คำเตือน: “การกรรโชก GDPR” อาจส่งผลเสียต่อธุรกิจของคุณ นี่คือสิ่งที่ควรทำ!
เผยแพร่แล้ว: 2019-01-12อย่างน้อย ผู้นำธุรกิจในสหรัฐฯ ส่วนใหญ่คุ้นเคยกับ GDPR (กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคในสหภาพยุโรป) อย่างน้อยบ้าง แม้ว่าระเบียบข้อบังคับด้านข้อมูลแบบกว้างๆ นี้ได้รับการออกแบบมาเพื่อปกป้องความเป็นส่วนตัวของพลเมืองในสหภาพยุโรป แต่จะส่งผลกระทบต่อธุรกิจในสหรัฐฯ ด้วยเช่นกัน . นอกจากนี้ยังมีแนวโน้มที่จะนำไปสู่อาชญากรรมทางอินเทอร์เน็ตรูปแบบใหม่และมีค่าใช้จ่ายสูง: "การกรรโชก GDPR"
กฎระเบียบด้านข้อมูลของสหภาพยุโรปจะส่งผลกระทบต่อธุรกิจในสหรัฐอเมริกาอย่างไร การกรรโชก GDPR คืออะไร? ธุรกิจสามารถป้องกันตัวเองได้อย่างไร? นี่คือคำถามที่ฉันจะกล่าวถึงในบทความนี้
GDPR โดยสังเขป
ในฐานะที่เป็นข้อบังคับด้านความปลอดภัยของข้อมูลที่ครอบคลุมมากที่สุดในประวัติศาสตร์ (ตามจริงแล้ว 99 บทความที่จัดเป็น 11 บท) GDPR ทำให้เกิดความกังวลทั่วโลก
นั่นเป็นเพราะการเก็บข้อมูลลูกค้าช่วยให้ธุรกิจในทุกอุตสาหกรรมปรับปรุงการตลาด การขาย การบริการลูกค้า และความพยายามอื่นๆ อีกมากมาย ต้องขอบคุณ GDPR บริษัทต่างๆ จึงต้องรวบรวมข้อมูลอย่างระมัดระวังมากขึ้น
GDPR มอบสิ่งที่ไม่มีอยู่ในสหรัฐฯ ให้กับพลเมืองของสหภาพยุโรป นั่นคือ สิทธิ์ในความเป็นส่วนตัวของข้อมูลส่วนบุคคล กฎหมายชุดนี้รวมข้อบังคับประเภทใดบ้าง? แม้ว่า GDPR จะค่อนข้างซับซ้อน แต่นี่เป็นบทสรุปโดยย่อ
สิทธิความเป็นส่วนตัวของข้อมูลของพลเมืองสหภาพยุโรปในขณะนี้มีค่ามากกว่าความสนใจของธุรกิจในการรวบรวมข้อมูล ดังนั้น ภายใต้ GDPR พลเมืองสหภาพยุโรปแต่ละคนมี:
- สิทธิ์ในการเลือกว่าจะอนุญาตให้เก็บรวบรวมข้อมูลหรือไม่
- สิทธิ์ในการดูข้อมูลทั้งหมดที่รวบรวมเกี่ยวกับพวกเขา
- “สิทธิ์ที่จะถูกลืม” หมายความว่า Google และเครื่องมือค้นหาอื่น ๆ จะต้องลบข้อมูลของพวกเขาออกจากรายการเมื่อมีการร้องขอ
- และสุดท้าย – สิทธิ์ที่ทำให้เกิดปรากฏการณ์กรรโชก GDPR ซึ่งเป็นสิทธิ์ที่จะได้รับแจ้งการละเมิดข้อมูลภายใน 72 ชั่วโมง (เช่นการละเมิดที่เกิดจากแฮ็กเกอร์)
