Изминалата седмица беше важна за вас и личната ви информация, независимо дали живеете в ЕС или не.
GDPR, Общият регламент за защита на данните, който определя насоки за това как личната информация на гражданите на ЕС се събира и обработва, вече е официална. Страхотна идея - уеднаквени правила за това как се събира информацията ви, как се съхранява и как можете да я върнете обратно, са дългосрочни. Имаше (и продължава да бъде) доста дискусии за това какво е добро, лошо и грозно за GDPR, но повечето хора, които работят в информационната сигурност, са съгласни, че целите са добронамерени и ще осигурят вида на защитата, от която всички се нуждаем в 21 век.
Множество популярни уебсайтове просто не са достъпни за европейските посетители, защото не сте съвместими с GDPR.
Отделните статии на GDPR обаче не са толкова общоприети. След като влезе в сила в петък, 25 май, вече забелязваме грешка: New York Daily News, Chicago Tribune, LA Times и други високопопулярни уебсайтове вече не са достъпни в държави, обхванати от регламентите на GDPR, тъй като не бяха готови за новите правила, Много други уебсайтове и онлайн услуги са бомбардирали потребителите с нови условия, за да се съгласят, и вече са подадени жалби срещу знатни технологични гиганти Google и Facebook, тъй като те не предлагат безплатни услуги, без да позволяват на потребителите да се откажат от събирането на данни.
Още: Google улеснява разбирането и управлението на потребителските данни, които събира {.cta.large}
Проблеми като тези не са изненадващи. Нито е настроението, че облачните услуги ще загубят приходи и ще бъдат принудени да повишават цените в резултат на GDPR, което половината от посетителите на Infosecurity Europe 2018 смятат, че скоро ще се случи. Те също така смятат, че GDPR ще задуши иновациите, тъй като малките организации няма да могат да си позволят необходимата инфраструктура, за да бъдат съобразени. Това е добра дискусия от хората, които трябва да го обсъждат. По-доброто уединение си струва часовете напред-назад, необходими, за да се оправи.
Но има една част от GDPR, която смятам, че ще причини повече вреда, отколкото полза - член 33 от правилото за 72-часово отчитане. Можете да прочетете пълния текст тук, но същността на него е, че компания, която поддържа лична идентификация на гражданите на ЕС, е напълно отговорна за всяко нарушение на сигурността, без значение на причината, и трябва да предостави пълно разкритие на надзорен комитет в рамките на 72 часа на нарушение. В това правило няма нищо голямо, но две части ще доведат до доставчиците на услуги, които прикриват нарушенията на данните, а не отговорно да ги съобщават.
Първият е надзорният комитет. Различните страни имат различни начини за управление на своите граждани, но едно общо нещо, което всички имат, е преференциалното третиране, когато става въпрос за създаване и персонал на всеки официален комитет. Приятел на приятел или онзи трети братовчед, който не може да спре да иска раздаване, са главни кандидати за всяко място в комисията и когато основната цел е защита на данните на потребителите, трябва да се разглеждат само най-квалифицираните лица. Да се надяваме, че точно това, което е направено тук, и регулациите могат да бъдат адаптирани и наложени от хора, които имат най-добрите ни интереси и са квалифицирани.
Малките компании, без необходимите ресурси за извършване на пълно разследване на нарушение, могат да изберат да ги прикрият.
По-голям проблем е принудителното 72-часово отчитане. Дори напълно екипирана Fortune 500 организация няма да знае достатъчно за нарушаването на данните, за да започне да подава доклади в правителствена агенция. Имайки предвид толкова кратко време, очаквайте малко повече от служител по сигурността на информацията на компанията, който заяви, че има нарушение и все още не сме сигурни в каквито и да било подробности. Това е малко повече от загуба на време за всички участници и бих предпочел това време да бъде прекарано в опит да разбера защо, как, кога и кой заобикаля всякакъв вид нарушения на данните.
Една по-малка компания, която вече може да се бори за спазване на спазването на GDPR, ще бъде изкушена да разследва дали може да ограничи нарушението и да смекчи щетите самостоятелно без никакви съобщения. Когато сте под напрежение и нямате персонал, прикриването може да звучи като правилната опция.
Ясно е, че никога не е така. Но известни са големи и малки компании, които избират грешен вариант отново и отново, когато се стигне до тезата. Всеки регламент, предназначен да защити потребителите от компании, които взимат лоши решения, е по-добре без правило, което може да ги подтикне да правят точно това.
Задължително е отговорното и бързото отчитане на информацията за данни. Принуждаването на компании, които събират и съхраняват нашите данни да правят правилното нещо, не е от голяма полза без него. Създаването на подходящ надзорен комитет, попълнен с точните хора, които да преразгледат как се третират пробивите - или дори да предлагат помощ, когато се случат - би изминал дълъг път към превръщането на GDPR в образец за останалия свят.
