Прошедшая неделя была важна для вас и вашей личной информации, независимо от того, живете вы в ЕС или нет.
GDPR, Общий Регламент Защиты Данных, который устанавливает руководящие принципы о том, как личная информация граждан ЕС собирается и обрабатывается, теперь является официальной. Это отличная идея - единые правила о том, как ваша информация собирается, как она хранится и как вы можете ее вернуть, давно назрела. Было (и будет продолжаться) много дискуссий о том, что хорошо, что плохо, а что плохо в отношении GDPR, но большинство людей, которые работают в области информационной безопасности, согласны с тем, что цели имеют благие намерения и обеспечат вид защиты, который нам всем нужен в 21 век.
Куча популярных веб-сайтов просто недоступна европейским посетителям, потому что вы не соответствует требованиям GDPR.
Отдельные статьи GDPR, однако, не так широко приветствуются. Вступив в силу в пятницу, 25 мая, мы уже наблюдаем последствия: New York Daily News, Chicago Tribune, LA Times и другие высококлассные веб-сайты теперь недоступны в странах, на которые распространяется регулирование GDPR, поскольку они не были готовы к новым правилам., Многие другие веб-сайты и онлайн-сервисы бомбардируют пользователей новыми условиями, с которыми согласны, и уже поданы жалобы на известных технологических гигантов Google и Facebook, потому что они не предлагают бесплатные услуги, не позволяя пользователям отказаться от сбора данных.
Подробнее: Google облегчает понимание и управление собираемыми им пользовательскими данными {.cta.large}
Такие вопросы не удивительны. Также не существует уверенности в том, что облачные сервисы потеряют доход и будут вынуждены повышать цены в результате GDPR, что, по мнению половины участников Infosecurity Europe 2018, произойдет в ближайшее время. Они также считают, что GDPR будет сдерживать инновации, так как небольшие организации не смогут позволить себе необходимую инфраструктуру для обеспечения соответствия. Это хорошая дискуссия людей, которые должны это обсуждать. Лучшая конфиденциальность стоит тех часов, которые необходимы, чтобы сделать это правильно.
Но есть одна часть GDPR, которая, я думаю, принесет больше вреда, чем пользы, - правило 72-часовой отчетности по Статье 33. Вы можете прочитать полный текст здесь, но суть в том, что компания, которая хранит личную идентификацию граждан ЕС, несет полную ответственность за любое нарушение безопасности, независимо от причины, и должна предоставить полное уведомление наблюдательному комитету в течение 72 часов. нарушения. В этом правиле нет ничего особенного, но две части приведут к тому, что поставщики услуг будут скрывать нарушения данных, а не сообщать о них ответственно.
Первый - это наблюдательный комитет. В разных странах существуют разные способы управления своими гражданами, но одна общая черта - преференциальный режим, когда речь заходит о создании и укомплектовании любого официального комитета. Друг друга или того третьего двоюродного брата, который не может перестать просить раздаточный материал, являются главными кандидатами на любое место в комитете, и когда основной целью является защита пользовательских данных, должны рассматриваться только наиболее квалифицированные лица. Будем надеяться, что это именно то, что здесь сделано, и правила могут быть адаптированы и применены людьми, которые имеют наши интересы в глубине души и имеют квалификацию.
Небольшие компании, не располагающие ресурсами, необходимыми для полного расследования нарушений, могут прикрыть их.
Более серьезной проблемой является принудительная 72-часовая отчетность. Даже полностью укомплектованная организация Fortune 500 не будет знать достаточно о нарушении данных, чтобы начать подавать отчеты в государственное учреждение. Учитывая такое короткое время, ожидайте немного большего, чем сотрудник информационной безопасности компании, который скажет, что было нарушение, и мы еще не уверены в каких-либо деталях. Это немного больше, чем трата времени для всех участников, и я бы предпочел потратить это время, пытаясь выяснить, почему, как, когда и кто окружает любой тип взлома данных.
Небольшая компания, которая, возможно, уже борется за соблюдение требований GDPR, будет испытывать искушение провести расследование, может ли она сдержать нарушение и смягчить ущерб самостоятельно без каких-либо сообщений. Когда вы находитесь под давлением и недоукомплектованы, сокрытие может звучать как правильный вариант.
Понятно, что это никогда не так. Но известно, что компании, великие и малые, снова и снова выбирают неправильный вариант, когда дело доходит до провода. Любое регулирование, предназначенное для защиты пользователей от компаний, принимающих неверные решения, лучше без правила, которое может подтолкнуть их к этому.
Ответственное и быстрое сообщение о краже данных является обязательным. Заставлять компании, которые собирают и хранят наши данные, поступать правильно, без них мало пользы. Создание правильного комитета по надзору, заполненного нужными людьми, чтобы пересмотреть, как обрабатываются взломы - или даже предлагать помощь, когда они случаются, - будет иметь большое значение для того, чтобы сделать GDPR шаблоном для всего остального мира.