¿Cuáles son los casos de seguridad de datos?

La "Ley de Ciberseguridad" de mi país entrará oficialmente en vigor y establecerá requisitos legales sistemáticos y estrictos para la gestión de la seguridad de los datos de los operadores de red. Recientemente, el Centro de Investigación de Internet de la Academia de Ciencias Sociales de Shanghai publicó un informe de investigación sobre los riesgos y contramedidas de seguridad de los grandes datos. Seleccionó incidentes típicos de seguridad de datos en el país y en el extranjero en los últimos años y analizó sistemáticamente los tipos e incentivos de los riesgos de seguridad de los grandes datos. , y analizaron los tipos y causas de los riesgos de seguridad de big data, respectivamente, desde la perspectiva de mejorar el ecosistema nacional de big data. Se proponen contramedidas y sugerencias para promover el desarrollo de la seguridad de big data en mi país en los dos niveles de gobernanza (. gobierno) y fortalecer las capacidades de seguridad de big data corporativo (empresa).

En la era del big data, los datos se han convertido en un factor de producción clave para promover la innovación y el desarrollo económicos y sociales. La apertura y el desarrollo basados ​​en datos han promovido la interorganización, la industria y la región. La asistencia y la innovación, dando lugar a varios tipos nuevos de formas industriales y modelos de negocio, han activado plenamente la creatividad y la productividad humanas.

Sin embargo, si bien los big data crean valor para las organizaciones, también enfrentan graves riesgos de seguridad. Por un lado, las características de desarrollo de la economía de datos hacen que la circulación y el procesamiento de datos entre diferentes sujetos sea una tendencia inevitable, lo que también traspasa los límites de la gestión de la seguridad de los datos y debilita las capacidades de control de riesgos de los sujetos de gestión; Con la comercialización de recursos de datos, a medida que el valor de los datos se vuelve más prominente, continúan proliferando actividades como ataques, robo, abuso y secuestro de datos, mostrando características como la industrialización, la alta tecnología y la transnacionalización. desafío para el nivel de gobernanza ecológica de datos del país y el desafío de las capacidades de gestión de seguridad de datos de la organización. Bajo presiones duales internas y externas, los principales incidentes de seguridad de big data ocurren con frecuencia y se han convertido en un importante problema de seguridad que preocupa a toda la sociedad.

Según los hallazgos de los principales incidentes de seguridad de datos nacionales y extranjeros en los últimos años, los incidentes de seguridad de big data muestran las siguientes características: (1) Las causas del riesgo son complejas y entrelazadas, e incluyen tanto ataques externos como fugas internas. , tanto vulnerabilidades técnicas como deficiencias de gestión, existen nuevos riesgos desencadenados por nuevas tecnologías y nuevos modelos, así como el desencadenamiento continuo de problemas de seguridad tradicionales. (2) El alcance de la amenaza cubre todas las áreas. Las amenazas a la seguridad de Big Data penetran en todos los aspectos de la cadena de la industria de Big Data, como la producción, circulación y consumo de datos, incluidos los proveedores de fuentes de datos, los proveedores de plataformas de procesamiento de Big Data y los proveedores de servicios de análisis de Big Data. etc. Todo tipo de sujetos son fuentes de amenazas (3) El impacto del incidente es significativo y de gran alcance; El almacenamiento de datos en la nube conduce a la aglomeración y polarización de los riesgos de datos. Una vez que se produce una fuga de datos, su impacto trascenderá las categorías técnicas y los límites organizacionales y tendrá un impacto en la economía, la política, la sociedad y otros campos, incluso causando importantes pérdidas de propiedad y amenazas. la seguridad de la vida y cambiar el proceso político.

Con el advenimiento de la era de la economía de datos, mejorar integralmente la seguridad de los recursos de datos del ciberespacio es la tarea central del desarrollo económico y social nacional. Al igual que la gobernanza de la ecología ambiental, la gobernanza ecológica de los datos enfrenta una ardua tarea. batalla Esto El éxito o el fracaso de la batalla determinará los derechos de los ciudadanos, los intereses de las empresas y la confianza de la sociedad en la nueva era. También determinará el desarrollo de la economía de datos e incluso el destino y el futuro de la. país. Para ello, recomendamos centrarse en las dos dimensiones de gobierno y empresas para mejorar integralmente la seguridad del big data en nuestro país

Desde la perspectiva gubernamental, el informe recomienda seguir mejorando el nivel de la legislación de protección de datos y construir la piedra angular de la confianza en el ciberespacio; fortalecer la seguridad de la red y las capacidades de aplicación de la ley; llevar a cabo una gestión a largo plazo de los productos ilegales de Internet; fortalecer la gobernanza de la seguridad en áreas clave; mantener la ecología económica de los datos nacionales; estandarizar el desarrollo de los mercados de circulación de datos; necesidades de transacciones legales de datos; llevar a cabo científicamente la supervisión de datos transfronterizos y proteger eficazmente la soberanía de los datos nacionales.

