警告:“GDPR 勒索”可能會損害您的業務,這是該怎麼做!

已發表: 2019-01-12

大多數美國商業領袖至少對 GDPR(歐盟通用數據保護條例)有所了解。儘管這套廣泛的數據條例旨在保護歐盟公民的隱私,但它也會對美國企業產生重大影響. 它還可能導致一種新的、代價高昂的網絡犯罪:“GDPR 勒索”。

基於歐盟的數據法規將如何影響美國的企業? 什麼是 GDPR 勒索? 企業如何保護自己? 這些是我將在本文中解決的問題。



GDPR 簡而言之

作為歷史上最全面的數據安全法規(準確地說,99 篇文章分為 11 章),GDPR 正在引起全世界的關注和焦慮。

這是因為捕獲客戶數據有助於各行各業的企業改進營銷、銷售、客戶服務和許多其他工作。 現在,由於 GDPR,公司必須更加仔細地收集數據。

GDPR 為歐盟公民提供了美國不存在的東西:個人數據隱私權。 這套法律包括哪些類型的法規? 儘管 GDPR 變得相當複雜,但這裡有一個簡短的概述。

歐盟公民的數據隱私權現在超過了企業收集數據的興趣。 因此,根據 GDPR,每個歐盟公民都有:

  • 選擇是否允許收集其數據的權利
  • 查看已收集的有關他們的所有數據的權利
  • “被遺忘的權利”,意味著他們的數據必鬚根據要求被谷歌和其他搜索引擎刪除
  • 最後——催生了 GDPR 勒索現象的權利,即在 72 小時內被告知數據洩露的權利(例如黑客造成的洩露)

GDPR 如何影響美國企業?

在深入探討 GDPR 勒索是什麼之前,我必須強調為什麼美國企業在這裡不清楚。

如果您的美國企業向歐盟公民提供服務或收集有關歐盟公民的個人數據,您必須遵守 GDPR 法規。 一些最有可能受 GDPR 約束的美國行業包括旅遊、酒店、SaaS 和電子商務。 但是,任何在歐盟擁有市場的美國企業都應做好準備以滿足要求。

未能滿足 GDPR 要求的後果是什麼? 罰款可能高達 2000 萬歐元(2270 萬美元),但目前尚不清楚此類歐盟付款將如何在美國執行。

但是,未能遵守 GDPR 的後果遠遠超出了削弱費用的範圍。 擁有龐大歐盟客戶群的公司也可能面臨失去其擁有超過 5.1 億市場的良好信譽。

一方面面臨八位數支付的威脅,另一方面可能會犧牲歐盟客戶的信任,許多美國企業別無選擇,只能重新調整其數據管理框架以遵守 GDPR。

GDPR 勒索

似乎與 GDPR 不合規相關的嚴重後果還不夠令人擔憂,歐盟和美國的商界領袖還有另一個失眠的理由:“GDPR 敲詐”。

急於為 GDPR 做準備的瘋狂高管正在為網絡犯罪分子製造一場完美風暴。 如果企業不符合 GDPR,並且他們的設備未打補丁且未受到保護,黑客就可以訪問企業的數據並發出不祥的最後通牒:要么向黑客支付指定金額,否則數據將被洩露——這種情況也會導致嚴重的罰款。

一家被黑的公司此時將有一個選擇。 根據 GDPR 要求,安撫犯罪分子或將數據洩露通知 ICO(信息專員辦公室)。

網絡犯罪分子知道,許多公司會選擇向黑客付款,而不是面臨更大的 GDPR 罰款。 此外,為了避免公眾的強烈抗議,商界領袖通常會向網絡犯罪分子支付費用,並試圖讓歐盟公民對數據洩露一無所知。

抵製網絡犯罪分子

儘管有向黑客付款的誘惑,但成為網絡犯罪受害者的企業應該堅持自己的立場,而不是與犯罪分子談判。 最好的做法是通知 ICO 違規行為並與他們合作以減輕損失。 為什麼? 至少有四個原因。

  1. 無法保證黑客會遵守協議的規定,並讓受害企業控制他們的數據。
  2. 向黑客付款會鼓勵他們再次回來敲詐同一家公司。
  3. 向網絡犯罪分子屈服讓他們更有勇氣繼續開發先進技術,以勒索世界各地更多的公司。
  4. 抵製網絡犯罪分子是有道德理由的。 人們應該知道他們的個人數據何時被非法訪問。

修補整個 IT 環境

對 GDPR 勒索的最佳保護是阻止黑客進入您的系統。 網絡犯罪分子一直在尋找具有未修補和易受攻擊設備的企業,這是有充分理由的。 甚至像 Equifax 這樣大的公司也因服務器未打補丁而遭到入侵。

修補是對硬件和軟件已經發布後發現的系統弱點的修復。 聽起來很簡單,但過程卻是艱鉅而復雜的。

想想所有需要修補的組件。 服務器和路由器、操作系統、應用程序、電子郵件客戶端、台式機和筆記本電腦、移動設備、防火牆、辦公套件等。 並且正如任何 IT 專業人士都會同意的那樣,僅一家公司的服務器可能會成為打補丁的難題。


例如,企業通常會運行兩個或多個服務器操作系統,例如 Linux 和 Windows。 此外,許多公司運行這些操作系統的多個版本,包括眾多 Linux 發行版。

由於所涉及的複雜性,以及可能成為網絡犯罪分子打開窗口的眾多組件,聰明的公司實施補丁管理流程以自動跟踪所有內容。 例如,雲管理套件使 IT 經理能夠持續修補公司使用的每台設備和軟件包,而不管他們的操作系統如何。

教育你的員工

由於許多黑客僅通過智取員工就可以訪問大量個人客戶數據,因此對您的員工進行有關網絡犯罪方法的教育至關重要。 應該對員工和高管進行強制性的“社會工程”。 需要警告員工的一些重要主題包括:

  • 經典的社會工程,例如當有人打電話給自稱是 IT 的員工並要求提供密碼或其他敏感信息時
  • 機會社會工程,例如當網絡犯罪分子將裝有惡意軟件的 USB 丟棄在停車場並等待員工找到並使用它時
  • 電子郵件網絡釣魚,涉及看似合法但實際上包含欺詐鏈接或惡意軟件的電子郵件

對員工進行有關 GDPR 和 GDPR 勒索的教育也很有幫助。 符合 GDPR(接下來將討論)可能是一個費力的過程,因此您的員工對其重要性的了解越多越好。

符合 GDPR

除了拒絕黑客訪問公司的敏感數據外,任何擁有歐盟市場的企業都應該符合 GDPR。 雖然這個過程是勞動密集型的,但它是非常值得的。

花時間和精力來滿足 GDPR 要求的企業向歐盟委員會和其他權威機構證明他們關心歐盟公民的隱私權。 這些努力可能會最大限度地減少任何徵收的費用或數據洩露的其他後果。

致力於合規的誠實公司發現更容易贏得市場。 無論是在美國還是在歐盟,消費者都重視誠實。

竭盡全力滿足全球法規並以透明方式運營的企業將迅速獲得競爭優勢。

圖片:Shutterstock