Avertisment: „Extorcarea GDPR” ți-ar putea afecta afacerea, iată ce trebuie să faci!

Publicat: 2019-01-12

Majoritatea liderilor de afaceri din SUA sunt cel puțin oarecum familiarizați cu GDPR (Regulamentul general al UE privind protecția datelor). Deși acest set larg de reglementări privind datele este conceput pentru a proteja confidențialitatea cetățenilor din Uniunea Europeană, va afecta în mod semnificativ și întreprinderile din SUA. . De asemenea, va duce probabil la o nouă și costisitoare infracțiune cibernetică: „extorcarea GDPR”.

Cum vor afecta reglementările UE privind datele întreprinderilor din SUA? Ce este extorcarea GDPR? Cum se pot proteja firmele? Acestea sunt întrebările pe care le voi adresa în acest articol.



GDPR Pe scurt

Fiind cel mai cuprinzător set de reglementări de securitate a datelor din istorie (99 de articole organizate în 11 capitole, pentru a fi exact), GDPR ridică sprâncene și anxietăți la nivel mondial.

Acest lucru se datorează faptului că capturarea datelor despre clienți ajută companiile din toate industriile să îmbunătățească marketingul, vânzările, serviciul pentru clienți și multe alte eforturi. Acum, datorită GDPR, companiile trebuie să colecteze date mult mai atent.

GDPR oferă cetățenilor UE ceva care nu există în SUA: dreptul la confidențialitatea datelor cu caracter personal. Ce fel de reglementări sunt incluse în acest set de legi? Deși GDPR devine destul de complex, iată o scurtă prezentare.

Dreptul unui cetățean UE la confidențialitatea datelor depășește acum interesul unei companii de a-și colecta datele. Prin urmare, în conformitate cu GDPR, fiecare cetățean al UE are:

  • Dreptul de a alege dacă permite sau nu colectarea datelor lor
  • Dreptul de a vedea toate datele care au fost colectate despre ei
  • „Dreptul de a fi uitat”, adică datele lor trebuie eliminate de Google și alte motoare de căutare, la cerere
  • Și, în sfârșit – dreptul care a dat naștere fenomenului de extorcare GDPR, care este dreptul de a fi informat cu privire la încălcarea datelor în termen de 72 de ore (cum ar fi încălcările rezultate de la hackeri)

Cum afectează GDPR afacerile din SUA?

Înainte de a aborda ce este extorcarea GDPR, trebuie să subliniez de ce afacerile din SUA nu sunt clare aici.

Dacă afacerea dvs. din SUA oferă servicii cetățenilor UE sau colectează date personale despre cetățenii UE, trebuie să respectați reglementările GDPR. Unele dintre industriile din SUA care sunt cel mai probabil să intre sub GDPR includ călătoriile, ospitalitatea, SaaS și comerțul electronic. Cu toate acestea, orice companie din SUA cu o piață în UE ar trebui să se pregătească pentru a îndeplini cerințele.

Care sunt consecințele nerespectării cerințelor GDPR? Amenzile ar putea ajunge până la 20 de milioane de euro (22,7 milioane de dolari), deși nu este încă clar cum vor fi aplicate astfel de plăți UE în SUA.

Dar consecințele nerespectării conformității GDPR se extind cu mult dincolo de taxele debilitante. Companiile cu o bază mare de clienți din UE s-ar putea confrunta, de asemenea, cu pierderea bunei reputații cu o piață de peste 510 milioane de oameni.

Având în vedere amenințarea plăților cu opt cifre pe de o parte și posibilitatea de a sacrifica încrederea clienților din UE, pe de altă parte, multe companii din SUA nu au de ales decât să își refacă cadrul de gestionare a datelor pentru a se conforma GDPR.

Extorcare GDPR

De parcă consecințele abrupte asociate cu nerespectarea GDPR nu sunt suficient de îngrijorătoare, liderii de afaceri din UE și SUA au încă un motiv pentru a pierde somnul: „extorcarea GDPR”.

Urma nebună de directori care se luptă să se pregătească pentru GDPR creează o furtună perfectă pentru infractorii cibernetici. Dacă o companie nu respectă GDPR și dacă dispozitivele lor sunt nepattchizate și neprotejate, un hacker poate obține acces la datele întreprinderii și poate face un ultimatum de rău augur: fie plătește hackerului o anumită sumă de bani, fie datele vor fi scurse - un scenariu care ar duce și la amenzi paralizante.

O companie piratată va avea de ales în acest moment. Fie liniștiți criminalul(i) fie informați ICO (Biroul Comisarului pentru Informații) despre încălcarea datelor, conform cerințelor GDPR.

