คำเตือน: “การกรรโชก GDPR” อาจส่งผลเสียต่อธุรกิจของคุณ นี่คือสิ่งที่ควรทำ!

เผยแพร่แล้ว: 2019-01-12

อย่างน้อย ผู้นำธุรกิจในสหรัฐฯ ส่วนใหญ่คุ้นเคยกับ GDPR (กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคในสหภาพยุโรป) อย่างน้อยบ้าง แม้ว่าระเบียบข้อบังคับด้านข้อมูลแบบกว้างๆ นี้ได้รับการออกแบบมาเพื่อปกป้องความเป็นส่วนตัวของพลเมืองในสหภาพยุโรป แต่จะส่งผลกระทบต่อธุรกิจในสหรัฐฯ ด้วยเช่นกัน . นอกจากนี้ยังมีแนวโน้มที่จะนำไปสู่อาชญากรรมทางอินเทอร์เน็ตรูปแบบใหม่และมีค่าใช้จ่ายสูง: "การกรรโชก GDPR"

กฎระเบียบด้านข้อมูลของสหภาพยุโรปจะส่งผลกระทบต่อธุรกิจในสหรัฐอเมริกาอย่างไร การกรรโชก GDPR คืออะไร? ธุรกิจสามารถป้องกันตัวเองได้อย่างไร? นี่คือคำถามที่ฉันจะกล่าวถึงในบทความนี้



GDPR โดยสังเขป

ในฐานะที่เป็นข้อบังคับด้านความปลอดภัยของข้อมูลที่ครอบคลุมมากที่สุดในประวัติศาสตร์ (ตามจริงแล้ว 99 บทความที่จัดเป็น 11 บท) GDPR ทำให้เกิดความกังวลทั่วโลก

นั่นเป็นเพราะการเก็บข้อมูลลูกค้าช่วยให้ธุรกิจในทุกอุตสาหกรรมปรับปรุงการตลาด การขาย การบริการลูกค้า และความพยายามอื่นๆ อีกมากมาย ต้องขอบคุณ GDPR บริษัทต่างๆ จึงต้องรวบรวมข้อมูลอย่างระมัดระวังมากขึ้น

GDPR มอบสิ่งที่ไม่มีอยู่ในสหรัฐฯ ให้กับพลเมืองของสหภาพยุโรป นั่นคือ สิทธิ์ในความเป็นส่วนตัวของข้อมูลส่วนบุคคล กฎหมายชุดนี้รวมข้อบังคับประเภทใดบ้าง? แม้ว่า GDPR จะค่อนข้างซับซ้อน แต่นี่เป็นบทสรุปโดยย่อ

สิทธิความเป็นส่วนตัวของข้อมูลของพลเมืองสหภาพยุโรปในขณะนี้มีค่ามากกว่าความสนใจของธุรกิจในการรวบรวมข้อมูล ดังนั้น ภายใต้ GDPR พลเมืองสหภาพยุโรปแต่ละคนมี:

  • สิทธิ์ในการเลือกว่าจะอนุญาตให้เก็บรวบรวมข้อมูลหรือไม่
  • สิทธิ์ในการดูข้อมูลทั้งหมดที่รวบรวมเกี่ยวกับพวกเขา
  • “สิทธิ์ที่จะถูกลืม” หมายความว่า Google และเครื่องมือค้นหาอื่น ๆ จะต้องลบข้อมูลของพวกเขาออกจากรายการเมื่อมีการร้องขอ
  • และสุดท้าย – สิทธิ์ที่ทำให้เกิดปรากฏการณ์กรรโชก GDPR ซึ่งเป็นสิทธิ์ที่จะได้รับแจ้งการละเมิดข้อมูลภายใน 72 ชั่วโมง (เช่นการละเมิดที่เกิดจากแฮ็กเกอร์)

GDPR มีผลกระทบต่อธุรกิจในสหรัฐอเมริกาอย่างไร

ก่อนที่จะเจาะลึกว่าการกรรโชกของ GDPR คืออะไร ฉันต้องเน้นว่าเหตุใดธุรกิจในสหรัฐฯ จึงไม่ชัดเจนในที่นี้