Desde una perspectiva empresarial, el informe recomienda que los operadores de red estandaricen las reglas de desarrollo y utilización de datos, aclaren las relaciones de propiedad de los datos, se centren en fortalecer la gestión de seguridad de los datos personales y de los datos clave, y se centren en la recopilación, almacenamiento, transmisión, procesamiento e intercambio. Llevar a cabo la protección del ciclo de vida completo en todos los aspectos, incluido el sistema y la destrucción, y fortalecer la creación de capacidades de seguridad de datos desde aspectos como procesos institucionales, capacidades del personal, construcción organizacional y herramientas técnicas.

Se adjuntan diez eventos típicos (orden cronológico):

1. Ataques globales de ransomware

Palabras clave: fuga de armas cibernéticas, ransomware, cifrado de datos, Bitcoin

p>

El 12 de mayo de 2017, estalló una infección global de ransomware (WannaCry) dirigida a los sistemas operativos Windows. El ransomware aprovecha una vulnerabilidad del servicio SMB de Windows previamente filtrada del arsenal cibernético de la Agencia de Seguridad Nacional de EE. UU. para atacar. Los archivos atacados están encriptados y los usuarios deben pagar Bitcoin para recuperar los archivos. De lo contrario, el rescate se duplicará o los archivos se eliminarán por completo. eliminado.

Cientos de miles de usuarios en más de 100 países de todo el mundo han resultado infectados. Las empresas nacionales, las escuelas, la atención médica, la energía eléctrica, la banca, el transporte y otras industrias se han visto afectadas en diversos grados.

El descubrimiento y utilización de vulnerabilidades de seguridad ha formado una cadena global de industria negra a gran escala. La filtración del arsenal de armas cibernéticas del gobierno de Estados Unidos ha intensificado la amenaza de que los piratas informáticos utilicen numerosas vulnerabilidades desconocidas de día cero para lanzar ataques. En marzo de 2017, Microsoft ya había lanzado un parche para corregir la vulnerabilidad explotada por este ataque de piratas informáticos. Sin embargo, muchos usuarios en todo el mundo no lograron solucionarlo y actualizarlo a tiempo. Además, muchos sistemas educativos, hospitales, etc. Al utilizar el parche que Microsoft dejó de actualizar hace mucho tiempo en el sistema Windows XP, la falta de conciencia sobre la seguridad de la red anula la primera línea de defensa de la seguridad de la red.

Eventos similares: en noviembre de 2016, el sistema de metro municipal de San Francisco fue infectado con ransomware, las máquinas expendedoras de boletos se vieron obligadas a cerrar y los pasajeros pudieron viajar en el tren ligero de forma gratuita los sábados.

2. Los empleados internos de JD.com son sospechosos de robar 5 mil millones de datos de usuarios

Palabras clave: información privilegiada corporativa, tráfico de datos, permisos de datos internos

Marzo En 2017, los equipos de seguridad de JD.com y Tencent ayudaron conjuntamente al Ministerio de Seguridad Pública a descubrir un caso importante de robo y venta de información personal de ciudadanos. El principal sospechoso era un empleado interno de JD.com. El empleado se incorporó a la empresa a finales de junio de 2016 y todavía se encontraba en período de prueba. Robó 5 mil millones de datos personales relacionados con el transporte, la logística, la atención médica, las redes sociales, la banca, etc., y los vendió en el sitio. Mercado negro de Internet a través de diversos métodos.

