Uyarı: “GDPR Gaspı” İşinize Zarar Verebilir, Yapmanız Gerekenler!
Yayınlanan: 2019-01-12ABD merkezli iş liderlerinin çoğu, GDPR'ye (AB Genel Veri Koruma Yönetmeliği) en azından biraz aşinadır. Bu geniş veri düzenlemeleri dizisi Avrupa Birliği'ndeki vatandaşların gizliliğini korumak için tasarlanmış olsa da, ABD işletmelerini de önemli ölçüde etkileyecektir. . Ayrıca muhtemelen yeni ve maliyetli bir siber suça yol açacaktır: “GDPR gaspı”.
AB tabanlı veri düzenlemeleri ABD'deki işletmeleri nasıl etkileyecek? GDPR gaspı nedir? İşletmeler kendilerini nasıl koruyabilirler? Bu yazıda ele alacağım sorular bunlar.
Özetle GDPR
Tarihteki en kapsamlı veri güvenliği düzenlemeleri seti olarak (tam olarak 11 bölüm halinde düzenlenmiş 99 makale), GDPR dünya çapında endişeleri ve endişeleri artırıyor.
Bunun nedeni, müşteri verilerini yakalamanın tüm sektörlerdeki işletmelerin pazarlama, satış, müşteri hizmetleri ve diğer birçok çabayı geliştirmesine yardımcı olmasıdır. Artık GDPR sayesinde şirketlerin verileri çok daha dikkatli toplaması gerekiyor.
GDPR, AB vatandaşlarına ABD'de olmayan bir şey verir: kişisel veri gizliliği hakkı. Bu kanunlar dizisine ne tür düzenlemeler dahildir? GDPR oldukça karmaşık hale gelse de, işte kısa bir özet.
Bir AB vatandaşının veri gizliliği hakkı, artık bir işletmenin verilerini toplama konusundaki çıkarlarından daha ağır basmaktadır. Bu nedenle, GDPR kapsamında her AB vatandaşı aşağıdakilere sahiptir:
- Verilerinin toplanmasına izin verilip verilmeyeceğini seçme hakkı
- Kendileri hakkında toplanan tüm verileri görme hakkı
- "Unutulma hakkı", verilerinin istek üzerine Google ve diğer arama motorları tarafından listeden çıkarılması gerektiği anlamına gelir.
- Ve son olarak – veri ihlallerinden 72 saat içinde haberdar olma hakkı olan GDPR gasp olgusunu doğuran hak (bilgisayar korsanlarından kaynaklanan ihlaller gibi)
GDPR ABD İşletmelerini Nasıl Etkiler?
GDPR gaspının ne olduğuna dalmadan önce, ABD işletmelerinin burada neden net olmadığını vurgulamam gerekiyor.
ABD merkezli işletmeniz AB vatandaşlarına hizmet sunuyorsa veya AB vatandaşları hakkında kişisel veriler topluyorsa GDPR düzenlemelerine uymalısınız. GDPR kapsamına girme olasılığı en yüksek olan ABD sektörlerinden bazıları seyahat, konaklama, SaaS ve e-ticareti içerir. Ancak, AB'de bir pazarı olan ABD merkezli herhangi bir işletme, gereksinimleri karşılamak için hazırlık yapmalıdır.
GDPR gerekliliklerini karşılayamamanın sonuçları nelerdir? Para cezaları 20 milyon € (22.7 milyon $) kadar yüksek olabilir, ancak bu tür AB ödemelerinin ABD'de nasıl uygulanacağı henüz net değil.
Ancak GDPR uyumluluğunun gerisinde kalmanın sonuçları, zayıflatıcı ücretlerin çok ötesine geçer. Geniş bir AB müşteri tabanına sahip şirketler, 510 milyondan fazla kişiden oluşan bir pazarda itibarlarını kaybetmekle karşı karşıya kalabilirler.
