Предупреждение: «Вымогательство GDPR» может повредить вашему бизнесу, что делать!

Опубликовано: 2019-01-12

Большинство бизнес-лидеров в США, по крайней мере, в некоторой степени знакомы с GDPR (Общий регламент ЕС по защите данных). Хотя этот широкий набор правил в отношении данных предназначен для защиты конфиденциальности граждан в Европейском Союзе, он также существенно повлияет на бизнес в США. . Это также, вероятно, приведет к новому и дорогостоящему киберпреступлению: «вымогательству GDPR».

Как правила ЕС в отношении данных повлияют на бизнес в США? Что такое вымогательство GDPR? Как бизнесу защитить себя? Именно на эти вопросы я рассмотрю эту статью.



GDPR в двух словах

Как самый полный набор правил безопасности данных в истории (99 статей, организованных в 11 глав, если быть точным), GDPR вызывает недоумение и тревогу во всем мире.

Это связано с тем, что сбор данных о клиентах помогает компаниям во всех отраслях улучшить маркетинг, продажи, обслуживание клиентов и многое другое. Теперь, благодаря GDPR, компаниям приходится гораздо тщательнее собирать данные.

GDPR дает гражданам ЕС то, чего нет в США: право на конфиденциальность личных данных. Какие виды нормативных актов включены в этот свод законов? Хотя GDPR становится довольно сложным, вот краткое изложение.

Право гражданина ЕС на конфиденциальность данных теперь перевешивает интерес бизнеса к сбору своих данных. Таким образом, в соответствии с GDPR каждый гражданин ЕС имеет:

  • Право выбирать, разрешать или нет собирать свои данные
  • Право видеть все данные, которые были собраны о них
  • «Право быть забытым», что означает, что их данные должны быть удалены из списка Google и другими поисковыми системами по запросу.
  • И, наконец, право, породившее явление вымогательства GDPR, которое заключается в праве на получение информации об утечках данных в течение 72 часов (например, об утечках, совершенных хакерами).

Как GDPR влияет на бизнес в США?

Прежде чем углубиться в то, что такое вымогательство GDPR, я должен подчеркнуть, почему американские компании здесь не в ясности.

Если ваш бизнес в США предлагает услуги гражданам ЕС или собирает личные данные о гражданах ЕС, вы должны соблюдать правила GDPR. Некоторые из отраслей США, которые, скорее всего, подпадут под GDPR, включают путешествия, гостиничный бизнес, SaaS и электронную коммерцию. Тем не менее, любой бизнес в США с рынком в ЕС должен подготовиться к выполнению требований.

Каковы последствия несоблюдения требований GDPR? Штрафы могут достигать 20 миллионов евро (22,7 миллиона долларов), хотя пока неясно, как такие платежи ЕС будут применяться в США.

Но последствия несоблюдения GDPR выходят далеко за рамки изнурительных сборов. Компании с большой клиентской базой в ЕС также могут потерять свою репутацию на рынке, насчитывающем более 510 миллионов человек.

С угрозой восьмизначных платежей, с одной стороны, и возможностью пожертвовать доверием клиентов из ЕС, с другой, у многих американских компаний нет другого выбора, кроме как перенастроить свою систему управления данными, чтобы она соответствовала GDPR.

Вымогательство GDPR

Как будто крутые последствия, связанные с несоблюдением GDPR, недостаточно тревожны, у бизнес-лидеров ЕС и США есть еще одна причина потерять сон: «вымогательство GDPR».

Безумный порыв руководителей, которые изо всех сил пытаются подготовиться к GDPR, создает идеальный шторм для киберпреступников. Если бизнес не соответствует требованиям GDPR, а его устройства не исправлены и не защищены, хакер может получить доступ к данным бизнеса и выдвинуть зловещий ультиматум: либо заплатите хакеру определенную сумму денег, либо данные будут просочены. сценарий, который также приведет к огромным штрафам.

В этот момент у взломанной компании будет выбор. Либо умиротворите преступника (преступников), либо сообщите ICO (Управление комиссара по информации) об утечке данных в соответствии с требованиями GDPR.

Киберпреступники знают, что многие компании предпочтут заплатить хакерам, а не столкнуться с еще большими штрафами GDPR. Кроме того, в попытке избежать общественного протеста лидеры бизнеса часто платят киберпреступникам и пытаются держать граждан ЕС в неведении относительно утечки данных.