Para evitar el robo de datos, las empresas gastan enormes sumas de dinero cada año para proteger los sistemas de información de los ataques de piratas informáticos. Sin embargo, no se puede subestimar el riesgo de pérdidas causadas por el robo de datos por parte de personas internas. Los enormes beneficios del comercio clandestino de datos y el desorden de la gestión interna de las empresas han tentado al personal interno a correr riesgos y suicidarse. Los casos de robo y venta de datos de usuarios son comunes. Una encuesta publicada en 2016 por la consultora de gestión Accenture y otras instituciones de investigación mostró que al 69% de las 208 empresas encuestadas les habían "robado o intentado robar datos por parte de personas con información privilegiada de la empresa" durante el año pasado. No tomar medidas efectivas de gestión de derechos de acceso a datos, gestión de autenticación de identidad, control de utilización de datos y otras medidas son las principales razones del robo de datos por parte del personal interno en la mayoría de los datos empresariales.

Incidentes similares: en abril de 2016, un ex empleado de la Oficina de Cumplimiento de Manutención Infantil de EE. UU. robó 5 millones de datos personales.

3. Yahoo fue pirateado y se filtró información de mil millones de cuentas de usuario

Palabras clave: ataque de vulnerabilidad, contraseña de usuario, hacker ruso

22 de septiembre de 2016 En el El mismo día, el gigante mundial de Internet Yahoo confirmó que en 2014 se robaron al menos 500 millones de información de cuentas de usuarios, incluidos nombres de usuario, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y algunas contraseñas de inicio de sesión. El 14 de diciembre de 2016, Yahoo emitió otro comunicado anunciando que en agosto de 2013, terceros no autorizados habían robado la información de las cuentas de más de mil millones de usuarios. Los dos ataques de piratería en 2013 y 2014 tienen similitudes, es decir, los piratas informáticos rompieron el algoritmo de confidencialidad de las cuentas de usuario de Yahoo y robaron las contraseñas de los usuarios. En marzo de 2017, los fiscales estadounidenses presentaron cargos penales contra funcionarios de inteligencia rusos por participar en ciberataques que afectaron a los usuarios de Yahoo.

El incidente de fuga de información de Yahoo es el mayor incidente de fuga de datos de un sitio web en la historia. Actualmente, los datos masivos de usuarios de importantes sitios web comerciales son el activo principal de las empresas y también son un objetivo importante para los piratas informáticos privados e incluso. Ataques a nivel estatal Puntos clave La gestión de la seguridad de los datos empresariales se enfrenta a requisitos más altos y se debe establecer un sistema de capacidad de seguridad estricto que no solo debe garantizar el cifrado de los datos del usuario, controlar con precisión los permisos de acceso a los datos, sino también establecer planes de diseño flexibles. para eventos de daños a la red y respuesta de emergencia. Establecer un mecanismo de comunicación de emergencia con las autoridades reguladoras.

Incidentes similares: En febrero de 2015, el sistema de información de Anthem, la segunda compañía de seguros de salud más grande de Estados Unidos, fue vulnerado y se filtraron los registros de casi 80 millones de clientes y empleados.

4. Los expertos de SF Express filtraron datos de usuarios

Palabras clave: reventa de permisos de datos internos, programas maliciosos

El 26 de agosto de 2016, SF Express Hunan Branch Song, un empleado de la empresa, fue acusado de "violación de información personal de los ciudadanos" y juzgado en el Tribunal Popular del distrito de Nanshan, Shenzhen.

Anteriormente, SF Express, como líder en la industria de entrega urgente, ha experimentado muchos incidentes en los que el personal interno filtró información de los clientes. El modus operandi incluye vender cuentas y contraseñas de sitios web personales de la empresa a otros; escribir programas maliciosos para descargar información de los clientes en lotes; utilizar varias cuentas para consultar de forma masiva la información del cliente comprando la dirección, el número de cuenta y la contraseña del sistema interno de la oficina, invadiendo el sistema para robar información y exportar directamente la información del cliente desde la base de datos;

La serie de filtraciones de datos en SF Express ha expuesto las fallas en la gestión de la seguridad de los datos del personal interno. Debido al desarrollo de la industria negra de datos, la colusión interna y externa para robar datos de los usuarios y buscar enormes ganancias. extendiéndose rápidamente. Aunque el sistema de TI de SF Express tiene la capacidad de rastrear incidentes después de que ocurren, no puede emitir advertencias y prevenir riesgos por el comportamiento anormal de los empleados al descargar datos por lotes. Es necesario establecer un control estricto de los datos para el acceso a los datos del personal interno, y los datos deben ser. Garantizar eficazmente la seguridad de los datos corporativos.

