Kulunut viikko oli tärkeä sinulle ja henkilökohtaisille tiedoillesi riippumatta siitä, asutko EU: ssa vai et.
GDPR, yleinen tietosuoja-asetus, joka antaa ohjeet EU: n kansalaisten henkilökohtaisten tietojen keräämiselle ja käsittelylle, on nyt virallinen. Se on loistava idea - yhdenmukaiset säännöt siitä, kuinka tietosi kerätään, miten niitä säilytetään ja miten voit ottaa ne takaisin, ovat jo kauan aikaa myöhässä. GDPR: stä on käyty (ja jatkossakin) paljon keskustelua siitä, mikä on hyvää, huonoa ja rumaa, mutta suurin osa tietoturvallisuudessa työskentelevistä ihmisistä on yhtä mieltä siitä, että tavoitteet ovat tarkoituksellisia ja tarjoavat sellaisia suojauksia, joita me kaikki tarvitsemme 2000-luvulla.
Joukko suosittuja verkkosivustoja ei vain ole eurooppalaisten kävijöiden käytettävissä, koska et ole GDPR-yhteensopiva.
GDPR: n yksittäisiä artikkeleita ei kuitenkaan ole kovin yleisesti kiitetty. Perjantaina 25. toukokuuta voimaan tultua näemme jo laskeuman: New York Daily News, Chicago Tribune, LA Times ja muut korkean profiilin verkkosivustot eivät ole nyt käytettävissä maissa, joihin sovelletaan GDPR-säännöksiä, koska ne eivät olleet valmiita uusiin sääntöihin. Monet muut verkkosivut ja verkkopalvelut ovat pommittaneet käyttäjiä uusilla ehdoilla, jotta ne suostuisivat asiaan, ja valituksia on jo tehty huomattaville tekniikan jättiläisille Googlelle ja Facebookille, koska ne eivät tarjoa ilmaisia palveluita antamatta käyttäjille mahdollisuutta jättää tiedonkeruun ulkopuolelle.
Lisää: Google helpottaa keräämiensä käyttäjän tietojen ymmärtämistä ja hallintaa {.cta.large}
Nämä ongelmat eivät ole yllättäviä. Myöskään näkemys, jonka mukaan pilvipohjaiset palvelut menettävät tuloja ja joutuvat pakottamaan nostamaan hintoja GDPR: n seurauksena, jonka puoleen Infosecurity Europe 2018 -tapahtuman osallistujat luulevat pian tapahtuvan. Heidän mielestään myös GDPR tukahduttaa innovaatioiden, koska pienillä organisaatioilla ei ole varaa tarvittavaan infrastruktuuriin vaatimustenmukaisuuden varmistamiseksi. Tämä on hyvä keskustelu ihmisille, joiden on keskusteltava siitä. Parempi yksityisyys on arvoinen tuntikausia edestakaisin, jotta sitä saadaan oikein.
Mutta on yksi osa GDPR: stä, joka mielestäni on enemmän haittaa kuin hyötyä - 33 artiklan 72 tunnin raportointisääntö. Voit lukea koko tekstin täällä, mutta pääasiana on, että yritys, joka pitää EU: n kansalaisten henkilöllisyyttä, on täysin vastuussa kaikista turvallisuuden rikkomuksista syystä riippumatta, ja sen on toimitettava täydet tiedot valvontakomitealle 72 tunnin kuluessa. rikkomuksesta. Tässä säännössä ei ole mitään hienoa, mutta kaksi osaa johtaa siihen, että palveluntarjoajat peittävät tietorikkomukset sen sijaan, että ilmoittaisivat niistä vastuullisesti.
Ensimmäinen on valvontakomitea. Eri maissa on erilaisia tapoja hallita kansalaisiaan, mutta yksi asia, joka heillä kaikilla on yhteistä, on etuuskohtelu minkä tahansa virallisen komitean perustamisessa ja henkilöstön palveluksessa. Ystävän ystävä tai kolmas serkku, joka ei voi lopettaa jakamista, ovat pääehdokkaita mihin tahansa komitean paikkaan, ja kun ensisijaisena tavoitteena on käyttäjätietojen suojaaminen, vain harkiten päteviä henkilöitä tulisi harkita. Toivotaan, että se on tarkalleen mitä täällä tehdään, ja ihmisiä, joilla on tärkeimmät etumme sydämessä ja pätevät, voidaan mukauttaa ja panna täytäntöön sääntöjä.
Pienet yritykset, joilla ei ole resursseja täydellisen rikkomustutkimuksen suorittamiseksi, voivat päättää peittää ne.
Suurempi ongelma on pakko 72 tunnin raportointi. Jopa täysin Fortune 500 -organisaatio ei tiedä tarpeeksi tietorikkomuksesta aloittaakseen arkistoinnin valtion virastolle. Odota niin lyhyessä ajassa, että odotat vähän enemmän kuin yrityksen tietoturvavastaavan ilmoittavan rikkomuksen, emmekä ole vielä varmoja yksityiskohdista. Se on vähän enemmän kuin ajanhukkaa kaikille osallistujille, ja mieluummin se viettää aikaa yrittää selvittää miksi, miten, milloin ja kuka ympäröi minkä tahansa tyyppisiä rikkomuksia.
Pienemmällä yrityksellä, joka jo ehkä pyrkii vastaamaan GDPR-vaatimusten noudattamiseen, on houkutus tutkia, pystyykö rikkomus hillitsemään ja lievittämään vahingot yksin ilman ilmoituksia. Kun olet paineessa ja vajaakuntoisia, peite voi kuulostaa oikealta vaihtoehdolta.
On selvää, ettei koskaan ole. Mutta suurten ja pienten yritysten on tiedetty valitsevan väärän vaihtoehdon kerta toisensa jälkeen, kun kyse on johdosta. Kaikki säännöt, joiden tarkoituksena on suojata käyttäjiä huonoja päätöksiä tekeviltä yrityksiltä, ovat parempia ilman sääntöä, joka voi pakottaa heidät tekemään juuri tämän.
Tietovastuun vastuullinen ja nopea ilmoittaminen on välttämätöntä. Tietojen satoa ja hallintaa käyttävien yritysten pakottaminen toimimaan oikein ei ole paljon hyötyä ilman sitä. Oikean valvontakomitean perustaminen, joka olisi täynnä oikeita ihmisiä tarkistamaan, miten murtumia kohdellaan - tai jopa tarjoamaan apua, kun niitä tapahtuu - olisi pitkä tapa tehdä GDPR: stä mallina, jota muulle maailmalle tulisi noudattaa.