Противостоять киберпреступникам

Несмотря на искушение заплатить хакеру, бизнес, ставший жертвой киберпреступления, должен стоять на своем, а не вести переговоры с преступниками. Лучший способ действий — сообщить ICO о нарушении и работать с ними, чтобы уменьшить ущерб. Почему? Есть как минимум четыре причины.

  1. Нет никакой гарантии, что хакеры выполнят свою часть сделки и предоставят пострадавшему бизнесу контроль над своими данными.
  2. Плата хакерам побуждает их вернуться и снова вымогать деньги у той же компании.
  3. Уступка киберпреступникам побуждает их продолжать разработку передовых технологий для шантажа еще большего числа компаний по всему миру.
  4. Есть этическая причина сопротивляться киберпреступникам. Люди заслуживают знать, когда к их личным данным был получен незаконный доступ.

Исправление всей ИТ-среды

Лучшая защита от вымогательства GDPR — блокировать доступ хакеров к вашей системе. Киберпреступники всегда ищут предприятия с незащищенными и уязвимыми устройствами, и на то есть веские причины. Даже такие крупные компании, как Equifax, были взломаны из-за неисправленных серверов.

Исправление — это исправление слабых мест системы, которые были обнаружены после того, как аппаратное и программное обеспечение уже было выпущено. Звучит достаточно просто, но процесс пугающий и сложный.

Подумайте обо всех компонентах, которые необходимо исправить. Серверы и маршрутизаторы, операционные системы, приложения, почтовые клиенты, настольные и портативные компьютеры, мобильные устройства, брандмауэры, офисные пакеты и многое другое. И, как согласится любой ИТ-специалист, одни только серверы компании могут превратиться в головную боль при установке исправлений.


Например, в бизнесе обычно используются две или более серверных операционных систем, таких как Linux и Windows. Кроме того, многие компании используют несколько версий этих операционных систем, включая многочисленные дистрибутивы Linux.

Из-за сложности и большого количества компонентов, которые могут открыть окно для киберпреступников, умные компании внедряют процесс управления исправлениями, чтобы отслеживать все это автоматически. Cloud Management Suite, например, позволяет ИТ-менеджерам постоянно обновлять каждое устройство и пакет программного обеспечения, которые использует их компания, независимо от их операционных систем.

Обучайте своих сотрудников

Поскольку многие хакеры получают доступ к огромному количеству личных данных клиентов, просто перехитрив сотрудников, крайне важно обучать их методам киберпреступности. Для сотрудников и руководителей должна быть проведена обязательная «социальная инженерия». Вот несколько важных тем, о которых следует предупредить сотрудников:

  • Классическая социальная инженерия, например, когда кто-то звонит сотруднику, утверждающему, что он из ИТ, и запрашивает пароли или другую конфиденциальную информацию.
  • Возможности социальной инженерии, например, когда киберпреступник бросает USB-накопитель с вредоносным ПО на парковке и ждет, пока сотрудник найдет его и воспользуется им.
  • Фишинг по электронной почте, включающий электронные письма, которые кажутся законными, но на самом деле содержат мошеннические ссылки или вредоносное ПО.

Также полезно информировать сотрудников о GDPR и вымогательстве GDPR. Приведение в соответствие с GDPR (обсуждается далее) может быть трудоемким процессом, поэтому чем больше у вашего персонала знаний о его важности, тем лучше.

Стать совместимым с GDPR

Помимо отказа хакерам в доступе к конфиденциальным данным компании, любой бизнес на рынке ЕС должен соответствовать GDPR. Хотя процесс трудоемкий, он того стоит.

Компании, которые тратят время и усилия на соблюдение требований GDPR, доказывают Европейской комиссии и другим авторитетным органам, что они заботятся о правах на неприкосновенность частной жизни граждан ЕС. Такие усилия, вероятно, сведут к минимуму любые взимаемые сборы или другие последствия утечки данных.

Честным компаниям, стремящимся к соблюдению нормативных требований, легче завоевать свой рынок. Будь то в США или ЕС, потребители ценят честность.

Компании, которые делают все возможное, чтобы соответствовать глобальным нормам и работать прозрачно, быстро получают конкурентное преимущество.

Изображение: Шаттерсток