A 2017. szeptemberi Equifax-adatbetörés óta, amely 147 millió amerikai személyes adatait hozta nyilvánosságra, és az azóta történt számos más, nagy nyilvánosságot kapott adatbetörés óta az adatbiztonság és az adatvédelem az igazgatósági szint sürgető problémájává vált.
“Az Equifax-botrány volt az a pont, ahol az ezzel járó problémák nagy része valóban felszínre került üzleti szinten” – mondta Aaron Shum, az Info-Tech Research Group biztonsági, adatvédelmi, kockázati és megfelelési gyakorlatának vezetője. “Itt fedeztük fel, hogy milyen szintű inkompetencia létezhet egy szervezetben”.
A 2019-es Edelman Trust Barometer Special Report szerint: In Brands We Trust?” című kiadványban a fogyasztók 81%-a mondta azt, hogy a márka megbízhatósága fontos szerepet játszik a vásárlási döntéseikben. Más szóval, az adatvédelmi incidensek ma már nem csak büntetések formájában jelentenek üzleti kockázatot, hanem veszélyeztetik egy szervezet márkáját és hírnevét is, ami közvetlen hatással van az új ügyfelek bevonzására és a meglévők megtartására irányuló képességére.
“A vállalkozásoknak az adatvédelmet egyszerre kell megfelelési és üzleti kockázati kérdésként kezelniük, hogy csökkentsék a szabályozási szankciókat és az olyan kereskedelmi hatásokat, mint a hírnévkárosodás és az ügyfelek ebből következő elvesztése az adatvédelmi incidensek miatt” – mondta
Steve Durbin, az Information Security Forum ügyvezető igazgatója az Egyesült Királyságban.
Több mint szemantika
Az “adatbiztonság” és az “adatvédelem” kifejezéseket az informatikai közösségen kívül sokan gyakran felváltva használják. A valóságban, bár közös a céljuk, mégsem ugyanazok – mondta Greg Ewing, a Potomac Law kiberbiztonsági partnere.
“Az adatvédelem és az adatbiztonság közötti különbség a különbség valakinek a személyes adatainak védelme és a biztonsági intézkedések között, amelyekkel az összes vállalati információt védi” – mondta.
Mivel az olyan szabályozások, mint a kaliforniai fogyasztói adatvédelmi törvény (CCPA) és az EU általános adatvédelmi rendelete (GDPR) már hatályban vannak, ez a különbségtétel több mint szemantikai kérdés. A GDPR például súlyos, akár több milliárd dollárra rúgó pénzbírságokat szab ki az uniós polgárok személyazonosításra alkalmas adatait érintő adatvédelmi incidensekért. A CCPA alapján kiszabott büntetések, amelyek PII-adatonként 2500 és 7500 dollár között mozognak, szintén gyorsan összeadódhatnak.
Mivel a COVID-19 járvány nem mutatja az enyhülés jeleit, az emberek több időt töltenek az interneten, mint valaha. Az online használatban mind a COVID-19 előtti, mind a COVID-19 utáni hatalmas változást, valamint a nagy közösségi média- és szórakoztatóipari vállalatok által az ügyféladatok pénzzé tételével kapcsolatos általános bizalmatlanságot az állami szabályozó hatóságok sem hagyják észrevétlenül. Az állami törvényhozók nemzeti konferenciája szerint jelenleg 30 államban vizsgálják az adatvédelmi törvényjavaslatokat.
“Az adatvédelem lényegében egy szervezet adatbiztonságának egy alcsoportja” – mondta Ewing. “A megkülönböztetés azért fontos, mert bár az adatvédelem fenntartására és az adatbiztonság biztosítására használt eszközök átfedhetik egymást, a kettőt általában különböző csapatok különböző eszközökkel, más-más módon kezelik.”
Ez az átfedés zavart okozhat, és a csak az adatbiztonságra összpontosító vállalatoknál azt a téves benyomást keltheti, hogy alapértelmezés szerint az adatvédelem is védett. Ez azonban nem így van. Az adatbiztonsággal ellentétben, amely a szervezet összes adatának védelmére összpontosít a lopástól vagy sérüléstől (például egy zsarolóprogram-támadás során), az adatvédelem sokkal részletesebb. Az adatvédelem biztosításához a szervezeteknek meg kell érteniük, nyomon kell követniük és ellenőrizniük kell olyan dolgokat, mint például, hogy ki jogosult hozzáférni az adatokhoz, és hol tárolják az adatokat – például egy HIPAA (Health Insurance Portability and Accountability Act)-nek megfelelő felhőben.
Az adatvédelem és az adatbiztonság közötti különbségekre jó példa volt a Cambridge Analytica mára már megszűnt politikai tanácsadó cég által a 2016-17-es amerikai elnökválasztás során végzett 87 millió Facebook-felhasználói profil begyűjtése – mondta Joshua Kail kommunikációs tanácsadó, aki a Cambridge Analytica ügynökségi PR-ját vezette a cég 2018 májusi bezárásáig. Bár az adatok biztonságosak voltak, a Facebook visszaélt saját adatvédelmi szabályzatával és az FTC 2011-es, a felhasználói adatok felhasználására vonatkozó beleegyező határozatával.