GDPR มีผลกระทบต่อธุรกิจในสหรัฐอเมริกาอย่างไร
ก่อนที่จะเจาะลึกว่าการกรรโชกของ GDPR คืออะไร ฉันต้องเน้นว่าเหตุใดธุรกิจในสหรัฐฯ จึงไม่ชัดเจนในที่นี้
หากธุรกิจในสหรัฐฯ ของคุณให้บริการแก่พลเมืองในสหภาพยุโรปหรือรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับพลเมืองในสหภาพยุโรป คุณต้องปฏิบัติตามระเบียบข้อบังคับของ GDPR อุตสาหกรรมในสหรัฐอเมริกาบางส่วนที่มีแนวโน้มว่าจะตกอยู่ภายใต้ GDPR มากที่สุด ได้แก่ การเดินทาง การบริการ SaaS และอีคอมเมิร์ซ อย่างไรก็ตามธุรกิจใด ๆ ของ US-based กับตลาดในสหภาพยุโรปควรให้การเตรียมการที่จะตอบสนองความต้องการ
อะไรคือผลที่ตามมาของการไม่ปฏิบัติตามข้อกำหนดของ GDPR? ค่าปรับอาจสูงถึง 20 ล้านยูโร (22.7 ล้านดอลลาร์) แม้ว่าจะยังไม่ชัดเจนว่าการชำระเงินของสหภาพยุโรปจะถูกบังคับใช้ในสหรัฐอเมริกาอย่างไร
แต่ผลที่ตามมาจากการไม่ปฏิบัติตาม GDPR นั้นขยายออกไปไกลเกินกว่าค่าธรรมเนียมที่ทำให้สุขภาพทรุดโทรม บริษัทที่มีฐานลูกค้าในสหภาพยุโรปขนาดใหญ่อาจเผชิญกับการสูญเสียสถานะที่ดีด้วยตลาดที่มีประชากรมากกว่า 510 ล้านคน
ด้วยการคุกคามของการชำระเงินแปดหลักในมือข้างหนึ่งและความเป็นไปได้ที่จะเสียสละความไว้วางใจของลูกค้าในสหภาพยุโรปในอีกด้านหนึ่ง ธุรกิจในสหรัฐอเมริกาจำนวนมากไม่มีทางเลือกอื่นนอกจากต้องปรับเครื่องมือกรอบการจัดการข้อมูลใหม่เพื่อให้สอดคล้องกับ GDPR
GDPR กรรโชก
ราวกับว่าผลที่ตามมาที่เกี่ยวข้องกับการไม่ปฏิบัติตาม GDPR นั้นไม่น่าเป็นห่วงเพียงพอ ผู้นำธุรกิจในสหภาพยุโรปและสหรัฐอเมริกาก็มีเหตุผลอื่นที่จะนอนไม่หลับ นั่นคือ “การกรรโชก GDPR”
ผู้บริหารที่คลั่งไคล้ในการเตรียมตัวสำหรับ GDPR กำลังสร้างพายุที่สมบูรณ์แบบสำหรับอาชญากรไซเบอร์ หากธุรกิจไม่เป็นไปตามข้อกำหนดของ GDPR และหากอุปกรณ์ของพวกเขาไม่ได้รับการแพตช์และไม่มีการป้องกัน แฮ็กเกอร์สามารถเข้าถึงข้อมูลของธุรกิจและยื่นคำขาดที่เป็นลางไม่ดี: จ่ายเงินตามจำนวนที่ระบุให้แฮ็กเกอร์ไม่เช่นนั้นข้อมูลจะรั่วไหล – สถานการณ์ที่อาจนำไปสู่ค่าปรับที่ทำให้หมดอำนาจ
