Ostrzeżenie: „Wymuszenie RODO” może zaszkodzić Twojej firmie, oto co robić!

Opublikowany: 2019-01-12

Większość amerykańskich liderów biznesu przynajmniej w pewnym stopniu zna RODO (ogólne rozporządzenie UE o ochronie danych). Chociaż ten szeroki zestaw przepisów dotyczących danych ma na celu ochronę prywatności obywateli w Unii Europejskiej, będzie on miał znaczący wpływ również na przedsiębiorstwa amerykańskie . Prawdopodobnie doprowadzi to również do nowego i kosztownego cyberprzestępczości: „wymuszenia RODO”.

Jak unijne przepisy dotyczące danych wpłyną na firmy w USA? Co to jest wymuszenie RODO? Jak firmy mogą się chronić? Oto pytania, na które odpowiem w tym artykule.



RODO w pigułce

Jako najbardziej kompleksowy zestaw przepisów dotyczących bezpieczeństwa danych w historii (dokładnie 99 artykułów podzielonych na 11 rozdziałów) RODO budzi brwi i niepokój na całym świecie.

Dzieje się tak, ponieważ przechwytywanie danych klientów pomaga firmom ze wszystkich branż usprawnić marketing, sprzedaż, obsługę klienta i wiele innych działań. Teraz dzięki RODO firmy muszą gromadzić dane znacznie ostrożniej.

RODO daje obywatelom UE coś, czego nie ma w USA: prawo do prywatności danych osobowych. Jakie rodzaje regulacji są zawarte w tym zbiorze praw? Chociaż RODO staje się dość skomplikowane, oto krótkie podsumowanie.

Prawo obywatela UE do prywatności danych przeważa obecnie nad interesem przedsiębiorstw w gromadzeniu ich danych. Dlatego zgodnie z RODO każdy obywatel UE ma:

  • Prawo do wyboru, czy zezwolić na zbieranie ich danych
  • Prawo do wglądu do wszystkich zebranych na ich temat danych
  • „Prawo do bycia zapomnianym”, co oznacza, że ​​ich dane muszą zostać usunięte z listy przez Google i inne wyszukiwarki na żądanie
  • I wreszcie – prawo, które zrodziło zjawisko wymuszenia RODO, czyli prawo do bycia informowanym o naruszeniach danych w ciągu 72 godzin (takich jak naruszenia spowodowane przez hakerów)

Jak RODO wpływa na firmy w USA?

Zanim zagłębię się w to, czym jest wymuszenie RODO, muszę podkreślić, dlaczego amerykańskie firmy nie są tutaj jasne.

Jeśli Twoja firma z siedzibą w USA oferuje usługi obywatelom UE lub gromadzi dane osobowe obywateli UE, musisz przestrzegać przepisów RODO. Niektóre z branż w USA, które najprawdopodobniej zostaną objęte RODO, to podróże, hotelarstwo, SaaS i e-commerce. Jednak każda firma z siedzibą w USA, która ma rynek w UE, powinna poczynić przygotowania do spełnienia wymagań.

Jakie są konsekwencje niespełnienia wymogów RODO? Grzywny mogą sięgać nawet 20 milionów euro (22,7 miliona dolarów), chociaż nie jest jeszcze jasne, w jaki sposób takie płatności UE będą egzekwowane w USA.

Jednak konsekwencje braku zgodności z RODO wykraczają daleko poza obciążające opłaty. Firmy z dużą bazą klientów w UE mogą również stanąć w obliczu utraty dobrej pozycji na rynku liczącym ponad 510 milionów osób.

W obliczu groźby ośmiocyfrowych płatności z jednej strony i możliwości poświęcenia zaufania klientów z UE z drugiej, wiele amerykańskich firm nie ma innego wyjścia, jak przebudować swoje ramy zarządzania danymi tak, aby były zgodne z RODO.

Wymuszenie RODO

Jakby drastyczne konsekwencje związane z niezgodnością z RODO nie były wystarczająco niepokojące, liderzy biznesu w UE i USA mają jeszcze jeden powód, by nie spać: „Wymuszenie RODO”.

Szalony zryw kadry kierowniczej, która stara się przygotować na RODO, tworzy idealną burzę dla cyberprzestępców. Jeśli firma nie jest zgodna z RODO, a jej urządzenia są niezałatane i niezabezpieczone, haker może uzyskać dostęp do danych firmy i postawić złowieszcze ultimatum: albo zapłać hakerowi określoną sumę pieniędzy, albo dane zostaną ujawnione – scenariusz, który doprowadziłby również do obezwładniających grzywien.

W tym momencie zhakowana firma będzie miała wybór. Albo uspokój przestępców, albo poinformuj ICO (Biuro Komisarza ds. Informacji) o naruszeniu danych, zgodnie z wymogami RODO.

Cyberprzestępcy wiedzą, że wiele firm zdecyduje się zapłacić hakerom, zamiast ponosić jeszcze większe kary wynikające z RODO. Ponadto, próbując uniknąć publicznego oburzenia, liderzy biznesu często płacą cyberprzestępcom i starają się utrzymać obywateli UE w tajemnicy o naruszeniu danych.