“Ez egy furcsa esete volt az adatbiztonság kudarcának a perspektívából nézve, mivel alapvetően átadták az adatokat, majd azokat nem megfelelő módon használták fel, nem pedig egy hagyományos, rosszindulatú kibertámadás” – mondta. “Ami az adatvédelmet illeti, azt mindannyian elvesztettük abban a pillanatban, amikor regisztráltunk egy fiókkal. Valójában nem “a mi adatainkat” használta fel a Cambridge, hanem a Facebook rólunk szóló adatait. Ebben a megkülönböztetésben rejlik az igazi veszély a jelenlegi adatkezelési politikában”.”
Kail nemrég Bill Detwiler TechRepublic Dynamic Developer podcastjában jelent meg az adatvédelemről és az adatjogokról.
Bizalom kérdése
Míg az adatvédelem évről évre szabályozottabbá válik, ma még mindig olyan kérdésről van szó, amely nagyrészt a bizalmon múlik – mondta Kayne McGladrey, az IEEE tagja és az Ascent Solutions kiberbiztonsági stratégája. Ahogy a Cambridge Analytica-botrány nyomán kialakult visszhang mutatja, az, hogy az emberek mit várnak el azoktól a vállalatoktól, amelyekkel üzletet kötnek, ugyanolyan fontos, mint az adataik felhasználását szabályozó törvények.
“A mai adatvédelem elsősorban a személyes adatok törvényeken, szabályozásokon és társadalmi normákon alapuló feldolgozásával foglalkozik” – mondta McGladrey. “Gyakran ez úgy jelenik meg, hogy a fogyasztó figyelmen kívül hagy egy érthetetlen adatvédelmi szabályzatot (amelynek elolvasása közel 20 percig tartana), mielőtt rákattint egy gombra, amellyel elismeri, hogy beleegyezik az adott szabályzatba. A szabályzat elfogadása lehetővé teszi a szervezet számára, hogy dokumentált módon kezelje az adataikat, például arra használja fel azokat, hogy a kikövetkeztetett érdeklődési körük alapján célzott hirdetéseket jelenítsen meg számukra. Ha azonban ez a szervezet eladná ezeket a személyes adatokat egy másik szervezetnek, hogy az a fogyasztó beleegyezése nélkül valami váratlan dolgot tegyen (például a védett szólásszabadság elfojtására használja fel), az a magánélet megsértését jelentené, akár a szabályozási ellenőrzés, akár a társadalmi normák megsértése révén.”
Az elmúlt néhány évben történteket tekintve – a tömeges adatszivárgások folyamatos dobogása és a vállalkozások és magánszemélyek elleni egyre fokozódó kibertámadások – nem meglepő, hogy az emberek úgy érzik, hogy adataik már nincsenek biztonságban azoknál a vállalatoknál, amelyekkel üzletelnek, vagy az adatgyűjtést elrendelő kormányoknál.
A bizalmatlanság miatt a vállalkozások számára nem is lehetne nagyobb a szükségszerűség, hogy ezekkel a kérdésekkel szemben fellépjenek – mondta Lili Ana, a loanDepot információbiztonsági irányítási menedzsere.
“Mivel a hackeripar gyorsan növekszik és a kiberbűnözők egyre jobban finanszírozottá válnak, valamint a digitális otthoni munkahelyek globális átalakulása továbbra is az új normális állapot, a vállalatoknak lépéseket kell tenniük annak érdekében, hogy megértsék az információbiztonságot, valamint azt, hogy az adatvédelem és az adatbiztonság hogyan működik együtt a vállalkozások és a fogyasztók védelme érdekében” – mondta Ana. “A proaktív megközelítésben történő befektetés a vállalkozás védelmébe sokkal kevésbé költséges, mint az alternatíva, vagyis egy olyan adatvédelmi incidens vagy jogsértés, amely nemcsak tönkreteheti a vállalkozást, hanem tönkreteheti a hírnevet, a hitelességet és a fogyasztói bizalmat is.”.”
Szintén lásd
- A rossz adatvédelmi gyakorlatot alkalmazó vállalatok 80%-kal nagyobb eséllyel szenvednek el adatvédelmi incidenst (TechRepublic)
- A vállalatok gyakran manuális folyamatokra támaszkodnak a kaliforniai új adatvédelmi törvénynek való megfelelés érdekében (TechRepublic)
- Hogyan használjuk a Whonix fejlett biztonsági és adatvédelmi terjesztését (TechRepublic)
- Zoom: Minden biztonsági és adatvédelmi ígéretünket teljesítettük, egy kivételével (TechRepublic)
- Az Okta szerint az ügyfelek nem akarják kiadni adataikat adatvédelmi aggályok miatt (TechRepublic)
- A legtöbb amerikai hajlandó lemondani a személyes adatok védelméről a COVID-19 terjedése ellen (TechRepublic)