Bir yanda sekiz haneli ödeme tehdidi ve diğer yanda AB-müşteri güvenini feda etme olasılığı ile, birçok ABD işletmesinin veri yönetimi çerçevelerini GDPR'ye uyacak şekilde yeniden yapılandırmaktan başka seçeneği yok.
GDPR Gaspı
GDPR'ye uyumsuzlukla ilişkili sarp sonuçlar yeterince endişe verici değilmiş gibi, AB ve ABD'li iş liderlerinin uykularını kaçırmak için başka bir nedeni daha var: “GDPR gaspı”.
GDPR'ye hazırlanmak için çabalayan çılgın yöneticiler, siber suçlular için mükemmel bir fırtına yaratıyor. Bir işletme GDPR uyumlu değilse ve cihazları yama uygulanmamış ve korumasızsa, bir bilgisayar korsanı işletmelerin verilerine erişebilir ve uğursuz bir ültimatom verebilir: Bilgisayar korsanına belirli bir miktar para ödeyin, aksi takdirde veriler sızdırılır – ağır para cezalarına da yol açabilecek bir senaryo.
Saldırıya uğramış bir şirketin bu noktada bir seçeneği olacaktır. GDPR gereklilikleri uyarınca ya suçluyu/suçluları yatıştırın ya da ICO'yu (Bilgi Komisyonu Ofisi) veri ihlali konusunda bilgilendirin.
Siber suçlular, birçok şirketin daha büyük GDPR cezalarıyla yüzleşmek yerine bilgisayar korsanlarına ödeme yapmayı seçeceğini biliyor. Ayrıca, kamuoyunun tepkisini önlemek amacıyla, iş dünyası liderleri genellikle bir siber suçluya ödeme yapacak ve AB vatandaşlarını veri ihlali konusunda karanlıkta tutmaya çalışacak.
Siber Suçlulara Karşı Diren
Bir bilgisayar korsanına ödeme yapma cazibesine rağmen, bir siber suçun kurbanı olan bir işletme, suçlularla pazarlık yapmak yerine ayakta kalmalıdır. Yapılacak en iyi şey, ICO'yu ihlalden haberdar etmek ve hasarı azaltmak için onlarla birlikte çalışmaktır. Niye ya? En az dört neden var.
- Bilgisayar korsanlarının anlaşmanın sonuna kadar yaşayacağının ve mağdur olan işletmeye verilerinin kontrolünü vereceğinin garantisi yoktur.
- Bilgisayar korsanlarına ödeme yapmak, onları geri dönmeye ve aynı şirketi bir kez daha gasp etmeye teşvik eder.
- Siber suçlulara boyun eğmek, onları dünya çapında daha fazla şirkete şantaj yapmak için ileri teknolojiler geliştirmeye teşvik ediyor.
- Siber suçlulara direnmek için etik bir neden var. İnsanlar, kişisel verilerine yasa dışı bir şekilde erişildiğini bilmeyi hak ediyor.
Tüm BT Ortamınızı Yamalayın
GDPR gaspına karşı en iyi koruma, bilgisayar korsanlarının sisteminize girmesini engellemektir. Siber suçlular, her zaman yama uygulanmamış ve savunmasız cihazlara sahip işletmeleri ararlar ve bunun iyi bir nedeni vardır. Equifax kadar büyük şirketler bile, yama uygulanmamış sunucular nedeniyle ihlal edildi.
Yama, donanım ve yazılım piyasaya sürüldükten sonra ortaya çıkan sistem zayıflıklarının onarılmasıdır. Yeterince basit geliyor, ancak süreç göz korkutucu ve karmaşık.
Yamalanması gereken tüm bileşenleri düşünün. Sunucular ve yönlendiriciler, işletim sistemleri, uygulamalar, e-posta istemcileri, masaüstü ve dizüstü bilgisayarlar, mobil cihazlar, güvenlik duvarları, ofis paketleri ve daha fazlası. Ve herhangi bir BT uzmanının kabul edeceği gibi, yalnızca bir şirketin sunucuları tek başına bir yama sorununa dönüşebilir.