Od úniku dat společnosti Equifax v září 2017, který odhalil osobní údaje 147 milionů Američanů, a od mnoha dalších významných úniků dat, k nimž od té doby došlo, se bezpečnost a ochrana dat staly naléhavými problémy na úrovni zasedacích místností.
„Propad společnosti Equifax je místem, kde se mnoho inherentních problémů skutečně dostalo na podnikovou úroveň,“ řekl Aaron Shum, vedoucí praxe v oblasti bezpečnosti, ochrany soukromí, rizik a dodržování předpisů ve společnosti Info-Tech Research Group. „Tam jsme objevili úroveň nekompetentnosti, která může v organizaci existovat.“
Podle speciální zprávy Edelman Trust Barometer 2019: In Brands We Trust?, 81 % spotřebitelů uvedlo, že důvěryhodnost značky hraje hlavní roli při jejich rozhodování o nákupu. Jinými slovy, úniky dat dnes nepředstavují pouze riziko v podobě pokut, ale ohrožují také značku a pověst organizace, což má přímý dopad na její schopnost přilákat nové zákazníky a udržet si ty stávající.
„Podniky musí k ochraně osobních údajů přistupovat jak jako k otázce dodržování předpisů, tak jako k otázce obchodních rizik, aby omezily regulační sankce a obchodní dopady, jako je poškození pověsti a následná ztráta zákazníků v důsledku narušení ochrany osobních údajů,“ řekl
Steve Durbin, výkonný ředitel Information Security Forum ve Velké Británii.
Více než sémantika
Pro mnoho lidí mimo komunitu infosec se termíny „zabezpečení dat“ a „ochrana osobních údajů“ často používají zaměnitelně. Ve skutečnosti, i když mají společný cíl, nejsou stejné, říká Greg Ewing, partner pro kybernetickou bezpečnost ve společnosti Potomac Law.
„Rozdíl mezi ochranou osobních údajů a zabezpečením údajů je rozdíl mezi ochranou něčích osobních údajů a bezpečnostními opatřeními, která máte zavedena na ochranu všech informací vaší firmy,“ řekl.
S předpisy, jako je kalifornský zákon o ochraně soukromí spotřebitelů (CCPA) a obecné nařízení EU o ochraně osobních údajů (GDPR), které jsou nyní v platnosti, je tento rozdíl více než jen otázkou sémantiky. Nařízení GDPR například ukládá závažné finanční sankce, které se mohou pohybovat v řádech miliard dolarů za porušení ochrany osobních údajů (PII) občanů EU. Sankce za nedodržení předpisů podle nařízení CCPA, které se pohybují v rozmezí 2 500 až 7 500 dolarů za jeden záznam o osobních údajích, se mohou rovněž rychle sčítat.
S pandemií COVID-19, která nevykazuje žádné známky ústupu, tráví stále více lidí více času online než kdy dříve. Masivní posun v používání internetu před i po COVID-19 v kombinaci s obecnou nedůvěrou k tomu, jak velké společnosti působící v oblasti sociálních médií a zábavy zpeněžují údaje zákazníků, nezůstává bez povšimnutí státních regulačních orgánů. Podle Národní konference státních zákonodárců se nyní ve 30 státech zvažují návrhy zákonů o ochraně osobních údajů.
„Ochrana dat je v podstatě podmnožinou zabezpečení dat organizace,“ řekl Ewing. „Toto rozlišení je důležité, protože ačkoli se nástroje používané k zachování soukromí údajů a k zajištění bezpečnosti údajů mohou překrývat, oběma oblastmi se obvykle zabývají různé týmy, které používají různé nástroje.“
Toto překrývání může způsobit zmatek a zanechat ve společnostech, které se zaměřují pouze na zabezpečení dat, falešný dojem, že standardně je chráněno i soukromí dat. Není tomu tak. Na rozdíl od zabezpečení dat, které se zaměřuje na ochranu všech dat organizace před krádeží nebo poškozením (například při útoku ransomwaru), je ochrana soukromí dat podrobnější. Aby organizace zajistily soukromí dat, musí pochopit, sledovat a kontrolovat takové věci, jako kdo má oprávnění k přístupu k datům a kde jsou data uložena – například v cloudu vyhovujícím zákonu HIPAA (Health Insurance Portability and Accountability Act).