Oprzyj się cyberprzestępcom

Pomimo pokusy, by zapłacić hakerowi, firma, która padła ofiarą cyberprzestępczości, powinna raczej stawiać czoła, niż negocjować z przestępcami. Najlepszym sposobem działania jest poinformowanie ICO o naruszeniu i współpraca z nimi w celu złagodzenia szkód. Czemu? Są co najmniej cztery powody.

  1. Nie ma gwarancji, że hakerzy dotrwają do końca umowy i zapewnią pokrzywdzonym kontrolę biznesową nad swoimi danymi.
  2. Płacenie hakerom zachęca ich do powrotu i ponownego wyłudzania tej samej firmy.
  3. Poddanie się cyberprzestępcom ośmiela ich do dalszego rozwijania zaawansowanych technologii szantażowania jeszcze większej liczby firm na całym świecie.
  4. Istnieje etyczny powód, by przeciwstawiać się cyberprzestępcom. Ludzie zasługują, aby wiedzieć, kiedy ich dane osobowe zostały nielegalnie udostępnione.

Popraw całe swoje środowisko IT

Najlepszą ochroną przed wyłudzeniem RODO jest zablokowanie hakerom dostępu do Twojego systemu. Cyberprzestępcy zawsze szukają firm z niezałatanymi i podatnymi na ataki urządzeniami i nie bez powodu. Nawet firmy tak duże jak Equifax zostały naruszone z powodu niezałatanych serwerów.

Łatanie to naprawianie słabości systemu, które zostały wykryte po wydaniu sprzętu i oprogramowania. Brzmi to dość prosto, ale proces jest zniechęcający i złożony.

Pomyśl o wszystkich komponentach, które należy załatać. Serwery i routery, systemy operacyjne, aplikacje, klienci poczty e-mail, komputery stacjonarne i laptopy, urządzenia mobilne, zapory ogniowe, pakiety biurowe i inne. A każdy informatyk zgodzi się z tym, że same serwery firmy mogą przysporzyć kłopotów.


Na przykład firma często używa co najmniej dwóch serwerowych systemów operacyjnych, takich jak Linux i Windows. Co więcej, wiele firm posiada kilka wersji tych systemów operacyjnych, w tym liczne dystrybucje Linuksa.

Ze względu na złożoność i przy tak wielu komponentach, które mogą stać się otwartymi oknami dla cyberprzestępców, inteligentne firmy wdrażają proces zarządzania poprawkami, aby śledzić to wszystko automatycznie. Na przykład Cloud Management Suite umożliwia menedżerom IT ciągłe aktualizowanie każdego urządzenia i pakietu oprogramowania, z którego korzysta ich firma, niezależnie od ich systemów operacyjnych.

Kształć swoich pracowników

Ponieważ wielu hakerów uzyskuje dostęp do ogromnych ilości danych osobowych klientów po prostu przechytrzając pracowników, bardzo ważne jest, aby przeszkolić personel w zakresie metod cyberprzestępczych. Pracownicy i kadra kierownicza powinni mieć obowiązkową „inżynierię społeczną”. Kilka ważnych tematów, przed którymi należy ostrzec pracowników, to:

  • Klasyczna socjotechnika, na przykład gdy ktoś dzwoni do pracownika podającego się za informatyka i prosi o hasło lub inne poufne informacje
  • Socjotechnika okazyjna, np. gdy cyberprzestępca upuszcza na parkingu USB z oprogramowaniem złośliwym i czeka, aż pracownik go znajdzie i użyje
  • Wyłudzanie wiadomości e- mail, obejmujące wiadomości e-mail, które wyglądają na legalne, ale w rzeczywistości zawierają fałszywe linki lub złośliwe oprogramowanie

Pomocne jest również edukowanie pracowników na temat RODO i wymuszenia RODO. Uzyskanie zgodności z RODO (omówione dalej) może być pracochłonnym procesem, więc im więcej wiedzy na temat jego znaczenia ma Twoi pracownicy, tym lepiej.

Zapewnij zgodność z RODO

Oprócz odmawiania hakerom dostępu do poufnych danych firmy, każda firma działająca na rynku UE powinna być zgodna z RODO. Chociaż proces jest pracochłonny, warto.

Firmy, które poświęcają czas i wysiłek, aby spełnić wymagania RODO, udowadniają Komisji Europejskiej i innym organom władzy, że dbają o prawo do prywatności obywateli UE. Takie wysiłki prawdopodobnie zminimalizują wszelkie nałożone opłaty lub inne konsekwencje naruszenia danych.

Uczciwe firmy, które pracują nad zapewnieniem zgodności, łatwiej zdobywają rynek. Czy to w USA, czy w UE, konsumenci cenią uczciwość.

Firmy, które robią wszystko, co w ich mocy, aby sprostać globalnym przepisom i działać w sposób przejrzysty, szybko zyskują przewagę konkurencyjną.

Zdjęcie: Shutterstock