Предупреждение: «Вымогательство GDPR» может повредить вашему бизнесу, что делать!
Опубликовано: 2019-01-12Большинство бизнес-лидеров в США, по крайней мере, в некоторой степени знакомы с GDPR (Общий регламент ЕС по защите данных). Хотя этот широкий набор правил в отношении данных предназначен для защиты конфиденциальности граждан в Европейском Союзе, он также существенно повлияет на бизнес в США. . Это также, вероятно, приведет к новому и дорогостоящему киберпреступлению: «вымогательству GDPR».
Как правила ЕС в отношении данных повлияют на бизнес в США? Что такое вымогательство GDPR? Как бизнесу защитить себя? Именно на эти вопросы я рассмотрю эту статью.
GDPR в двух словах
Как самый полный набор правил безопасности данных в истории (99 статей, организованных в 11 глав, если быть точным), GDPR вызывает недоумение и тревогу во всем мире.
Это связано с тем, что сбор данных о клиентах помогает компаниям во всех отраслях улучшить маркетинг, продажи, обслуживание клиентов и многое другое. Теперь, благодаря GDPR, компаниям приходится гораздо тщательнее собирать данные.
GDPR дает гражданам ЕС то, чего нет в США: право на конфиденциальность личных данных. Какие виды нормативных актов включены в этот свод законов? Хотя GDPR становится довольно сложным, вот краткое изложение.
Право гражданина ЕС на конфиденциальность данных теперь перевешивает интерес бизнеса к сбору своих данных. Таким образом, в соответствии с GDPR каждый гражданин ЕС имеет:
- Право выбирать, разрешать или нет собирать свои данные
- Право видеть все данные, которые были собраны о них
- «Право быть забытым», что означает, что их данные должны быть удалены из списка Google и другими поисковыми системами по запросу.
- И, наконец, право, породившее явление вымогательства GDPR, которое заключается в праве на получение информации об утечках данных в течение 72 часов (например, об утечках, совершенных хакерами).
Как GDPR влияет на бизнес в США?
Прежде чем углубиться в то, что такое вымогательство GDPR, я должен подчеркнуть, почему американские компании здесь не в ясности.
Если ваш бизнес в США предлагает услуги гражданам ЕС или собирает личные данные о гражданах ЕС, вы должны соблюдать правила GDPR. Некоторые из отраслей США, которые, скорее всего, подпадут под GDPR, включают путешествия, гостиничный бизнес, SaaS и электронную коммерцию. Тем не менее, любой бизнес в США с рынком в ЕС должен подготовиться к выполнению требований.
Каковы последствия несоблюдения требований GDPR? Штрафы могут достигать 20 миллионов евро (22,7 миллиона долларов), хотя пока неясно, как такие платежи ЕС будут применяться в США.
Но последствия несоблюдения GDPR выходят далеко за рамки изнурительных сборов. Компании с большой клиентской базой в ЕС также могут потерять свою репутацию на рынке, насчитывающем более 510 миллионов человек.
С угрозой восьмизначных платежей, с одной стороны, и возможностью пожертвовать доверием клиентов из ЕС, с другой, у многих американских компаний нет другого выбора, кроме как перенастроить свою систему управления данными, чтобы она соответствовала GDPR.
Вымогательство GDPR
Как будто крутые последствия, связанные с несоблюдением GDPR, недостаточно тревожны, у бизнес-лидеров ЕС и США есть еще одна причина потерять сон: «вымогательство GDPR».
Безумный порыв руководителей, которые изо всех сил пытаются подготовиться к GDPR, создает идеальный шторм для киберпреступников. Если бизнес не соответствует требованиям GDPR, а его устройства не исправлены и не защищены, хакер может получить доступ к данным бизнеса и выдвинуть зловещий ультиматум: либо заплатите хакеру определенную сумму денег, либо данные будут просочены. сценарий, который также приведет к огромным штрафам.
В этот момент у взломанной компании будет выбор. Либо умиротворите преступника (преступников), либо сообщите ICO (Управление комиссара по информации) об утечке данных в соответствии с требованиями GDPR.
Киберпреступники знают, что многие компании предпочтут заплатить хакерам, а не столкнуться с еще большими штрафами GDPR. Кроме того, в попытке избежать общественного протеста лидеры бизнеса часто платят киберпреступникам и пытаются держать граждан ЕС в неведении относительно утечки данных.
Противостоять киберпреступникам
Несмотря на искушение заплатить хакеру, бизнес, ставший жертвой киберпреступления, должен стоять на своем, а не вести переговоры с преступниками. Лучший способ действий — сообщить ICO о нарушении и работать с ними, чтобы уменьшить ущерб. Почему? Есть как минимум четыре причины.
- Нет никакой гарантии, что хакеры выполнят свою часть сделки и предоставят пострадавшему бизнесу контроль над своими данными.
- Плата хакерам побуждает их вернуться и снова вымогать деньги у той же компании.
- Уступка киберпреступникам побуждает их продолжать разработку передовых технологий для шантажа еще большего числа компаний по всему миру.
- Есть этическая причина сопротивляться киберпреступникам. Люди заслуживают знать, когда к их личным данным был получен незаконный доступ.
Исправление всей ИТ-среды
Лучшая защита от вымогательства GDPR — блокировать доступ хакеров к вашей системе. Киберпреступники всегда ищут предприятия с незащищенными и уязвимыми устройствами, и на то есть веские причины. Даже такие крупные компании, как Equifax, были взломаны из-за неисправленных серверов.
Исправление — это исправление слабых мест системы, которые были обнаружены после того, как аппаратное и программное обеспечение уже было выпущено. Звучит достаточно просто, но процесс пугающий и сложный.
Подумайте обо всех компонентах, которые необходимо исправить. Серверы и маршрутизаторы, операционные системы, приложения, почтовые клиенты, настольные и портативные компьютеры, мобильные устройства, брандмауэры, офисные пакеты и многое другое. И, как согласится любой ИТ-специалист, одни только серверы компании могут превратиться в головную боль при установке исправлений.