השבוע האחרון היה חשוב לך ולמידע האישי שלך, בין אם אתה גר באיחוד האירופי ובין אם לאו.
GDPR, התקנה הכללית להגנה על נתונים שקובעת הנחיות לגבי איסוף ועיבוד של מידע אישי של אזרחי האיחוד האירופי, היא כעת רשמית. זה רעיון נהדר - כללים אחידים לגבי אופן המידע שלך, כיצד הוא מאוחסן ואיך אתה יכול לקחת אותו בחזרה, הם מזמן. היו דיונים (וימשיכו להיות) דיונים על מה שטוב, רע ומכוער לגבי GDPR, אך רוב האנשים שעובדים בתחום אבטחת המידע מסכימים כי היעדים מכוונים היטב ויספקו את סוג ההגנות שכולנו זקוקים להן המאה ה -21.
חבורה של אתרים פופולריים פשוט לא זמינים למבקרים באירופה מכיוון שאינך תואם את ה- GDPR.
עם זאת, המאמרים האישיים של GDPR אינם זוכים לשבחים כל כך אוניברסליים. לאחר כניסתו לתוקף ביום שישי, 25 במאי, אנו רואים כבר נשירה: הניו יורק דיילי ניוז, שיקגו טריביון, LA Times ואתרי אינטרנט אחרים בעלי פרופיל גבוה אינם זמינים כעת במדינות המכוסות בתקנות GDPR מכיוון שהם לא היו מוכנים לתקנון החדש. אתרי אינטרנט ושירותים רבים אחרים הפציצו משתמשים בתנאים חדשים שיסכימו להם, וכבר הוגשו תלונות נגד ענקיות הטכנולוגיה הבולטות גוגל ופייסבוק מכיוון שאינן מציעות שירותים בחינם מבלי לאפשר למשתמשים לבטל את הסכמתם לאיסוף נתונים.
עוד: גוגל מקלה על הבנה וניהול נתוני משתמשים שהיא אוספת {.cta.large}
סוגיות כמו אלה אינן מפתיעות. גם לא סנטימנט ששירותים מבוססי ענן יאבדו הכנסות ויאלצו להעלות מחירים כתוצאה מ- GDPR, שחצי מהמשתתפים ב- Infosecurity Europe 2018 חושבים שעוד מעט יקרה. הם גם חשים כי ה- GDPR יחניק את החדשנות מכיוון שארגונים קטנים לא יוכלו להרשות לעצמם את התשתית הנדרשת. זהו דיון טוב של האנשים שצריכים לדון בו. פרטיות טובה יותר שווה את שעות הלוך ושוב הדרושות בכדי שתתקין.
אבל יש חלק אחד מ- GDPR שלדעתי יפגע יותר מתועלת - הכלל לדיווח על 72 שעות של סעיף 33. תוכלו לקרוא כאן את הטקסט המלא, אך עיקרו הוא שחברה השומרת על זיהוי אישי של אזרחי האיחוד היא אחראית מלאה לכל הפרת ביטחון, לא משנה מה הסיבה, ועליה לספק גילוי נאות לוועדת פיקוח תוך 72 שעות. של הפרה. אין שום דבר גדול בכלל הזה, אך שני חלקים הולכים להוביל לספקי שירותים המכסים על הפרות נתונים במקום לדווח עליהם באחריות.
הראשונה היא ועדת הפיקוח. למדינות שונות יש דרכים שונות לממשל את אזרחיהן, אך דבר אחד המשותף לכולן הוא יחס מועדף בכל הקשור ליצירה ואיוש של ועדה רשמית כלשהי. חבר של חבר או אותו בן דוד שלישי שלא יכול להפסיק לבקש מסירה הם מועמדים ראשוניים לכל מושב ועדה, וכשהמטרה העיקרית היא הגנה על נתוני משתמשים, יש לקחת בחשבון רק את האנשים המוסמכים ביותר. נקווה שזה בדיוק מה שנעשה כאן והתקנות ניתנות להתאמה ואכיפה על ידי אנשים שיש להם את טובת לבם ומוסמכים.
חברות קטנות ללא המשאבים הדרושים לביצוע חקירת הפרה מלאה עשויות לבחור לכסות אותן.
נושא גדול יותר הוא הדיווח הכפוי של 72 שעות. אפילו ארגון Fortune 500 מאויש לחלוטין לא מתכוון לדעת מספיק על הפרת נתונים כדי להתחיל להגיש דוחות עם סוכנות ממשלתית. בהתחשב בזמן כה קצר, צפו מעט יותר מאשר שממונה על אבטחת המידע של החברה אומר כי הייתה הפרה ואנחנו עדיין לא בטוחים בפרטים. זה קצת יותר מבזבוז זמן לכל המעורבים, ואני מעדיף להקדיש את הזמן לנסות ולברר מדוע, איך, מתי ומי שמסביב כל הפרת נתונים.
חברה קטנה יותר שאולי כבר נאבקת לעמוד בתאימות ה- GDPR תתפתה לחקור אם היא יכולה להכיל את ההפרה ולהפחית את הנזקים בכוחות עצמה ללא שום דיווחים. כשאתה בלחץ ובלתי מועסך, כיסוי יכול להישמע כמו האפשרות הנכונה.
ברור שזה לא כך. אולם ידוע כי חברות גדולות וקטנות בוחרות באופציה השגויה פעם אחר פעם כשמדובר בחוט. כל תקנה שנועדה להגן על משתמשים מפני חברות שמקבלות החלטות גרועות היא טובה יותר ללא כלל שעשוי לדחוף אותם לעשות בדיוק את זה.
דיווח אחראי ומיידי על heist נתונים הוא חובה. אילוץ חברות שקוטפות ומחזיקות בנתונים שלנו לעשות את הדבר הנכון אינו מועיל בלעדיה. יצירת וועדת הפיקוח הנכונה, המלאה באנשים הנכונים שתבדוק את אופן הטיפול בפריצות - או אפילו להציע סיוע כאשר הם מתרחשים - תעשה דרך ארוכה להפוך את ה- GDPR לתבנית להמשך העולם.