หากธุรกิจในสหรัฐฯ ของคุณให้บริการแก่พลเมืองในสหภาพยุโรปหรือรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับพลเมืองในสหภาพยุโรป คุณต้องปฏิบัติตามระเบียบข้อบังคับของ GDPR อุตสาหกรรมในสหรัฐอเมริกาบางส่วนที่มีแนวโน้มว่าจะตกอยู่ภายใต้ GDPR มากที่สุด ได้แก่ การเดินทาง การบริการ SaaS และอีคอมเมิร์ซ อย่างไรก็ตามธุรกิจใด ๆ ของ US-based กับตลาดในสหภาพยุโรปควรให้การเตรียมการที่จะตอบสนองความต้องการ

อะไรคือผลที่ตามมาของการไม่ปฏิบัติตามข้อกำหนดของ GDPR? ค่าปรับอาจสูงถึง 20 ล้านยูโร (22.7 ล้านดอลลาร์) แม้ว่าจะยังไม่ชัดเจนว่าการชำระเงินของสหภาพยุโรปจะถูกบังคับใช้ในสหรัฐอเมริกาอย่างไร

แต่ผลที่ตามมาจากการไม่ปฏิบัติตาม GDPR นั้นขยายออกไปไกลเกินกว่าค่าธรรมเนียมที่ทำให้สุขภาพทรุดโทรม บริษัทที่มีฐานลูกค้าในสหภาพยุโรปขนาดใหญ่อาจเผชิญกับการสูญเสียสถานะที่ดีด้วยตลาดที่มีประชากรมากกว่า 510 ล้านคน

ด้วยการคุกคามของการชำระเงินแปดหลักในมือข้างหนึ่งและความเป็นไปได้ที่จะเสียสละความไว้วางใจของลูกค้าในสหภาพยุโรปในอีกด้านหนึ่ง ธุรกิจในสหรัฐอเมริกาจำนวนมากไม่มีทางเลือกอื่นนอกจากต้องปรับเครื่องมือกรอบการจัดการข้อมูลใหม่เพื่อให้สอดคล้องกับ GDPR

GDPR กรรโชก

ราวกับว่าผลที่ตามมาที่เกี่ยวข้องกับการไม่ปฏิบัติตาม GDPR นั้นไม่น่าเป็นห่วงเพียงพอ ผู้นำธุรกิจในสหภาพยุโรปและสหรัฐอเมริกาก็มีเหตุผลอื่นที่จะนอนไม่หลับ นั่นคือ “การกรรโชก GDPR”

ผู้บริหารที่คลั่งไคล้ในการเตรียมตัวสำหรับ GDPR กำลังสร้างพายุที่สมบูรณ์แบบสำหรับอาชญากรไซเบอร์ หากธุรกิจไม่เป็นไปตามข้อกำหนดของ GDPR และหากอุปกรณ์ของพวกเขาไม่ได้รับการแพตช์และไม่มีการป้องกัน แฮ็กเกอร์สามารถเข้าถึงข้อมูลของธุรกิจและยื่นคำขาดที่เป็นลางไม่ดี: จ่ายเงินตามจำนวนที่ระบุให้แฮ็กเกอร์ไม่เช่นนั้นข้อมูลจะรั่วไหล – สถานการณ์ที่อาจนำไปสู่ค่าปรับที่ทำให้หมดอำนาจ

บริษัทที่ถูกแฮ็กจะมีทางเลือกในตอนนี้ เอาใจอาชญากรหรือแจ้ง ICO (สำนักงานคณะกรรมการข้อมูล) เกี่ยวกับการละเมิดข้อมูลตามข้อกำหนดของ GDPR

อาชญากรไซเบอร์รู้ว่าบริษัทจำนวนมากเลือกที่จะจ่ายเงินให้กับแฮกเกอร์ แทนที่จะต้องเผชิญกับค่าปรับ GDPR ที่มากขึ้น นอกจากนี้ ในความพยายามที่จะหลีกเลี่ยงการโวยวายในที่สาธารณะ ผู้นำธุรกิจมักจะจ่ายเงินให้กับอาชญากรไซเบอร์และพยายามไม่ให้พลเมืองของสหภาพยุโรปตกอยู่ในความมืดเกี่ยวกับการละเมิดข้อมูล