บริษัทที่ถูกแฮ็กจะมีทางเลือกในตอนนี้ เอาใจอาชญากรหรือแจ้ง ICO (สำนักงานคณะกรรมการข้อมูล) เกี่ยวกับการละเมิดข้อมูลตามข้อกำหนดของ GDPR
อาชญากรไซเบอร์รู้ว่าบริษัทจำนวนมากเลือกที่จะจ่ายเงินให้กับแฮกเกอร์ แทนที่จะต้องเผชิญกับค่าปรับ GDPR ที่มากขึ้น นอกจากนี้ ในความพยายามที่จะหลีกเลี่ยงการโวยวายในที่สาธารณะ ผู้นำธุรกิจมักจะจ่ายเงินให้กับอาชญากรไซเบอร์และพยายามไม่ให้พลเมืองของสหภาพยุโรปตกอยู่ในความมืดเกี่ยวกับการละเมิดข้อมูล
ต่อต้านอาชญากรไซเบอร์
แม้ว่าจะถูกล่อลวงให้จ่ายเงินให้กับแฮ็กเกอร์ ธุรกิจที่ตกเป็นเหยื่อของอาชญากรรมทางอินเทอร์เน็ตควรยืนหยัดในจุดยืนแทนที่จะเจรจากับอาชญากร แนวทางปฏิบัติที่ดีที่สุดคือการแจ้ง ICO เกี่ยวกับการละเมิดและทำงานร่วมกับพวกเขาเพื่อลดความเสียหาย ทำไม? มีเหตุผลอย่างน้อยสี่ประการ
- ไม่มีการรับประกันว่าแฮ็กเกอร์จะดำเนินตามข้อตกลงและให้สิทธิ์ในการควบคุมข้อมูลทางธุรกิจแก่ผู้ที่ตกเป็นเหยื่อ
- การจ่ายเงินให้แฮกเกอร์กระตุ้นให้พวกเขากลับมาและรีดไถบริษัทเดิมอีกครั้ง
- การยอมจำนนต่ออาชญากรไซเบอร์ทำให้พวกเขากล้าที่จะพัฒนาเทคโนโลยีขั้นสูงสำหรับการแบล็กเมล์บริษัทต่างๆ ทั่วโลก
- มีเหตุผลทางจริยธรรมในการต่อต้านอาชญากรไซเบอร์ ผู้คนควรทราบเมื่อข้อมูลส่วนบุคคลของพวกเขาถูกเข้าถึงอย่างผิดกฎหมาย
แก้ไขสภาพแวดล้อมไอทีทั้งหมดของคุณ
การป้องกันที่ดีที่สุดจากการกรรโชก GDPR คือการบล็อกแฮกเกอร์ไม่ให้เข้าสู่ระบบของคุณ อาชญากรไซเบอร์มักจะมองหาธุรกิจที่มีอุปกรณ์ที่ไม่ได้รับการแก้ไขและมีช่องโหว่อยู่เสมอ และด้วยเหตุผลที่ดี แม้แต่บริษัทขนาดใหญ่อย่าง Equifax ก็ถูกละเมิดเนื่องจากเซิร์ฟเวอร์ที่ไม่ได้แพตช์
การแพตช์เป็นการซ่อมแซมจุดอ่อนของระบบที่ถูกเปิดเผยหลังจากฮาร์ดแวร์และซอฟต์แวร์ออกวางจำหน่ายแล้ว ฟังดูง่ายพอสมควร แต่กระบวนการนี้ยากและซับซ้อน
คิดถึงส่วนประกอบทั้งหมดที่ต้องแก้ไข เซิร์ฟเวอร์และเราเตอร์ ระบบปฏิบัติการ แอปพลิเคชัน อีเมลไคลเอ็นต์ เดสก์ท็อปและแล็ปท็อป อุปกรณ์เคลื่อนที่ ไฟร์วอลล์ ชุดสำนักงาน และอื่นๆ และตามที่ผู้เชี่ยวชาญด้านไอทีทุกคนเห็นด้วย แค่เซิร์ฟเวอร์ของบริษัท เพียงอย่างเดียว ก็อาจกลายเป็นเรื่องปวดหัวในการแพตช์ได้