警告:“GDPR 勒索”可能會損害您的業務,這是該怎麼做!
已發表: 2019-01-12大多數美國商業領袖至少對 GDPR(歐盟通用數據保護條例)有所了解。儘管這套廣泛的數據條例旨在保護歐盟公民的隱私,但它也會對美國企業產生重大影響. 它還可能導致一種新的、代價高昂的網絡犯罪:“GDPR 勒索”。
基於歐盟的數據法規將如何影響美國的企業? 什麼是 GDPR 勒索? 企業如何保護自己? 這些是我將在本文中解決的問題。
GDPR 簡而言之
作為歷史上最全面的數據安全法規(準確地說,99 篇文章分為 11 章),GDPR 正在引起全世界的關注和焦慮。
這是因為捕獲客戶數據有助於各行各業的企業改進營銷、銷售、客戶服務和許多其他工作。 現在,由於 GDPR,公司必須更加仔細地收集數據。
GDPR 為歐盟公民提供了美國不存在的東西:個人數據隱私權。 這套法律包括哪些類型的法規? 儘管 GDPR 變得相當複雜,但這裡有一個簡短的概述。
歐盟公民的數據隱私權現在超過了企業收集數據的興趣。 因此,根據 GDPR,每個歐盟公民都有:
- 選擇是否允許收集其數據的權利
- 查看已收集的有關他們的所有數據的權利
- “被遺忘的權利”,意味著他們的數據必鬚根據要求被谷歌和其他搜索引擎刪除
- 最後——催生了 GDPR 勒索現象的權利,即在 72 小時內被告知數據洩露的權利(例如黑客造成的洩露)
GDPR 如何影響美國企業?
在深入探討 GDPR 勒索是什麼之前,我必須強調為什麼美國企業在這裡不清楚。
如果您的美國企業向歐盟公民提供服務或收集有關歐盟公民的個人數據,您必須遵守 GDPR 法規。 一些最有可能受 GDPR 約束的美國行業包括旅遊、酒店、SaaS 和電子商務。 但是,任何在歐盟擁有市場的美國企業都應做好準備以滿足要求。
未能滿足 GDPR 要求的後果是什麼? 罰款可能高達 2000 萬歐元(2270 萬美元),但目前尚不清楚此類歐盟付款將如何在美國執行。
但是,未能遵守 GDPR 的後果遠遠超出了削弱費用的範圍。 擁有龐大歐盟客戶群的公司也可能面臨失去其擁有超過 5.1 億市場的良好信譽。
一方面面臨八位數支付的威脅,另一方面可能會犧牲歐盟客戶的信任,許多美國企業別無選擇,只能重新調整其數據管理框架以遵守 GDPR。
GDPR 勒索
似乎與 GDPR 不合規相關的嚴重後果還不夠令人擔憂,歐盟和美國的商界領袖還有另一個失眠的理由:“GDPR 敲詐”。
急於為 GDPR 做準備的瘋狂高管正在為網絡犯罪分子製造一場完美風暴。 如果企業不符合 GDPR,並且他們的設備未打補丁且未受到保護,黑客就可以訪問企業的數據並發出不祥的最後通牒:要么向黑客支付指定金額,否則數據將被洩露——這種情況也會導致嚴重的罰款。
一家被黑的公司此時將有一個選擇。 根據 GDPR 要求,安撫犯罪分子或將數據洩露通知 ICO(信息專員辦公室)。
網絡犯罪分子知道,許多公司會選擇向黑客付款,而不是面臨更大的 GDPR 罰款。 此外,為了避免公眾的強烈抗議,商界領袖通常會向網絡犯罪分子支付費用,並試圖讓歐盟公民對數據洩露一無所知。
抵製網絡犯罪分子
儘管有向黑客付款的誘惑,但成為網絡犯罪受害者的企業應該堅持自己的立場,而不是與犯罪分子談判。 最好的做法是通知 ICO 違規行為並與他們合作以減輕損失。 為什麼? 至少有四個原因。
- 無法保證黑客會遵守協議的規定,並讓受害企業控制他們的數據。
- 向黑客付款會鼓勵他們再次回來敲詐同一家公司。
- 向網絡犯罪分子屈服讓他們更有勇氣繼續開發先進技術,以勒索世界各地更多的公司。
- 抵製網絡犯罪分子是有道德理由的。 人們應該知道他們的個人數據何時被非法訪問。
修補整個 IT 環境
對 GDPR 勒索的最佳保護是阻止黑客進入您的系統。 網絡犯罪分子一直在尋找具有未修補和易受攻擊設備的企業,這是有充分理由的。 甚至像 Equifax 這樣大的公司也因服務器未打補丁而遭到入侵。
修補是對硬件和軟件已經發布後發現的系統弱點的修復。 聽起來很簡單,但過程卻是艱鉅而復雜的。
想想所有需要修補的組件。 服務器和路由器、操作系統、應用程序、電子郵件客戶端、台式機和筆記本電腦、移動設備、防火牆、辦公套件等。 並且正如任何 IT 專業人士都會同意的那樣,僅一家公司的服務器就可能會成為打補丁的難題。