警告:“GDPR 勒索”可能会损害您的业务,这是该怎么做!

已发表: 2019-01-12

大多数美国商业领袖至少对 GDPR(欧盟通用数据保护条例)有所了解。尽管这套广泛的数据条例旨在保护欧盟公民的隐私,但它也会对美国企业产生重大影响. 它还可能导致一种新的、代价高昂的网络犯罪:“GDPR 勒索”。

基于欧盟的数据法规将如何影响美国的企业? 什么是 GDPR 勒索? 企业如何保护自己? 这些是我将在本文中解决的问题。



GDPR 简而言之

作为历史上最全面的数据安全法规(准确地说,99 篇文章分为 11 章),GDPR 正在引起全世界的关注和焦虑。

这是因为捕获客户数据有助于各行各业的企业改进营销、销售、客户服务和许多其他工作。 现在,由于 GDPR,公司必须更加仔细地收集数据。

GDPR 为欧盟公民提供了美国不存在的东西:个人数据隐私权。 这套法律包括哪些类型的法规? 尽管 GDPR 变得相当复杂,但这里有一个简短的概述。

欧盟公民的数据隐私权现在超过了企业收集数据的兴趣。 因此,根据 GDPR,每个欧盟公民都有:

  • 选择是否允许收集其数据的权利
  • 查看已收集的有关他们的所有数据的权利
  • “被遗忘的权利”,意味着他们的数据必须根据要求被谷歌和其他搜索引擎删除
  • 最后——催生了 GDPR 勒索现象的权利,即在 72 小时内被告知数据泄露的权利(例如黑客造成的泄露)

GDPR 如何影响美国企业?

在深入探讨 GDPR 勒索是什么之前,我必须强调为什么美国企业在这里不清楚。

如果您的美国企业向欧盟公民提供服务或收集有关欧盟公民的个人数据,您必须遵守 GDPR 法规。 一些最有可能受 GDPR 约束的美国行业包括旅游、酒店、SaaS 和电子商务。 但是,任何在欧盟拥有市场的美国企业都应做好准备以满足要求。

未能满足 GDPR 要求的后果是什么? 罚款可能高达 2000 万欧元(2270 万美元),但目前尚不清楚此类欧盟付款将如何在美国执行。

但是,未能遵守 GDPR 的后果远远超出了削弱费用的范围。 拥有庞大欧盟客户群的公司也可能面临失去其拥有超过 5.1 亿市场的良好信誉。

一方面面临八位数支付的威胁,另一方面可能会牺牲欧盟客户的信任,许多美国企业别无选择,只能重新调整其数据管理框架以遵守 GDPR。

GDPR 勒索

似乎与 GDPR 不合规相关的严重后果还不够令人担忧,欧盟和美国的商界领袖还有另一个失眠的理由:“GDPR 敲诈”。

急于为 GDPR 做准备的疯狂高管正在为网络犯罪分子制造一场完美风暴。 如果企业不符合 GDPR,并且他们的设备未打补丁且未受到保护,黑客就可以访问企业的数据并发出不祥的最后通牒:要么向黑客支付指定金额,否则数据将被泄露——这种情况也会导致严重的罚款。

一家被黑的公司此时将有一个选择。 根据 GDPR 要求,安抚犯罪分子或将数据泄露通知 ICO(信息专员办公室)。

网络犯罪分子知道,许多公司会选择向黑客付款,而不是面临更大的 GDPR 罚款。 此外,为了避免公众的强烈抗议,商界领袖通常会向网络犯罪分子支付费用,并试图让欧盟公民对数据泄露一无所知。

抵制网络犯罪分子

尽管有向黑客付款的诱惑,但成为网络犯罪受害者的企业应该坚持自己的立场,而不是与犯罪分子谈判。 最好的做法是通知 ICO 违规行为并与他们合作以减轻损失。 为什么? 至少有四个原因。

  1. 无法保证黑客会遵守协议的规定,并让受害企业控制他们的数据。
  2. 向黑客付款会鼓励他们再次回来敲诈同一家公司。
  3. 向网络犯罪分子屈服让他们更有勇气继续开发先进技术,以勒索世界各地更多的公司。
  4. 抵制网络犯罪分子是有道德理由的。 人们应该知道他们的个人数据何时被非法访问。

修补整个 IT 环境

对 GDPR 勒索的最佳保护是阻止黑客进入您的系统。 网络犯罪分子一直在寻找具有未修补和易受攻击设备的企业,这是有充分理由的。 甚至像 Equifax 这样大的公司也因服务器未打补丁而遭到入侵。

修补是对硬件和软件已经发布后发现的系统弱点的修复。 听起来很简单,但过程却是艰巨而复杂的。

想想所有需要修补的组件。 服务器和路由器、操作系统、应用程序、电子邮件客户端、台式机和笔记本电脑、移动设备、防火墙、办公套件等。 并且正如任何 IT 专业人士都会同意的那样,仅一家公司的服务器可能会成为打补丁的难题。


例如,企业通常会运行两个或多个服务器操作系统,例如 Linux 和 Windows。 此外,许多公司运行这些操作系统的多个版本,包括众多 Linux 发行版。

由于所涉及的复杂性,以及可能成为网络犯罪分子打开窗口的众多组件,聪明的公司实施了一个补丁管理流程来自动跟踪这一切。 例如,云管理套件使 IT 经理能够持续修补公司使用的每台设备和软件包,而不管他们的操作系统如何。

教育你的员工

由于许多黑客仅通过智取员工就可以访问大量个人客户数据,因此对您的员工进行有关网络犯罪方法的教育至关重要。 应该对员工和高管进行强制性的“社会工程”。 需要警告员工的一些重要主题包括:

  • 经典的社会工程,例如当有人打电话给自称是 IT 的员工并要求提供密码或其他敏感信息时
  • 机会社会工程,例如当网络犯罪分子将装有恶意软件的 USB 丢弃在停车场并等待员工找到并使用它时
  • 电子邮件网络钓鱼,涉及看似合法但实际上包含欺诈链接或恶意软件的电子邮件

对员工进行有关 GDPR 和 GDPR 勒索的教育也很有帮助。 符合 GDPR(接下来将讨论)可能是一个费力的过程,因此您的员工对其重要性的了解越多越好。

符合 GDPR

除了拒绝黑客访问公司的敏感数据外,任何拥有欧盟市场的企业都应该符合 GDPR。 虽然这个过程是劳动密集型的,但它是非常值得的。

花时间和精力来满足 GDPR 要求的企业向欧盟委员会和其他权威机构证明他们关心欧盟公民的隐私权。 这些努力可能会最大限度地减少任何征收的费用或数据泄露的其他后果。

致力于合规的诚实公司发现更容易赢得市场。 无论是在美国还是在欧盟,消费者都重视诚实。

竭尽全力满足全球法规并以透明方式运营的企业将迅速获得竞争优势。

图片:Shutterstock