ต่อต้านอาชญากรไซเบอร์

แม้ว่าจะถูกล่อลวงให้จ่ายเงินให้กับแฮ็กเกอร์ ธุรกิจที่ตกเป็นเหยื่อของอาชญากรรมทางอินเทอร์เน็ตควรยืนหยัดในจุดยืนแทนที่จะเจรจากับอาชญากร แนวทางปฏิบัติที่ดีที่สุดคือการแจ้ง ICO เกี่ยวกับการละเมิดและทำงานร่วมกับพวกเขาเพื่อลดความเสียหาย ทำไม? มีเหตุผลอย่างน้อยสี่ประการ

  1. ไม่มีการรับประกันว่าแฮ็กเกอร์จะดำเนินตามข้อตกลงและให้สิทธิ์ในการควบคุมข้อมูลทางธุรกิจแก่ผู้ที่ตกเป็นเหยื่อ
  2. การจ่ายเงินให้แฮกเกอร์กระตุ้นให้พวกเขากลับมาและรีดไถบริษัทเดิมอีกครั้ง
  3. การยอมจำนนต่ออาชญากรไซเบอร์ทำให้พวกเขากล้าที่จะพัฒนาเทคโนโลยีขั้นสูงสำหรับการแบล็กเมล์บริษัทต่างๆ ทั่วโลก
  4. มีเหตุผลทางจริยธรรมในการต่อต้านอาชญากรไซเบอร์ ผู้คนควรทราบเมื่อข้อมูลส่วนบุคคลของพวกเขาถูกเข้าถึงอย่างผิดกฎหมาย

แก้ไขสภาพแวดล้อมไอทีทั้งหมดของคุณ

การป้องกันที่ดีที่สุดจากการกรรโชก GDPR คือการบล็อกแฮกเกอร์ไม่ให้เข้าสู่ระบบของคุณ อาชญากรไซเบอร์มักจะมองหาธุรกิจที่มีอุปกรณ์ที่ไม่ได้รับการแก้ไขและมีช่องโหว่อยู่เสมอ และด้วยเหตุผลที่ดี แม้แต่บริษัทขนาดใหญ่อย่าง Equifax ก็ถูกละเมิดเนื่องจากเซิร์ฟเวอร์ที่ไม่ได้แพตช์

การแพตช์เป็นการซ่อมแซมจุดอ่อนของระบบที่ถูกเปิดเผยหลังจากฮาร์ดแวร์และซอฟต์แวร์ออกวางจำหน่ายแล้ว ฟังดูง่ายพอสมควร แต่กระบวนการนี้ยากและซับซ้อน

คิดถึงส่วนประกอบทั้งหมดที่ต้องแก้ไข เซิร์ฟเวอร์และเราเตอร์ ระบบปฏิบัติการ แอปพลิเคชัน อีเมลไคลเอ็นต์ เดสก์ท็อปและแล็ปท็อป อุปกรณ์เคลื่อนที่ ไฟร์วอลล์ ชุดสำนักงาน และอื่นๆ และตามที่ผู้เชี่ยวชาญด้านไอทีทุกคนเห็นด้วย แค่เซิร์ฟเวอร์ของบริษัท เพียงอย่างเดียว ก็อาจกลายเป็นเรื่องปวดหัวในการแพตช์ได้


ตัวอย่างเช่น เป็นเรื่องปกติที่ธุรกิจจะใช้ระบบปฏิบัติการเซิร์ฟเวอร์ตั้งแต่สองระบบขึ้นไป เช่น Linux และ Windows นอกจากนี้ หลายบริษัทยังใช้ระบบปฏิบัติการเหล่านี้หลาย เวอร์ชัน รวมถึง Linux distros จำนวนมาก

