksinimlerini karşılamaktır.

Yasa, kullanıcılara aşağıdakileri içeren haklar sunar:

  • unutulma hakkı
  • Veri/bilgi taşınabilirliği hakkı
  • Sizinle ilişkili bilgilere erişim hakkı
  • Sizinle ilgili verileri/bilgileri düzenleme/düzeltme/değiştirme hakkı

Blok zincirinin yasallığı ve mahremiyet:

Yönetişim tarafları, belirli bir işlemin blok zincirinde gerçekleşip gerçekleşmeyeceğine belirli koşullarla karar verebilir.

  • Blok zinciri teknolojisi geliştikçe, blok zincirindeki işlemleri kullanacak organizasyonun seçilmesi sayesinde çok daha güçlü hale gelecektir. Bir alıcı için, tedarikçilerin blok zinciri işlemlerini dahil etme konusunda ortaklaşa uyması yararlıdır.
  • Merkezi olmayan bir platform için, bilgi dünya çapında dağıtıldığı için blok zinciri yasalarını kullanmak zordur.
  • Blockchain son derece güvenli bir şekilde dikkate alınsa da, 2018 Kaliforniya Müşteri Gizliliği Yasası (“CCPA”) ve ayrıca AB’nin GDPR’si gibi veri gizliliğine yönelik bazı düzenleme engelleri oluşturmaktadır.
  • Hem GDPR hem de CCPA, özel verilerin her koşulda kaldırılmasını gerektirir.

CRUD ve Yengeç

Blok zinciri ve veri gizliliğini (GDPR) tam olarak anlamak için CRUD ve CRAB arasındaki farkı anlamak gerekir. Birçok teknoloji uzmanı, işlemi CRAB (CRUD teriminin bir alternatifi) olarak adlandırır – CRUD (Geleneksel veritabanları için) Oluştur, Oku, Güncelle ve Sil anlamına gelir.

CRAB terimi, Oluştur, Al, Ekle ve Yaz anlamına gelir. Yakma, şifreleme anahtarlarını silme yöntemidir.

Özel verileri/bilgileri “zincirde değil, zincirde” tutmak, tek bariz çözümdür. Blok zinciri bilgisi “zincirde” olduğundan, silme ve redaksiyon bilgisi bir nevi mümkün değildir.

Kapalı bir blok zinciri geliştirmek başka bir çözümdür. Kapalı (izne dayalı) bir blok zincirinde, bilgiler yerel cihazlarda veya kiralık bulut depolama alanında depolanır. Bu nedenle, bir bireyin talebi üzerine kişisel verileri forking adı verilen işlemi kullanarak silmek nispeten daha kolaydır.

Şimdi, GDPR’de blok zinciri için bu noktada “verilerin silinmesi” tanımı olmadığı için, muhtemelen bunu, blok zinciri teknolojisi için şifreleme anahtarlarınızı atmanın, ‘verilerin silinmesi’ olarak kabul edilemez olduğu şeklinde yorumlamanız gerekir. GDPR ile uyumlu.

Çözüm:

Özel verileri bir blok zincirinde saklamak, GDPR politikalarına göre bir seçenek değildir. Bu sorunu aşmak için iyi bir seçenek gerçekten basittir: Özel verileri zincir dışında saklarsınız ve bu verilere referansı (bu bilgilerin bir karması ve bu verilerle ilgili iddialar ve izinler gibi alternatif verilerle birlikte) üzerinde depolarsınız. blok zinciri.

Bu geçici çözüm, bir blok zincirinde bilgi alma ve saklama karmaşıklığını artıracaktır. Şimdi, bu yaklaşımın artılarını ve eksilerini ele alalım.

Profesyoneller:

Yukarıda açıklanan yaklaşım, zincir dışı depolamadaki verilerin tamamen silinmesini mümkün kılan %100 GDPR uyumlu bir çözümdür. Bu nedenle, blok zincirindeki bağlantıları ve karmaları oluşturmak tamamen işe yaramaz.