Incidentes similares: en 2012, los empleados internos de Yihaodian se confabularon con personal externo y dimitido para filtrar 900.000 datos de usuarios.

5. Xu Yuyu murió debido a un fraude en telecomunicaciones

Palabras clave: agujeros de seguridad, arrastre de bases de datos, datos personales, fraude de precisión, productos ilegales

Agosto de 2016, Xu Yuyu, una estudiante de examen de ingreso a la universidad, fue defraudada con 9.900 yuanes en matrícula por estafadores de telecomunicaciones. Después de descubrir que había sido defraudada, de repente sufrió un paro cardíaco y falleció. Según la investigación policial, la información del estafador de telecomunicaciones que defraudó la matrícula de Xu Yuyu provino de información personal para el examen de ingreso a la universidad vendida ilegalmente en línea, y la fuente fue que los piratas informáticos utilizaron lagunas de seguridad para invadir el "Examen de ingreso a la universidad en línea de la provincia de Shandong 2016". Sitio web del Sistema de información de registro" y descargó más de 60 Decenas de miles de datos sobre los candidatos al examen de ingreso a la universidad en la provincia de Shandong comenzaron a venderse ilegalmente en línea a estafadores de telecomunicaciones después del examen de ingreso a la universidad.

En los últimos años, el robo y el comercio de información personal de ciudadanos chinos ha formado una enorme cadena de industria negra. La filtración de datos personales ha promovido que una serie de actividades delictivas como el fraude en las telecomunicaciones y el robo financiero sean cada vez más frecuentes. "Preciso" e "Inteligencia" plantea una grave amenaza a la propiedad pública y la seguridad personal. La razón directa de esta situación es que las empresas e instituciones de nuestro país recopilan datos de los usuarios de manera integral. Sin embargo, el bajo nivel de protección de seguridad de la red corporativa y las capacidades insuficientes de gestión de la seguridad de los datos brindan a los piratas informáticos y a los iniciados oportunidades para aprovecharlos. También falta un mecanismo de notificación al usuario después de que se filtra información personal, lo que aumenta el daño y la persistencia de las actividades delictivas.

Eventos similares: El 23 de agosto de 2016, Song Zhenning, un estudiante de segundo año en el condado de Linshu, provincia de Shandong, sufrió un paro cardíaco debido a un fraude en las telecomunicaciones y lamentablemente falleció.

6. La elección de Hillary fracasó debido al “escándalo del correo electrónico”

Palabras clave: correo electrónico privado, correo electrónico oficial, WikiLeaks, hacker

El “correo electrónico” de Hillary " se refiere al hecho de que cuando la candidata presidencial demócrata Hillary Clinton se desempeñaba como Secretaria de Estado de los Estados Unidos, utilizó un correo electrónico privado y un servidor para manejar asuntos oficiales sin notificar a los departamentos pertinentes del Departamento de Estado con antelación. Además, hubo miles de correos electrónicos no cifrados manejados por Hillary Clinton que contenían información nacional confidencial. Al mismo tiempo, Hillary no entregó todos los registros oficiales de correo electrónico antes de dejar el cargo, violando las regulaciones pertinentes del Departamento de Estado sobre la retención de registros de información federales. El 22 de julio de 2016, después de que el Departamento de Justicia de Estados Unidos anunciara que no acusaría a Hillary, WikiLeaks comenzó a publicar correos electrónicos obtenidos por piratas informáticos después de piratear el sistema de correo electrónico de Hillary y sus compinches, lo que finalmente llevó a que el FBI reabriera la investigación. El apoyo a la campaña de la presidenta Hillary se desplomó.

Como importante funcionaria del gobierno, Hillary carecía de la conciencia necesaria sobre la seguridad de los datos. Cuando se desempeñaba como Secretaria de Estado de los EE. UU., configuró en secreto un servidor para procesar los correos electrónicos oficiales, lo que violaba la gestión federal de seguridad de la información. requisitos y violó las regulaciones del Departamento de Estado de EE. UU. sobre "el uso de buzones de correo privados para enviar o recibir correos electrónicos. Es ilegal almacenar información confidencial". Los servidores de correo electrónico configurados de forma privada carecían de la protección de seguridad necesaria y no pudieron hacer frente a los ataques de piratas informáticos de alto nivel. Como resultado, los opositores políticos nacionales y extranjeros filtraron datos importantes y los explotaron plenamente, lo que finalmente condujo a la derrota electoral.

