Uyarı: “GDPR Gaspı” İşinize Zarar Verebilir, Yapmanız Gerekenler!

Yayınlanan: 2019-01-12

ABD merkezli iş liderlerinin çoğu, GDPR'ye (AB Genel Veri Koruma Yönetmeliği) en azından biraz aşinadır. Bu geniş veri düzenlemeleri dizisi Avrupa Birliği'ndeki vatandaşların gizliliğini korumak için tasarlanmış olsa da, ABD işletmelerini de önemli ölçüde etkileyecektir. . Ayrıca muhtemelen yeni ve maliyetli bir siber suça yol açacaktır: “GDPR gaspı”.

AB tabanlı veri düzenlemeleri ABD'deki işletmeleri nasıl etkileyecek? GDPR gaspı nedir? İşletmeler kendilerini nasıl koruyabilirler? Bu yazıda ele alacağım sorular bunlar.



Özetle GDPR

Tarihteki en kapsamlı veri güvenliği düzenlemeleri seti olarak (tam olarak 11 bölüm halinde düzenlenmiş 99 makale), GDPR dünya çapında endişeleri ve endişeleri artırıyor.

Bunun nedeni, müşteri verilerini yakalamanın tüm sektörlerdeki işletmelerin pazarlama, satış, müşteri hizmetleri ve diğer birçok çabayı geliştirmesine yardımcı olmasıdır. Artık GDPR sayesinde şirketlerin verileri çok daha dikkatli toplaması gerekiyor.

GDPR, AB vatandaşlarına ABD'de olmayan bir şey verir: kişisel veri gizliliği hakkı. Bu kanunlar dizisine ne tür düzenlemeler dahildir? GDPR oldukça karmaşık hale gelse de, işte kısa bir özet.

Bir AB vatandaşının veri gizliliği hakkı, artık bir işletmenin verilerini toplama konusundaki çıkarlarından daha ağır basmaktadır. Bu nedenle, GDPR kapsamında her AB vatandaşı aşağıdakilere sahiptir:

  • Verilerinin toplanmasına izin verilip verilmeyeceğini seçme hakkı
  • Kendileri hakkında toplanan tüm verileri görme hakkı
  • "Unutulma hakkı", verilerinin istek üzerine Google ve diğer arama motorları tarafından listeden çıkarılması gerektiği anlamına gelir.
  • Ve son olarak – veri ihlallerinden 72 saat içinde haberdar olma hakkı olan GDPR gasp olgusunu doğuran hak (bilgisayar korsanlarından kaynaklanan ihlaller gibi)

GDPR ABD İşletmelerini Nasıl Etkiler?

GDPR gaspının ne olduğuna dalmadan önce, ABD işletmelerinin burada neden net olmadığını vurgulamam gerekiyor.

ABD merkezli işletmeniz AB vatandaşlarına hizmet sunuyorsa veya AB vatandaşları hakkında kişisel veriler topluyorsa GDPR düzenlemelerine uymalısınız. GDPR kapsamına girme olasılığı en yüksek olan ABD sektörlerinden bazıları seyahat, konaklama, SaaS ve e-ticareti içerir. Ancak, AB'de bir pazarı olan ABD merkezli herhangi bir işletme, gereksinimleri karşılamak için hazırlık yapmalıdır.

GDPR gerekliliklerini karşılayamamanın sonuçları nelerdir? Para cezaları 20 milyon € (22.7 milyon $) kadar yüksek olabilir, ancak bu tür AB ödemelerinin ABD'de nasıl uygulanacağı henüz net değil.

Ancak GDPR uyumluluğunun gerisinde kalmanın sonuçları, zayıflatıcı ücretlerin çok ötesine geçer. Geniş bir AB müşteri tabanına sahip şirketler, 510 milyondan fazla kişiden oluşan bir pazarda itibarlarını kaybetmekle karşı karşıya kalabilirler.

Bir yanda sekiz haneli ödeme tehdidi ve diğer yanda AB-müşteri güvenini feda etme olasılığı ile, birçok ABD işletmesinin veri yönetimi çerçevelerini GDPR'ye uyacak şekilde yeniden yapılandırmaktan başka seçeneği yok.

GDPR Gaspı

GDPR'ye uyumsuzlukla ilişkili sarp sonuçlar yeterince endişe verici değilmiş gibi, AB ve ABD'li iş liderlerinin uykularını kaçırmak için başka bir nedeni daha var: “GDPR gaspı”.

GDPR'ye hazırlanmak için çabalayan çılgın yöneticiler, siber suçlular için mükemmel bir fırtına yaratıyor. Bir işletme GDPR uyumlu değilse ve cihazları yama uygulanmamış ve korumasızsa, bir bilgisayar korsanı işletmelerin verilerine erişebilir ve uğursuz bir ültimatom verebilir: Bilgisayar korsanına belirli bir miktar para ödeyin, aksi takdirde veriler sızdırılır – ağır para cezalarına da yol açabilecek bir senaryo.

Saldırıya uğramış bir şirketin bu noktada bir seçeneği olacaktır. GDPR gereklilikleri uyarınca ya suçluyu/suçluları yatıştırın ya da ICO'yu (Bilgi Komisyonu Ofisi) veri ihlali konusunda bilgilendirin.

Siber suçlular, birçok şirketin daha büyük GDPR cezalarıyla yüzleşmek yerine bilgisayar korsanlarına ödeme yapmayı seçeceğini biliyor. Ayrıca, kamuoyunun tepkisini önlemek amacıyla, iş dünyası liderleri genellikle bir siber suçluya ödeme yapacak ve AB vatandaşlarını veri ihlali konusunda karanlıkta tutmaya çalışacak.

