警告:“GDPR 勒索”可能会损害您的业务,这是该怎么做!
已发表: 2019-01-12大多数美国商业领袖至少对 GDPR(欧盟通用数据保护条例)有所了解。尽管这套广泛的数据条例旨在保护欧盟公民的隐私,但它也会对美国企业产生重大影响. 它还可能导致一种新的、代价高昂的网络犯罪:“GDPR 勒索”。
基于欧盟的数据法规将如何影响美国的企业? 什么是 GDPR 勒索? 企业如何保护自己? 这些是我将在本文中解决的问题。
GDPR 简而言之
作为历史上最全面的数据安全法规(准确地说,99 篇文章分为 11 章),GDPR 正在引起全世界的关注和焦虑。
这是因为捕获客户数据有助于各行各业的企业改进营销、销售、客户服务和许多其他工作。 现在,由于 GDPR,公司必须更加仔细地收集数据。
GDPR 为欧盟公民提供了美国不存在的东西:个人数据隐私权。 这套法律包括哪些类型的法规? 尽管 GDPR 变得相当复杂,但这里有一个简短的概述。
欧盟公民的数据隐私权现在超过了企业收集数据的兴趣。 因此,根据 GDPR,每个欧盟公民都有:
- 选择是否允许收集其数据的权利
- 查看已收集的有关他们的所有数据的权利
- “被遗忘的权利”,意味着他们的数据必须根据要求被谷歌和其他搜索引擎删除
- 最后——催生了 GDPR 勒索现象的权利,即在 72 小时内被告知数据泄露的权利(例如黑客造成的泄露)
GDPR 如何影响美国企业?
在深入探讨 GDPR 勒索是什么之前,我必须强调为什么美国企业在这里不清楚。
如果您的美国企业向欧盟公民提供服务或收集有关欧盟公民的个人数据,您必须遵守 GDPR 法规。 一些最有可能受 GDPR 约束的美国行业包括旅游、酒店、SaaS 和电子商务。 但是,任何在欧盟拥有市场的美国企业都应做好准备以满足要求。
未能满足 GDPR 要求的后果是什么? 罚款可能高达 2000 万欧元(2270 万美元),但目前尚不清楚此类欧盟付款将如何在美国执行。
但是,未能遵守 GDPR 的后果远远超出了削弱费用的范围。 拥有庞大欧盟客户群的公司也可能面临失去其拥有超过 5.1 亿市场的良好信誉。
一方面面临八位数支付的威胁,另一方面可能会牺牲欧盟客户的信任,许多美国企业别无选择,只能重新调整其数据管理框架以遵守 GDPR。
GDPR 勒索
似乎与 GDPR 不合规相关的严重后果还不够令人担忧,欧盟和美国的商界领袖还有另一个失眠的理由:“GDPR 敲诈”。
急于为 GDPR 做准备的疯狂高管正在为网络犯罪分子制造一场完美风暴。 如果企业不符合 GDPR,并且他们的设备未打补丁且未受到保护,黑客就可以访问企业的数据并发出不祥的最后通牒:要么向黑客支付指定金额,否则数据将被泄露——这种情况也会导致严重的罚款。
一家被黑的公司此时将有一个选择。 根据 GDPR 要求,安抚犯罪分子或将数据泄露通知 ICO(信息专员办公室)。
网络犯罪分子知道,许多公司会选择向黑客付款,而不是面临更大的 GDPR 罚款。 此外,为了避免公众的强烈抗议,商界领袖通常会向网络犯罪分子支付费用,并试图让欧盟公民对数据泄露一无所知。
抵制网络犯罪分子
尽管有向黑客付款的诱惑,但成为网络犯罪受害者的企业应该坚持自己的立场,而不是与犯罪分子谈判。 最好的做法是通知 ICO 违规行为并与他们合作以减轻损失。 为什么? 至少有四个原因。
- 无法保证黑客会遵守协议的规定,并让受害企业控制他们的数据。
- 向黑客付款会鼓励他们再次回来敲诈同一家公司。
- 向网络犯罪分子屈服让他们更有勇气继续开发先进技术,以勒索世界各地更多的公司。
- 抵制网络犯罪分子是有道德理由的。 人们应该知道他们的个人数据何时被非法访问。
修补整个 IT 环境
对 GDPR 勒索的最佳保护是阻止黑客进入您的系统。 网络犯罪分子一直在寻找具有未修补和易受攻击设备的企业,这是有充分理由的。 甚至像 Equifax 这样大的公司也因服务器未打补丁而遭到入侵。
修补是对硬件和软件已经发布后发现的系统弱点的修复。 听起来很简单,但过程却是艰巨而复杂的。
想想所有需要修补的组件。 服务器和路由器、操作系统、应用程序、电子邮件客户端、台式机和笔记本电脑、移动设备、防火墙、办公套件等。 并且正如任何 IT 专业人士都会同意的那样,仅一家公司的服务器就可能会成为打补丁的难题。