Incidentes similares: En marzo de 2016, el Pentágono anunció que cientos de correos electrónicos del secretario de Defensa de Estados Unidos, Ashton Carter, fueron enviados a través de su dirección de correo privada. Carter admitió una vez más que había cometido errores, pero los correos electrónicos relevantes. no fueron clasificados.

7. La agencia francesa de protección de datos advierte a Microsoft que Windows 10 recopila excesivamente datos de los usuarios

Palabras clave: recopilación excesiva de datos, consentimiento informado, cumplimiento, protección de la privacidad

2016 En julio de este año, el regulador francés de protección de datos CNIL emitió una carta de advertencia a Microsoft, acusando a Microsoft de utilizar el sistema Windows 10 para recopilar demasiados datos de los usuarios y rastrear el comportamiento de navegación de los usuarios sin obtener el consentimiento del usuario. Al mismo tiempo, Microsoft no tomó medidas satisfactorias para garantizar la seguridad y confidencialidad de los datos del usuario y no cumplió con las regulaciones de "puerto seguro" de la UE porque guardó los datos del usuario en el país del usuario sin el permiso del usuario en servidores distintos al. Internet y muchas funciones de seguimiento de datos están activadas de forma predeterminada sin el permiso del usuario. La CNIL estipula que Microsoft debe resolver estos problemas en un plazo de tres meses, de lo contrario se enfrentará a sanciones de la Comisión.

En la era del big data, todo tipo de empresas están explorando a fondo el valor de los datos de los usuarios, lo que inevitablemente conduce a una recopilación y un desarrollo excesivos de los datos de los usuarios. A medida que la protección de datos personales en todo el mundo se vuelve cada vez más estricta, las empresas deben fortalecer el cumplimiento legal y la gestión del cumplimiento al recopilar datos, centrándose especialmente en la protección de la privacidad del usuario. La obtención de datos personales del usuario debe cumplir con principios como el "consentimiento informado" y la "seguridad de los datos". garantizar que el desarrollo del negocio de la organización no enfrentará el riesgo del cumplimiento de la seguridad de los datos. Por ejemplo, el nuevo Reglamento General de Protección de Datos de la UE, que se implementará en 2018, estipula que la pena máxima para las empresas que violen el Reglamento alcanzará el 4% de los ingresos globales, lo que aumenta ampliamente los riesgos de cumplimiento de la protección de datos corporativos.

Incidentes similares: en febrero de 2017, Vizio, una filial de LeTV, recibió una multa de 2,2 millones de dólares por recopilar ilegalmente datos de usuarios.

8. Los piratas informáticos atacaron el sistema SWIFT y robaron 81 millones de dólares del Banco de Bangladesh

Palabras clave: ciberataque, autoridad de control del sistema, datos de instrucciones falsas, robo financiero cibernético

El 5 de febrero de 2016, el Banco de Bangladesh fue pirateado, lo que resultó en el robo de 81 millones de dólares. El atacante obtuvo la autoridad operativa del sistema SWIFT del Banco de Bangladesh a través de ataques cibernéticos u otros medios. Mensaje falso al Banco de la Reserva Federal de Nueva York con instrucciones de transferencia SWIFT. El Presidente del Banco de la Reserva Federal de Nueva York recibió 35 solicitudes de transferencia por un valor total de 951 millones de dólares, de los cuales 81 millones de dólares fueron transferidos y robados con éxito, lo que lo convierte en el mayor caso de robo financiero en línea hasta la fecha.

SWIFT es un importante sistema de liquidación de pagos financieros en el mundo y es conocido por su seguridad, confiabilidad y eficiencia. El ataque exitoso de los piratas informáticos al sistema muestra que el nivel técnico del delito cibernético mejora constantemente, lo que objetivamente requiere la mejora continua de la seguridad de la red y las capacidades de protección de datos de infraestructuras críticas como las instituciones financieras. fortalecer la coordinación y vinculación entre el gobierno y las empresas, y llevar a cabo la cooperación internacional necesaria. Las nuevas regulaciones financieras del estado de Nueva York, que entraron en vigor el 1 de marzo de 2017, exigen que todas las instituciones de servicios financieros implementen planes de ciberseguridad, nombren directores de seguridad de la información y supervisen las políticas de ciberseguridad de los socios comerciales. Los requisitos regulatorios financieros del estado de Nueva York en los Estados Unidos han establecido un punto de referencia para la supervisión de la seguridad de la red en la industria financiera global. Las instituciones financieras de nuestro país también necesitan aclarar aún más las responsabilidades y obligaciones de seguridad de la red que deben cumplir y llevar a cabo. Implementación profunda de la estructura organizacional, gestión de seguridad, tecnología de seguridad y otros aspectos. Implementar responsabilidades de seguridad de la red.

