• Homepage
  • Articoli
  • Blogging
  • Attenzione: l'"estorsione al GDPR" potrebbe danneggiare la tua attività, ecco cosa fare!

Attenzione: l'"estorsione al GDPR" potrebbe danneggiare la tua attività, ecco cosa fare!

Pubblicato: 2019-01-12

La maggior parte dei leader aziendali con sede negli Stati Uniti ha almeno una certa familiarità con il GDPR (regolamento generale sulla protezione dei dati dell'UE). Sebbene questo ampio insieme di normative sui dati sia progettato per proteggere la privacy dei cittadini nell'Unione europea, influenzerà in modo significativo anche le imprese statunitensi . Probabilmente porterà anche a un nuovo e costoso crimine informatico: "estorsione GDPR".

In che modo le normative sui dati basate sull'UE influiranno sulle aziende negli Stati Uniti? Cos'è l'estorsione GDPR? Come possono proteggersi le aziende? Queste sono le domande che affronterò in questo articolo.

GDPR in poche parole

Essendo l'insieme più completo di normative sulla sicurezza dei dati nella storia (99 articoli organizzati in 11 capitoli, per l'esattezza), il GDPR sta suscitando preoccupazioni e preoccupazioni in tutto il mondo.

Questo perché l'acquisizione dei dati dei clienti aiuta le aziende di tutti i settori a migliorare il marketing, le vendite, il servizio clienti e molti altri sforzi. Ora, grazie al GDPR, le aziende devono raccogliere i dati con molta più attenzione.

Il GDPR offre ai cittadini dell'UE qualcosa che non esiste negli Stati Uniti: il diritto alla privacy dei dati personali. Quali tipi di regolamenti sono inclusi in questo insieme di leggi? Sebbene il GDPR diventi piuttosto complesso, ecco una breve carrellata.

Il diritto di un cittadino dell'UE alla riservatezza dei dati ora prevale sull'interesse delle imprese a raccogliere i propri dati. Pertanto, ai sensi del GDPR, ogni cittadino dell'UE ha:

  • Il diritto di scegliere se consentire o meno la raccolta dei propri dati
  • Il diritto di vedere tutti i dati che sono stati raccolti su di loro
  • "Il diritto all'oblio", il che significa che i loro dati devono essere cancellati da Google e altri motori di ricerca su richiesta
  • E infine – il diritto che ha dato vita al fenomeno dell'estorsione al GDPR, ovvero il diritto ad essere informati entro 72 ore di violazioni dei dati (come le violazioni derivanti da hacker)

In che modo il GDPR influisce sulle aziende statunitensi?

Prima di approfondire cos'è l'estorsione GDPR, devo sottolineare perché le aziende statunitensi non sono chiare qui.

Se la tua azienda con sede negli Stati Uniti offre servizi a cittadini dell'UE o raccoglie dati personali su cittadini dell'UE, devi rispettare le normative GDPR. Alcuni dei settori statunitensi che con maggiore probabilità rientreranno nel GDPR includono viaggi, ospitalità, SaaS ed e-commerce. Tuttavia, qualsiasi azienda con sede negli Stati Uniti con un mercato nell'UE dovrebbe fare i preparativi per soddisfare i requisiti.

Quali sono le conseguenze del mancato rispetto dei requisiti GDPR? Le multe potrebbero arrivare fino a 20 milioni di euro (22,7 milioni di dollari), anche se non è ancora chiaro come tali pagamenti dell'UE verranno applicati negli Stati Uniti.

Ma le conseguenze per non essere conformi al GDPR vanno ben oltre le tariffe debilitanti. Anche le aziende con un'ampia base di clienti nell'UE potrebbero perdere la loro reputazione con un mercato di oltre 510 milioni di persone.

Con la minaccia di pagamenti a otto cifre da un lato e la possibilità di sacrificare la fiducia dei clienti dell'UE dall'altro, molte aziende statunitensi non hanno altra scelta che riorganizzare il proprio quadro di gestione dei dati per conformarsi al GDPR.

Estorsione al GDPR

Come se le pesanti conseguenze associate alla non conformità al GDPR non fossero abbastanza preoccupanti, i leader aziendali dell'UE e degli Stati Uniti hanno ancora un altro motivo per perdere il sonno: "Estorsioni del GDPR".

La folle corsa dei dirigenti che si stanno affrettando a prepararsi per il GDPR sta creando una tempesta perfetta per i criminali informatici. Se un'azienda non è conforme al GDPR e se i suoi dispositivi sono privi di patch e non protetti, un hacker può accedere ai dati dell'azienda e fare un ultimatum minaccioso: o paga all'hacker una determinata somma di denaro o i dati verranno divulgati - uno scenario che porterebbe anche a multe paralizzanti.

Una società hackerata avrà una scelta a questo punto. O placare i criminali o informare l'ICO (Ufficio del Commissario per le informazioni) della violazione dei dati, in base ai requisiti del GDPR.