Siber Suçlulara Karşı Diren

Bir bilgisayar korsanına ödeme yapma cazibesine rağmen, bir siber suçun kurbanı olan bir işletme, suçlularla pazarlık yapmak yerine ayakta kalmalıdır. Yapılacak en iyi şey, ICO'yu ihlalden haberdar etmek ve hasarı azaltmak için onlarla birlikte çalışmaktır. Niye ya? En az dört neden var.

  1. Bilgisayar korsanlarının anlaşmanın sonuna kadar yaşayacağının ve mağdur olan işletmeye verilerinin kontrolünü vereceğinin garantisi yoktur.
  2. Bilgisayar korsanlarına ödeme yapmak, onları geri dönmeye ve aynı şirketi bir kez daha gasp etmeye teşvik eder.
  3. Siber suçlulara boyun eğmek, onları dünya çapında daha fazla şirkete şantaj yapmak için ileri teknolojiler geliştirmeye teşvik ediyor.
  4. Siber suçlulara direnmek için etik bir neden var. İnsanlar, kişisel verilerine yasa dışı bir şekilde erişildiğini bilmeyi hak ediyor.

Tüm BT Ortamınızı Yamalayın

GDPR gaspına karşı en iyi koruma, bilgisayar korsanlarının sisteminize girmesini engellemektir. Siber suçlular, her zaman yama uygulanmamış ve savunmasız cihazlara sahip işletmeleri ararlar ve bunun iyi bir nedeni vardır. Equifax kadar büyük şirketler bile, yama uygulanmamış sunucular nedeniyle ihlal edildi.

Yama, donanım ve yazılım piyasaya sürüldükten sonra ortaya çıkan sistem zayıflıklarının onarılmasıdır. Yeterince basit geliyor, ancak süreç göz korkutucu ve karmaşık.

Yamalanması gereken tüm bileşenleri düşünün. Sunucular ve yönlendiriciler, işletim sistemleri, uygulamalar, e-posta istemcileri, masaüstü ve dizüstü bilgisayarlar, mobil cihazlar, güvenlik duvarları, ofis paketleri ve daha fazlası. Ve herhangi bir BT uzmanının kabul edeceği gibi, yalnızca bir şirketin sunucuları tek başına bir yama sorununa dönüşebilir.


Örneğin, bir işletmenin Linux ve Windows gibi iki veya daha fazla sunucu işletim sistemi çalıştırması yaygındır. Ayrıca, birçok şirket, çok sayıda Linux dağıtımı da dahil olmak üzere bu işletim sistemlerinin çeşitli sürümlerini çalıştırır.

İlgili karmaşıklık ve siber suçlular için açık pencereler haline gelebilecek çok sayıda bileşen nedeniyle, akıllı şirketler hepsini otomatik olarak takip etmek için bir yama yönetimi süreci uygular. Örneğin Bulut Yönetim Paketi, BT yöneticilerinin, işletim sistemlerinden bağımsız olarak şirketlerinin kullandığı her cihaza ve yazılım paketine sürekli olarak yama yapmalarını sağlar.

Çalışanlarınızı Eğitin

Pek çok bilgisayar korsanı, çalışanları zekasıyla alt ederek çok büyük miktarda kişisel müşteri verisine erişebildiğinden, personelinizi siber suç yöntemleri konusunda eğitmeniz çok önemlidir. Çalışanlar ve yöneticiler için zorunlu bir “sosyal mühendislik” yapılmalıdır. Çalışanları uyarmak için birkaç önemli konu şunlardır:

  • Birinin BT'den olduğunu iddia eden bir çalışanı arayıp parola veya diğer hassas bilgileri istemesi gibi klasik sosyal mühendislik
  • Sosyal mühendislik fırsatı, örneğin bir siber suçlunun kötü amaçlı yazılım yüklü bir USB'yi park yerine bırakıp bir çalışanın onu bulmasını ve kullanmasını beklemesi gibi
  • Meşru görünen ancak aslında sahte bağlantılar veya kötü amaçlı yazılımlar içeren e-postaları içeren e- posta kimlik avı

Çalışanları GDPR ve GDPR gaspı konusunda eğitmek de yararlıdır. GDPR uyumlu hale gelmek (sırada ele alınacaktır) zahmetli bir süreç olabilir, bu nedenle personeliniz bunun önemi hakkında ne kadar fazla bilgiye sahip olursa o kadar iyi olur.

GDPR Uyumlu Olun

Bilgisayar korsanlarının bir şirketin hassas verilerine erişimini engellemenin yanı sıra, AB pazarına sahip tüm işletmeler GDPR uyumlu hale gelmelidir. Süreç emek yoğun olsa da, buna değer.

GDPR gerekliliklerini yerine getirmek için zaman ve emek harcayan işletmeler, AB vatandaşlarının mahremiyet haklarını önemsediklerini Avrupa Komisyonu'na ve diğer yetkili kuruluşlara kanıtlamaktadır. Bu tür çabaların, bir veri ihlalinin dayatılan ücretleri veya diğer sonuçlarını en aza indirmesi muhtemeldir.

Uyumluluk için çalışan dürüst şirketler, pazarlarını kazanmayı daha kolay buluyor. ABD'de veya AB'de tüketiciler dürüstlüğe değer verir.

Küresel düzenlemelere uymak için elinden gelen her şeyi yapan ve şeffaf bir şekilde faaliyet gösteren işletmeler, rekabet avantajı elde etmek için hızlıdır.

Resim: Shutterstock