Szerintem alapvetően két dologtól tudna megvédeni:
- Ha a szerveren van meg csak a kulcs, akkor a DB dump önmagában nem lenne érdekes a kulcs nélkül. Ilyenkor persze ki lehet játszani, hogy keresünk valami SQL injection sebezhetőséget egy olyan mezőnél, ahol a szerver oldal dekódolja is a választ, de ha mondjuk csak az egészségügyi adatok vannak így titkosítva, akkor nem elég egy SQL injectiont találni, hanem olyat kell keresni, ahol a választ dekódolná is a rendszer. Egy más módon ellopott DB dump pedig legalább nem tartalmazná ezeket az adatokat.
- Ha a felhasználónál van a kulcs, de hardverkulcson tárolva, az megakadályozhatja a kulcs ellopását. A gépén (ha megszerzik a hardverkulcs PIN-jét is) ugyan dekódolható az adat, de csak abban az időben, amikor a hardverkulcs be van dugva a gépbe.
Az utóbbival azonos elven működő hardverkulcsom nekem is van, (YubiKey), és használok olyan rendszert, ami bizonyos adatokat a kulccsal titkosítva tárol, és a csak a kliens oldalon dekódolja, amit éppen látok. Ha nincs bedugva a kulcs, akkor ezek az adatok nem olvashatóak, és a Yubikeyből (elméletben) nem lehet sehogyan sem kinyerni a privát kulcsot. Bedugom a kulcsot, feloldom a jelszóval és onnantól a kulcs kihúzásáig elérem az adatokat, amik elméletben magán a kulcson kerülnek dekódolásra. Egy ilyen megoldás legalább annyit védene, hogy csak akkor tudnák olvasni a kényesebb adatokat, ha közben a gépbe be van dugva, és fel is van oldva a kulcs. Ezzel nyilván nem a szülők e-mail címét kell védeni, hanem azokat az adatokat, amiket normál esetben az iskolában is legfeljebb az igazgató / iskolaorvos kérdezhet csak le, vagy még ők sem.
Az emberi hülyeség ellen persze ez sem véd (mondjuk ha 0-24 bedugva, feloldva hagyja valaki a kulcsát a gépben), de legalább eléggé megnehezíti a támadó dolgát.
Ha pedig a fenti két módszert kombinálnák (szülők e-mail címe a szerveren tárolt kulccsal titkosítva, gyerek egészségügyi adatai meg a hardverkulcson lévé kulccsal titkosítva), akkor a DB dump önmagában értéktelen lenne, míg a védett adatokhoz pedig még ezen felül is ki kellene várniuk, amíg hozzáférnek egy hardverkulcshoz is, miközben a sokak által elérhető adatok ugyanúgy elérhetőek a felhasználóknak, és csak egy szűkebb rétegnek kell plusz hardverkulcsot beszerezni. Ha azt veszem alapul, hogy egy magánvállalatnak gyakran 100 milliós összegű GDPR bírásg jár egy hasonló adatszivárgásért, akkor néhány ezer hardverkulcs ára mondhatni eltörpül ezek mellett.