I criminali informatici sanno che molte aziende sceglieranno di pagare gli hacker piuttosto che affrontare multe GDPR ancora più grandi. Inoltre, nel tentativo di evitare proteste pubbliche, i leader aziendali spesso pagano un criminale informatico e cercano di tenere i cittadini dell'UE all'oscuro della violazione dei dati.

Resistere ai criminali informatici

Nonostante la tentazione di pagare un hacker, un'azienda vittima di un crimine informatico dovrebbe mantenere la sua posizione piuttosto che negoziare con i criminali. La migliore linea d'azione è informare l'ICO della violazione e collaborare con loro per mitigare il danno. Come mai? Ci sono almeno quattro ragioni.

  1. Non vi è alcuna garanzia che gli hacker saranno all'altezza della conclusione dell'accordo e concederanno all'azienda vittimizzata il controllo dei propri dati.
  2. Pagare gli hacker li incoraggia a tornare ed estorcere ancora una volta la stessa azienda.
  3. Cedere ai criminali informatici li incoraggia a continuare a sviluppare tecnologie avanzate per ricattare sempre più aziende in tutto il mondo.
  4. C'è una ragione etica per resistere ai criminali informatici. Le persone meritano di sapere quando i loro dati personali sono stati consultati illegalmente.

Applica patch all'intero ambiente IT

La migliore protezione dall'estorsione GDPR è impedire agli hacker di entrare nel tuo sistema. I criminali informatici sono sempre alla ricerca di aziende con dispositivi vulnerabili e privi di patch, e per una buona ragione. Anche aziende grandi come Equifax sono state violate a causa di server senza patch.

L'applicazione di patch è la riparazione dei punti deboli del sistema che sono stati scoperti dopo che l'hardware e il software sono già stati rilasciati. Sembra abbastanza semplice, ma il processo è scoraggiante e complesso.

Pensa a tutti i componenti che devono essere riparati. Server e router, sistemi operativi, applicazioni, client di posta elettronica, desktop e laptop, dispositivi mobili, firewall, suite per ufficio e altro ancora. E come ogni professionista IT saranno d'accordo, solo i server solo una società può trasformarsi in un mal di testa patch.

Ad esempio, è comune per un'azienda eseguire due o più sistemi operativi server, come Linux e Windows. Inoltre, molte aziende eseguono diverse versioni di questi sistemi operativi, comprese numerose distribuzioni Linux.

A causa della complessità implicata e con così tanti componenti che potrebbero diventare finestre aperte per i criminali informatici, le aziende intelligenti implementano un processo di gestione delle patch per tenerne traccia automaticamente. Cloud Management Suite, ad esempio, consente ai responsabili IT di applicare continuamente patch a ogni dispositivo e pacchetto software utilizzato dalla loro azienda, indipendentemente dai loro sistemi operativi.

Educa i tuoi dipendenti

Poiché molti hacker accedono a grandi quantità di dati personali dei clienti semplicemente superando in astuzia i dipendenti, è fondamentale istruire il personale sui metodi dei criminali informatici. Un "ingegneria sociale" obbligatorio dovrebbe essere tenuto per dipendenti e dirigenti. Alcuni argomenti importanti su cui mettere in guardia i dipendenti includono:

  • Ingegneria sociale classica, come quando qualcuno chiama un dipendente affermando di essere IT e chiede password o altre informazioni sensibili
  • Opportunità di ingegneria sociale, ad esempio quando un criminale informatico rilascia una USB carica di malware in un parcheggio e attende che un dipendente la trovi e la utilizzi
  • Email phishing, che coinvolge e-mail che sembrano legittime ma in realtà contengono collegamenti fraudolenti o malware

È anche utile educare i dipendenti sul GDPR e l'estorsione al GDPR. Diventare conformi al GDPR (discusso in seguito) può essere un processo laborioso, quindi più conoscenze il tuo personale ha sulla sua importanza, meglio è.

Diventa conforme al GDPR

Oltre a negare agli hacker l'accesso ai dati sensibili di un'azienda, qualsiasi azienda con un mercato dell'UE dovrebbe diventare conforme al GDPR. Sebbene il processo sia laborioso, ne vale la pena.

Le aziende che dedicano tempo e sforzi per soddisfare i requisiti del GDPR dimostrano alla Commissione Europea e ad altri organismi autorevoli che tengono ai diritti alla privacy dei cittadini dell'UE. È probabile che tali sforzi riducano al minimo eventuali commissioni imposte o altre conseguenze di una violazione dei dati.

Le aziende oneste che lavorano per la conformità trovano più facile conquistare il proprio mercato. Sia negli Stati Uniti che nell'UE, i consumatori apprezzano l'onestà.

Le aziende che fanno tutto il possibile per soddisfare le normative globali e operare in modo trasparente ottengono rapidamente un vantaggio competitivo.

Immagine: Shutterstock