เนื่องจากความซับซ้อนที่เกี่ยวข้อง และด้วยองค์ประกอบจำนวนมากที่อาจกลายเป็นหน้าต่างเปิดสำหรับอาชญากรไซเบอร์ บริษัทที่ชาญฉลาดจึงใช้กระบวนการจัดการแพตช์เพื่อติดตามทั้งหมดโดยอัตโนมัติ ตัวอย่างเช่น Cloud Management Suite ช่วยให้ผู้จัดการฝ่ายไอทีสามารถแพตช์อุปกรณ์และซอฟต์แวร์ทุกแพ็คเกจที่บริษัทใช้อย่างต่อเนื่องโดยไม่คำนึงถึงระบบปฏิบัติการ

ให้ความรู้แก่พนักงานของคุณ

เนื่องจากแฮ็กเกอร์จำนวนมากสามารถเข้าถึงข้อมูลส่วนตัวของลูกค้าจำนวนมหาศาลได้เพียงแค่ใช้เล่ห์เหลี่ยมกับพนักงาน การให้ความรู้พนักงานของคุณเกี่ยวกับวิธีการทำอาชญากรไซเบอร์จึงเป็นสิ่งสำคัญ ควรมีการจัด "วิศวกรรมสังคม" บังคับสำหรับพนักงานและผู้บริหาร หัวข้อสำคัญสองสามข้อที่จะเตือนพนักงานเกี่ยวกับรวมถึง:

  • วิศวกรรมสังคมแบบคลาสสิก เช่น เมื่อมีคนโทรหาพนักงานที่อ้างว่าเป็นไอทีและขอรหัสผ่านหรือข้อมูลที่ละเอียดอ่อนอื่นๆ
  • โอกาสของวิศวกรรมสังคม เช่นเมื่ออาชญากรไซเบอร์วาง USB ที่โหลดมัลแวร์ไว้ในที่จอดรถและรอให้พนักงานค้นหาและใช้งาน
  • อีเมลฟิชชิ่ง เกี่ยวข้องกับอีเมลที่ดูเหมือนถูกต้องแต่จริงๆ แล้วมีลิงก์หรือมัลแวร์ที่หลอกลวง

การให้ความรู้พนักงานเกี่ยวกับ GDPR และการกรรโชกของ GDPR ยังเป็นประโยชน์อีกด้วย การปฏิบัติตามข้อกำหนดของ GDPR (จะกล่าวถึงในครั้งต่อไป) อาจเป็นกระบวนการที่ลำบาก ดังนั้นยิ่งพนักงานของคุณมีความรู้เกี่ยวกับความสำคัญของมันมากเท่าไร ก็ยิ่งดีเท่านั้น

ปฏิบัติตาม GDPR

นอกจากการปฏิเสธไม่ให้แฮ็กเกอร์เข้าถึงข้อมูลที่ละเอียดอ่อนของบริษัทแล้ว ธุรกิจใดๆ ที่มีตลาดในสหภาพยุโรปควรปฏิบัติตาม GDPR แม้ว่ากระบวนการจะใช้แรงงานมาก แต่ก็คุ้มค่า

ธุรกิจที่ใช้เวลาและความพยายามในการปฏิบัติตามข้อกำหนดของ GDPR ได้พิสูจน์ต่อคณะกรรมาธิการยุโรปและหน่วยงานที่มีอำนาจอื่นๆ ว่าพวกเขาใส่ใจเกี่ยวกับสิทธิ์ความเป็นส่วนตัวของพลเมืองสหภาพยุโรป ความพยายามดังกล่าวมีแนวโน้มที่จะลดค่าธรรมเนียมที่เรียกเก็บหรือผลที่ตามมาอื่น ๆ ของการละเมิดข้อมูล

บริษัทที่ซื่อสัตย์ที่ทำงานเพื่อการปฏิบัติตามกฎระเบียบจะชนะตลาดได้ง่ายกว่า ไม่ว่าในสหรัฐอเมริกาหรือสหภาพยุโรป ผู้บริโภคให้ความสำคัญกับความซื่อสัตย์

ธุรกิจที่ทำทุกอย่างตามอำนาจของตนเพื่อให้เป็นไปตามกฎระเบียบระดับโลกและดำเนินการอย่างโปร่งใส จะได้รับความได้เปรียบในการแข่งขันอย่างรวดเร็ว

ภาพ: Shutterstock