Dobrým příkladem rozdílů mezi ochranou soukromí a zabezpečením dat byl sběr 87 milionů profilů uživatelů Facebooku dnes již neexistující politickou poradenskou firmou Cambridge Analytica během amerických prezidentských voleb v letech 2016-17, uvedl Joshua Kail, konzultant v oblasti komunikace, který pro Cambridge Analytica vedl agenturní PR až do jejího uzavření v květnu 2018. Přestože data byla bezpečná, společnost Facebook zneužila své vlastní zásady ochrany osobních údajů a souhlasné nařízení FTC z roku 2011 týkající se používání uživatelských dat.
„Byl to zvláštní případ selhání zabezpečení dat z toho pohledu, že v podstatě předali data a pak byla použita nevhodným způsobem, spíše než tradiční škodlivý kybernetický útok,“ řekl. „Co se týče ochrany osobních údajů, o tu jsme všichni přišli v okamžiku, kdy jsme se zaregistrovali s účtem. Ve skutečnosti to nebyly ‚naše údaje‘, které Cambridge použila, byly to údaje Facebooku o nás. Právě v tomto rozlišení tkví skutečné nebezpečí současné datové politiky.“
Kail nedávno vystoupil v podcastu TechRepublic Dynamic Developer Billa Detwilera, kde diskutoval o ochraně osobních údajů a právech na ně.
Otázka důvěry
Ačkoli je ochrana dat rok od roku více regulována, stále se jedná o záležitost, která dnes z velké části závisí na důvěře, řekl Kayne McGladrey, člen IEEE a stratég kybernetické bezpečnosti ve společnosti Ascent Solutions. Jak ukazuje odezva po skandálu společnosti Cambridge Analytica, to, co lidé očekávají od společností, se kterými obchodují, je stejně důležité jako zákony, které upravují používání jejich údajů.
„Současná ochrana osobních údajů se týká především zpracování osobních údajů na základě zákonů, předpisů a společenských norem,“ řekl McGladrey. „Často je to reprezentováno tím, že spotřebitel ignoruje nesrozumitelné zásady ochrany osobních údajů (jejichž přečtení by trvalo téměř 20 minut), než klikne na tlačítko, kterým potvrdí svůj souhlas s těmito zásadami. Jejich souhlas se zásadami umožňuje organizaci nakládat s jejich údaji zdokumentovanými způsoby, například používat je k zobrazování cílené reklamy na základě jejich odvozených zájmů. Pokud by však tato organizace prodala tyto osobní údaje jiné organizaci, aby provedla něco neočekávaného (například je použila k potlačení chráněného svobodného projevu) bez souhlasu spotřebitele, jednalo by se o porušení soukromí, a to buď regulační kontrolou, nebo porušením společenských norem.“
Vzhledem ke všemu, co se v posledních několika letech stalo – neustálému bubnování na masivní úniky dat a stále se stupňujícím kybernetickým útokům na podniky i jednotlivce – není překvapivé, že lidé mají pocit, že jejich údaje již nejsou v rukou společností, se kterými obchodují, ani vlád, které nařizují jejich shromažďování, v bezpečí.
Vzhledem k této nedůvěře nemůže být pro podniky nutnost postavit se těmto problémům čelem větší, říká Lili Ana, manažerka řízení informační bezpečnosti ve společnosti loanDepot.
„Vzhledem k tomu, že hackerský průmysl rychle roste a kyberzločinci jsou stále lépe financováni, a vzhledem k tomu, že globální transformace digitálních domácích pracovišť je stále novou normou, musí společnosti přijmout opatření, aby porozuměly informační bezpečnosti a tomu, jak ochrana osobních údajů a zabezpečení dat spolupracují na ochraně podniků a spotřebitelů,“ uvedla Ana. „Investice do zabezpečení podniku v rámci proaktivního přístupu je mnohem méně nákladná než alternativa, kterou je datový incident nebo narušení bezpečnosti, které může nejen zničit podnik, ale může zničit pověst, důvěryhodnost a důvěru spotřebitelů.“
Také viz
- Společnosti se špatnými postupy ochrany osobních údajů jsou o 80 % náchylnější k úniku dat (TechRepublic)
- Společnosti často spoléhají na manuální procesy, aby vyhověly novému kalifornskému zákonu o ochraně osobních údajů (TechRepublic)
- Jak používat pokročilou distribuci zabezpečení a ochrany osobních údajů Whonix (TechRepublic)
- Zoom: (TechRepublic)
- Zákazníci se nechtějí vzdát svých dat kvůli obavám o soukromí, zjistila společnost Okta (TechRepublic)
- Většina Američanů je ochotna vzdát se ochrany osobních údajů v boji proti šíření COVID-19 (TechRepublic)