Bu durumda, iddiaların genel olarak doğrulanabilir olduğu her yerde blok zincirini öncelikle bir ‘erişim kontrol’ aracı olarak kullanırsınız. Bu, birisine, bir devre dışı bırakma seçildiğinde bazı düğümlerin bilgileri saklamaması gerektiğini kanıtlamak için öneriler sunabilir. Bu fayda, özel verilerin bir blok zincirinde tutulması durumunda da mevcut olabilir.

Eksiler:

Blockchain ile şeffaflık azalır. Bilgilerinizi zincir dışında saklayarak, bilgilerinize kimin eriştiğini ve bilgilerinize kimin eriştiğini bilmenin hiçbir yöntemi yoktur. Herhangi bir şirket bilgiyi almak için bağlantıya sahip olduğunda, hiçbir şeye erişmek zorunda kalmazlar.

Blockchain ile veri sahipliği de azalır. Bilgileriniz zincir dışı tutulduktan sonra, bunun sahibi kim? Bilgi sahibi, verilerini yönetmek için tüm şifreleme anahtarlarına sahiptir.

Tüm işbirliği yapan taraflar arasında noktadan noktaya entegrasyon olması arzu edilir. Blok zincirinden bağlantı alırken, A Şirketinden B şirketine bilgi paylaşmak istersiniz. Sisteme eklenen her yeni taraf için, güvenli bir PKI hükmü olarak mevcut her üyeyle yeni noktadan noktaya entegrasyonlar eklemek zorunda kalabilirsiniz.

Bu, daha fazla saldırı vektörü anlamına gelebilir. Her şirketin kendi altyapısı ve uygulama ortamı vardır. Özel bilgileri tamamen farklı bu şirketlere yayarak, bilgilerin çalınabileceği olası bir ihlal riski artacaktır.

Fikir ayrılığı:

Ancak çelişki şudur: GDPR’nin amacı, “dünyanın herhangi bir yerinde bu verileri barındıran ve “işleyen”lere katı kurallar uygularken, kullanıcılara kişisel bilgilerinin yönetimini geri vermektir.” Ayrıca GDPR, verilerin “silinebilir” olması gerektiğini belirtir. Şifreleme anahtarlarınızı terk etmek “verilerin silinmesi” ile aynı olmadığı için GDPR, dünyanın kişisel verileri blok zinciri düzeyinde depolamasını yasaklar.

Bu, kişisel verileriniz üzerinde yönetimi güçlendirme gücünü ortadan kaldırır. Şimdi, kulağa sert geldiğini biliyorum. Ve GDPR’yi savunmak için, bazı dezavantajlara karşı koymak için yukarıda önerilen çözümü optimize edebilirsiniz. Veya işlemlerin yakın değişmezliği sorununu çözmek için temsil edilenden çok farklı bir çözüm seçin. Ancak, hangi çözünürlükte olursanız olun, daha fazla karmaşıklık yine de önemli bir dezavantaj olabilir.

Çözüm:

Blok zinciri teknolojilerinin birçok şekilde kullanılmasıyla, veri sahipliğini, şeffaflığı ve varlıklar arasında (birkaç isim) güveni güçlendirmenin yeni yollarına sahibiz. GDPR’nin yazıldığı şekilde, GDPR terimleriyle ‘silinemez’ olduğundan, kişisel verileri doğrudan blok zincirinde saklamama eğilimindeyiz. Bu, dünyanın bu teknolojiyi tam potansiyeliyle kullanmasını yasaklıyor, bu nedenle, çoğu blok zinciri teknolojisiyle aynı avantajları garanti etmeyecek olan verileri depolamak için ‘eski’ sistemler hakkında düşünmek istiyoruz: sizin hakkınızda (veri|bilgi) kimin sahibi? -zincir depolama? Zincir dışı veriler bile şifrelenmiş mi? Bu verilere kimler erişebilir? Nerede saklanır? Halihazırda alternatif sistemlere kopyalanmış mı?

reklam





Source link