Минулий тиждень був важливим для вас та вашої особистої інформації, незалежно від того, чи живете ви в ЄС.
GDPR, Загальний регламент про захист даних, який встановлює вказівки щодо того, як збирається та обробляється особиста інформація громадян ЄС, є офіційним. Це чудова ідея - єдині правила щодо того, як збирається ваша інформація, як вона зберігається та як ви можете повернути її, давно назріли. Було (і надалі буде) багато дискусій щодо того, що добре, погано та негарно щодо GDPR, але більшість людей, які працюють в галузі інформаційної безпеки, погоджуються, що цілі є цілеспрямованими і забезпечуватимуть такий вид захисту, який нам усім потрібен. 21 століття.
Купа популярних веб-сайтів просто недоступна для європейських відвідувачів, оскільки ви не сумісні з GDPR.
Окремі статті GDPR, однак, не настільки широко оцінені. Набравши чинності в п’ятницю, 25 травня, ми вже спостерігаємо випадок: New York Daily News, Chicago Tribune, LA Times та інші гучні веб-сайти зараз недоступні в країнах, на які поширюються правила GDPR, оскільки вони не були готові до нових правил.. Багато інших веб-сайтів та інтернет-сервісів обстрілювали користувачів новими умовами на згоду, а скарги на відомих технічних гігантів Google та Facebook вже подані, оскільки вони не пропонують безкоштовних послуг, не дозволяючи користувачам відмовитися від збору даних.
Докладніше: Google полегшує розуміння та управління даними користувачів, які він збирає {.cta.large}
Такі питання не дивно. Також немає думок, що хмарні сервіси втратять дохід і змушені будуть підвищувати ціни внаслідок GDPR, що, як вважає половина відвідувачів Infosecurity Europe 2018, скоро відбудеться. Вони також вважають, що GDPR придушить інновації, оскільки невеликі організації не зможуть дозволити собі необхідну інфраструктуру. Це хороша дискусія між людьми, які потребують її обговорення. Поліпшення конфіденційності варті того годин, які потрібні для того, щоб виправити це.
Але є одна частина GDPR, яка, на мою думку, принесе більше шкоди, ніж користі - правило 72-річної звітності статті 33. Повний текст ви можете прочитати тут, але суть його полягає в тому, що компанія, яка зберігає особисту ідентифікацію громадян ЄС, несе повну відповідальність за будь-які порушення безпеки, незалежно від причини, і повинна забезпечити повне розкриття наглядовим комітетом протягом 72 годин порушення. У цьому правилі немає нічого великого, але дві частини призведуть до того, щоб постачальники послуг приховували порушення даних, а не відповідально повідомляли про них.
Перший - наглядовий комітет. У різних країнах є різні способи управління своїми громадянами, але одне, що у них є спільним, - це пільгове ставлення, коли мова йде про створення та укомплектування будь-якого офіційного комітету. Друг друга чи той третій двоюрідний брат, який не може перестати просити подачу, є головними кандидатами на будь-яке місце комітету, і коли першочерговою метою є захист даних користувачів, слід розглядати лише найбільш кваліфікованих осіб. Будемо сподіватися, що саме те, що зроблено тут, і правила можуть бути адаптовані та виконуються людьми, які мають наші найкращі інтереси та є кваліфікованими.
Невеликі компанії, які не мають необхідних ресурсів для повного розслідування порушень, можуть вирішити їх прикрити.
Більш важливим питанням є вимушена 72-годинна звітність. Навіть повністю укомплектована організація Fortune 500 не буде знати достатньо про порушення даних, щоб почати подавати звіти в урядове відомство. Враховуючи такий короткий час, очікуйте трохи більше, ніж співробітник компанії з інформаційної безпеки, який сказав, що було порушення, і ми ще не впевнені в будь-яких деталях. Це трохи більше, ніж марна трата часу для всіх, хто бере участь, і я вважаю за краще витратити цей час, намагаючись з'ясувати, чому, як, коли і хто оточує будь-які порушення даних.
Менша компанія, яка, можливо, вже бореться за відповідність вимогам GDPR, буде піддана розслідуванню, чи може вона стримувати порушення та зменшити збитки самостійно без будь-яких повідомлень. Коли ви перебуваєте під тиском і не маєте достатнього персоналу, прикриття може здатися правильним варіантом.
Ясна річ, це ніколи не буває. Але великим і малим компаніям було відомо, що вони знову і знову вибирають неправильний варіант, коли справа доходить до принципу. Будь-яке регулювання, спрямоване на захист користувачів від компаній, які приймають погані рішення, краще без правила, яке може змусити їх робити саме це.
Відповідальне та оперативне повідомлення про сукупність даних є обов'язковим. Примушувати компанії, які збирають та зберігають наші дані, щоб зробити правильну справу, без цього не має великої користі. Створення правильного наглядового комітету, заповненого правильними людьми, для перегляду способів поводження з втручаннями (або навіть надання допомоги, коли вони трапляються) - пройде довгий шлях до того, щоб GDPR стала шаблоном для решти світу.