Infractorii cibernetici știu că multe companii vor opta să plătească hackerii în loc să se confrunte cu amenzi și mai mari GDPR. De asemenea, în încercarea de a evita protestele publice, liderii de afaceri vor plăti adesea un infractor cibernetic și vor încerca să țină cetățenii UE la întuneric cu privire la încălcarea datelor.

Rezistați criminalilor cibernetici

În ciuda tentației de a plăti un hacker, o afacere care a căzut victima unei infracțiuni cibernetice ar trebui să se mențină mai degrabă decât să negocieze cu criminalii. Cel mai bun mod de acțiune este să informați ICO cu privire la încălcare și să colaborați cu acesta pentru a atenua daunele. De ce? Există cel puțin patru motive.

  1. Nu există nicio garanție că hackerii vor fi la înălțimea lor și vor oferi afacerilor victimizate controlul asupra datelor lor.
  2. Plata hackerilor îi încurajează să se întoarcă și să stoarcă din nou aceeași companie.
  3. Cedarea în fața infractorilor cibernetici îi încurajează să continue să dezvolte tehnologii avansate pentru șantajarea și mai multor companii din întreaga lume.
  4. Există un motiv etic pentru a rezista infractorilor cibernetici. Oamenii merită să știe când datele lor personale au fost accesate ilegal.

Corectează-ți întregul mediu IT

Cea mai bună protecție împotriva extorcării GDPR este blocarea accesului hackerilor în sistemul dvs. Criminalii cibernetici sunt mereu în căutarea companiilor cu dispozitive nepattchizate și vulnerabile și din motive întemeiate. Chiar și companii la fel de mari precum Equifax au fost încălcate din cauza serverelor nepatchate.

Patch-ul este repararea deficiențelor sistemului care au fost descoperite după ce hardware-ul și software-ul au fost deja lansate. Sună destul de simplu, dar procesul este descurajator și complex.

Gândiți-vă la toate componentele care trebuie corectate. Servere și routere, sisteme de operare, aplicații, clienți de e-mail, desktop-uri și laptop-uri, dispozitive mobile, firewall-uri, suite de birou și multe altele. Și , ca orice profesionist IT va fi de acord, serverele doar unei companii singur se poate transforma intr - o durere de cap colare.


De exemplu, este obișnuit ca o companie să ruleze două sau mai multe sisteme de operare pentru server, cum ar fi Linux și Windows. În plus, multe companii rulează mai multe versiuni ale acestor sisteme de operare, inclusiv numeroase distribuții Linux.

Din cauza complexității implicate și cu atât de multe componente care ar putea deveni ferestre deschise pentru infractorii cibernetici, companiile inteligente implementează un proces de gestionare a patch-urilor pentru a ține evidența tuturor în mod automat. Cloud Management Suite, de exemplu, le permite managerilor IT să corecteze continuu fiecare dispozitiv și pachet software pe care compania lor îl folosește, indiferent de sistemele lor de operare.

Educați-vă angajații

Deoarece mulți hackeri obțin acces la cantități mari de date personale despre clienți pur și simplu depășind angajații, este esențial să vă educați personalul despre metodele criminale cibernetice. Ar trebui să fie organizată o „inginerie socială” obligatorie pentru angajați și directori. Câteva subiecte importante despre care să avertizați angajații includ:

  • Inginerie socială clasică, cum ar fi atunci când cineva sună un angajat pretinzând că este de la IT și cere parole sau alte informații sensibile
  • Inginerie socială a oportunităților, cum ar fi atunci când un infractor cibernetic aruncă un USB încărcat cu malware într-o parcare și așteaptă ca un angajat să îl găsească și să îl folosească
  • Phishing prin e-mail, care implică e-mailuri care par legitime, dar care conțin de fapt linkuri frauduloase sau programe malware

De asemenea, este util să educăm angajații despre GDPR și extorcarea GDPR. Devenirea conformă GDPR (discutată în continuare) poate fi un proces laborios, așa că cu cât personalul tău are mai multe cunoștințe despre importanța sa, cu atât mai bine.

Deveniți conform GDPR

Pe lângă interzicerea accesului hackerilor la datele sensibile ale unei companii, orice afacere cu o piață UE ar trebui să devină conformă GDPR. Deși procesul necesită forță de muncă, merită din plin.

Companiile care depun timp și efort pentru a îndeplini cerințele GDPR demonstrează Comisiei Europene și altor organisme autorizate că le pasă de drepturile la confidențialitate ale cetățenilor UE. Este posibil ca astfel de eforturi să minimizeze orice taxe impuse sau alte consecințe ale unei încălcări a datelor.

Companiilor oneste care lucrează pentru conformare le este mai ușor să-și câștige piața. Indiferent dacă se află în SUA sau în UE, consumatorii apreciază onestitatea.

Companiile care fac tot ce le stă în putință pentru a respecta reglementările globale și operează în mod transparent obțin rapid un avantaj competitiv.

Imagine: Shutterstock