Eventos similares: El 2 de diciembre de 2016, la cuenta del agente del Banco Central Ruso fue atacada por piratas informáticos y se robaron 2 mil millones de rublos rusos.

9. El equipo de monitoreo de seguridad de Hikvision tiene vulnerabilidades y está controlado por IP extranjera

Palabras clave: seguridad de Internet de las cosas, contraseñas débiles, vulnerabilidades, secuestro remoto

27 de febrero de 2015, provincia de Jiangsu Un aviso urgente del Departamento de Seguridad Pública declaró que el equipo de vigilancia de Hikvision utilizado por las agencias de seguridad pública en todos los niveles en la provincia de Jiangsu tiene graves riesgos de seguridad y que parte del equipo está controlado por direcciones IP extranjeras. Hikvision emitió un comunicado durante la noche del 27 de febrero, diciendo: A través del monitoreo del tráfico de la red, el Centro de Emergencia de Internet de la provincia de Jiangsu descubrió que algunos equipos de Hikvision habían sido pirateados debido a contraseñas débiles (incluido el uso de contraseñas iniciales del producto y otras contraseñas simples). fuga de datos de vídeo, etc.

Los dispositivos del Internet de las Cosas representados por la videovigilancia se están convirtiendo en nuevos objetivos para los ataques a la red.

Riesgos como contraseñas débiles, vulnerabilidades conocidas no reparadas y refuerzo de seguridad insuficiente del producto están muy extendidos en los dispositivos IoT. Una vez que el dispositivo está conectado a Internet, su capacidad para responder a ataques de red es muy débil, lo que proporciona una plataforma para que los piratas informáticos obtengan de forma remota. controlar permisos, monitorear datos en tiempo real y llevar a cabo varios ataques convenientes.

Eventos similares: en octubre de 2016, los piratas informáticos lanzaron ataques zombis en áreas de servicio de nombres de dominio controlando dispositivos de Internet de las cosas, lo que provocó cortes generalizados de la red en la costa oeste de Estados Unidos.

10. Se filtró información sobre la ocupación hotelera nacional de 20 millones de personas

Palabras clave: filtración de privacidad personal, almacenamiento de terceros, permisos de datos de servicios de subcontratación, seguridad de la cadena de suministro

En octubre de 2013, la plataforma de monitoreo de vulnerabilidades de seguridad nacional reveló que Zhejiang Huida Inn Company, que proporciona proveedores de servicios de habitaciones digitales a más de 4.500 hoteles en todo el país, había filtrado datos de ocupación de hoteles con los que tenía relaciones de cooperación en línea debido a cuestiones de seguridad. vulnerabilidades. Unos días más tarde, apareció en línea un archivo llamado "Datos de apertura de habitaciones de 2000w", que contenía 20 millones de datos personales sobre aperturas de habitaciones de hotel. En los datos de apertura de habitaciones, el tiempo de apertura de las habitaciones varió desde la segunda mitad de 2010 hasta la primera. En la mitad de 2013, incluidos los nombres, hay 14 campos como número de identificación, dirección y teléfono móvil, que implican una gran cantidad de privacidad del usuario y han atraído la atención generalizada de toda la sociedad.

La cobertura Wi-Fi en los hoteles es un servicio habitual que ha surgido con el desarrollo de la industria hotelera. Muchos hoteles optan por cooperar con proveedores de servicios de red de terceros, pero existen graves filtraciones de datos en los datos reales. Interacciones. Desde el incidente del Huida Inn, por un lado, el hotel involucrado carecía de medidas de gestión para la protección de la información personal y no formuló permisos estrictos de gestión de datos, lo que permitió a los proveedores de servicios externos controlar una gran cantidad de datos de los clientes. Por otro lado, el nivel de cifrado de seguridad de la red del proveedor externo de servicios Huida Station Company es bajo y los datos transmitidos no se cifran durante el proceso de verificación de contraseña, lo que presenta graves fallas en el diseño del sistema.