Aizvadītā nedēļa bija svarīga jums un jūsu personiskajai informācijai neatkarīgi no tā, vai dzīvojat ES.
GDPR, Vispārējā datu aizsardzības regula, kas nosaka vadlīnijas par to, kā tiek apkopota un apstrādāta ES pilsoņu personiskā informācija, tagad ir oficiāla. Tā ir lieliska ideja - jau sen ir pieņemti vienoti noteikumi par to, kā jūsu informācija tiek apkopota, kā tā tiek glabāta un kā jūs to varat atgūt. Ir bijis (un arī turpmāk būs) daudz diskusiju par to, kas par GDPR ir labs, slikts un neglīts, taču vairums cilvēku, kas strādā informācijas drošības jomā, piekrīt, ka mērķi ir izvirzīti ar nodomu un nodrošinās tāda veida aizsardzību, kāda mums visiem nepieciešama. 21. gadsimts.
Liela daļa populāru vietņu Eiropas apmeklētājiem vienkārši nav pieejamas, jo jūs neesat saderīgs ar GDPR.
Atsevišķi GDPR raksti tomēr nav tik vispārēji slavēti. Stājoties spēkā piektdien, 25. maijā, mēs jau redzam kritumu: New York Daily News, Chicago Tribune, LA Times un citas augsta līmeņa vietnes tagad nav pieejamas valstīs, uz kurām attiecas GDPR noteikumi, jo tās nebija gatavas jaunajiem noteikumiem. Daudzas citas vietnes un tiešsaistes pakalpojumi ir bombardējuši lietotājus ar jauniem noteikumiem, kuriem jāpiekrīt, un sūdzības jau ir iesniegtas pret ievērojamiem tehnoloģiju giganti Google un Facebook, jo tie nepiedāvā bezmaksas pakalpojumus, neļaujot lietotājiem atteikties no datu vākšanas.
Vairāk: Google atvieglo savākto lietotāju datu izpratni un pārvaldību {.cta.large}
Šādi jautājumi nav pārsteidzoši. Nav arī uzskatu, ka mākoņdatošanas pakalpojumi zaudēs ieņēmumus un būs spiesti paaugstināt cenas GDPR rezultātā, kas, domājams, drīz notiks pusē no “Infosecurity Europe 2018” apmeklētājiem. Viņi arī uzskata, ka GDPR apslāpēs inovācijas, jo mazas organizācijas nevarēs atļauties nepieciešamo infrastruktūru, lai to ievērotu. Šī ir laba diskusija starp cilvēkiem, kuriem tā ir jādiskutē. Labāks privātums ir vērts stundu turp un atpakaļ, kas vajadzīgas, lai to pareizi sakārtotu.
Bet tur ir viena GDPR daļa, kas, manuprāt, nodarīs vairāk ļauna nekā laba - 33. pantā noteiktais ziņojums par 72 stundām. Pilnu tekstu varat izlasīt šeit, bet būtība ir tāda, ka uzņēmums, kas glabā ES pilsoņu personisko identifikāciju, ir pilnīgi atbildīgs par visiem drošības pārkāpumiem neatkarīgi no iemesla un 72 stundu laikā pilnībā jāsniedz informācija uzraudzības komitejai. pārkāpumu. Šajā noteikumā nav nekas lielisks, bet divas daļas novedīs pie tā, ka pakalpojumu sniedzēji slēpj datu pārkāpumus, nevis atbildīgi ziņo par tiem.
Pirmais ir uzraudzības komiteja. Dažādām valstīm ir atšķirīgi veidi, kā pārvaldīt savus pilsoņus, bet viena kopīga lieta, kas viņiem visām ir kopīga, ir preferenciāls režīms, kad runa ir par oficiālas komitejas izveidi un personālu. Drauga draugs vai trešais brālēns, kurš nevar pārtraukt izdales materiāla pieprasīšanu, ir galvenie kandidāti uz jebkuru komitejas vietu, un, ja galvenais mērķis ir aizsargāt lietotāju datus, jāņem vērā tikai viskvalificētākās personas. Cerēsim, ka tas ir tieši tas, kas izdarīts šeit, un noteikumus var pielāgot un ieviest cilvēki, kuriem ir mūsu labākās intereses un kuri ir kvalificēti.
Mazi uzņēmumi, kuriem nav nepieciešamo resursu pilnīgas pārkāpumu izmeklēšanai, var izvēlēties tos slēpt.
Lielāka problēma ir piespiedu 72 stundu ziņošana. Pat Fortune 500 organizācija ar pilnu personālu nezina pietiekami daudz par datu pārkāpumu, lai sāktu iesniegt pārskatus valdības aģentūrā. Ņemot vērā tik īsu laiku, sagaidiet nedaudz vairāk nekā uzņēmuma informācijas drošības darbinieks, sakot, ka ir noticis pārkāpums, un mēs vēl neesam pārliecināti par detaļām. Tas ir nedaudz vairāk kā laika izšķiešana visiem iesaistītajiem, un es drīzāk to pavadītu, mēģinot noskaidrot, kāpēc, kā, kad un kas apņem jebkāda veida datu pārkāpumus.
Mazākam uzņēmumam, kurš jau tagad var cīnīties, lai izpildītu GDPR atbilstību, būs kārdinājums izpētīt, vai tas bez ierobežojumiem var apturēt pārkāpumu un mazināt zaudējumus pats par sevi. Ja jums ir spiediens un trūkst darbinieku, aizsegšana var izklausīties kā pareizais risinājums.
Skaidrs, ka tā nekad nav. Bet ir zināms, ka lieli un mazi uzņēmumi atkal un atkal izvēlas nepareizu iespēju, kad runa ir par vadu. Jebkurš regulējums, kas paredzēts, lai aizsargātu lietotājus no uzņēmumiem, kas pieņem sliktus lēmumus, ir labāks bez noteikumiem, kas varētu mudināt viņus rīkoties tieši tā.
Obligāta ir atbildīga un ātra ziņošana par datu kopumu. Piespiežot uzņēmumus, kas novāc un glabā mūsu datus, rīkoties pareizi, bez tā daudz nav nozīmes. Izveidojot pareizo uzraudzības komiteju, kas piepildīta ar īstajiem cilvēkiem, lai pārskatītu, kā izturas pret ielaušanos, vai pat piedāvātu palīdzību, kad tie notiek, būtu tāls ceļš, lai GDPR padarītu par paraugu pārējai pasaulei.
